Les cadres légaux de protection des données et de la vie privée se sont de plus en plus développés à l’échelle mondiale. C’est particulièrement le cas en Asie : au cours des deux dernières années, plusieurs juridictions clés, dont la Chine, l’Inde, l’Indonésie et le Vietnam, ont soit introduit leurs premières réglementations sur la protection des données, soit mis à jour et réformé leurs réglementations existantes.
Ces réglementations ont été de manière générale très influencées par le Règlement général sur la protection des données de l’UE (RGPD), lui empruntant certains concepts, et fixant une norme de conformité élevée pour les organisations qui traitent des données à caractère personnel.
Vous trouverez ci-dessous un aperçu de l’approche de l’Inde en matière de protection de la vie privée.
Vous pourrez découvrir les approches nationales de la Chine, de l’Indonésie, de Singapour et du Viêt Nam en suivant les liens ci-dessous.
- Chine – Personal Information Protection Law (PIPL)
- Indonésie – Personal Data Protection Law (PDPL)
- Singapour – Personal Data Protection Act (PDPC)
- Viêt Nam – Personal Data Protection (DPDP)
Notre Asia Data Privacy Taskforce : Chez DS Avocats, nous avons développé une forte expertise sur les questions de protection des données en Asie, nous permettant d’assister nos clients dans le développement de leurs opérations tout en tenant compte de leurs obligations en matière de conformité des données. Notre connaissance du RGPD nous permet également de faire le lien entre les besoins des sièges européens et ceux des filiales locales en Chine, Inde, Indonésie, Singapour et au Viêt Nam.
Depuis l’arrêt historique de la Cour suprême indienne ayant déclaré le « droit à la vie privée » comme un droit fondamental en 2017 et exhorté le gouvernement indien d’établir un régime de protection des données, les décideurs politiques ont travaillé à l’adoption d’une législation centrale afin de protéger la vie privée. Grâce à ces efforts, le Digital Personal Data Protection Act, 2023 (DPDPA) a finalement été adopté le 11 août 2023.
Le DPDPA remplace un ensemble de règles établies en vertu de l’article 43A de l’Information Technology Act, 2000, qui jouait jusqu’alors le rôle de loi sur la protection des données.
Le DPDPA vise à régir le traitement des données personnelles numériques en prenant en compte tant les droits des individus à protéger leurs données personnelles et que la nécessité de traiter ces données personnelles à des fins licites.
Le RGPD et le DPDPA
Le DDPA s’inspire en partie du RGPD et des lois sur la protection des données en vigueur à Singapour et en Australie.
Alors que le RGPD adopte une approche extraterritoriale (il s’applique aux entreprises du monde entier qui traitent les données personnelles des personnes concernées, quelle que soit leur situation géographique) et accorde des droits étendus aux individus (notamment le droit à la portabilité des données, leur effacement, leur rectification et le droit d’objection), le DPDPA se concentre principalement sur les données collectées, traitées et conservées sur le territoire indien. Il a une portée nationale et s’applique aux citoyens indiens, ainsi qu’aux entreprises étrangères qui sont amenées à traiter les données.
D’un point de vue philosophique, le RGPD repose sur la protection des droits fondamentaux des individus, en particulier le droit à la vie privée. Il fait de la protection des données personnelles un droit fondamental des individus et met l’accent sur l’importance de la préservation de la confidentialité des données personnelles. À l’inverse, l’approche indienne met l’accent sur la souveraineté des données et la nécessité de promouvoir le développement économique du pays. Elle cherche à trouver un équilibre entre la protection des données personnelles et les intérêts du pays en matière de développement, notamment en ce qui concerne la facilitation des affaires et la promotion de l’innovation et du développement de l’économie numérique en Inde. En résumé, le RGPD se concentre sur la sauvegarde des droits fondamentaux des individus et la préservation de la vie privée, tandis que le DPDPA met l’accent sur la souveraineté des données et l’équilibre entre la protection des données et le développement économique. Ces différences reflètent les valeurs et les priorités propres à chaque région. Néanmoins, les deux réglementations ont pour objectif commun de garantir la protection des données personnelles.
