Inde: ce qui est dans la nouvelle facture de protection des données de l’Inde?

Les appels à la mise en œuvre de mesures réduisant la vulnérabilité des données et empêchant l’érosion de la confidentialité des utilisateurs ont résolu dans le monde entier.

Confidentialité des données personnelles – L’Inde a-t-elle besoin de réglementations comme le RGPD en Europe et le CCPA des États-Unis

Alors que nous sommes tous d’accord pour dire que “les données sont la marchandise post-abri à l’ère numérique”, la protéger et la garantie. C’est un fait bien connu que l’Inde est le deuxième plus grand écosystème en ligne au monde avec plus de 900 millions d’internel. Avec l’augmentation de la pénétration d’Internet, ce nombre devrait augmenter fortement au cours des 5 prochaines années. L’Inde serait affrontée avec le deuxième nombre de violations de données signalées dans le monde entier. À l’heure.

Le changement et les services numériques se déplaçant vers le cloud, il y a une grande quantité de données personnelles très précises en cours d’échange non seulement via les sites Web que nous parcourons ou les applications que les gens utilisent sur leurs téléphones mobiles, mais aussi par le biais d’appareils électroménagers tels que des appareils photo de sécurité / de surveillance, de sonnets numériques, de thermostats de contrôle de la température, d’automatisation de foyer intelligente, d’assistants numériques pour nommer quelques-uns. Le cas d’utilisation principal de la collection de données est d’améliorer et de personnaliser les services offerts, cependant, il peut être utilisé à mauvais escient pour envahir la confidentialité, la sécurité et la confiance d’une personne. L’analyse de ces données, lorsqu’elle est collectée sur un intervalle de temps, peut conduire à l’identification des individus, en déduisant les informations sur les croyances, les préférences, la religion ou la santé d’une personne. Ils peuvent éventuellement être utilisés pour influencer, provoquer des menaces à la sécurité personnelle, une publicité ciblée, une fraude et un piratage. Par exemple, l’analyse des données de localisation d’un individu pour déterminer les magasins / places d’une visite individuelle et avec quelle fréquence peut conduire à l’identification des intérêts, au comportement social et également au statut socio-économique.

Pour les organisations, un incident de sécurité des données pourrait entraîner des implications juridiques et commerciales et également un manque de confiance des utilisateurs. Facebook-Cambridge Analytica Fiasco est l’une des infâmes violations de données, en 2018, les données de près de 87 millions d’utilisateurs de Facebook ont ​​été utilisées sans leur consentement et leur compréhension. Les données obtenues de manière inappropriée à partir de Facebook ont ​​été utilisées pour créer des profils d’électeurs et utilisées pour la publicité politique (sans consentement). C’était la plus grande fuite de données face à Facebook. Cela a fait connaître les problèmes de confidentialité des données, comment le concept de confidentialité change et a mis en évidence l’anxiété des clients à l’idée de s’habituer aux progrès technologiques, mais pas encore pleinement conscient de l’étendue de l’érosion de la vie privée et des compromis dans la qualité du service par rapport à la désintégration liée à la confidentialité. Il existe des paramètres de confidentialité exposés par les entreprises; Cependant, ils ne sont pas faciles à comprendre, et il n’y a pas non plus clairement l’impact sur l’expérience utilisateur sur la désactivation de certains types d’accès aux données. Pour les gouvernements, une violation de la vie privée pourrait entraîner le risque de divulguer des informations nationales confidentielles.

Les modifications apportées aux lois sur la technologie et les données sont un défi mondial. La réglementation générale de la confidentialité des données d’Europe (RGPD) qui est entrée en vigueur en 2018, définit et unifie les réglementations de confidentialité avec l’Union européenne (UE). Le RGPD donne non seulement des contrôles à la confidentialité aux particuliers, mais s’offre également aux obligations sur les organisations qui tiennent leurs données. La Chine a annoncé les règlements sur la confidentialité des données avec la loi sur la protection de l’information personnelle (PIPL) en 2021. Ces lois décrivent également les exigences de confidentialité des données pour les entreprises basées en dehors de la Chine / UE pour gérer et utiliser les données de leurs citoyens. Les États-Unis n’ont pas de loi sur la vie privée mais une combinaison de lois nationales ou sectorielles telles que la California Consumer Privacy Act (CCPA) introduite en 2018, suivie de la California Privacy Rights Act (CPRA) en 2020 et de la loi sur la vie privée et de la portabilité de la santé (HIPAA).

Cependant, contrairement au reste du monde qui a des lois et réglementations en matière de confidentialité visant à protéger la vie privée des citoyens, l’Inde n’a toujours pas de loi sur la vie privée pour sauvegarder ses citoyens. En août 2017, la Cour suprême de l’Inde a déclaré le droit à la vie privée comme droit fondamental pour les citoyens indiens protégés par la Constitution indienne. Suite au droit à la vie privée, l’Inde a présenté le projet de loi sur la confidentialité des données en 2019; Cependant, il a été retiré en 2022, et aucune nouvelle législation n’a été proposée jusqu’à présent. L’Inde doit intensifier ses efforts et faire correspondre les lois sur la confidentialité des données sur la vision globale autour de la confidentialité des données. Les réglementations relâchent le fardeau des citoyens et établissent une vision claire des organisations pour les respecter.

Inde: ce qui est dans la nouvelle facture de protection des données de l’Inde?

Le gouvernement indien a publié un nouveau projet simplifié de son projet de loi sur la protection des données personnelles numériques. Ça dit quoi?

Le 18 novembre 2022, le gouvernement de l’Inde a publié le quatrième projet tant attendu de la loi de la vie privée de l’Inde, désormais renommée comme le projet de loi numérique de protection des données («projet de loi»). Le gouvernement a demandé des commentaires sur le projet de loi par 17 décembre 2022.

Inde: ce qui est dans la nouvelle facture de protection des données de l’Inde

Les appels à la mise en œuvre de mesures réduisant la vulnérabilité des données et empêchant l’érosion de la confidentialité des utilisateurs ont résolu dans le monde entier.

