L’Inde propose des règles sur les données numériques avec des sanctions sévères et des exigences en matière de cybersécurité
Le gouvernement indien a publié une version préliminaire des règles de protection des données personnelles numériques (DPDP) pour consultation publique.
« Les fiduciaires de données doivent fournir des informations claires et accessibles sur la manière dont les données personnelles sont traitées, permettant un consentement éclairé », a déclaré le Bureau d’information de la presse indien (PIB) dans un communiqué publié dimanche.
« Les citoyens ont le droit d’exiger l’effacement de leurs données, de nommer des candidats numériques et d’accéder à des mécanismes conviviaux pour gérer leurs données. »
Les règles, qui visent à rendre opérationnelle la loi sur la protection des données personnelles numériques de 2023, donnent également aux citoyens un plus grand contrôle sur leurs données, en leur offrant des options pour donner un consentement éclairé au traitement de leurs informations, ainsi que le droit d’effacer avec les plateformes numériques et de traiter les réclamations.
Les entreprises opérant en Inde sont en outre tenues de mettre en œuvre des mesures de sécurité, telles que le cryptage, le contrôle d’accès et les sauvegardes de données, pour protéger les données personnelles et garantir leur confidentialité, leur intégrité et leur disponibilité.
Certaines des autres dispositions notables de la loi DPDP auxquelles les fiduciaires de données sont censés se conformer sont énumérées ci-dessous :
- Mettre en œuvre des mécanismes de détection et de traitement des violations et de maintenance des journaux
- En cas de violation de données, fournir des informations détaillées sur la séquence des événements qui ont conduit à l’incident, les mesures prises pour atténuer la menace et l’identité de la ou des personnes, si elles sont connues, dans les 72 heures (ou plus, si cela est autorisé) au Comité de protection des données (DPB)
- Supprimer les données personnelles qui ne sont plus nécessaires après une période de trois ans et avertir les personnes 48 heures avant de supprimer ces informations
- Afficher clairement sur leurs sites Web/applications les coordonnées d’un délégué à la protection des données (DPD) désigné, chargé de répondre à toute question concernant le traitement des données personnelles des utilisateurs
- Obtenir le consentement vérifiable des parents ou des tuteurs légaux avant de traiter les données personnelles des enfants de moins de 18 ans ou des personnes handicapées (les exceptions incluent les professionnels de la santé, les établissements d’enseignement et les prestataires de services de garde d’enfants, mais se limitent uniquement à des activités spécifiques telles que les services de santé, les activités éducatives, la surveillance de la sécurité et le suivi des transports)
- Réaliser une évaluation d’impact sur la protection des données (DPIA) et un audit complet une fois par an, et communiquer les résultats au DPB (limité aux seuls fiduciaires de données jugés « importants »)
- Respecter les exigences fixées par le gouvernement fédéral en matière de transferts de données transfrontaliers (les catégories exactes de données personnelles qui doivent rester à l’intérieur des frontières de l’Inde seront déterminées par un comité spécialisé)
Le projet de règlement propose également certaines garanties pour les citoyens lorsque leurs données sont traitées par des agences gouvernementales fédérales et étatiques, exigeant que ce traitement se fasse de manière légale, transparente et « conforme aux lois et réglementations en vigueur ».
« normes politiques ».
Les organisations qui utilisent de manière abusive ou ne protègent pas les données numériques des individus ou n’informent pas le DPB d’une violation de sécurité peuvent être confrontées à des sanctions pécuniaires pouvant aller jusqu’à 250 crores de roupies (près de 30 millions de dollars).
Le ministère de l’Électronique et des Technologies de l’information (MeitY) sollicite les commentaires du public sur le projet de réglementation jusqu’au 18 février 2025. Il a également déclaré que les soumissions ne seront divulguées à aucune partie.
La loi DPDP a été officiellement adoptée en août 2023 après avoir été remaniée plusieurs fois depuis 2018. Le règlement sur la protection des données a été adopté à la suite d’une décision de 2017 de la plus haute cour indienne qui a réaffirmé le droit à la vie privée comme un droit fondamental en vertu de la Constitution indienne.
Cette évolution intervient plus d’un mois après que le ministère des télécommunications a publié les règles de télécommunications (cybersécurité des télécommunications) de 2024, en vertu de la loi sur les télécommunications de 2023 , pour sécuriser les réseaux de communication et imposer des directives strictes en matière de divulgation des violations de données.
Selon les nouvelles règles, une entité de télécommunications doit signaler tout incident de sécurité affectant son réseau ou ses services au gouvernement fédéral dans les six heures suivant la prise de connaissance de l’incident, l’entreprise concernée partageant également des informations pertinentes supplémentaires dans les 24 heures.
En outre, les entreprises de télécommunications sont tenues de nommer un responsable de la sécurité des télécommunications (CTSO), qui doit être citoyen indien et résident en Inde, et de partager les données de trafic – à l’exclusion du contenu des messages – avec le gouvernement fédéral dans un format spécifié pour « protéger et garantir la cybersécurité des télécommunications ».
Cependant, l’Internet Freedom Foundation (IFF) a déclaré que la « formulation trop large » et la suppression de la définition de « données de trafic » du projet pourraient ouvrir la porte à des abus.100