Le 11 août 2023, l’Inde a adopté une loi pour la protection des données personnelles numériques, le Digital Personal Data Protection Act (ci-après « DPDP »). Cette loi remplace un corps de règles relativement ancien constitué par la loi sur les technologies de l’information (Section 43A) de 2000 et les règles sur les technologies de l’information de 2011.
NB : à ce jour la DPDP n’est toujours pas entrée en application et le pouvoir exécutif indien n’a pas donné d’indication précise sur ce point. On suppose que l’entrée en application sera annoncée et interviendra dans le courant du 2nd semestre 2024, après les élections législatives de 2024 en Inde.
Si le dispositif général instauré par la loi du 11 août 2023 présente certaines similitudes avec le RGPD, il s’en écarte sur des points majeurs. Au demeurant, il est prévu de compléter la DPDP sur un certain nombre de sujets par des règles spécifiques ou des lignes directrices.
La loi repose sur sept principes généraux, à savoir : le consentement et la transparence ; la limitation des finalités ; la minimisation des données ; l’exactitude des données ; une durée de conservation limitée ; la sécurité des données ; la responsabilité des acteurs.
Portée et champ d’application
Le DPDP encadre le traitement de données numériques à caractère personnel, c’est-à-dire les données collectées de manière digitale ou bien numérisées à la suite d’une collecte non digitale, qui permettent d’identifier des individus.
La notion de « donnée à caractère personnel » dans la DPDP repose sur le critère d’identifiabilité des personnes, sans considération de nationalité ou de résidence, comme c’est le cas pour le RGPD. En revanche, la DPDP s’applique de manière indifférenciée à toutes les données personnelles (numériques) sans distinction ; il n’y a pas de catégories particulières de données.
Sont exclus du champ d’application matériel de la loi, les traitements réalisés à des fins personnelles ou domestiques et les traitements concernant des données personnelles publiques ou rendues accessibles au public.
Il faut ajouter à ces deux exclusions les nombreuses dérogations – totales ou partielles – prévues par la DPDP, au premier rang desquelles on trouve les dérogations dont jouissent les institutions gouvernementales et d’autres dérogations applicables à des activités de traitement spécifiques. Ainsi par exemple, des traitements réalisés à des fins de recherche, statistiques ou archivistiques. On peut également citer l’« outsourcing exception », une dérogation qui bénéficie aux opérateurs en Inde qui traitent les données personnelles d’individus situés en dehors du pays en vertu d’un contrat conclu avec un partenaire situé également en dehors du pays.
S’agissant du champ d’application territorial, la loi indienne a retenu l’approche extraterritoriale du RGPD, puisque qu’elle s’applique aux traitements de données réalisés en Inde, ainsi qu’aux traitements réalisés en dehors du pays, dès lors qu’ils concernent l’offre de biens et de services à des personnes se trouvant sur le territoire indien. Contrairement au RGPD le profilage des personnes n’est pas envisagé.
Licéité
Pour être licite aux termes de la DPDP, un traitement de données à caractère personnel doit poursuivre une finalité licite, c’est-à-dire toute finalité qui n’est pas expressément interdite par la loi, et être fondé sur l’une ou l’autre des deux bases juridiques suivantes : le consentement des personnes concernées (« data principals ») ou un usage légitime.
Le choix de la base juridique emporte des conséquences directes sur les droits et obligations des parties intéressées par le traitement, puisque la DPDP impose de mettre en œuvre les droits des personnes, y compris le droit à l’information, uniquement pour les traitements fondés sur le consentement (et dans les cas de transmission volontaire des données par la personne).
Information et consentement
La DPDP exige que le responsable du traitement informe la personne concernée et obtienne son consentement lors du traitement de ses données à caractère personnel ou avant celui-ci.
NB : dans le cas d’une personne ayant consenti au traitement de ses données avant l’entrée en application de la DPDP, le responsable de traitement est tenu d’informer la personne « dès que cela est raisonnablement possible ».
La mention d’information accompagnant la collecte du consentement de la personne concernée doit contenir les éléments suivants :
- Les données personnelles à traiter et la finalité du traitement ;
- La manière dont la personne peut exercer ses droits ;
- La manière dont elle peut introduire une réclamation auprès de l’autorité de contrôle.
Les caractéristiques du consentement à recueillir sont similaires à ce qui est prévu par le RGPD ; il doit être « libre, spécifique, informé, univoque et sans ambiguïté » (avec une contrainte notable qui tient à l’obligation de tenir à disposition la demande de consentement dans les 22 langues reconnues par la Constitution).
