Conformité du RGPD: ici’s ce que les entreprises indiennes devraient savoir

Dans cet article, je fournirai un résumé du règlement général sur la protection des données (RGPD) et mettrai en évidence les points clés que les entreprises indiennes devraient être conscientes.

1. Le RGPD s’applique aux organisations indiennes: Bien que le RGPD soit un droit européen, il s’applique aux organisations indiennes qui fournissent des biens ou des services aux personnes de l’Union européenne (UE) ou surveillent leur comportement au sein de l’UE.
2. Rôles de contrôleur et de processeur: Les organisations indiennes peuvent soit agir en tant que contrôleur (déterminer comment et pourquoi les données doivent être traitées) ou un processeur (traitement des données au nom d’un contrôleur).
3. Protection des données personnelles: Le RGPD protège les données personnelles des sujets de données de l’UE, notamment le nom, l’e-mail, l’adresse, l’adresse IP, etc. Une protection plus stricte est accordée aux données de catégorie sensible telles que les opinions politiques, les croyances religieuses, etc.
4. Obligations de conformité du RGPD: Les organisations indiennes relevant de l’étendue du RGPD doivent fournir de nouveaux droits aux sujets de données de l’UE, y compris le droit d’être oublié, le droit d’effacement, le droit de rectifier les données et le droit à la portabilité des données.
5. Obligations pour les contrôleurs: Les contrôleurs doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la conformité du RGPD. Cela comprend avoir des politiques de protection des données, une pseudonymisation, un chiffrement et une confidentialité par conception.
6. Exigences contractuelles: Le contrat entre les contrôleurs et les processeurs pour le traitement des données personnelles doit intégrer les exigences du RGPD.
7. Représentant local et protection des données: Les organisations indiennes en dehors de l’UE peuvent avoir besoin de désigner un représentant local et un agent de protection des données, ce qui ajoute aux frais de conformité.
8. Consentement clair et explicite: Le consentement recherché sur les sujets de données doit être clair et explicite. Les boîtes de consentement pré-tisées ou le consentement implicite ne sont pas suffisants en vertu du RGPD.
9. Tenue de dossiers: Les organisations employant plus de 250 personnes doivent maintenir des dossiers.
dix. Notification de violation des données: Les violations de données doivent être signalées aux autorités dans les 72 heures et aux sujets de données sans aucun délai excessif.
11. Transfert de données transfrontalières: Les transferts de données à des tiers ou aux pays doivent répondre aux exigences d’adéquation du RGPD. L’Inde n’est actuellement pas un pays avisé.
12. Pénalités pour la non-conformité: Le non-respect du RGPD peut entraîner des sanctions importantes. Les amendes monétaires peuvent représenter jusqu’à 4% du chiffre d’affaires annuel dans le monde ou 20 millions d’euros.
13. Le risque de réputation: Les organisations non conformes sont également confrontées à des risques de réputation et à la perte potentielle des clients de l’UE.
14. Confidentialité à l’ère numérique: La confidentialité est devenue une priorité à l’ère numérique, comme l’ont démontré des controverses récentes comme le scandale Facebook-Cambridge Analytica.
15. Actions immédiates pour la conformité: Les organisations indiennes devraient évaluer les données personnelles, examiner les politiques et les contrats de confidentialité, garantir que le consentement est obtenu, activer les nouveaux droits des sujets de données et avoir des procédures pour détecter, signaler et étudier les violations de données.

Remarque: Cet article est basé sur mes expériences et observations personnelles et ne constitue pas des conseils juridiques. Il est essentiel pour les entreprises indiennes de consulter des professionnels du droit pour des conseils spécifiques sur la conformité du RGPD.

