L’histoire jusqu’ici: Le dernier projet de loi sur la protection des données – le projet de loi sur la protection des données personnelles numériques, 2022 (projet de loi DPDP, 2022) – est désormais ouvert aux commentaires du public. Cet article traite de divers thèmes du projet de loi, notamment les exigences en matière de localisation des données, la question de savoir si les enfants sont considérés comme des responsables de données, le cadre réglementaire du projet de loi et les sanctions qu’il impose.
Quels sont certains des droits de protection des données qui manquent au projet de loi ?
Le projet de loi DPDP, 2022 manque deux droits principaux pour les responsables des données. Le premier est le droit à la portabilité des données. Le droit à la portabilité des données a permis au mandant des données de recevoir dans un format structuré toutes les données personnelles qu’il avait fournies au fiduciaire des données et les données que le fiduciaire des données a générées sur le mandant des données lors du traitement pour la fourniture de ses services. Cela a permis aux responsables de données de choisir entre différentes plates-formes et a renforcé la concurrence entre les fiduciaires de données pour accroître le bien-être des consommateurs. Par exemple, si le responsable des données n’était pas satisfait de la plate-forme de médias sociaux qu’il utilisait actuellement, il pouvait demander le portage de ses données sur une autre plate-forme de médias sociaux et bénéficier de ses services sans avoir à fournir à nouveau toutes ses données personnelles. Le projet de loi DPDP, 2022 ne prévoit pas ce droit.
Le deuxième droit renoncé est le droit à l’oubli. Bien qu’il ne s’agisse pas d’un droit en soi, le droit à l’oubli permet au responsable des données de demander au fiduciaire des données d’arrêter la divulgation continue de ses données personnelles. Cela doit être équilibré avec le droit à la liberté de parole et d’expression et le droit à l’information pour tous les autres individus. Le projet de loi DPDP, 2022 subsume ce droit sous le droit à l’effacement. Cette confusion entre le droit général à l’effacement et le droit à l’oubli propre à la divulgation des données personnelles compromet le droit à la liberté de parole et d’expression d’autrui.
Comment le projet de loi traite-t-il le traitement des données personnelles des enfants ?
En ce qui concerne le traitement des données personnelles des enfants, le projet de loi DPDP, 2022 reprend l’approche de ses versions précédentes. Un problème majeur qui demeure est que l’âge du consentement numérique, qui est l’âge auquel une personne peut consentir au traitement de ses données personnelles, continue d’être de 18 ans. Cela signifie que le consentement des parents/tuteurs serait nécessaire pour traiter les données personnelles. des enfants et des adolescents de moins de 18 ans. En effet, cela signifierait que le consentement parental serait requis chaque fois qu’ils veulent accéder à Internet. Cela devient un problème pour trois raisons. Premièrement, le seuil élevé de 18 ans nie la capacité évolutive car il ne reconnaît pas que le consentement d’un tout-petit est différent de celui d’un adolescent. Deuxièmement, cela entraînerait un accès inégal à Internet et, enfin, exiger le consentement des parents entraverait le développement autonome des enfants, car les parents pourraient ne pas vouloir qu’ils soient exposés à des points de vue contraires aux leurs. Ces restrictions sont contraires aux obligations de l’Inde au titre de la Convention relative aux droits de l’enfant.
Quels changements ont été apportés aux exigences de localisation des données ?
L’un des écarts les plus marqués entre le projet de loi DPDP, 2022 et le projet de loi 2019 sur la protection des données personnelles (PDP), a été dans le contexte des flux de données transfrontaliers. Le projet de loi PDP de 2019 prévoyait une catégorisation à trois niveaux sur la base de laquelle les données personnelles pouvaient être transférées à travers les frontières. Alors que le gouvernement était intéressé à restreindre les flux transfrontaliers de données personnelles sensibles et de données personnelles critiques pour faciliter l’accès légal et maintenir la «souveraineté numérique», ces exigences de localisation des données ont été sévèrement contestées par l’industrie car elles entraîneraient d’importantes augmentation de la conformité et des coûts opérationnels en termes de frais de stockage de données plus élevés et de risques de sécurité.
Le projet de loi DPDP, 2022 vise à trouver un équilibre entre ces préoccupations en permettant le flux transfrontalier de données vers les « pays et territoires » notifiés par le gouvernement central. Cependant, le projet de loi ne fournit aucune orientation ou critère à l’examen du gouvernement de l’Union lors de cette notification. Les critères sont laissés au gouvernement central lui-même pour être spécifiés dans le cadre de son pouvoir de réglementation.
Quelle est la conception du cadre réglementaire proposé en vertu du projet de loi?
Par rapport au cadre réglementaire conceptualisé dans les versions précédentes du projet de loi, où le régulateur proposé, l’Autorité de protection des données, était doté de pouvoirs importants en matière d’élaboration, d’application et d’arbitrage de la réglementation, le projet actuel réduit considérablement la portée de la réglementation proposée. Conseil de protection de l’Inde (DPB). Sur les 22 clauses du projet de loi DPDP, le gouvernement central a reçu un pouvoir de réglementation dans environ 14 clauses.
