Loi indienne sur la protection des données personnelles numériques de 2023 : une référence en matière de confidentialité numérique

Publié: 2023-09-21

La nouvelle loi indienne sur la protection des données personnelles numériques de 2023 s'applique à toute organisation ou entreprise impliquée dans la collecte ou la gestion de données personnelles. La loi ne couvre pas uniquement le traitement des données en Inde ; il a également autorité sur le traitement des données effectué en dehors de l’Inde.

Le paysage technologique en évolution rapide de l'Inde a franchi une étape importante avec l'introduction puis l'adoption du projet de loi sur la protection des données personnelles numériques (DPDP) en 2022. Cette législation cruciale a été approuvée par le Cabinet de l'Union le 5 juillet et a été présentée lors de la session de mousson du Parlement. , qui a débuté le 20 juillet 2023. Il a rapidement progressé dans le processus législatif, obtenant l'approbation à la fois de la chambre basse (Lok Sabha) le 7 août et de la chambre haute (Rajya Sabha) le 9 août.

Avec l'assentiment officiel du président accordé le 11 août 2023, comme indiqué dans la notification de la Gazette du gouvernement indien, le projet de loi sur la protection des données personnelles numériques de 2022 est officiellement devenu la loi sur la protection des données personnelles numériques de 2023.

La portée de la loi de 2023 sur la protection des données personnelles numériques s'étend au-delà des frontières de l'Inde, englobant le traitement des données personnelles numériques même lorsqu'il est effectué à l'étranger.

M. Rajarshi Bhattacharyya, président et directeur général de ProcessIT Global , a comparé la loi avec le règlement général sur la protection des données (RGPD) existant de l'Union européenne (UE). Il a déclaré : « C’est plus avancé parce que le RGPD est sorti il ​​y a quelque temps. Cette politique est plus avancée et plus globale, ce qui favorisera le progrès de l'Inde.

Rajarshi Bhattacharyya : Cyber-résilience, politiques gouvernementales et informations sur la sécurité des données
Obtenez des informations précieuses de Rajarshi Bhattacharyya de ProcessIT Global alors qu'il explore les domaines de la cyber-résilience, les implications politiques gouvernementales et les aspects cruciaux de la sécurité des données dans le paysage numérique actuel.
Sayantan Mondal StartupTalky

Selon un rapport collaboratif de l'organisation industrielle IAMAI et de la société d'analyse de données de marché Kantar, connu sous le nom de « Internet in India Report 2022 », il a été révélé que plus de la moitié de la population indienne, soit 759 millions d'individus, utilisait activement Internet, y accéder au moins une fois par mois en 2022. Le rapport souligne également que parmi ces utilisateurs actifs, 399 millions résident dans les zones rurales de l'Inde, dépassant les 360 millions d'utilisateurs des zones urbaines. Cela suggère que l’expansion d’Internet dans le pays est principalement tirée par l’Inde rurale.

La nouvelle loi sur la protection des données met l’accent sur l’IA éthique et la portée mondiale
Obligations des entités
Vos droits et devoirs concernant vos données personnelles
Le secteur de la santé se prépare à l’impact

La nouvelle loi sur la protection des données met l’accent sur l’IA éthique et la portée mondiale

Deepika Loganathan, PDG de HaiVE , a déclaré : « Nous sommes ravis d'accueillir la promulgation de la loi de 2023 sur la protection des données personnelles numériques (DPDPA-2023) par le Parlement indien. Cette législation historique s’aligne parfaitement sur notre engagement de longue date en faveur de l’IA éthique et de la protection des données. Nous sommes heureux d'annoncer que notre cadre existant pour les solutions d'IA sur site adhère déjà étroitement aux sept principes et obligations décrits dans la loi.

La loi s'applique à toute organisation ou entreprise impliquée dans la collecte ou la gestion de données personnelles. Il classe ces organisations en deux groupes : celles qui déterminent les raisons et les modalités du traitement (appelées fiduciaires des données ) et celles qui effectuent le traitement sur la base des instructions des fiduciaires des données (appelées sous -traitants ).

La loi ne couvre pas uniquement le traitement des données en Inde ; il a également autorité sur le traitement des données effectué en dehors de l'Inde, notamment concernant les biens et services proposés aux particuliers en Inde. Cela signifie que toute entreprise proposant des biens ou des services aux résidents indiens, quel que soit leur emplacement physique, relèverait de sa compétence.

M. Nageen Kommu, PDG de Digitap , a déclaré : « Chez Digitap, nous nous considérons comme des processeurs de données. Nous ne stockons pas de données ; nous les traitons pour le compte de nos clients, qui sont les fiduciaires des données. Bien qu'il n'y ait pas de directives spécifiques pour les sous-traitants, nous adoptons volontairement les mêmes politiques et procédures que celles suivies par les fiduciaires de données. Si un client souhaite révoquer son consentement, nous veillons à ce que les données soient supprimées, conformément aux exigences de la loi.

Il a également mentionné que la loi aborde également la sécurité des données pendant le stockage et la transmission et que Digitap dispose déjà de mécanismes de sécurité robustes, car ils traitent des normes d'externalisation de RBI, qui imposent la localisation des données en Inde.

