Vikram Jeet Singh et Prashant Daga
 

[Cet article est le premier d’une série de deux articles sur le sujet]  

Depuis que la Cour suprême indienne a reconnu la vie privée comme appartenant au droit fondamental à la vie en 2017, le législateur indien a tenté de développer un nouveau cadre législatif pour la protection des données. Un premier projet de loi a été introduit en 2018, puis une version modifiée a été présentée en 2019. Chacune des deux versions proposait une loi sur la vie privée pour l’Inde fondée sur le modèle du Règlement général sur la protection des données (RGPD). La loi de 2019 a ensuite été retirée en 2021, après que la Commission parlementaire mixte (formée pour examiner le projet de loi) ait recommandé près de 100 modifications.  

Le 18 novembre 2022, le ministère de l’Électronique et des Technologies de l’information (« MEITY ») a présenté un nouveau projet de loi sur la protection des données numériques à caractère personnel (« projet de loi 2022 »). Dans la notice explicative fournie avec la loi, le MEITY a opté pour un retour aux principes fondamentaux. Plusieurs éléments controversés, irréalisables ou complexes ont été abandonnés dans ce projet de loi. Certains éléments de fonctionnement seront présentés ultérieurement.  

La loi se fonde sur les 7 principes fondamentaux suivants :  

1. L’utilisation : l’utilisation des données à caractère personnel doit être respectueuse de la loi, juste et transparente pour toutes les personnes.  
2. La finalité : les données collectées doivent uniquement être utilisées aux fins dont la collecte a fait l’objet. 
3. La minimisation : uniquement les données à caractère personnel nécessaires à des fins spécifiques peuvent être collectées.  
4. La précision : les données à caractère personnel collectées doivent être précises et actualisées.  
5. La conservation : les données à caractère personnel doivent être conservées aussi longtemps que l’exige la finalité de leur collecte.  
6. La protection : les données à caractère personnel doivent être raisonnablement sécurisées afin d’en éviter la fuite ainsi que la collecte ou le traitement non autorisés.  
7. La responsabilité : la personne chargée de décider de la finalité et des moyens de traitement des données à caractère personnel doit être tenue responsable d’un tel traitement. 

Afin de vous aider à interpréter cette législation, nous avons préparé cette série de deux articles destinés à analyser le projet de loi 2022.  

QUAND LE PROJET DE LOI 2022 ENTRERA-T-IL EN VIGUEUR ? 

1. Le nouveau projet de loi sera porté devant le Parlement indien pour être approuvé au début de l’année 2023. Comme il s’agit de la troisième version de la loi sur la vie privée, une version simplifiée par rapport aux deux précédentes, le projet de loi 2022 a de grandes chances d’être promulgué.  
2. Conformément aux recommandations de la Commission parlementaire, la législation propose une mise en œuvre progressive, pour laquelle des dates pourront être proposées pour l’application de différentes dispositions. Actuellement, le projet de loi ne prévoit pas de chronologie (la version de 2019 proposait une période de transition de 2 ans, saluée par les entreprises).  

QUELLES RÉGULATIONS PROPOSE CETTE LOI ? 

1. Les données à caractère personnel : Le projet de loi 2022 comprend une définition générale de ce que constituent les données ainsi que les données à caractère personnel et régule le traitement des données numériques à caractère personnel soit : toute donnée d’une personne pouvant permettre à son identification, en Inde. Les données collectées hors ligne, mais numérisées sont aussi sujettes à cette loi. À l’inverse des autres versions et des règles existantes sur les données ou informations à caractère personnel sensibles (SPDI Rules), elle ne répartit pas les données à caractère personnel dans les catégories de données sensibles et de données critiques. Les formes suivantes de données ont été omises, elles n’entrent pas dans le champ d’application de la loi : (a) les données à caractère personnel traitées par des moyens non automatisés ; (b) les données à caractère personnel hors ligne ; (c) les données à caractère personnel traitées pour des intérêts privés ; et (d) les données à caractère personnel faisant partie du domaine public depuis au moins 100 ans. 
2. Le traitement est défini de manière générale comme une action ou un ensemble d’actions menées sur les données numériques à caractère personnel, notamment la collecte, l’enregistrement, l’organisation, la structure, le stockage… l’archivage, le partage, la divulgation par transmission, la dissémination… l’effacement ou la suppression. Actuellement, plusieurs droits (tels que la conservation de données à caractère personnel à des fins licites) sont uniquement garantis aux responsables de la collecte de données (à savoir le « Responsable des données ») et non les entités qui les traitent au nom d’une autre entité (à savoir le « sous-traitant »). Comme les sous-traitants peuvent être tenus de conserver des données pour la police, etc., de tels droits devraient leur être octroyés. 
3. Application extraterritoriale : Le projet de loi 2022 s’applique au traitement des données à caractère personnel au sein de l’Inde. Elle ne fait pas référence à la nationalité ou au lieu de résidence de la personne auxquelles les données se rapportent. À l’instar du projet de loi de 2019, celui de 2022 étend son champ d’application au traitement des données à caractère personnel hors de l’Inde, si c’est en lien avec le profilage ou l’offre de biens et services aux personnes en Inde. L’activité d’un représentant commercial indien qui collecte des données à caractère personnel à des citoyens européens pour leur fournir des services et qui stocke de telles données en Inde serait qualifiée de « traitement de données à caractère personnel en Inde ».  

À QUI CETTE LOI S’APPLIQUE-T-ELLE ?  