Confidentialité des données personnelles – L’Inde a-t-elle besoin de réglementations comme l’Europe’S RGPD et USA’S CCPA

Dr. Preeti Goel possède plus de 15 ans d’expérience professionnelle et a contribué à certaines des meilleures sociétés technologiques du monde telles que Microsoft, Google, Adobe et Amazon. Preeti Goel a un baccalauréat en technologie en informatique, une maîtrise de l’IIT-Kanpur et un pH.D. de l’Université de Melbourne, Australie. MOINS . PLUS

Les appels à la mise en œuvre de mesures réduisant la vulnérabilité des données et empêchant l’érosion de la confidentialité des utilisateurs ont résolu dans le monde entier.

Alors que nous sommes tous d’accord pour dire que “Les données sont la marchandise post-abri à l’ère numérique”, la protéger et la garantie de la confidentialité des données devient extrêmement critique. C’est un fait bien connu que l’Inde est le deuxième plus grand écosystème en ligne au monde avec plus de 900 millions d’internel. Avec l’augmentation de la pénétration d’Internet, ce nombre doit augmenter fortement au cours des 5 prochaines années. L’Inde serait affrontée avec le deuxième nombre de violations de données signalées dans le monde entier. À l’heure.

Avec le changement et les services numériques déménageant dans le cloud, il y a une grande quantité de données personnelles très précises échangées non seulement via les sites Web que nous parcourons ou les applications que les gens utilisent sur leurs téléphones mobiles, mais aussi par le biais d’appareils électroménagers tels que les appareils photo de sécurité / de surveillance, les sonnets numériques, les thermostats de contrôle de la température, l’automatisation intelligente, les assistants numériques pour nommer quelques-uns. La collecte de données’S Le cas d’utilisation primaire est d’améliorer et de personnaliser les services offerts, cependant, il peut être utilisé à mauvais escient pour échapper à un individu’S Confidentialité, sécurité et confiance. L’analyse de ces données, lorsqu’elle est collectée sur un intervalle de temps, peut conduire à l’identification des individus, en déduisant des informations sur une personne’S croyances, préférences, religion ou santé. Ils peuvent éventuellement être utilisés pour influencer, provoquer des menaces à la sécurité personnelle, à la publicité ciblée, à la fraude et au piratage. Par exemple, l’analyse d’un individu’s Données de localisation pour déterminer les magasins / places visiter individuels et avec quelle fréquence peut conduire à l’identification des intérêts, au comportement social et également au statut socio-économique.

Pour les organisations, un incident de sécurité des données pourrait entraîner des implications juridiques et commerciales et également un manque de confiance des utilisateurs. Facebook-Cambridge Analytica Fiasco est l’une des infâmes violations de données, en 2018, les données de près de 87 millions d’utilisateurs de Facebook ont ​​été utilisées sans leur consentement et leur compréhension. Les données obtenues de manière inappropriée à partir de Facebook ont ​​été utilisées pour créer des profils d’électeurs et utilisées pour la publicité politique (sans consentement). C’était la plus grande fuite de données face à Facebook. Cela a fait connaître les problèmes de confidentialité des données, comment le concept de confidentialité change et a mis en évidence l’anxiété des clients à l’idée de s’habituer aux avancées technologiques, mais pas encore pleinement conscient de l’étendue de l’érosion de la vie privée et des compromis dans la qualité du service contre la désintégration liée à la confidentialité. Il existe des paramètres de confidentialité exposés par les entreprises, mais elles ne sont pas facilement comprises et il n’y a pas non plus clairement l’impact sur l’expérience utilisateur sur la désactivation de certains types d’accès aux données. Pour les gouvernements, une violation de la vie privée pourrait entraîner le risque de divulguer des informations nationales confidentielles.

Les modifications apportées aux lois sur la technologie et les données sont un défi mondial. L’Europe ’S Règlement général sur la confidentialité des données (RGPD) qui est entré en vigueur en 2018, définit et unifie les réglementations de confidentialité avec l’Union européenne (UE). Le RGPD donne non seulement des contrôles à la confidentialité aux particuliers, mais s’offre également aux obligations sur les organisations qui tiennent leurs données. La Chine a annoncé les règlements sur la confidentialité des données avec la loi sur la protection de l’information personnelle (PIPL) en 2021. Ces lois décrivent également les exigences de confidentialité des données pour les entreprises basées en dehors de la Chine / UE pour gérer et utiliser les données de leurs citoyens. Les États-Unis n’ont pas de loi sur la vie privée mais une combinaison de lois spécifiques à l’État ou au secteur telles que la California Consumer Privacy Act (CCPA) introduite en 2018, suivie de la California Privacy Rights Act (CPRA) en 2020 et de la loi sur la vie privée et la portabilité de la santé (HIPAA).

Cependant, contrairement au reste du monde qui a des lois et des réglementations en matière de confidentialité qui visent à protéger la vie privée des citoyens, l’Inde n’a toujours pas de loi sur la vie privée pour sauvegarder ses citoyens. En août 2017, la Cour suprême de l’Inde a déclaré le droit à la vie privée comme droit fondamental pour les citoyens indiens protégés par la Constitution indienne. Suite au droit à la vie privée, l’Inde a présenté le projet de loi sur la confidentialité des données en 2019, mais elle a été retirée en 2022 et aucune nouvelle législation n’a été proposée jusqu’à présent. L’Inde doit intensifier ses efforts et faire correspondre les lois sur la confidentialité des données sur la vision globale autour de la confidentialité des données. Les réglementations relâchent le fardeau des citoyens et établissent une vision claire des organisations pour les respecter.

Inde: ce qui est dans la nouvelle facture de protection des données de l’Inde?

Le gouvernement indien a publié un nouveau projet simplifié de son projet de loi sur la protection des données personnelles numériques. Ça dit quoi?

Le 18 novembre 2022, le gouvernement de l’Inde a publié le quatrième projet tant attendu de la loi de la vie privée de l’Inde, désormais renommée comme le projet de loi numérique de protection des données («projet de loi»). Le gouvernement a demandé des commentaires sur le projet de loi par 17 décembre 2022.

