Vikram Jeet Singh et Prashant Daga 

[Cet article est le second d’une série de deux articles sur le sujet. Vous pourrez lire le premier article, Jamais deux sans trois ? Analyse du projet de loi sur la protection des données numériques à caractère personnel, 2022, en cliquant ici. Dans la première partie, nous avons examiné le champ d’application du projet de loi, des définitions, les entités sujettes à cette loi ainsi que les obligations des Responsables des données.] 

Dans cet article, nous analysons l’épineuse question des transferts de données transfrontaliers, les exceptions dont disposent les Responsables des données, les droits et obligations des Propriétaires de données et les conséquences en cas de non-conformité. Les rédacteurs du projet de loi 2022 ont pris en compte les retours sur plusieurs questions. Sur d’autres sujets toutefois, leurs formulations vont inquiéter les entreprises.  

Vers une « CARTE BLANCHE » TRANSFRONTALIÈRE ? 

1. Tenant compte de l’importante réticence des acteurs de l’industrie sur les conditions onéreuses liées aux transferts de données transfrontaliers et la localisation des données, le projet de loi 2022 balaye toute contrainte sévère de localisation. L’exigence de localisatio par défaut des anciens projets a été supprimée (mais notez que toute exigence de localisation contenue dans d’autres lois ou régulations sectorielles n’est pas affectée). Désormais, le Gouvernement central pourra indiquer les pays ou territoires pour lesquels les transferts de données peuvent être effectués librement. 
2. Il existe deux possibilités de lecture de cette disposition : la première est que le gouvernement pourra être à l’origine de cette détermination. Si ce n’est pas le cas, tous les transferts de données vers l’ensemble des pays sont en règle. Une autre lecture (vraisemblablement plus réaliste) serait de dire que cette disposition serait modelée selon le mécanisme de « décision d’adéquation » du Comité européen de la protection des données. Le gouvernement central évaluerait les juridictions en fonction de facteurs pertinents et notifierait les pays vers lesquels les données pourront être transférées ; en l’absence d’une telle détermination, aucun transfert n’est autorisé.  
3. De plus, l’ambiguïté de la disposition transfrontalière ne supprime pas entièrement le spectre de la localisation de données. Elle suppose que les données doivent être stockées localement jusqu’à autorisation du transfert par une notification. À ce titre, il existe encore un manque de clarté sur la marche à suivre du Gouvernement central concernant les transferts de données le jour où le projet de loi 2022 sera promulgué. À cet égard, les méthodes alternatives telles que les Clauses contractuelles types, les règles d’entreprise contraignantes, etc., ne sont pas mentionnées. Il se peut néanmoins que la possibilité de transférer des données sous leurs auspices soit prévue dans la législation déléguée.  

UN NOUVEAU COMITÉ, ET QUELQUES EXCEPTIONS  

1. Les pouvoirs et obligations du Comité de protection des données. À l’instar des projets de loi précédents, la version de 2022 prévoit la mise en place d’un Comité de protection des données (« le Comité »), qui sera chargé de déterminer les non-conformités, de mener des enquêtes en lien avec la plainte d’un Propriétaire de données, d’imposer des sanctions, et de donner des instructions sur la manière de se conformer à la loi (notamment les mesures d’atténuation à adopter en cas de fuite de données). Le Comité s’est vu octroyer le statut de Cour civile ainsi que les pouvoirs associés.  
2. Exemptions : Le projet de loi 2022 identifie à la fois les entités et les cas pour lesquels ses dispositions ne s’appliquent pas. Par exemple, les circonstances suivantes sont exemptées : a) le traitement des données pour l’exercice de droits légaux/plainte ; b) le traitement de données pour des procédures judiciaires, pour des organismes chargés de l’application de la loi, etc. ; c) le traitement des données à caractère personnel d’un ressortissant étranger par des sous-traitants en Inde sous contrat avec une entité à l’étranger.  
3. Outre ce qui précède, le gouvernement central se réserve le droit d’exempter l’applicabilité du projet de loi 2022 sur le traitement des données à caractère personnel aux organes de l’État au titre de la souveraineté, de la sécurité de l’État, des affaires extérieures, de l’ordre public, de l’application de la loi, etc., et lorsque nécessaire pour la recherche, les études statistiques, etc. Par ailleurs, la restriction relative au stockage des données ne s’applique pas aux agences gouvernementales. Il s’agit d’exemptions de grande envergure, qui poursuivent la tendance à soustraire l’accès aux données et les activités de surveillance du gouvernement de la réglementation.  