Présentation du DPDPA
| Législation | Digital Personal Data Protection Act 2023 Entrée en vigueur prévue début 2024 |
| Régulateur | Data Protection Board of India (DPBI) |
| Champ d’application | Toute entité traitant des données personnelles sur le territoire indien. Compétence extraterritoriale : le DPDPA couvre les données traitées en dehors de l’Inde, si cela est fait dans le but d’offrir des biens et des services à des personnes en Inde. Exclusion : le DPDPA ne s’applique pas aux entreprises indiennes fournissant des services d’externalisation (ex :traitement en Inde de données collectées à l’étranger). |
| Définition de données personnelles | Le DPDPA s’applique uniformément à tous les types de données personnelles définies comme « any data about an individual who is identifiable by or in relation to such data« . Le DPDPA ne contient aucune disposition sur les catégories spéciales de données (données sensibles). Mais les « significant data fiduciary » (classés comme tels sur la base du volume et de la sensibilité des données personnelles et d’autres critères prescrits) sont soumis à des obligations de conformité plus importantes. Exclusion : • données non numérisées : contrairement au RGPD, le DPDPA ne cherche pas à réglementer une opération de traitement ou une activité qui est entièrement manuelle ou non automatisée • données personnelles traitées à des fins personnelles ou domestiques ou les • • données personnelles collectées à des fins de recherche et de statistiques non relative à une catégorie spécifique • données personnelles publiquement disponibles |
| Parties impliquées dans le traitement des données | Data fiduciary : toute personne qui décide des finalités et des moyens du traitement des données (responsable du traitement). Un data fiduciary peut être un significant data fiductiary. Data processor : toute personne qui traite des données personnelles pour le compte du data fiduciary. Data principal : personne à laquelle se rapportent les données personnelles (sujet des données). Contrairement au RGPD, le DPDPA n’impose pas d’obligations directement au data processor, mais attend des data fiduciary qu’ils s’assurent de la conformité des data processors qu’elles engagent par le biais d’accords de traitement de données. |
| Droits et devoirs de la personne concernée | • Droit d’accès • Droit de rectification • Droit à l’effacement • Droit de recours • Droit de nomination Contrairement au RGPD, il n’existe pas de droit à la portabilité des données. Mais il existe une interdiction : • d’usurper l’identité d’une autre personne • de supprimer des informations importantes • de fournir que des informations dont l’authenticité peut être vérifiée • de déposer de plaintes futiles Les citoyens indiens peuvent exercer leurs droits selon les méthodes prescrites par les data fiduciaries qui doivent, de leur côté, mettre en place des mécanismes de réclamations à la collecte de données personnelles. |
| Localisation des données | Bien que le DPDPA n’impose pas d’exigences strictes en matière de localisation, il confère au gouvernement le pouvoir d’imposer le stockage local de certains types de données dans l’intérêt de la sécurité nationale. |
| Pouvoir de l’État | • Divulgation de données personnelles par les data fiduciaries à l’État/aux agents de l’État (« État« ) en vertu d’une obligation légale : « legitimate use« , sans que le consentement ou l’information des personnes ne soient requis. • L’État est dispensé de demander le consentement (et d’autres obligations en vertu de la loi sur le PDPDA, y compris celle d’effacer les données personnelles dans ses dossiers) lorsque le traitement des données personnelles est nécessaire à l’exercice d’une fonction légale, est dans l’intérêt de la sécurité, de la souveraineté et de l’intégrité de l’Inde ou est destiné à maintenir l’ordre public. • Le gouvernement indien est responsable de la nomination des membres du DPBI. Le DPDPA ne prévoit pas de conditions relatives à la nécessité contractuelle ou aux intérêts légitimes. Une version antérieure du DPDPA contenait une exemption générale pour le traitement dans l’intérêt public, mais celle-ci a été modifiée pour ne s’appliquer qu’à l’État. |
| Sécurité | Le responsable du traitement des données doit mettre en œuvre des garanties de sécurité raisonnables et des mesures techniques et organisationnelles appropriées pour assurer le respect du PDPDA et prévenir les violations des données collectées. |
| Obligation concernant l’obtention du consentement | Le traitement des données est soumis au consentement explicite des utilisateurs, sauf si les données peuvent être traitées sur le fondement d’une autre base légale. Le consentement doit être : • libre : Le principal intéressé ne doit pas se sentir contraint ou forcé de donner son consentement. • inconditionnel : Le consentement ne peut être subordonné à aucune autre condition, telle que la fourniture d’un produit ou d’un service. • sans ambiguïté : la personne concernée doit savoir clairement à quoi elle consent. • spécifique : Le consentement doit préciser la finalité pour laquelle les données sont collectées et traitées. • informé : Le data principal doit recevoir suffisamment d’informations sur l’utilisation qui sera faite de ses données pour qu’il puisse décider en connaissance de cause de donner ou non son consentement. Le data fiduciary doit publier un avis expliquant la finalité et les moyens du traitement des données et donner au data principal la possibilité d’accéder au contenu de l’avis en anglais ou dans l’une des 22 langues spécifiées à l’Annexe 8 de la Constitution. Le data principal a le droit de révoquer son consentement à tout moment. Le traitement des données relatives aux enfants (âgés de moins de 18 ans) nécessite le consentement d’un parent ou d’un tuteur. Tout suivi et toute surveillance du comportement des enfants ou toute publicité ciblée à l’intention des enfants sont interdits. |
| Analyse d’impact sur le traitement des données | Seuls les significant data fiduciary sont tenus de réaliser une analyse d’impact sur la protection des données (DPIA). |
| Transfert transfrontalier de données et impact sur l’évaluation des transferts à l’étranger | Contrairement au RGPD, le transfert de données personnelles en vue d’un traitement en dehors de l’Inde est généralement autorisé par le DPDPA. Le gouvernement indien peut identifier des pays spécifiques vers lesquels les transferts de données sont interdits. À l’heure actuelle, le gouvernement n’a donné aucune indication sur les pays qui pourraient figurer sur cette liste. Si les dispositions du PDPDA sur le transfert international de données sont en conflit avec d’autres lois indiennes, c’est la loi qui prévoit le degré de protection ou de restriction le plus élevé pour les transferts transfrontaliers qui prévaudra (c’est-à-dire que les réglementations sectorielles, telles que le mandat de localisation des données de la RBI en ce qui concerne les données des systèmes de paiement, continueront à s’appliquer). |
| Notification de violation | 1. Signalement de la violation au DPBI dans les 72 heures suivant la prise de connaissance de celle-ci. 2. Informations des data principals de la violation des données 3. Les data principals lésés par une violation de données peuvent poursuivre le data fiduciary pour obtenir des dommages-intérêts. |
| Sanctions | Amendes : • Manquement d’un data controller à prendre des mesures de sécurité raisonnables : amendes allant jusqu’à 250 millions de roupies indiennes (2.800.000 d’euros). • Manquement à l’obligation de notifier une violation de données personnelles ou de se conformer aux exigences en matière de protection des données relatives aux enfants : amendes pouvant aller jusqu’à 200 millions de roupies indiennes (2.240.000 euros). Les amendes sont déterminées par le DPBI, en fonction de la nature de l’infraction. |