À première vue, le projet de loi est une surprise. C’est un brouillon complètement nouveau et non un redressage des versions précédentes et est beaucoup plus courte et plus simple. Il se détache considérablement du modèle du RGPD des lois sur la confidentialité qui est assez courante aujourd’hui.

Applicabilité

La loi s’applique uniquement aux données personnelles collectées en ligne ou qui sont collectées hors ligne, mais qui est numérisée. La loi s’appliquera au traitement des données personnelles en dehors de l’Inde si ce traitement est en relation avec tout profilage de directeurs en Inde ou toute activité d’offre de biens ou de services en Inde. La loi exempte également le traitement des données en Inde de personnes situées en dehors de l’Inde dans le cadre d’un arrangement contractuel transfrontalier: cela couvre essentiellement l’industrie offshore / externalisation.

Définitions

Le projet de loi utilise une terminologie similaire comme versions précédentes. Une personne concernée est appelée «Principal de données ‘ et un contrôleur de données est appelé ‘fiduciaire de données ‘. Il n’y a pas de concept ou de définition des données personnelles sensibles. La DPA est appelée le Conseil de protection des données de l’Inde («DPBI»).

Motifs de collecte et de traitement

Le consentement continue d’être le principal motif du traitement des données personnelles. Il doit être «librement donné», «spécifique», «informé» et une «indication sans ambiguïté du consentement» par une «action positive claire».

Il semble clair que consentement explicite serait nécessaire. Le consentement peut également être retiré, dont les conséquences seraient portées par la personne concernée. Le projet de loi comprend également des motifs évidents pour le traitement des données personnelles, telles que le respect des lois et des ordonnances judiciaires, des actions traitant des épidémies ou des situations d’ordre public.

Le concept d’intérêt légitime semble être capturé de différentes manières. Plusieurs situations sont mentionnées lorsque le consentement est réputé avoir été donné. Il s’agit notamment du traitement des données personnelles «dans l’intérêt public», notamment pour prévenir ou détecter la fraude, pour la sécurité du réseau et de l’information, la notation du crédit, le traitement des données personnelles accessibles au public et pour la reprise de la dette.

Il semble peu difficile de savoir si les entreprises privées peuvent utiliser ces motifs, étant donné que le traitement doit être «dans l’intérêt public». Il y a aussi le motif d’un «but équitable et raisonnable», mais dans ce cas, le gouvernement doit informer ce qui est un objectif juste et raisonnable. Ce faisant, le gouvernement peut considérer les intérêts légitimes du fiduciaire des données.

Un terrain clé est l’endroit où le traitement des données personnelles est «nécessaire» et où les données personnelles sont fournies volontairement et «il est raisonnablement prévu que la personne concernée fournirait ces données personnelles». Il faudrait montrer que le traitement est «nécessaire» et que les données personnelles ont été fournies «volontairement» et que le directeur de données devrait raisonnablement fournir ces données.

Cette disposition aurait peut-être pu être mieux rédigée, en supposant que cela est destiné à être un type d’intérêt légitime. Il deviendra probablement la disposition la plus importante du nouveau statut pour les entreprises qui ne souhaitent pas emprunter la voie du consentement.

Emploi

Il existe un motif distinct de traitement des données personnelles liées à l’emploi qui couvre la prévention de l’espionnage, le maintien de la confidentialité des secrets commerciaux et de la propriété intellectuelle, le recrutement, la cessation d’emploi, la prestation de services ou les avantages sociaux à un employé, la vérification de la fréquentation et l’évaluation de la performance. Les données personnelles peuvent être collectées pour ces motifs tant que le traitement est “ nécessaire ”.

Avis

Les versions précédentes du projet de loi prévoyaient des informations approfondies dans le cadre de l’avis aux directeurs de données. C’était excessif. Cette version ne couvre que deux choses: les types de données personnelles à traiter et les objectifs du traitement. Ces informations doivent être fournies de manière détaillée.

Enfants

Le projet de loi tient le seuil pour les enfants à 18 ans. Cela sera considéré comme une déception pour le monde en ligne, car les normes mondiales ont tendance à être plus proches de 16 ans.

Un consentement parental vérifiable est requis pour la collecte de données personnelles des enfants. Le projet de loi interdit également le profilage des enfants ou la surveillance comportementale ou la publicité ciblée aux enfants. Cependant, le gouvernement a le pouvoir d’exempter ces exigences par notification.

Droits et devoirs des directeurs de données

Les directeurs de données (sujets de données) ont plusieurs droits. Ils incluent le droit de savoir quelles données personnelles sont traitées et le droit d’avoir des données personnelles inexactes corrigées. Un directeur de données peut également demander que des données personnelles soient supprimées au motif que son stockage ne sert plus l’objectif pour lequel il a été collecté.

Fait intéressant, le projet de loi comprend des fonctions de directeurs de données; Essentiellement à un devoir de ne pas fournir de fausses informations et de ne pas déposer des griefs frivoles ou faux

Stockage de données personnelles

Le projet de loi exige que les données fiduciaires (contrôleur de données) s’assurent que les données personnelles maintenues sont exactes et utilisent des mesures organisationnelles et techniques appropriées pour se conformer à la loi. Les fiduciaires de données doivent également utiliser des mesures de sécurité raisonnables pour éviter les violations de données. Un fiduciaire de données ne peut conserver les données personnelles que tant qu’elle sert l’objectif pour lequel il a été collecté ou à des fins juridiques ou commerciales. Après cela, les données personnelles doivent être supprimées.

Violation de données personnelles

Le projet de loi définit une «violation de données personnelles» pour signifier tout traitement non autorisé ou divulgation accidentelle, utilisation, altération ou destruction de données personnelles, qui compromet sa confidentialité, son intégrité ou sa disponibilité.

En cas de violation de données personnelles, le fiduciaire de données ou le directeur de données doit informer à la fois le DPBI et le directeur de données affecté, d’une manière prescrite par le gouvernement. La définition générale d’une violation de données personnelle couvrirait de petits cas de violation de données pour lesquels la notification au gouvernement et aux directeurs de données semble assez onéreuse.