Conformité du RGPD: ici’s ce que les entreprises indiennes devraient savoir

Notes de bas de page

RGPD: Voici ce que les entreprises indiennes doivent savoir

Le règlement général sur la protection des données en tant que terme est désormais connu de la plupart des organisations indiennes traitant des données personnelles. Le RGPD, ou le règlement général sur la protection des données est la nouvelle loi sur la vie privée de l’Union européenne (UE), qui entrera en vigueur le 25 mai 2018. Le RGPD s’applique-t-il aux organisations indiennes? Oui. Bien que le RGPD soit un droit européen, il s’appliquera à une organisation indienne si cette organisation fournit des biens ou des services aux personnes de l’Union européenne (UE).e. Les données de l’UE sont des sujets ou surveillent leur comportement dans l’UE. Une organisation indienne peut soit agir comme contrôleur (je.e. déterminer comment et pourquoi les données doivent être traitées) ou un processeur (i.e. traiter les données au nom d’un contrôleur). Le RGPD a prescrit des obligations et des pénalités spécifiques dans les deux cas. Le RGPD protège ‘données personnelles’ des sujets de données de l’UE tels que le nom, le courriel, l’adresse, l’adresse IP, les données de localisation, les données génétiques et biométriques, les identifiants en ligne, etc. Ces données pourraient être des employés, des clients, des vendeurs ou des partenaires commerciaux d’une organisation. Une protection plus stricte est accordée aux données de catégorie sensible, telles que les opinions politiques, les croyances religieuses, l’adhésion aux syndicats, l’origine raciale ou ethnique, etc. Ce que les organisations indiennes doivent faire pour la conformité du RGPD? Les organisations indiennes tombant dans le cadre du RGPD devront fournir de nouveaux droits aux sujets de données de l’UE à l’avenir. Ceux-ci incluent: le droit d’être oublié, le droit d’effacer les données personnelles, le droit de rectifier les données, le droit à la portabilité des données, etc. Le RGPD a prescrit des obligations et des responsabilités détaillées pour les contrôleurs et les processeurs. Certains critiques incluent: le contrôleur devra désormais mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir et démontrer qu’il est conforme au RGPD, comme les politiques de protection des données appropriées, la pseudonymisation, le chiffrement, la confidentialité par conception et la confidentialité de la défaut au moment du développement et de la mise en œuvre des produits, etc. Le contrat entre le contrôleur et le processeur pour le traitement des données personnelles devra intégrer les exigences du RGPD; Les contrôleurs et les processeurs en dehors de l’UE devront désigner un représentant local dans l’UE et un responsable de la protection des données, dans certains cas, qui sera une conformité et des coûts supplémentaires pour les entreprises indiennes; Le consentement recherché par les contrôleurs des sujets de données doit être clair et explicite. Les boîtes de consentement pré-tisées / le consentement implicite ne fonctionneront pas en vertu du RGPD. Les opt-out doivent être explicites; Dossiers à maintenir si une organisation emploie plus de 250 personnes; Notification de violation des données aux autorités dans les 72 heures et aux sujets de données sans aucun délai excessif; Les transferts de données transfrontaliers avec des tiers / pays devront satisfaire un niveau de protection adéquat en tant que RGPD. L’Inde n’est pas encore un pays avisé. Quelles sont les pénalités et les risques de non-conformité? Les pénalités sont importantes en vertu du RGPD. Pour la non-conformité aux exigences de consentement des clients, les droits des données (discutés ci-dessous), les exigences de transfert de données transfrontalières, etc. La sanction monétaire pourrait être plus élevée de: 4% du chiffre d’affaires annuel mondial au cours de l’exercice précédent ou de 20 millions d’euros. Pour les non-conformes par le contrôleur et les processeurs de leurs obligations en vertu du RGPD, les amendes pourraient être plus élevées: 2% du chiffre d’affaires annuel dans le cadre de l’exercice précédent ou 10 millions d’euros. Ceux-ci pourraient avoir des implications financières importantes pour toute organisation faisant des affaires en Europe. De plus, là’s également le risque de réputation et le risque de perdre des clients / clients de l’UE si une organisation indienne n’est pas conforme au RGPD. Les principaux points à retenir pour les organisations indiennes La vie privée a pris le devant de la scène à l’ère numérique, comme cela est évident de la récente controverse de Facebook -Cambridge Analytica. L’UE est un marché important pour l’industrie informatique indienne / BPO / technologie. Par conséquent, la conformité au RGPD a pris la priorité pour toutes les organisations indiennes ayant des affaires dans l’UE. Avec le 25 mai approchant, si ce n’est pas déjà fait, les entreprises indiennes peuvent évaluer les conformes suivantes pour les conformes immédiates: effectuer une évaluation des données personnelles dans leurs systèmes, examiner les politiques de confidentialité et les contrats pour s’assurer qu’ils sont conformes au RGPD; Évaluer la source des données de l’UE, comment elles sont stockées, si des mesures de sécurité sont en place; Évaluer si le consentement conformément aux exigences du RGPD a été pris pour la collecte de données personnelles; Sinon, il faut tendre la main immédiatement et se procurer des consentements avant le 25 mai 2018; Assurez-vous que vous disposez de systèmes pour activer les nouveaux droits de sujets de données des individus, y compris la façon dont vous supprimeriez des données personnelles; Assurez-vous que vous avez des procédures adéquates pour détecter, signaler et étudier une violation de données.(Par Anshul Prakash, partenaire, et Shweta Dwivedi, associée principale, Khaitan & Co)

