Le projet de loi sur la protection des données personnelles numériques de 2022 (« DPDP Bill ») a été publié pour consultation publique le 18 novembre 2022. Après la consultation publique, le projet de loi DPDB a été révisé et présenté au Cabinet de l’Union (la version révisée n’a pas encore été rendue publique). Selon des articles récents des médias, le Cabinet a approuvé le projet de loi DPDB révisé le 6 juillet 2023. 

Le projet de loi DPDB devrait maintenant être présenté devant le Parlement indien pour examen, débat et approbation. Cela pourrait se produire dès la session qui débutera en juillet 2023. 

Voici un bref récapitulatif du projet de loi DPDB et de son impact potentiel sur votre entreprise. 

Ce qui est réglementé : Le projet de loi DPDP propose une définition large de « Data Principal », c’est-à-dire la personne à qui les données personnelles se rapportent, et inclut un enfant (c’est-à-dire une personne de moins de 18 ans) ainsi que le parent ou le tuteur légal de l’enfant concerné. Le projet de loi a simplifié la définition des « données personnelles » comme étant « toutes les données concernant une personne identifiable à partir de ces données ». Le projet de loi DPDP exige des détenteurs de données (en Inde ou à l’étranger) qu’ils fournissent aux principaux intéressés des informations indiquant : (i) les données personnelles à collecter ; et (ii) les finalités pour lesquelles ces données personnelles seront traitées. Ces informations doivent être fournies avant ou lors de la demande de consentement du principal intéressé pour le traitement des données. 

Sanctions en cas de non-conformité : Le projet de loi DPDP définit largement les “violations de données personnelles” comme toute utilisation non autorisée de données personnelles ou toute divulgation accidentelle, acquisition, partage, utilisation, modification, destruction ou perte d’accès à des données personnelles, compromettant la confidentialité, l’intégrité ou la disponibilité des données personnelles. Le projet de loi DPDP prévoit des sanctions pour les violations de données personnelles, avec des amendes pouvant aller jusqu’à 250 crore de roupies (environ 30 millions d’euros) en cas de non-respect des mesures de sécurité raisonnables. Il exige également que les violations de données personnelles soient signalées à chaque principal intéressé, et le non-respect de cette obligation entraîne une amende pouvant atteindre 200 crore de roupies (environ 25 millions d’euros). Cette définition large a des implications non seulement pour le type d’incidents signalés en tant que violations de données personnelles, mais aussi pour les sanctions parallèles qui peuvent s’appliquer aux mêmes activités de traitement.

Mécanisme de consentement : Le projet de loi DPDP prévoit deux bases générales pour le traitement des données personnelles – le consentement explicite et le consentement présumé. Le projet de loi DPDP permet aux détenteurs de données de traiter des données personnelles sur la base du consentement obtenu auprès des individus. Ce consentement doit être libre, spécifique, éclairé et non équivoque (bien que ces facteurs n’aient pas été définis) et doit être donné par une action affirmative dans un but précis. Le projet de loi DPDP permet également le traitement des données personnelles sur la base d’un “consentement présumé”. Cela comprend certains motifs généralement reconnus dans d’autres juridictions, tels que la conformité à un jugement ou à une ordonnance, les urgences médicales et les finalités liées à l’emploi. 

Selon le projet de loi DPDP, les détenteurs de données (Data Fiduciaries) sont tenus de faire des efforts raisonnables pour garantir que les données personnelles traitées par eux-mêmes ou en leur nom sont exactes et complètes lorsque les données sont (i) susceptibles d’être utilisées par le détenteur de données pour prendre une décision qui affecte le principal intéressé, ou (ii) susceptibles d’être divulguées par le détenteur de données à un autre détenteur de données. Le projet de loi DPDP exige également que chaque détenteur de données mette en place des mesures de sécurité raisonnables pour prévenir les violations de données personnelles et protéger les données personnelles en sa possession ou sous son contrôle. Toutefois, les normes spécifiques pour de telles mesures de sécurité n’ont pas été spécifiées. 

Le projet de loi DPDP n’impose pas une exigence stricte de localisation des données, c’est-à-dire de traiter et de stocker les données personnelles sensibles uniquement en Inde. Toutes les données personnelles peuvent être transférées en dehors de l’Inde vers des pays ou territoires listés par le gouvernement central (sur la base de facteurs qu’il estime nécessaires), conformément aux modalités qu’il peut préciser (cette approche de « liste blanche » pourrait changer en une approche de « liste noire » dans les versions révisées). Il convient de noter que le projet de loi DPDP précise que ces dispositions s’ajoutent aux lois existantes (et ne viennent pas y déroger), et que seulement en cas de conflit les dispositions du projet de loi DPDP prévaudront. Par conséquent, toutes les exigences de localisation en vertu des lois existantes (telles que celles applicables aux données de paiement qui sont également des données personnelles) continueront de s’appliquer même après l’entrée en vigueur du projet de loi DPDP (si elle est publiée dans sa forme actuelle). 

Ce qui se passe ensuite : Le projet de loi DPDB pourrait être adopté par le Parlement indien en 2023, après quoi il y aura probablement une période d’adaptation de 12 à 18 mois accordée pour se conformer à la loi. Cette loi changera fondamentalement la manière dont les entreprises collectent et utilisent les données personnelles en Inde. Il est utile de commencer à évaluer l’impact de la mise en œuvre du projet de loi DPDB sur vos activités en Inde.