«Fiduciaire de données significatif»

Le projet de loi conserve le concept de Fiduciaire de données significatif («SDF»). Il s’agit d’un fiduciaire de données (contrôleur) qui remplit les critères établis par le gouvernement. Pour déterminer qui serait un SDF, le gouvernement prendrait en compte des facteurs tels que le volume de données et le risque de préjudice.

Fait intéressant, ces facteurs incluent également «un impact potentiel sur l’intégrité et la souveraineté de l’Inde» et le «risque pour la démocratie électorale». Les SDF sont tenus de nommer des agents de protection des données, qui doivent se présenter au conseil d’administration de l’organisation. Ils doivent également nommer un auditeur de données indépendant pour auditer le respect de la loi sur la vie privée. Le gouvernement peut également informer quand les SDF doivent effectuer des évaluations d’impact sur la vie privée.

Agent de protection des données

Seuls les SDF sont tenus de nommer un agent de protection des données. Cependant, chaque fiduciaire de données doit nommer une personne pour agir comme point de contact pour quiconque souhaite déposer un grief. Les coordonnées de l’agent des griefs doivent être publiées.

Localisation et transferts de données

Le projet de loi n’inclut pas directement les dispositions sur la localisation des données. L’exigence dans les ébauches précédentes selon lesquelles des données personnelles critiques ne doivent être stockées qu’en Inde ou que les données personnelles sensibles peuvent être transférées en dehors de l’Inde, mais une copie doit être conservée en Inde a été supprimée.

Le projet de loi déclare que le gouvernement informerait les pays dans lesquels les données personnelles peuvent être transférées. Il semblerait que jusqu’à ce que le gouvernement avise ces pays, les données personnelles peuvent être transférées librement en dehors de l’Inde, bien que la notification soit peut-être émise au moment où la loi entre en vigueur. La loi ne couvre pas d’autres moyens d’autoriser les transferts de données tels que par le biais de clauses contractuelles standard (c’est après toute la méthode par laquelle les données personnelles sont actuellement transférées de l’UE vers l’Inde).

Exemption du gouvernement

Le projet de loi accorde le pouvoir au gouvernement pour s’exempter et ses agences de toute exigence du projet de loi. Les motifs mentionnés, comme la souveraineté et l’intégrité de l’Inde, la sécurité de l’État, etc., sont tirés de la Constitution de l’Inde et également cités par la Cour suprême de l’Inde comme motifs pour lesquels les droits à la vie privée peuvent être limités. Ces motifs sont cependant assez larges et la proportionnalité et le caractère raisonnable ne sont pas des ingrédients essentiels.

Pénalités

Le projet de nouvelle loi prescrit les pénalités de non-conformité. Il y a un horaire qui mentionne les plafonds de pénalité pour des violations spécifiques. Par exemple, le fait de ne pas prendre de garanties de sécurité raisonnables pour prévenir la violation des données personnelles impliquerait une pénalité pouvant atteindre 25 millions INR (environ 30 millions USD).

Les pénalités en général peuvent atteindre 50 millions INR (environ. 60 millions USD). Fait intéressant, il n’y a aucune disposition pour l’attribution de l’indemnisation aux sujets de données affectées.

Le gouvernement a adopté une approche résolument indienne pour rédiger cette législation. Il est beaucoup plus simple que les versions passées et va à l’encontre de la tendance actuelle du modèle du RGPD de législation sur la vie privée. Ce type de législation est tout à fait approprié pour l’Inde étant donné son énorme secteur des PME non organisé et étant donné que les normes de conformité à la vie privée sont assez faibles en Inde.

Cela signifie probablement cependant que la législation ne parviendra pas à obtenir une décision d’adéquation de l’UE. En tout cas, en raison de ne pas avoir une surveillance indépendante sur la surveillance du gouvernement, la loi indienne ne se conforme pas pleinement à Schrems II.

Il y a cependant une multitude de problèmes qui doivent être traités dans la loi. Le plus important est de clarifier la langue entourant le type d’intérêt légitime du terrain qui, selon nous, est au cœur de la législation sur la vie privée. Le concept de «nécessité» est-il suffisant pour gérer des situations légitimes de collecte et de traitement des données personnelles?

Il semblerait également que les exigences d’avis ne s’appliquent que lorsque le consentement est obtenu. Cela signifie que lorsque des données personnelles sont traitées sous d’autres motifs, qui relèvent des dispositions de consentement réputées, aucun avis n’est requis. La nécessité de prescrire le consentement est elle-même discutable. Il a été constaté que le consentement ne soit pas vraiment un moyen de protection pour les sujets de données, d’autant plus que dans la plupart des cas, les sujets de données n’ont d’autre choix que de donner leur consentement.

Tout au long, mon approche recommandée a été d’avoir une législation légère et de permettre à la DPA de construire lentement un réglementation à travers une législation déléguée. Ce projet de législation suit en partie cette approche. Bien que le DPBI ait des pouvoirs pour adopter les réglementations, ils se rapportent uniquement à la réalisation des dispositions de la loi. On peut se demander s’il a le pouvoir de faire un réglementation sur les questions non mentionnées dans la loi. Par exemple, des problèmes tels que la portabilité des données, la confidentialité par conception, etc., ne trouve aucune place dans le projet de loi. Il aurait été mieux que les pouvoirs donnés au DPBI aient été énoncés plus en détail.

L’interdiction générale du suivi de l’activité des enfants sur Internet et la publicité comportementale semble quelque peu déraisonnable. Comment une chaîne vidéo ou musicale en ligne recommanderait-elle des films ou de la musique aux enfants en fonction de leurs goûts sans suivre leur activité?

Le projet de loi donne également au gouvernement le pouvoir d’exempter l’une de ses agences de l’une des dispositions de la loi. Il n’y a aucun seuil de caractère raisonnable ou de proportionnalité mentionné. Peut-être, cependant, cela peut être lu dans la loi donnée des déclarations déjà faites par la Cour suprême de l’Inde. L’exemption générale du gouvernement sur la nécessité de supprimer des données qui ne sert plus l’objectif pour lequel il a été collecté est également regrettable.