Chez MoneyControl, nous utilisons des cookies et d’autres technologies de suivi pour vous aider dans la navigation et déterminer votre emplacement. Nous capturons également des cookies pour obtenir vos commentaires, analyser votre utilisation de nos produits et services et fournissons du contenu de tiers. En cliquant sur «J’accepte», vous acceptez l’utilisation des cookies et d’autres technologies de suivi. Pour plus de détails, vous pouvez vous référer à notre politique de cookie.

* Nous collectons des cookies pour le fonctionnement de notre site Web et pour vous offrir la meilleure expérience. Cela comprend certains cookies essentiels.

Cookies de tiers qui peuvent être utilisés pour la personnalisation et déterminer votre emplacement. En cliquant sur «J’accepte», vous acceptez l’utilisation des cookies pour améliorer votre expérience personnalisée sur notre site. Pour plus de détails, vous pouvez vous référer à notre politique de cookie

* J’accepte la politique de confidentialité mise à jour et je garantis que j’ai plus de 16 ans

J’accepte le traitement de mes données personnelles aux fins de recommandations personnalisées sur les produits financiers et similaires offerts par MoneyControl

Je suis d’accord sur des publicités personnalisées et tout type de remarketing / reciblage sur d’autres sites Web tiers

J’accepte de recevoir des communications marketing directes via des e-mails et des SMS

Veuillez sélectionner (*) toutes les conditions obligatoires pour continuer.

Introduction

Presque tous les jours, nous partageons nos données personnelles d’une manière ou d’une autre, comme, en réservant des billets de vol, des billets de cinéma, des réservations d’hôtel, de la connexion sur des sites Web de médias sociaux ou à des fins d’emploi. Mais vous êtes-vous déjà demandé ce qui arrive à ces données? Comment les entreprises utilisent-elles et traitent ces données? Pouvez-vous choisir de refuser la collecte ou le traitement de vos données? Pensez-vous que les entreprises doivent prendre votre consentement avant de décider quoi faire avec vos données personnelles?

Les pays du monde entier adoptent des lois sur la protection des données personnelles. Les statistiques de la CNUCED montrent que 66% des pays du monde ont une législation sur la protection des données. Le Règlement général sur la protection des données (RGPD) est une telle législation, promulguée en 2018 pour la protection des données personnelles de tous les États membres de l’Union européenne. L’Inde n’a pas encore adopté le projet de loi sur la protection des données connue sous le nom de projet de loi sur la protection des données personnelles (PDP), 2018 . Actuellement, les données personnelles sont protégées par les règles sensibles des données personnelles ou de l’information (SPDI) 2011 en vertu de la Loi sur les technologies de l’information, 2000 .

Malgré l’absence d’une loi spécifique sur la protection des données personnelles en Inde, il est extrêmement important de comprendre si le RGPD est applicable aux entreprises en Inde. Si oui, alors comment peuvent-ils y respecter?

Qu’est-ce que le RGPD et toutes les entreprises indiennes doivent se conformer?