La DPDP institue un dispositif original de gestion du consentement à travers des « consent manager » enregistrés auprès de l’autorité de contrôle, qui font office de point de contact unique entre responsables du traitement et personnes concernées pour tout ce qui a trait au consentement (octroi, révision et retrait). Les conditions nécessaires pour qu’une entreprise puisse s’enregistrer en tant que gestionnaire de consentement restent à préciser.
Usages légitimes
Le consentement n’est pas systématiquement requis puisqu’il est possible également de traiter des données personnelles pour toute une série d’usages légitimes énumérés par la loi.
Au nombre des usages légitimes, on trouve notamment la transmission volontaire des données par la personne concernée sans opposition à leur utilisation ; le respect de toute obligation légale de divulguer des données aux autorités publiques ; une urgence médicale impliquant une menace pour la vie ou une menace immédiate pour la santé ; la nécessité d’assurer la sécurité ou de fournir une assistance ou des services en cas de catastrophe ou de troubles à l’ordre public, etc.
Obligations des acteurs du traitement des données
La DPDP encadre les activités de « data fiduciaries » (responsables du traitement) et « data processors » (sous-traitants).
Les obligations du responsable du traitement sont les suivantes :
- se conformer aux dispositions de la DPDP, que le traitement soit effectué par le responsable du traitement lui-même ou par un sous-traitant, et ce même dans les cas où la personne concernée ne respecterait pas ses propres obligations ;
- mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir le respect de la loi (la DPDP n’impose et ne donne aucune précision sur lesdites mesures) ;
- garantir l’exactitude, l’exhaustivité et la cohérence des données à caractère personnel lorsque ces données sont traitées pour prendre une décision qui affecte la personne concernée, ou lorsqu’elles sont susceptibles d’être transmises à un autre responsable du traitement ;
- protéger les données à caractère personnel en sa possession ou sous son contrôle en prenant des mesures de sécurité raisonnables pour empêcher leur violation (la DPDP ne prescrit ni ne recommande les normes à mettre en œuvre) ;
- en cas de violation de données à caractère personnel, notifier l’autorité de contrôle et chaque personne concernée (sous une forme et selon des modalités qui restent à préciser) ;
- le cas échéant, publier les coordonnées professionnelles du délégué à la protection des données (DPO), ou d’une personne en mesure de répondre au nom du responsable du traitement aux questions des personnes concernées sur le traitement de leurs données (publication sous une forme à préciser) ;
- sous réserve du respect des lois, effacer les données et, le cas échéant, exiger leur effacement par le sous-traitant, lorsque la personne concernée retire son consentement ou lorsque la finalité poursuivie est réalisée.
LaDPDP se révèle plus pragmatique que le RGPD en distinguant les responsables de traitement en fonction notamment du volume et de la sensibilité des données traitées, du risque encouru pour les personnes, voire des incidences potentielles de l’activité de traitement sur la souveraineté et l’intégrité du pays.
Ainsi, les responsables du traitement considérés comme « significatifs » sont soumis à des obligations renforcées : ils doivent par exemple nommer un DPO (obligatoirement situé en Inde), réaliser régulièrement des analyses d’impact en matière de protection des données, ou encore désigner un auditeur indépendant afin d’évaluer le niveau de conformité avec la DPDP.
A l’inverse, les responsables du traitement d’importance mineure, notamment des start-ups, peuvent être exonérés de certaines contraintes de la loi.
Encadrement des relations contractuelles
Le responsable du traitement peut recourir aux services d’un sous-traitant pour traiter des données à caractère personnel en son nom pour toute activité liée à l’offre de biens et de services à la personne concernée.
La DPDP impose dans ce cas la conclusion d’un contrat valide entre les parties, mais ne prévoit aucune stipulation spécifique à inclure obligatoirement dans ce contrat.
Par principe, le responsable du traitement est tenu responsable de la conformité à la loi, indépendamment des stipulations contractuelles qui peuvent être adoptées avec un éventuel sous-traitant.
Droits et devoirs des personnes concernées
La DPDP garantit le droit à l’information, les droits d’accès, de correction et d’effacement, aux personnes qui consentent au traitement de leurs données ou à celles qui transmettent volontairement leurs données sans manifester d’opposition à leur utilisation.