QUELS SONT LES DROITS ET LES DEVOIRS D’UN PROPRIÉTAIRE DE DONNÉES ?  

1. Le droit à l’information, les Propriétaires de données ont le droit d’obtenir des détails concernant leurs données à caractère personnel traitées par le Responsable des données, notamment la nature des activités de traitement réalisées et les entités avec lesquelles elles ont été partagées.  
2. Le droit à la correction et à effacement conformément aux droits en vigueur, les Propriétaires de données pourront demander au Responsable des données la correction et l’effacement de leurs données à caractère personnel. Face à une telle demande, le Responsable des données doit mettre à jour les données comme indiqué et supprimer les données à caractère personnel qui ne sont plus nécessaires, à moins qu’elles ne doivent être conservées à des fins juridiques.  
3. Le droit à la réparation du préjudice subi : À l’instar des actuels droits sur les données IT à caractère personnel de 2011, les Propriétaires des données peuvent déposer grief auprès des Responsables des données et on le droit de recevoir une réponse dans les 7 jours. Des recours contre la réponse (ou l’absence de réponse) d’un Responsable des données peuvent être déposés auprès du Comité.  
4. Le droit de désignation : Pour la première fois, le projet de loi 2022 permet aux propriétaires des données de désigner une personne qui aura le pouvoir d’exercer des droits en leur nom en cas de décès ou d’incapacité. Selon la notice explicative accompagnant le projet de loi, ce droit a été fondé sur les droits similaires accordés aux individus dans d’autres secteurs (tels que les services financiers, les assurances, etc.). 
5. Le droit de rétractation au consentement : Les propriétaires des données peuvent retirer leur consentement à l’égard du traitement de leurs données à caractère personnel. Cela n’aurait aucune incidence sur la légalité des activités de traitement antérieures. La facilité de retirer son consentement devrait être comparable à celle de le donner. Ainsi, si le consentement est obtenu par un « mécanisme de clic », la méthode de rétractation d’un tel consentement devrait être similaire. 
6. Devoirs : Le projet de loi impose des devoirs particuliers aux Propriétaires de données afin de garantir qu’il n’existe aucun abus de droit. Il s’agit notamment du devoir de ne pas indiquer de fausses informations, de ne pas supprimer des informations importantes ou de ne pas se faire passer pour une autre personne lors de la communication d’informations à un Responsable des données ; de fournir des informations authentiques « vérifiables » pour exercer le droit à l’effacement ; et de ne pas déposer de griefs frivoles ou faux auprès du Comité.  

QUELLES SONT LES SANCTIONS APPLICABLES ? 

1. Pénalités financières importantes : Les non-conformités « importantes » pourront entraîner des pénalités allant de 50 à 250 millions de roupies indiennes. Il peut s’agir d’une incapacité à prévenir une fuite de données, un manquement à la notification d’une fuite, etc. Au total, la pénalité imposée à une seule entité pour de multiples cas de non-conformité a été limitée à 500 millions de roupies indiennes. Même les propriétaires de données sont passibles de pénalités allant jusqu’à 10 000 roupies indiennes en cas de manquement à leurs obligations.  
2. Facteurs de détermination de la sanction : Si une entité est jugée en non-conformité, le Comité doit déterminer la sanction appropriée en prenant en considération : a) la nature, la gravité et la durée de la non-conformité ; b) le type et la nature des données à caractère personnel concernées ; c) la fréquence des non-conformités ; d) la manière dont l’entité non conforme a bénéficié d’un tel acte (à savoir, réaliser un gain ou éviter une fuite) ; e) Contre-mesures pour traiter la non-conformité, temps de réaction et efficacité de ces mesures ; f) Si la sanction est proportionnée et efficace pour obtenir la conformité et comme moyen de dissuasion ; et g) conséquences potentielles sur l’entité non conforme en raison de cette sanction financière.  
3. Engagements volontaires et Mode alternatif de règlement des conflits (ADR Alternative Dispute Resolution) : La possibilité de prendre des engagements volontaires en cas de non-conformité est une nouvelle disposition de ce projet de loi. En cas de non-conformité, les entités peuvent soumettre un « engagement volontaire » au Comité, afin de prendre ou de s’abstenir de prendre une mesure spécifique. Le Comité peut également permettre au Responsable des données de résoudre le différend à l’aide d’une médiation menée par un organisme désigné par le Comité.