Le RGPD est une législation complète qui vise à protéger le traitement et le mouvement des données personnelles des individus à l’intérieur et à l’extérieur de l’UE . Même s’il a été promulgué pour la protection des données personnelles de tous les États membres de l’Union européenne, l’impact du RGPD est mondial. De nombreux pays prennent plus au sérieux la confidentialité et la protection des données après la promulgation du RGPD. Les entreprises tentent de s’assurer qu’elles se conforment au RGPD et rédigent également la législation régionale conformément. Afin de comprendre ce règlement et son applicabilité, il est important de savoir qui est un processeur de données, un contrôleur de données et un sujet de données.

L’article 4 (7) définit ‘manette’ comme, une personne naturelle ou légale, l’autorité publique, l’agence ou un autre organisme qui détermine les objectifs et les moyens de traitement des données personnelles. UN ‘processeur’ D’un autre côté signifie une personne naturelle ou légale, une autorité publique, une agence ou un autre organisme qui traite des données personnelles au nom du contrôleur conformément à l’article 4 (8). Une personne concernée est appelée personne naturelle identifiée ou identifiable, selon le RGPD.

L’applicabilité du RGPD est discutée en vertu de l’article 3 du RGPD. Il est applicable sur:

• Tous les processeurs de données et contrôleurs de données sur le territoire de l’UE
• Tous les contrôleurs et transformateurs de données en dehors du territoire de l’UE qui offrent des biens ou des services dans l’UE, le profilage des individus dans l’UE
• Traitement des données personnelles dans le cadre des activités de l’une de ses succursales établies dans l’UE.

Pour assurer la protection des données personnelles des résidents des États membres de l’UE, le RGPD a également une applicabilité extraterritoriale. Cela signifie que l’étendue du RGPD s’étend aux nations, et non dans la juridiction de l’UE. Cependant, toutes les entreprises indiennes ne doivent pas se conformer au RGPD. Les entreprises indiennes qui proposent des biens ou des services dans l’UE, traitent toutes les données personnelles transférées de l’UE, ou le profilage des données personnelles des résidents de l’UE, doivent se conformer au RGPD.

Comment les entreprises indiennes devraient-elles respecter le RGPD?

Après avoir vérifié si le RGPD est applicable à votre entreprise en Inde, vous devez vous assurer ce qui suit:

1. Avoir une politique de confidentialité mise à jour:

Pour avoir une politique de confidentialité conforme au RGPD, les entreprises indiennes peuvent mettre à jour leur politique de confidentialité en incluant:

• Catégories de données personnelles collectées: La politique doit clairement énumérer le type de données personnelles et les catégories spéciales de données personnelles collectées, telles que le nom, l’identifiant de messagerie, l’adresse maison / travail, les croyances religieuses et politiques, etc.

• Utilisation des données personnelles: Le but et la base légale de collecte et de traitement des données doivent être clairement indiqués dans la politique. Il doit y avoir au moins une base licite pour collecter et traiter les données personnelles sur les six bases licites pour le traitement des données mentionnées en vertu de l’article 6 du RGPD.
• Consentement: Un consentement explicite, libre et sans ambiguïté doit être tiré des sujets de données pour traiter leurs données. Cela donne aux individus un réel choix et un contrôle sur leurs données et leur confidentialité.
• Droits des sujets de données: Les détails des demandes de traitement par la personne concernée concernant l’application de leurs droits qui incluent le droit de retirer son consentement, le droit de restreindre le contrôleur de données de traiter leurs données, le droit d’être oublié ou le droit de portabilité des données, comme le RGPD, sont nécessaires pour mentionner dans une politique / avis de confidentialité.

2. Sauvegarde des droits de la personne concernée:

Pour que toute entreprise indienne soit conforme au RGPD, il doit s’assurer qu’ils créent un mécanisme de demande de sujet de données pour protéger les droits de la personne concernée. Le chapitre 3 du RGPD est dédié aux droits de la personne concernée qui inclut le droit d’accéder aux données, le droit d’être oublié, le droit de restreindre les données d’être traitées, le droit des données sous le consentement explicite de la personne concernée, le droit de la portabilité des données et le droit de rectification.