Cela devient problématique pour plusieurs raisons. Premièrement, le gouvernement constitue l’un des plus grands fiduciaires de données du pays. Il traite les données personnelles de millions d’Indiens pour la fourniture de services et d’avantages, la délivrance de permis, de licences et de pièces d’identité officielles et pour l’application de la loi en général. En tant que tel, il devient important que l’agence qui établit les règles soit indépendante du gouvernement afin d’assurer une protection impartiale des intérêts des responsables des données. L’attribution de ces pouvoirs au gouvernement de l’Union, qui serait lui-même soumis à ces règles, crée un conflit d’intérêts. Par exemple, le gouvernement a le pouvoir de spécifier des finalités « justes et raisonnables » pour lesquelles il peut traiter des données personnelles sans consentement.
De même, il peut établir des règles sur les obligations de protection des données en cas de violation de données, les évaluations d’impact sur la protection des données, les audits de données, les informations pouvant être demandées à un fiduciaire de données auxquelles le gouvernement sera lui-même soumis en sa qualité de fiduciaire de données. De plus, le projet de loi DPDP de 2022 ne fournit pas d’orientation législative adéquate pour encadrer ces règles. Cela conduit à s’inquiéter d’une délégation excessive de la législation.
Enfin, le gouvernement central exerce un plus grand contrôle sur le DPB proposé car il nommera les membres du DPB, définira les termes et conditions de nomination et définira les fonctions que le DPB exercera.
Quel est le cadre du traitement étatique des données personnelles ?
Poursuivant l’approche du projet de loi PDP de 2019, le projet de loi actuel prévoit également des exemptions considérables au traitement des données personnelles par l’État. Premièrement, comme indiqué ci-dessus, le gouvernement de l’Union a le pouvoir de spécifier des finalités « justes et raisonnables » pour lesquelles il peut traiter des données personnelles sans consentement. Deuxièmement, une exemption de la plupart des obligations en matière de protection des données est prévue si le traitement est effectué “dans l’intérêt de la prévention, de la détection, de l’investigation des n’importe quel infraction ou toute autre contravention à droit» Cela peut être en violation du critère de « nécessité et proportionnalité » établi par la Cour suprême dans Puttaswamy contre Union de l’Inde. Une dérogation complète peut être prévue lorsque des données à caractère personnel sont traitées “dans l’intérêt de la souveraineté et de l’intégrité de l’Inde, de la sécurité de l’État, des relations amicales avec des États étrangers, du maintien de l’ordre public ou de la prévention de l’incitation à toute infraction reconnaissable liée à l’un des ces”. Enfin, et il s’agit d’un ajout au projet de loi PDP 2019, le gouvernement de l’Union peut désormais notifier une exemption à certains fiduciaires de données en fonction uniquement du “volume et de la nature des données personnelles” traitées, quelle que soit la finalité pour laquelle elles sont traitées.
De plus, la limitation de stockage ne s’applique pas aux agences gouvernementales, ce qui signifie qu’elles peuvent continuer à conserver les données personnelles pendant une durée illimitée même lorsque la finalité du traitement cesse d’exister et qu’il n’existe aucune obligation légale de stocker les données.
Quelle est la nature des sanctions prévues dans le projet de loi ?
Le projet de loi DPDP, 2022 marque un certain nombre de changements par rapport au projet de loi PDP, 2019 dans la façon dont il conceptualise les sanctions. Premièrement, le montant des sanctions pouvant être imposées, le plafond étant fixé à 500 crores ₹, est d’une ampleur bien supérieure à celle prévue par le projet de loi PDP de 2019. Deuxièmement, contrairement au projet de loi PDP de 2019, le projet de loi DPDP de 2022 ne crée aucune infraction. Troisièmement, dans un mouvement qui peut être considéré comme déresponsabilisant les responsables des données, le projet de loi DPDP de 2022 ne leur permet pas de demander une indemnisation aux fiduciaires des données pour les préjudices qu’ils ont subis en raison d’un traitement illégal. Quatrièmement, dans un mouvement très inhabituel et peut-être le seul du genre parmi les législations sur la protection des données, le projet de loi DPDP, 2022 impose des obligations aux responsables des données. S’ils ne sont pas conformes, cela pourrait entraîner des pénalités allant jusqu’à 10 000 ₹. Certaines de ces obligations incluent le respect de la « fourniture de tout lois applicables » en exerçant des droits et en n’enregistrant pas de plaintes « fausses ou frivoles » auprès du fiduciaire des données ou de la DPB. De telles dispositions peuvent empêcher les principes de données d’exercer leurs droits par crainte de sanctions.
L’auteur est chercheur au Center for Applied Law and Technology Research, Vidhi Center for legal policy
(Ceci est le deuxième d’une série en deux parties sur le projet de loi sur la protection des données personnelles numériques, 2022)