1. Les Propriétaires de données : le projet de loi s’applique aux personnes propriétaires des données à caractère personnel, soit, les personnes auxquelles les données à caractère personnel se rapportent. S’il s’agit d’un enfant, cela comprend les parents ou les tuteurs légaux de l’enfant
   
2. « Responsable des données » désigne l’entité chargée de décider de la finalité et des moyens de traitement des données à caractère personnel d’une personne concernée. Bien que plusieurs entités puissent être impliquées dans le traitement de données à caractère personnel, la caractéristique déterminante d’un responsable des données est de spécifier la finalité de la collecte et de choisir ce qu’il faut faire de telles données. Un « sous-traitant » est une personne qui traite les données à caractère personnel au nom d’un responsable des données et qui a été désignée en tant que tel.
3. Fondements du traitement : La nouvelle législation permet le traitement des données à caractère personnel à toutes « fins juridiques » (soit des finalités n’étant pas expressément interdites par la loi), sous réserve que le propriétaire ait donné son consentement ou que son consentement soit présumé. À ce titre, le traitement de données à caractère personnel sans un consentement valide peut être uniquement autorisé si un tel cas relève d’une des catégories de « consentement présumé ».  

QUE FAIRE AVANT DE TRAITER DES DONNÉES ?  

1. Informer : avant de collecter des données à caractère personnel, le Responsable des données doit fournir un avis détaillé au Propriétaire des données (en langage clair et simple) décrivant les données à caractère personnel faisant l’objet de la collecte ainsi que les finalités de traitement de ces données. Cet avis doit être rédigé en anglais ou dans l’une des 26 langues locales spécifiées dans l’Annexe VIII de la Constitution indienne. 
2. Obtenir le consentement : comme pour les lois sur la protection des données (notamment le règlement existant sur les données IT à caractère personnel, IT Personal Data Rules 2011), le consentement est également le fondement permettant le traitement des données à caractère personnel dans le projet de loi 2022. Pour que le consentement soit valable selon cette législation, il doit être libre, précis, informé et sans ambiguïté et exprimé à l’aide une action « affirmative », pour signifier l’accord relatif au traitement des données à caractère personnel. Un élément de consentement non conforme à la loi ne sera pas valide ; le projet de loi fournit un exemple selon lequel si le consentement comprend également une formulation qui fait renoncer le propriétaire des données à son droit de déposer plainte auprès du régulateur de la protection des données, le renoncement sera considéré comme invalide. À l’instar de l’avis, toute demande de consentement doit être adressée en anglais ou dans l’une des 26 langues locales indiquées dans l’Annexe VIII de la Constitution indienne. 
3. Consentement présumé : Le concept de consentement présumé a été emprunté de la législation sur la vie privée de Singapour et permet le traitement des données à caractère personnel sans consentement formel sous conditions spécifiques, telles que les intérêts vitaux de la personne concernée, l’intérêt public, l’obligation contractuelle, les intérêts légitimes, etc. Il s’agit notamment de cas tels que l’emploi, pour lequel le consentement de la personne concernée ne serait pas nécessaire comme il leur fournit un avantage. Le terme « intérêt public » a été défini pour comporter, entre autres, l’identification de la fraude, la restructuration d’entreprise, la sécurité des informations, la mise en œuvre des outils de recherche, l’évaluation de la solvabilité, etc. La disposition envisage également de permettre le traitement pour toute « finalité juste et raisonnable », avec des tests spécifiques.  

QUELLES SONT LES OBLIGATIONS DU RESPONSABLE DES DONNÉES ? 

1. Obligations générales du responsable des données : Il incombe à chaque Responsable des données de se conformer en premier lieu au projet de loi 2022 (indépendamment de son engagement envers des sous-traitants). Ils doivent fournir des « efforts raisonnables » pour garantir que les données à caractère personnel qu’ils traitent sont précises et complètes. À l’instar de l’actuelle loi de 2011, le Responsable des données est tenu de mettre en œuvre des mesures techniques et organisationnelles adaptées ainsi que des garanties de sécurité raisonnables (jusqu’à présent, aucun critère n’a été précisé). Contrairement à la version de 2019, le Responsable des données est tenu d’informer la personne concernée ainsi que le régulateur de toute fuite de données. Les Responsables des données doivent uniquement partager des données sous contrat et les stocker aussi longtemps que la loi ou le contrat l’exige. Enfin, une procédure de réparation des préjudices doit être établie et supervisée par un Délégué à la protection des données. 
2. Obligations des « Hauts » Responsables des données : Une catégorie spéciale de responsables des données a été désignée pour une mise conformité supplémentaire. Le terme « Haut » Responsable des données sera déterminé selon des critères tels que le volume de données traitées, le risque de dommages, l’ordre public, etc. En plus de désigner des délégués à la protection des données, de tels responsables des données ont l’obligation de désigner des auditeurs indépendants et de réaliser des audits et d’autres mises en conformité pouvant être imposées.
3. Données des enfants : Tout Responsable des données qui collecte des données à caractère personnel sur un enfant doit obtenir « un consentement parental vérifiable ; le projet de loi ne précise pas ce qu’est considéré un consentement parental valide. Comme les données des enfants sont un sujet sensible et doivent être traitées avec une précaution absolue, la nouvelle législation prévoit que le tuteur légal de l’enfant doit fournir son consentement au nom de l’enfant pour le traitement des données à caractère personnel de celui-ci. Évidemment, le traitement de données à caractère personnel d’un enfant à des fins d’analyse du comportement, de publicité ciblée, ou étant préjudiciable à l’enfant reste interdit, à moins d’être exempté à des fins identifiées par le régulateur.  

Dans la seconde partie de cet article, nous abordons les dispositions relatives aux droits et obligations des Propriétaires des données, les transferts transfrontaliers, les exceptions et les conséquences en cas de non-conformité.