3. Déterminer si vous êtes un contrôleur de données ou un processeur:

Les entreprises indiennes doivent savoir s’ils sont des contrôleurs de données ou des processeurs selon qu’ils décident de la façon dont les données sont utilisées ou du simple traitement des données. Le chapitre 4 du RGPD définit différentes obligations et responsabilités pour le contrôleur de données et le processeur de données. Le contrôleur de données est obligé de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et démontrer que le traitement est effectué conformément au présent règlement. Le contrôleur doit également examiner et mettre à jour ces mesures au fur et à mesure que cela devient nécessaire de le faire. Tandis que le processeur est tenu de mettre en œuvre les mesures susmentionnées au nom du contrôleur et ne peut engager aucun autre processeur sans le contrôleur de données’A autorisation, conformément à l’article 28 du RGPD.

4. Maintenir des enregistrements de traitement des données personnelles:

Chaque contrôleur de données et processeur qui compte plus de 250 employés est tenu de conserver un enregistrement des activités de traitement, selon l’article 30 du RGPD. Les enregistrements du traitement des données personnelles doivent contenir largement les éléments suivants:

• Nom du contrôleur de données ou du processeur.
• Objectif de la collecte des données.
• Type de données collectées.
• Catégories de sujets de données dont les données sont collectées.
• Noms des destinataires auxquels les données sont divulguées.
• Activités de traitement menées au nom du processeur.
• Documentation en cas de transfert de données personnelles des sujets de données à des tiers ou des organisations internationales.
• Des mesures de sécurité sont entreprises pour le traitement.

Ces dossiers doivent être entretenus par écrit ou sous forme électronique et doivent être mis à la disposition de l’autorité de surveillance sur demande.

5. Sécuriser le traitement des données personnelles:

Lors de la collecte et du traitement des données personnelles, il peut y avoir un risque énorme tel que la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou autrement traitées. Afin d’assurer la sécurité des données, le contrôleur et le processeur doivent mettre en œuvre des mesures techniques et organisationnelles qui comprennent:

• La pseudonymisation et le chiffrement des données personnelles.
• Maintenir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement.
• Mécanisme pour restaurer la disponibilité et l’accès aux données personnelles en temps opportun.
• Processus pour tester, évaluer et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles.

6. Évaluation de l’impact sur la protection des données:

Une évaluation de l’impact sur la protection des données est un moyen d’évaluer l’impact des activités de traitement sur la protection des données personnelles par le contrôleur de données avant de les traiter réellement. Il est obligatoire pour les entreprises qui utilisent un profilage systématique et étendu, ce qui affecte considérablement la personne naturelle, le traitement de la catégorie spéciale ou des données d’infraction pénale à grande échelle, ou surveiller systématiquement les lieux accessibles au public à grande échelle. Une évaluation de l’impact des données doit contenir les éléments suivants:

• Description systématique des activités de traitement et des objectifs du traitement
• une évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport aux objectifs;
• Une évaluation des risques aux droits et libertés des sujets de données
• Les mesures prises pour répondre aux risques, y compris les garanties, les mesures de sécurité et les mécanismes pour assurer la protection des données personnelles et pour démontrer le respect de ce règlement en tenant compte des droits et des intérêts légitimes des sujets de données et des autres personnes concernées.

7. Facile à lire la politique de confidentialité:

La politique de confidentialité doit être rédigée de manière à ce qu’elle puisse être facilement comprise par tous ceux qui peuvent ou non avoir une connaissance des lois sur la protection des données et la confidentialité. Il peut également être mis à disposition dans les langues locales où l’entreprise fonctionne.

Que se passe-t-il si les entreprises indiennes’t Consignez-vous au RGPD?

La non-respect des exigences du RGPD peut avoir d’énormes conséquences pour une entreprise. Il y a deux niveaux d’amendes administratives prélevées sur les entreprises pour non-conformité. Le niveau 1 comprend une amende de 10 millions d’euros ou 2% de l’entreprise’S Le chiffre d’affaires mondial annuel et le niveau 2 comprennent une pénalité monétaire de 20 millions d’euros ou 4% de la société’S RENSEIGNEMENT ANNUEL ANNUEL POUR LA NON CONFIFICATION DE PERSONDES DISPOSITIONS DE LA RÉGULATION COMME CONSÉRÉ SUR 83 (4) et 83 (5) du RGPD.