Par ailleurs, le retrait du consentement est possible à tout moment et les responsables de traitement doivent s’assurer que le processus de retrait du consentement est aussi simple que le processus de collecte. Une fois le consentement retiré, les données doivent être supprimées (sauf dans l’hypothèse d’une obligation légale de les conserver).
La DPDP prévoit également deux autres droits au bénéfice des personnes concernées : le droit à la réparation des griefs (« grievance redressal ») qui impose au responsable de traitement de désigner un point de contact facilement accessible pour répondre aux réclamations (les personnes concernées ont l’obligation d’utiliser ce dispositif avant de pouvoir adresser une plainte à l’autorité de contrôle), et le droit de désigner un représentant pour l’exercice des droits en cas de décès ou d’incapacité.
Enfin, à rebours de la plupart des lois de protection des données actuellement en vigueur, la DPDP impose certains devoirs aux personnes concernées sous peine d’amende (par exemple, l’interdiction de déposer des réclamations ou plaintes fallacieuses).
Flux transfrontières
Par contraste avec le RGPD, le transfert des données à caractère personnel est autorisé par défaut vers tous les pays, à l’exception de ceux qui seront expressément interdits par les autorités indiennes. Les critères retenus pour restreindre les transferts vers certains pays ne sont pas précisés dans la loi.
On notera cependant que certaines lois sectorielles (par exemple en matière bancaire ou dans le secteur des télécommunications) restreignent déjà les flux transfrontières de certaines données.
Contrôles et sanctions
Le Data Protection Board of India, autorité de contrôle créée par la DPDP, est investie du pouvoir de recevoir les plaintes, de contrôler et de sanctionner les situations de non-conformité et les violations de données. En revanche, elle n’a pas le pouvoir d’émettre des règles de soft law, des lignes directrices, etc.
Les amendes prévues dans le cadre du régime de sanctions instauré par la DPDP sont énumérées dans l’annexe jointe à la loi et peuvent atteindre l’équivalent en roupies d’environ 25 millions d’euros (dans les cas de violations de données intervenues en l’absence de mesures de sécurité suffisantes).
DPDP et Intelligence artificielle
Certaines dispositions de la DPDP sont compatibles avec l’apprentissage de l’IA à partir de données à caractère personnel.
C’est ainsi par exemple que la loi exclut de son application la plupart des données personnelles accessibles au public (à condition qu’elles aient été rendues publiques par le responsable des données, ou par une autre personne ayant l’obligation légale de publier lesdites données). De même, la loi exempte le traitement des données personnelles nécessaires à des fins de recherche ou de statistiques (sauf lorsque l’activité de traitement en cause est utilisée pour prendre une décision spécifique concernant la personne).
Par ailleurs, la DPDP ne prévoit pas un droit de ne pas faire l’objet d’une décision fondée exclusivement sur un procédé automatisé à la manière du RGPD ; elle exige simplement que les données à caractère personnel utilisées pour prendre des décisions individuelles – ce qui peut inclure des décisions automatisées ou algorithmiques –, soient exactes, cohérentes et complètes.
Conclusion
Après de nombreux débats, le législateur indien est parvenu à adopter une loi à la fois moderne et intelligible, qui pose les grandes lignes d’un dispositif général de protection des données. Malheureusement, le degré de généralité de la loi et sa concision sont aussi ses faiblesses. A ce jour en effet, la loi reste imprécise, en raison des nombreux sujets qui ont été remis à des compléments ultérieurs, ce qui laisse une impression d’inachevé.
Sur le fond des choses, on peut reprocher au législateur indien des choix timorés au regard des enjeux d’une telle réglementation – en particulier, s’agissant des droits des personnes et du principe de transparence qui, pour l’essentiel, sont cantonnés aux traitements fondés sur le consentement des personnes. De même, le choix de deux bases juridiques en tout et pour tout est par trop limité. Enfin, on peut regretter que l’autorité de contrôle créée par la loi soit dans l’incapacité de créer de la soft-law, ce qui condamne le dispositif à une certaine inertie.
Cependant, la critique la plus prégnante concernant la DPDP tient certainement aux nombreuses dérogations prévues par la loi, qui dessinent les contours d’une règlementation hétérogène, panachée, et crée une relative incertitude juridique. S’agissant des dérogations très larges qui bénéficient aux autorités publiques, elles laissent craindre une surveillance étatique incontrôlée.
Il faudra attendre les compléments de la loi qui doivent être édictés par le gouvernent indien, pour cerner clairement le nouveau dispositif de protection des données et savoir si les faiblesses mentionnées peuvent être surmontées.