Par Jaspreet Singh
L'Inde figure parmi les nations génératrices de données à la croissance la plus rapide au monde. Avec environ 4,66 milliards d'internautes et de nouvelles données ajoutées au rythme de 2,5 quintillions d'octets par jour, la barre du marché numérique ne peut que monter. La croissance de ces marchés du commerce électronique en Inde devrait atteindre 188 milliards de dollars américains d'ici 2025.
À l'heure actuelle, les données sensibles sont réglementées par la loi de 2000 sur les technologies de l'information. Alors que le monde évolue rapidement vers l'amélioration de la qualité de vie et l'instauration d'un sentiment de confidentialité et de sécurité pour ses citoyens, l'Inde ne pourrait pas être loin derrière. Afin de réglementer ce grand pool de données, le rapport du comité BN Srikrishna, 2017 a suggéré la nécessité d'une loi sur la confidentialité des données et la réglementation de ces données. M. Ravi Shankar Prasad, ministre de l'électronique et des technologies de l'information, a présenté le projet de loi à Lok Sabha le 11 décembre 2019. Le projet de loi PDP 2019 a récemment été examiné par le rapport du comité parlementaire mixte et a été présenté lors de la session d'hiver qui a débuté le 29 novembre. 2021. Le rapport a suggéré 93 changements et amendements pour permettre aux données non personnelles d'être également prises en charge par le projet de loi en vigueur.
Le PDPB est un grand tremplin pour l'Inde en termes de conformité à l'article 51 de la Constitution en offrant le même niveau de protection aux données personnelles partagées par n'importe quel pays. L'objectif du projet de loi est « d'assurer la protection de la vie privée des personnes au regard de leurs données personnelles, de préciser le flux et l'usage des données personnelles, d'instaurer une relation de confiance entre les personnes et entités traitant les données personnelles, de protéger les droits fondamentaux des personnes dont les données personnelles sont traitées, créer un cadre pour les mesures organisationnelles et techniques dans le traitement des données, établissant des normes pour l'intermédiaire des médias sociaux, le transfert transfrontalier, la responsabilité des entités traitant des données personnelles, les recours en cas de traitement non autorisé et préjudiciable, et à établir une autorité indienne de protection des données auxdites fins et pour les questions qui y sont liées ou accessoires ».
Là où le projet de loi réglemente le flux de données, l'autorité de protection des données proposée en vertu du projet de loi doit agir en tant qu'organisme de réglementation parapluie pour assurer la conformité. Avec plusieurs avantages, PDPB a fourni une vue microscopique sur les différents types de données collectées et l'impossibilité de faire la distinction entre les données personnelles et les données non personnelles, lorsque des données de masse sont collectées ou transportées. Le Comité est donc d'avis que si la vie privée est la préoccupation, les données non personnelles devraient également être incluses. Là où le rapport fournit des informations sur la localisation des données, permettant l'apparition de nouveaux bacs à sable, les intermédiaires des médias sociaux, le consentement de l'enfant de moins de 18 ans et plusieurs autres points importants, le rapport met également en évidence d'autres aspects importants tels que l'établissement de directives à suivre dans cas de violation de données et sa notification à l'autorité de contrôle qui est la DPAI.
Aujourd'hui, l'Inde s'adresse à ses citoyens avec divers services de plate-forme en ligne comme Aadhar, Passport Seva, Open Data Stack (data.gov.in), MCA21, GSTN, Unified Payment Interface (UPI), WRIS (Jalshakti), DISHA (développement rural) , Bhuvan (ISRO), etc. Ces plates-formes ont facilité la vie et peuvent traverser les différents domaines. Le rapport JPC soutient l'argument selon lequel les données sont un atout d'importance nationale et en déployant la bonne infrastructure de données et le mécanisme de gouvernance, les données peuvent devenir une puissance libérant la puissance des données pour l'Inde peut devenir une réalité.
Le rapport examine également le plan de mise en œuvre et recommande qu'une période approximative de 24 mois puisse être prévue pour la mise en œuvre de toutes les dispositions de la loi afin que les personnes qui traitent les données aient suffisamment de temps pour apporter les changements nécessaires à leur infrastructures, politiques et autres processus. Le Comité a également suggéré que la mise en œuvre progressive puisse être entreprise afin de s'assurer que dans les trois mois, le président et les membres de la DPA sont nommés, les activités liées aux profils de travail de la DPA commencent dans les 6 mois à compter de la date à laquelle la loi a été notifiée à Dans l'ensemble, le processus d'enregistrement des fiduciaires de données devrait également commencer et ne pas être prolongé de plus de 9 mois et recevoir un calendrier pour que le processus soit terminé, le travail géré par le tribunal d'appel et les arbitres devrait également commencer dans les 12 premiers mois. Enfin, toutes les dispositions de la loi sont réputées effectives dans un délai de 24 mois à compter de la date à laquelle le public est avisé de la présente loi.
Alors que le projet de loi se concentre sur le soutien aux nouvelles innovations et entreprises sous la forme de bacs à sable, l'exigence constante de formuler des politiques, des normes et des meilleures pratiques de gestion des données solides ne doit pas être ignorée. Alors que l'Inde progresse dans le développement d'un écosystème de données dans les secteurs public et privé pour stimuler l'innovation axée sur les données, il devient essentiel que le PDPB s'occupe des problèmes de confidentialité et de protection des données. Le PDPB pose ainsi une première pierre pour la création d'un vaste écosystème de données bien organisé qui encourage l'innovation, l'entrepreneuriat et la création d'emplois.
Ce projet de loi légalisera la vie privée, pénalisera son contrevenant, garantira une réduction significative de la fraude et de l'utilisation abusive des données, générera un référentiel de données centralisé et, surtout, responsabilisera ses citoyens en les sensibilisant au pouvoir de leur consentement. Ce projet de loi mettra fin à l'utilisation abusive généralisée des données personnelles des citoyens par d'autres pays et forcera les contrôleurs et les sous-traitants de données à localiser les données, à réduire considérablement la quantité de données inutiles collectées, à créer des emplois et à nous rendre mieux équipés pour la prochaine guerre des données.
La protection des données des citoyens et la légalisation du cadre de confidentialité sont attendues depuis longtemps, tout comme le sérieux des entités étrangères envers la confidentialité des données en Inde. Avec la croissance fulgurante de la technologie et la domination du monde avec notre suprématie technologique, il est impératif que nous fassions le premier pas vers le défi de la gestion des données d'une démocratie très peuplée. Il est temps de mettre fin à l'exploitation des médias sociaux, des plateformes de marketing et de toutes ces entités qui violent de manière flagrante le concept de "liberté sur Internet" sous couvert de consentement.
(L'auteur est partenaire et leader national, client et marchés - technologie et transformation, Grant Thornton Bharat. Les opinions sont personnelles et pas nécessairement celles de FinancialExpress.com)