Le nombre total d’amendes pour la non-conformité du RGPD a augmenté de 2018 à 2021. En fait, les pénalités ont presque doublé jusqu’à 332 millions de dollars en janvier 2021. En 2019, Google avait été condamné à une amende de 55 millions de dollars par le régulateur français pour ne pas avoir divulgué correctement à leurs utilisateurs sur la collecte de leurs données pour les publicités personnalisées. Récemment, en octobre 2020, H&M avait été condamné à une amende de près de 41 millions de dollars pour avoir illégalement tenu des registres excessifs sur les familles, les religions et la maladie de sa main-d’œuvre. Ces informations ont été collectées par les chefs d’entreprise de H&M’s en Allemagne par des chats informels et a ensuite été utilisé pour évaluer leurs performances au travail et prendre des décisions d’emploi.

Cela montre comment certaines des grandes entreprises du monde ont été condamnées à non-respect des réglementations du RGPD. Les pénalités du RGPD sont énormes et auront un impact sur les entreprises indiennes en grande partie si elles ne respectent pas le RGPD, compte tenu de la taille de l’industrie informatique en Europe, qui est estimée à environ 155 à 220 milliards USD en Allemagne et en France seule.

Conclusion

La conformité au RGPD est extrêmement essentielle pour les entreprises indiennes qui sont en affaires avec leurs homologues de l’UE ou qui ont une présence dans l’UE pour éviter les amendes et les risques financiers pour l’entreprise. Alors que de plus en plus de personnes cherchent à contrôler leur confidentialité et leurs données personnelles utilisées par les grandes et petites organisations, le respect du RGPD rendra les organisations dignes de confiance, transparentes et responsables de leurs clients et clients.

Les références

• https: // www.spirimon.com / blog / GDPR-fines-augmente /
• https: // www.pwc.dans / consultant / cyber-sécurité / blogs / GDPR-What-it-means-for-indien-business.Sources HTML #
• https: // unctad.org / page / data-protection et privacy-legislation-worldwide

Étudiants Cours de Lawsikho produire régulièrement des missions d’écriture et travailler sur des exercices pratiques dans le cadre de leurs cours et se développer dans des compétences pratiques réelles.

Lawcikho a créé un groupe télégramme pour échanger des connaissances juridiques, des références et diverses opportunités. Vous pouvez cliquer sur ce lien et rejoindre:

Suivez-nous sur Instagram et abonnez-vous à notre chaîne YouTube pour un contenu juridique plus étonnant.

Règlement général sur la protection des données (RGPD) de l’UE

Comment le règlement aura un impact

Règlement général sur la protection des données (RGPD) de l’UE

Le RGPD de l’UE aurait-il un impact sur les organisations en Inde? En savoir plus sur la façon dont il a évolué et ce qui a changé par rapport à l’ancienne directive de protection des données de l’UE de 1995.

Afficher le rapport

Le RGPD de l’UE: un point de vue pour les organisations du secteur technologique

L’Europe est estimée à une opportunité de sous-traitance potentielle de 45 milliards de dollars pour les fournisseurs de services technologiques indiens. Être conforme au RGPD sera l’occasion pour les organisations informatiques de poursuivre de nouvelles voies dans la région de l’UE et pour renouveler les contrats existants.

Afficher le rapport

Le RGPD de l’UE: un point de vue pour les centres internes mondiaux en Inde

La réglementation de la protection des données de l’UE aurait un impact sur ‘organisations offrant des biens ou des services aux clients de l’UE’, ‘organisations qui surveillent le comportement (en ligne) des clients de l’UE’ et au cours de ces services, ces organisations accèdent / processus / hôte / stockage des données personnelles des clients de l’UE. Lisez une perspective pour les GIC en Inde.