Il est également regrettable que la composition du DPBI n’ait pas été prescrite dans la loi laissant ainsi le gouvernement pour nommer qui il veut. Un DPA Savvy et Nimble est très requis pour gérer le règlement de confidentialité des données en Inde, d’autant plus que certaines des exigences de la loi seront “ comme on peut prescrire plus tard.

Dans l’ensemble, l’approche adoptée est logique compte tenu de l’environnement indien et peut fournir une rampe de lancement pour une réglementation plus étendue liée à la confidentialité à l’avenir. Il y a évidemment des lacunes et des erreurs de rédaction, mais cela doit être attendu dans une législation plus simple qui emprunte également une nouvelle voie et est rédigée par des personnes qui ne sont pas des experts en confidentialité. On espère que le gouvernement travaillera avec la communauté de la vie privée pour résoudre ces problèmes et prendre ce document pour promulguer.

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Des conseils spécialisés doivent être recherchés sur votre situation spécifique.

L’Inde a-t-elle des lois sur la confidentialité des données?

23 novembre 2022

Inde’S La nouvelle facture de données est un sac mixte pour la confidentialité

Par Justin Sherman

Rechercher des suggestions

Résultats totaux>/>

Récent pertinent

Filtre Résultats

Inde’Le Parlement a publié son projet de loi numérique sur la protection des données personnelles, le deuxième passe dans une loi complète sur les données de la vie privée après que le gouvernement ait retiré son projet de loi sur la protection des données personnelles plus tôt cette année. Le projet actuel est plus court que l’autre projet de loi, bien qu’il ait plusieurs des mêmes composants.

Les décideurs indiens ont également diffusé des commentaires sur le projet de loi qui n’a pas été rendu public, mais que je discute ici. Surtout, le nouveau projet de loi propose un sac mixte pour la confidentialité – avec certaines exigences pour que les entreprises reçoivent une personne “consentement,” Corriger les données personnelles inexactes et protéger les droits des données ainsi que les dispositions pour l’accès aux données du gouvernement. Cette analyse n’est pas complète, mais met en évidence certains points clés à noter dans la législation qui constituerait une évolution majeure de la réglementation mondiale des données.

L’idée de ‘consentement’

Comme pour l’ancien projet de loi, la facture numérique de protection des données personnelles exige que les organisations traitent les données (qu’il appelle “fiduciaires de données”) obtenir “consentement” de personnes sur lesquelles ils traitent les données. Quand un individu donne son “consentement,” Le projet de loi dit que l’organisation doit fournir à cette personne “Un avis détaillé en langage clair et clair” qui décrit les données collectées et le but pour lequel il est traité, “Dès qu’il est raisonnablement possible.” Le projet de loi propose également que les individus soient en mesure de retirer leur “consentement” Pour que les organisations traitent leurs données, à quel point l’organisation en question doit cesser de le faire.

Cette notion de consentement est rompue, et elle n’est pas spécifique à l’Inde, non plus. Les entreprises et les décideurs américains et européens poussent la même idée. Les gens ne lisent pas les conditions d’utilisation des conditions d’utilisation et les entreprises qui clignotent un long document avec un législateur inaccessible – attendant que les particuliers cliquent simplement “accepter”- Je sais que les utilisateurs ne lisent ni ne comprennent le document.

Cela défie la notion même de consentement.

De même, les gens ne lisent pas les politiques de confidentialité, mais de nombreux sites Web et applications affirmeront littéralement que la visualisation du site Web ou l’ouverture de la demande constitue un accord avec sa politique de confidentialité. En outre, le consentement n’est pas entièrement et librement donné dans un monde dans lequel les citoyens – y compris les citoyens indiens – peuvent accès aux services de base sans se soumettre à la collecte de données. Néanmoins, le nouveau projet de loi’La langue de S sur le consentement place l’Inde relativement dans le même sens que “consentement” Dispositions dans les lois américaines sur la confidentialité des États et le règlement général sur la protection des données dans l’Union européenne.

Collection de données gouvernementales sculpture

Le projet de loi affaiblit encore cette notion de consentement en spécifiant de nombreuses exceptions, y compris de nombreuses exceptions pour le gouvernement indien. Alors que certains sont sans doute plus raisonnables, d’autres créent des risques de confidentialité pour les citoyens indiens et génèrent des questions juridiques complexes pour les entreprises et les organisations opérant en Inde.

Les individus, dans le projet de loi publique le plus récent, sont réputés avoir donné son consentement si le traitement des données “est nécessaire” pour “la performance de toute fonction en vertu de la loi,” “pour le respect de tout jugement ou ordonnance émis en vertu de toute loi,” “pour avoir répondu à une urgence médicale impliquant une menace pour la vie ou une menace immédiate pour la santé de la [personne] ou de toute autre personne,” et “pour prendre des mesures pour assurer la sécurité ou fournir une assistance ou des services à toute personne pendant toute catastrophe, ou toute ventilation de l’ordre public,” entre autres. Il exempterait également des situations dans lesquelles il est “raisonnablement attendu” que quelqu’un fournirait volontairement ses données personnelles à une organisation, le traitement de “Données personnelles accessibles au public,” et score de crédit.

Bien que certaines de ces exceptions puissent sembler raisonnables en face (comme la notation du crédit), beaucoup sont très préoccupants du point de vue de la vie privée et des droits civils. Le gouvernement du Premier ministre indien Narendra Modi a fréquemment fait de faux allégations de menaces à la sécurité publique et à l’ordre de réprimer les manifestations et la dissidence. Les autorités se sont également apportées à des égards tout aussi douables, mais à l’ordre public, prétendent légalement et rhétoriquement à arrêter l’internet plus de fois que tout autre pays sur Terre. Sous une forme similaire, le projet de loi’S La langue actuelle permettrait la collecte de données en fonction de la “intérêt public,” défini extrêmement largement pour inclure l’intérêt de l’Inde’S la souveraineté et l’intégrité, la sécurité de l’État, les relations amicales avec les États étrangers, le maintien de l’ordre public, la prévention de l’incitation à l’une des activités susmentionnées (comme miner l’ordre public) et empêcher la diffusion de la diffusion de “fausses déclarations de fait.”