Obligations des entités

La loi définit plusieurs obligations que les entités doivent respecter lorsqu'il s'agit de traiter des données personnelles. Certaines des principales responsabilités comprennent :

  1. Informer les personnes avant de collecter leurs données personnelles, en précisant quelles données seront collectées, les finalités pour lesquelles elles seront utilisées et les droits dont disposent les personnes.
  2. Obtenir le consentement ou s’appuyer sur des raisons légitimes lorsque cela est nécessaire.
  3. Collecter uniquement les données personnelles nécessaires à la finalité déclarée.
  4. Conserver les données personnelles uniquement le temps nécessaire aux fins prévues et les supprimer ensuite.
  5. Établir un mécanisme pour répondre aux griefs et aux préoccupations soulevés par les individus.
  6. Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées.
  7. Informer le comité de protection des données et les personnes concernées en cas de violation de données personnelles.
  8. Rechercher le consentement des parents ou du tuteur et s'abstenir de toute activité telle que la surveillance comportementale, le suivi ou le traitement qui pourrait nuire aux enfants ou aux personnes handicapées.
  9. Limiter le transfert de données personnelles en dehors de l'Inde à des territoires spécifiés.
  10. Réaliser des évaluations d'impact sur la protection des données, des audits périodiques des données et nommer un délégué à la protection des données et des auditeurs pour les fiduciaires de données importants.
  11. Se conformer aux exigences concernant le transfert transfrontalier de données personnelles et rechercher les exemptions applicables.

Pour s'aligner davantage sur les obligations de la loi sur la protection des données personnelles numériques de 2023, Loganathan a déclaré que HaiVE est en train d'affiner les politiques et les processus de l'entreprise. « Nous développons une loi sur la protection des données personnelles numériques de 2023, un cadre de conformité qui servira de guide complet pour notre équipe et nos clients. Ce cadre s'appliquera automatiquement à tous nos futurs engagements en Inde, garantissant ainsi un respect harmonieux des dispositions de la loi », a-t-elle ajouté.

Vos droits et devoirs concernant vos données personnelles

Les individus bénéficient de droits spécifiques en vertu de la loi concernant la manière dont leurs données personnelles sont traitées. Ces droits englobent :

  • Droit d'accès : Les individus ont le droit d'être informés si leurs données personnelles font l'objet d'un traitement. Ils peuvent demander un résumé des données traitées, des détails sur les activités de traitement (comme leur utilisation à des fins de publicité ciblée), l'identité des entités avec lesquelles leurs données ont été partagées (telles que des sous-traitants ou des tiers) et les types de données partagées. .
  • Droit à la rectification et à l'effacement : les individus ont le droit de faire corriger des données inexactes ou trompeuses, des données incomplètes complétées et leurs données personnelles mises à jour, en particulier lorsque ces données sont partagées avec d'autres entités ou utilisées à des fins de prise de décision. Ils peuvent également demander la suppression de leurs données personnelles (ou retirer leur consentement si le consentement est la base), bien que les entités puissent les conserver si cela est nécessaire pour se conformer à la loi.
  • Droit au règlement des griefs et à la nomination : La loi introduit un mécanisme de règlement des griefs permettant aux individus de déposer des plaintes auprès des entités concernant le respect de la loi. Les entités doivent répondre dans un délai spécifié. S'ils ne sont pas satisfaits de la réponse, les individus peuvent soumettre le problème au comité de protection des données. De plus, les individus peuvent désigner une personne pour exercer leurs droits concernant les données personnelles en cas d'incapacité ou de décès.
  • Devoirs : La loi définit également certaines responsabilités des individus, telles que fournir des informations exactes, s'abstenir de toute usurpation d'identité, retenir des informations importantes ou soumettre de fausses plaintes au Comité de protection des données.

Projets de loi et lois : Loi sur la protection des données personnelles numériques, 2023 | 19 août 2023

Le secteur de la santé se prépare à l’impact

Kapil Kumar, directeur de la technologie - Informatique médicale, Artemis Hospitals Gurugram a fait part de ses inquiétudes quant à ses implications dans le secteur de la santé. Il a déclaré : « En raison de l’adoption croissante des technologies de santé numériques telles que les dossiers de santé électroniques et la télémédecine, la loi de 2023 sur la protection des données personnelles numériques aura un impact significatif sur le secteur de la santé. »

Selon M. Kumar, cette mesure vise à réglementer la collecte, le stockage et la distribution des données sensibles des patients, protégeant ainsi le droit à la vie privée des individus. Il a également fait référence à des incidents antérieurs qui soulignent son importance. Par exemple, en 2019, une violation d’accès non autorisé a compromis les dossiers médicaux de près de 6,8 millions de patients et de médecins. De même, en 2021, une violation des sites Web du gouvernement indien a révélé les résultats de laboratoire du COVID-19 sur plus de 1 500 résidents. Au Kerala, les informations personnelles de plus de 200 000 patients ont été divulguées par inadvertance. Ce règlement apparaît comme un champion de la confidentialité des données dans le secteur de la santé.

La loi se distingue considérablement de la loi existante, qui offre une protection limitée, principalement en cas de failles de sécurité, et uniquement pour des types spécifiques de données (données personnelles sensibles). En revanche, la loi offre des garanties étendues pour les données personnelles en imposant des responsabilités et en accordant aux individus un plus grand contrôle et une plus grande connaissance de leurs informations personnelles.

Bien que la loi marque incontestablement une avancée substantielle dans la protection des droits numériques des individus, les efforts ultérieurs d'élaboration de règles et de plaidoyer du comité de protection des données joueront un rôle crucial non seulement dans le renforcement de ces droits, mais également dans l'établissement d'un cadre structuré pour le traitement des données.