Le projet de loi indien sur la protection des données (PDPB) et son impact sur les transferts transfrontaliers de données avec les entreprises de l'UE
Depuis lors, le gouvernement du pays s'efforce de créer une législation codifiant et protégeant les droits des individus en matière de confidentialité des données.
Le projet de loi le plus récent a été publié à la fin de l'année 2022 et a été déposé au parlement lors de la session de la mousson d'août 2023.
Dans ce blog, nous examinerons les principaux points du projet de loi et les comparerons avec le GDPR.
Champ d'application et objectifs du projet de loi
Da protection numérique des données à caractère personnel Protection des données protection des données personnelles (ci-après : PDPB) a été soumis à l’Assemblée nationale de l Indicommee Le Parlement. Un processus de développement de 10 ans a précédé cette soumission. Il y avait déjà a déjà soumis au Parlement un projet beaucoup plus complet et normatif en 2021Toutefois, ce projet a été retiré et remplacé par l’actuel projet de loi simplifiébasé sur des principes, qui a été introduit pour consultation le 18 novembre 2022. A complet processus de consultations et il y a eu certains des dizaines de discussions au plus haut niveau du ministère. Le ministère de l’eélectronique et ies technologies de l’ information a en fin de compte l’information a jeté les premières bases de l’élaboration et de l’adoption d’une législation indienne sur mesure pour l’élaboration et l’adoption d’une législation indienne sur mesure qui cherche à concilier la facilitation des affaires et la protection des impératifs souverains, les droits civils et la protection des donnéesrming.
En tant que document concis de 33 pages, rédigé dans un langage simple et accompagné de plusieurs illustrations, le projet de loi représente une rupture importante, presque anachronique, avec les approches denses et prescriptives de l’Union européenne. approches prescriptives de la législationet sur la protection des données à caractère personnelcomme le GDPR, qui, jusqu’à présent, ont été au cœur de l’action de l’Union européenne.. Certains des objectifs et éléments clés de la PDPB sont les suivants :
- rédiger des règles générales de base dont plusieurs éléments, tels que le consentement, la limitation de la finalité et la minimisation des données, ont été renforcés au cours du processus de consultation ;
- fournir des orientations par le biais d'une législation déléguée sur des concepts tels que le mode de consentement parental et les avis relatifs à la protection de la vie privée. D'autres concepts tels que les pratiques raisonnables de sécurité et les mesures techniques et organisationnelles sont laissés à l'interprétation des entités compétentes elles-mêmes ;
- la création d'un organe spécial, le Conseil de protection des données, chargé de traiter les plaintes non résolues et d'imposer éventuellement des amendes matérielles, avec des recommandations visant à interdire les applications et les services aux récidivistes ;
- la mise en place de recours auprès du Telecom Disputes Settlement and Appellate Tribunal, puis de la Cour suprême. Le projet de loi prévoit la création d'une riche source de jurisprudence concernant la vie privée, qui est essentiellement un droit constitutionnel fondamental.
Protection et équilibre pour le traitement des données dans un monde en ligne
Le projet de loi prévoit qu’il s’applique au “traitement des données numériques à caractère personnel en Inde lorsque ces données sont collectées en ligne ou collectées et numérisées hors ligne”, ainsi qu’au “traitement en dehors de l’Inde lorsqu’il s’agit d’offrir des biens ou des services ou d’établir le profil d’individus en Inde”. À l’instar du GDPR, le projet de loi est conçu pour protéger les personnes relevant de son champ d’application, même lorsque leurs données sont traitées par des entreprises ou d’autres contrôleurs de données en dehors de l’Inde. Il vise également à établir un équilibre entre le droit des personnes à la protection de leur vie privée et les besoins légitimes des responsables du traitement des données.
Droits et règlements en vertu de la loi indienne sur la protection des données personnelles
Le PDBP définit le terme “données à caractère personnel” comme suit : “toute donnée relative à une personne physique identifiable par ces données ou en relation avec elles”. Le projet de loi ne s’appliquant qu’aux données personnelles numérisées, il ne couvre pas certains domaines, notamment les données anonymes, les données non numérisées et les données non personnelles.
La PDPB définit les droits des personnes placées sous sa protection, les règles auxquelles les responsables du traitement des données doivent se conformer, les voies de recours en cas de non-respect et le règlement des plaintes.
Similitudes et différences entre le GDPR et le PDPB
Le GDPR étant bien connu et bien établi, il est nécessaire de comparer les dispositions politiques du nouvel APBP avec le GDPR. Voici quelques points clés :
-
Droits de l’enfant
Le GDPR et le PDPB contiennent tous deux des dispositions spécifiques concernant les droits des enfants en matière de protection des données, mais il existe des différences significatives. Par exemple, le GDPR fixe l’âge de la majorité à 16 ans et le PDPB à 18 ans.
-
Classification des données à caractère personnel
Le GDPR classe les données personnelles en sous-groupes tels que la race, l’ethnie, la politique, la religion et le handicap ; certaines catégories sont soumises à des règles de conformité différentes ou plus strictes que les données personnelles en général. En revanche, l’APBP se concentre sur la vaste catégorie des données à caractère personnel, car aucun sous-ensemble de données n’est plus sensible ou mieux protégé qu’un autre.
-
Gestion des données
En vertu du GDPR, la personne responsable de la gestion et du contrôle des données est appelée le responsable du traitement des données. Le GDPR ne prévoit pas de catégories supplémentaires ou d’exigences uniques pour des sous-ensembles particuliers. D’autre part, la PDPB prévoit également la catégorie des “SDonnées significatives Fiduciares” (SDF), vous recevez une notification SDF lorsque vous traitez des données à caractère personnel qui pourraient causer un préjudice à la personne concernée en raison de leur sensibilité et de leur volume. La PDPB exige des responsables de cette catégorie qu’ils satisfassent à des exigences plus strictes. L’emploi d’un délégué à la protection des données (DPD) chargé de superviser le traitement des plaintes, l’engagement d’un auditeur de données indépendant et la réalisation d’évaluations de l’impact sur la protection des données (DPIA) en sont des exemples.
Conclusion
Des efforts sont déployés depuis des années pour adéquate législation relative à la protection des donnéesren Inde. l’Inde. La version actuelle du projet de loi reflète la quantité d’efforts et de discussions qui y ont été consacrés, et son adoption permettrait à l’Inde de se doter enfin d’une législation adéquate en matière de protection des données. enfin a une loi loi sur la confidentialité des données devra protéger les plus de 760 millions d’utilisateurs actifs de l’internet dans le pays. Comprendre la dispositions et les procédures de la PDPB sont cruciales pour toute organisation traitant des données personnelles en Inde, y compris pour de nombreuses entreprises multinationales.