Le gouvernement Modi n’est guère le seul gouvernement dans un pays nominalement démocratique engagé dans des pratiques non démocratiques. Pourtant, la proposition de données de données gouvernementales incroyablement larges dans le projet de loi permettrait à la surveillance de l’État aux dépens des citoyens indiens’ confidentialité et droits civils. Cela obligerait également les entreprises et les organisations opérant en Inde pour se débattre constamment avec un ensemble de questions juridiques encore plus complexes autour de l’accès gouvernemental élargi aux données.

Concernement, ce n’est qu’un élément du gouvernement Modi’s poussée plus large pour saper le cryptage et augmenter sa capacité à contraindre les entreprises technologiques.

Localisation des données

L’élément le plus controversé de l’ancienne facture de protection des données personnelles était probablement ses exigences de localisation des données. Ces stipulations auraient obligé des organisations ayant des données personnelles sur les citoyens indiens pour conserver ces informations stockées dans le pays, dans certains cas simplement une copie et dans d’autres cas empêchant entièrement le transfert sortant. Différents décideurs indiens voulaient en place ces exigences pour une gamme de raisons, notamment pour imposer des coûts aux entreprises étrangères, stimuler l’Inde’S Industrie du stockage des données, Augmenter la surveillance du gouvernement indien sur le stockage des données liées aux citoyens indiens et, comme certains l’ont vu, permettent un meilleur accès indien à l’application de la loi indienne aux données liées à la criminalité détenue par des sociétés américaines, qui est actuellement moins que accessible par le biais d’un processus de traité d’assistance mutuelle brisée.

Le nouveau projet de loi s’éloigne de cet accent sur la localisation. Au lieu d’exiger un stockage local de données en soi, il propose de permettre au gouvernement indien d’évaluer les pays étrangers’ Régimes de protection des données, puis certifiez-les comme suffisants pour fournir des destinations aux citoyens indiens’ données. Plus précisément, il indique, “Le gouvernement central peut, après une évaluation des facteurs qu’il peut considérer nécessaires, informer ces pays ou territoires en dehors de l’Inde auxquels un fiduciaire de données peut transférer des données personnelles, conformément aux termes et conditions qui peuvent être spécifiés.”

Les entreprises étrangères seront certainement heureuses de ce changement. Le plus souvent, leurs plaintes concernant la localisation des données sont revenues aux coûts – pas de vouloir payer les changements techniques et l’infrastructure technique pour stocker les données localement en Inde, ainsi que d’autres coûts juridiques et organisationnels. Mais il existe également d’autres préoccupations générées par la localisation des données, y compris les coûts d’émissions climatiques pour l’infrastructure de stockage de données en double et les risques de cybersécurité.

Ceux-ci fournissent au moins plusieurs raisons pour lesquelles le gouvernement indien s’éloigne d’un régime de localisation de données hautement contrôlé.

Autres idées subissant un débat

La version actuelle du projet de loi sur le site Web du ministère indien de l’électronique et des technologies de l’information ne s’applique pas à “Traitement non automatié des données personnelles,” “données personnelles hors ligne,” “données personnelles traitées par un individu à des fins personnelles ou domestiques,” et “Des données personnelles sur une personne contenue dans un dossier qui existe depuis au moins 100 ans.”

Fait intéressant, une version marquée du projet de loi que j’ai examiné – dont les modifications ne sont pas reflétées dans le projet actuel en ligne – ont connu une suggestion pour exempter également “données personnelles anonymisées” c’est “appartenant au gouvernement central ou de l’État, selon le sujet auquel les données se rapportent” du projet de loi. Il contenait également un montage pour utiliser explicitement la phrase “flux libre de données avec la confiance” pour décrire les dispositions sur le gouvernement indien’S Approbation pour les transferts de données étrangères et le stockage.

Le Temps économique rapporte, dans cette veine, que la prochaine itération du projet de loi fera définir le gouvernement indien “de confiance” géographies auxquelles les fiduciaires de données peuvent transférer et stocker des données liées aux citoyens indiens.

Le premier est (ici, était) une mauvaise suggestion. Aux États-Unis, les législateurs fédéraux et étatiques continuent d’exempter “anonymisé” ou “désidenti” Données des lois et projets de loi en matière de confidentialité sous la fausse croyance que ces termes sont techniquement significatifs. De nombreuses études ont montré à quel point il est facile de lier soi-disant “désidenti” ou “anonymisé” Données aux personnes réelles, étant donné les progrès de l’analyse des données statistiques, le volume de données dans le monde aujourd’hui et les entreprises’ Accès à des points de données remarquablement uniques aux individus, tels que l’historique de la géolocalisation ou un appareil’Modèles de connexion S Wi-Fi.

Pourtant, les législateurs continuent d’inclure ces sculptures dans les lois, notamment parce que les entreprises poussent la ligne de faux “anonymisation” est vrai. Espérons que l’Inde’Le Parlement ne tombe pas dans le même piège. De nouvelles techniques pour mieux protéger la confidentialité des données tout en permettant aux organisations de les traiter, telles que la confidentialité différentielle, sont précieuses. La meilleure voie à suivre consiste à reconnaître qu’il existe un éventail de capacités pour relier les données aux personnes par leur nom ou par un autre identifiant individuel clair – et ce total “anonymisation” est un mythe.

La deuxième suggestion du Bill Bunchup non publié que j’ai examiné – la phrase “flux libre de données avec la confiance”- est une référence au flux de libres de données avec l’initiative de confiance menée par le gouvernement japonais au G-20 2019 à Osaka. À l’époque, il décrivait une croyance générale que les pays ont un intérêt à permettre la libre circulation des données entre eux, mais avec certaines garanties en place. New Delhi a refusé de se connecter à l’accord initial des données libre avec l’accord de confiance en 2020 – une vague proclamation pour poursuivre la coopération pour un “flux libre de données avec la confiance” cadre – car il considérait l’effort comme trop motivé par les pays à haute ressource. Inde’Le ministre du Commerce et de l’industrie avait alors déclaré que “Compte tenu de l’énorme fracture numérique entre les pays, il est nécessaire d’espace politique pour les pays en développement qui doivent encore finaliser les lois sur le commerce numérique et les données. Les données sont un puissant outil de développement et l’accès équitable des données est un aspect essentiel pour nous.”

