Que se passe-t-il donc avec le projet de loi sur la protection des données personnelles en Inde ? Ashwini Vaishnaw, le ministre indien de l’informatique, a présenté une nouvelle version de ce texte au parlement jeudi dernier. Le précédent projet de loi avait été abandonné l’année dernière suite à des objections de géants de la technologie, alors que le nouveau texte soulève des protestations, certains députés estimant qu’il enfreint le droit à la vie privée. Quels sont les principaux changements ?
Intitulé « Digital Personal Data Protection Bill », ce texte législatif donne au gouvernement dirigé par le Premier ministre Narendra Modi des pouvoirs décisionnels substantiels. Par exemple, il peut dispenser certaines entreprises, y compris les startups, de se conformer à la loi si nécessaire. Les entreprises peuvent également être autorisées à utiliser les données des enfants, à condition d’avoir mis en place des mesures de protection adéquates. A-t-on besoin d’une régulation si flexible ?
Le gouvernement indien détient un pouvoir de désignation des pays auxquels le transfert de données personnelles est interdit.
En outre, le texte confère une protection juridique au gouvernement central, au conseil de protection des données et à ses membres, ce qui les met à l’abri des actions en justice. Le gouvernement est également chargé d’établir ledit conseil et de nommer ses membres. Est-ce une garantie suffisante d’indépendance ?
D’autres dispositions de la loi autorisent les individus à rencontrer le conseil de protection des données si le responsable des données n’a pas répondu de manière satisfaisante à leur demande dans le délai de sept jours prévu. Les non-conformités peuvent entraîner des pénalités pour les individus, avec des amendes allant jusqu’à 10 000 roupies indiennes (121 $). Pour une entreprise qui enfreint la loi, les pénalités peuvent atteindre 250 crores de roupies indiennes (30 millions de dollars). Les entreprises doivent donc continuer à se comporter de manière éthique ?
Vient alors le sujet brûlant du consentement. Selon le projet de loi, les entreprises qui collectent des données sur les utilisateurs doivent obtenir leur consentement explicite. Ces demandes de consentement doivent être formulées dans un langage simple, et l’utilisateur doit pouvoir retirer son consentement à tout moment. Toutefois, le texte de la loi permet de déroger à cette exigence dans certains cas « légitimes ». Cette disposition semble-t-elle équilibrée ?
Qui plus est, la législation indienne en matière de protection des données se distingue de la RGPD européenne et de la CCPA aux États-Unis. En effet, elle n’impose pas d’amendes élevées et donne au gouvernement fédéral le pouvoir de modifier les règles dans des cas spécifiques. Est-ce un modèle viable pour d’autres pays à venir ?
Notons que la loi sur la protection des données en Inde a évolué depuis sa première ébauche en 2017. Pourtant, malgré quelques modifications, elle a du mal à convaincre l’opposition politique autant que les experts de politique publique. Son élaboration a même été critiquée pour un manque de transparence. Alors, cette loi sera-t-elle finalement adoptée par le parlement et le président indien ?
Source : Techcrunch