À mesure que les gouvernements élargissent leur réglementation de flux de données, l’Inde’s s’éloigner d’un tel accent mis sur la localisation et en mettant l’accent sur les géographies de confiance alignent l’Inde avec certains de ces efforts, tout en laissant toujours de l’espace aux décideurs pour se tailler un soi-disant quatrième façon de gouvernance des données visant les pays du sud mondial. De manière significative, l’Inde reprend également la présidence du G-20, ce qui signifie qu’un flux libre de données avec une approche de type de confiance pourrait mettre le pays dans une position influente pour stimuler les conversations mondiales de données au cours de la prochaine année.

Conclusion

Il y a eu un débat intense sur la dernière tentative de réglementation complète des données en Inde, y compris parmi les décideurs indiens, les décideurs américains, les entreprises technologiques américaines et les parties prenantes de la société civile en Inde. Sans aucun doute, ces types de débats continueront de se produire autour de la nouvelle législation.

Il existe également de nombreux autres questions et questions soulevées par la proposition qui mérite une analyse et une discussion plus approfondies – plus que ce qui est couvert dans cet article. Pour l’instant, cependant,’s clairement que l’Inde a l’intention de planter son drapeau sur la régulation des données et que l’endroit “Géographies de confiance” sont inquiets, il y a beaucoup d’espace pour que le gouvernement américain s’engage de manière productive.

Justin Sherman (@jshermcyber) est un membre du Conseil de l’Atlantique’S Cyber ​​Statecraft Initiative. Il était également membre du AC South Asia Center’S US-INDIA Digital Economy Force et a dirigé son groupe de travail Sur la politique de données américano-indienne.

Le Centre d’Asie du Sud sert de conseil atlantique’S Point focal pour les travaux sur la région ainsi que les relations entre ces pays, les régions voisines, l’Europe et les États-Unis.

Inde – Une nouvelle tentative de adoption d’une loi complète sur la protection des données

En novembre 2022, le gouvernement indien a publié un projet de projet de loi numérique sur la protection des données personnelles, 2022 (“Facture”), dans une nouvelle tentative de créer un régime complet de protection des données.

Le projet de loi devrait être déposé devant le Parlement de l’Inde dans la première moitié de 2023. Nous discutons des principales dispositions du projet de loi.

Le chemin de la réforme

L’Inde n’a pas encore adopté une législation complète sur la protection des données. Le cadre réglementaire actuel est dérivé de l’article 43A de la loi de 2000 sur les technologies de l’information (“Il agit”) et les règles des technologies de la technologie de l’information (pratiques et procédures de sécurité raisonnables et des données personnelles sensibles), 2011 (“Règles SPDI”) qui appliquent des obligations spécifiques et limitées. Les lois sectorielles peuvent également être applicables aux entités des secteurs réglementés tels que les services financiers et les télécommunications . Veuillez consulter ici pour un résumé détaillé du régime de protection des données en Inde.

Le gouvernement indien a fait un certain nombre de tentatives pour introduire une loi complète sur la protection des données. Par exemple, il avait précédemment proposé une facture de protection des données, 2021 (“2021 Draft Bill”) qui avait des similitudes avec le règlement général sur la protection des données (“RGPD”).

Ce projet de loi de 2021 a maintenant été retiré et a été remplacé par le nouveau projet de loi. Ce projet de loi a été rédigé comme une loi entièrement nouvelle et semble être à la fois adapté au gouvernement et aux entreprises; Ce n’est pas une itération du projet de loi de 2021. Le projet de loi remplacera l’article 43A de la loi sur l’informatique et les règles SPDI.

Contour du projet de loi

Le projet de loi commence par un certain nombre de concepts qui sont largement similaires à ceux du RGPD. Il régit les fiduciaires de données (i.e., contrôleurs de données), processeurs de données et directeurs de données (i.e., Sujets de données).

Il est applicable au traitement des données personnelles numériques, i.e., Informations relatives à une personne qui peut identifier cette personne, où les données sont collectées en ligne ou sont numérisées une fois qu’elle est collectée hors ligne.

Le projet de projet de loi de 2021 contenait une délimitation complexe de données personnelles dans des données personnelles sensibles ou critiques, et une hiérarchisation d’un fiduciaire de données’s obligations sur la base du type de données personnelles traitées. Cela a été supprimé avec. En outre, ‘données non personnelles’ a été retiré du champ du projet de loi, qui est un changement bienvenu.

Motifs de traitement – objectif légal et consentement

Le traitement des données personnelles devrait être conforme au projet de loi à des fins légales, je.e., un but non expressément interdit par la loi.

Le consentement reste un terrain clé pour le traitement des données personnelles mais, comme indiqué ci-dessous, est un concept très différent pour consentir sous le RGPD. Les fiduciaires de données doivent fournir un avis clair et détaillé (avec une description des données personnelles recherchées et le but de la collecte de ces données) aux directeurs de données concernés pour demander leur consentement.

Le projet de loi a une large conception du consentement. En plus du consentement express / affirmatif, il reconnaît ‘ consentement jugé’, dont le champ semble être très large. Alors que le consentement affirmatif doit être libre, spécifique, informé et sans ambiguïté et peut être retiré, ‘consentement jugé’ n’a pas besoin de personnes’ action positive et n’attire aucune obligation d’avis. On ne sait pas non plus comment le retrait de ‘consentement jugé’ travaillerait.

Le projet de loi répertorie les situations où ‘consentement jugé’ peut être invoqué sur y compris:

• les données fournies par rapport à des fins juridiques ou judiciaires;
• données fournies en relation avec les urgences médicales et les services de santé;
• données fournies en relation avec la rupture de l’ordre public;
• les données fournies en ce qui concerne l’emploi, qui comprend la prévention de l’espionnage d’entreprise, le maintien de la confidentialité, le recrutement et la résiliation et la fréquentation et l’évaluation de la performance; et
• Lorsque les données sont traitées dans l’intérêt public. Cela comprend les données traitées en relation avec les fusions et acquisitions et les transactions de restructuration des entreprises, la notation du crédit, la prévention de la fraude, etc. ou à des fins équitables et raisonnables ‘comme peut être prescrit’.

Obligations des fiduciaires de données

Les principales obligations des fiduciaires de données comprennent:

• employer des mesures pour se conformer au projet de loi;
• assurer l’exactitude et l’exhaustivité des données personnelles;
• utiliser des garanties de sécurité raisonnables pour éviter les violations de données;
• Supprimer les données personnelles des enregistrements une fois l’objectif rempli, à moins que la rétention ne soit légalement requise; et
• employant un mécanisme de réparation des griefs.

Le projet de loi définit les enfants comme toute personne de moins de 18 ans et nécessite un consentement parental vérifiable pour traiter les données personnelles des enfants.

Les entreprises peuvent être désignées comme ‘fiduciaires de données importantes’, Sur la base de facteurs tels que le volume et la sensibilité des données personnelles traitées, le risque de préjudice pour les directeurs de données et l’impact potentiel sur l’Inde’S Sécurité et ordre public. Ces ‘fiduciaires de données importantes’ sont soumis à des obligations supplémentaires telles que la réalisation d’audits périodiques et les évaluations d’impact sur la protection des données et la nomination d’un auditeur de données indépendant et d’un agent de protection des données.

Les organisations qui traitent régulièrement de volumes importants de données personnelles (banques, sociétés de télécommunications, compagnies d’assurance, hôpitaux) sont susceptibles de tomber dans cette catégorie, bien que contrairement au projet de loi de 2021, les plateformes de médias sociaux ne sont pas spécifiquement identifiées comme ‘fiduciaires de données importantes’ .

Droits et devoirs des directeurs de données

• le droit d’informations telles que le statut de traitement des données personnelles, le résumé des données traitées et les noms des entreprises avec lesquelles leurs données personnelles ont été partagées;
• le droit de nomination de tout autre individu, en cas de mort ou d’incapacité;
• Le droit de correction et d’effacement, qui comprend les données fiduciaires’s Deurt de corriger les données inexactes / trompeuses, de compléter les données incomplètes, de mettre à jour les données personnelles et d’effacer les données après l’efficacité de l’objectif; et
• Le droit de réparation des griefs devant le Conseil de protection des données de l’Inde ou les fiduciaires de données.

Exceptionnellement, le projet de loi impose également des tâches aux directeurs de données (individus). Ils peuvent être soumis à des pénalités jusqu’à 10 000 INR pour la non-conformité, une disposition unique qui semble avoir été introduite pour empêcher les plaintes frivoles .

Localisation des données et transferts de données transfrontaliers

Bien que le projet de loi n’impose pas spécifiquement le stockage des données personnelles numériques au sein de l’Inde, les exigences de localisation des données en vertu d’autres lois (E.g., imposé par la Reserve Bank of India sur les banques et autres fournisseurs de services de paiement) continuera de postuler.

De plus, en vertu du projet de loi, les transferts de données transfrontaliers sont autorisés aux juridictions que le gouvernement indien ‘peut prescrire’. Par conséquent, il semble que les transferts de données ne seront autorisés qu’aux pays qui relèvent d’une liste blanche du gouvernement.

UN ‘Digital par design’ et un conseil d’administration indépendant, bien que nommé par le gouvernement, de la protection des données de l’Inde, composé d’un président, d’un chef de la direction, de membres et d’autres officiers et d’employés, sera établi par une notification gouvernementale, pour assurer la conformité et pénaliser la non-conformité.

Le conseil a le pouvoir de mener des demandes de renseignements, entre autres, SUO moto plaintes ou plaintes de personnes touchées / références du gouvernement et émettre des ordres. Ces ordonnances peuvent être examinées plus en détail par le conseil d’administration ou faire appel devant les hautes cours concernées. Le conseil peut également recommander des processus alternatifs de règlement des différends et peut arrêter sa procédure en acceptant des entreprises volontaires de violer les entités.

Bien que le quantum de pénalités pour B des traces et la non-conformité du projet de loi soit élevé (plafonné à 500 crores INR, ce qui représente environ 60 millions d’euros), les pénalités ne sont pas liées au chiffre d’affaires mondial de l’entité, comme dans le cas du GDPR et le projet de loi de 2021. Un autre changement bienvenu a été la suppression des sanctions pénales. La capacité des directeurs de données affectées à réclamer une indemnité a également été supprimée.

Les entités de l’État sont exemptées de l’obligation de ne pas conserver les données même après l’atteinte de l’objectif et peuvent également être exemptées des dispositions du projet de loi par le gouvernement indien dans l’intérêt de l’État’S sécurité, souveraineté et intégrité ou pour maintenir l’ordre public .

Certaines entreprises peuvent également être exemptées par le gouvernement indien de certaines obligations spécifiées. En outre, de nombreuses obligations des fiduciaires de données ne s’appliquent pas lorsque le traitement est nécessaire (i) à des fins judiciaires / quasi-judiciaires par les tribunaux ou les tribunaux, (ii) pour l’application du droit / réclamation juridique, ou (iii) en relation avec la prévention d’une infraction.

Quoi de suivi

Le projet de loi devrait être déposé devant le Parlement de l’Inde lors de sa session budgétaire de 2023 et devra être adopté par les deux chambres du Parlement indien et averti dans la Gazette officielle avant de devenir la loi. Même après la promulgation, le projet de loi est susceptible d’être mis en œuvre de manière progressive sur une certaine période. Le gouvernement indien établira également des règles pour effectuer les dispositions du projet de loi.

Veuillez consulter ici pour un article détaillé sur le résumé des modifications clés proposées dans le projet de loi.

Par Deepa Christopher, partenaire, et Anindita Dutta, associée, chez Talwar Thakore & Associates, un principal cabinet d’avocats indien.