Lire le rapport

Le RGPD de l’UE: un point de vue pour les opérations ERP et HRMS

Les organisations utilisent aujourd’hui diverses solutions ERP tout en traitant avec leurs partenaires commerciaux (E.g., employés, clients, vendeurs, etc.. Il est essentiel de comprendre lesquelles de ces sujets de données et les informations personnelles sont couvertes par le RGPD (comme informé de la section précédente).

Lire le rapport

Qu’en penses-tu?

Avez-vous trouvé cela utile? Oui Non

Recommandations

L’avenir du risque: dix tendances

Nouveau jeu, nouvelles règles

Content de te revoir

Vous n’êtes toujours pas membre? Rejoignez mon Deloitte

• Maison
• Localisateur de bureau
• Annuaire de bureau mondial
• communiqués de presse
• Soumettre la RFP
• Contactez-nous
• Deloitte India Alumni: Rejoignez-nous

Prestations de service

les industries

• Consommateur
• Énergie, ressources et industriels
• Services financiers
• Services gouvernementaux et publics
• Sciences de la vie et soins de santé
• Technologie, médias et télécommunications

Carrières

• Carrières de l’Inde
• La vie à Deloitte
• Recherche d’emploi
• Anciens
• Conseil pour les aspirants de carrière

© 2022 Deloitte Touche Tohmatsu India LLP. Voir les conditions d’utilisation pour plus d’informations.

Deloitte Touche Tohmatsu India Private Limited (U74140MH199 5PTC093339) Une société privée limitée par les actions a été convertie en Deloitte Touche Tohmatsu India LLP, un partenariat à responsabilité limitée (LLP Identification non. AAE-8458) avec effet à partir du 1er octobre 2015.

Deloitte fait référence à un ou plusieurs de Deloitte Touche Tohmatsu Limited, une société privée britannique Limited par Garantie (“Dttl”), son réseau d’entreprises membres et leurs entités connexes. DTTL et chacune de ses entreprises membres sont des entités légalement distinctes et indépendantes. DTTL (également appelé “Deloitte Global”) ne fournit pas de services aux clients. Veuillez voir www.deloitte.com / sur le point d’en savoir plus sur notre réseau mondial d’entreprises membres.

Cliquez ici pour accéder à Deloitte’S Principes mondiaux de conduite commerciale.

Cliquez ici pour accéder à un avis essentiel pour les aspirants de carrière.

Inde: RGPD vis-à-vis des lois sur la protection des données indiennes

La confidentialité, comme on le sait, est la plus grande préoccupation du monde entier. Est-ce un mythe, ou peut-il y en avoir réellement? C’est une question qui hante les citoyens du monde entier. Les entreprises profitent et vendent leurs produits, affirmant qu’elles assureront votre vie privée. Les législateurs essaient de se procurer des contrevenants en matière de données en définissant les lois. Pourtant, en raison de l’augmentation de l’innovation et de la technologie, il est devenu difficile de résoudre les problèmes concernant les violations et les violations.

Le RGPD et ses dispositions importantes

Le RGPD est un règlement qui régit la collecte et le traitement des informations personnelles et sensibles des citoyens dans l’UE. Le règlement place un mandat sur les entreprises qui fournissent des services dans l’UE ou via un intermédiaire pour savoir à leurs consommateurs de l’UE sur les données que le site Web collecte et traite et le contrôle réside dans les consommateurs eux-mêmes. Ces réglementations s’appliquent à chaque site Web opérationnel dans l’UE ou qui peuvent être accessibles par toute personne de l’UE, le site Web est basé.

Le règlement englobe les dispositions qui réglementent les informations personnelles qu’une entreprise peut collecter et comment peut-elle utiliser ces informations, contraignant ainsi les entreprises et terminant les chances pour les entreprises de tromper les consommateurs par le biais de plusieurs tactiques que les entreprises ont utilisées plus tôt.

Article 5.1 et 5.2 du règlement prévoit plusieurs principes qui sont les piliers en béton pour la protection des données via le RGPD, étant légal, transparent, précis, limitation du stockage des données, de la confidentialité, de la responsabilité, etc. sont des principes de tels. Le nouveau règlement a également reconnu plusieurs nouveaux droits pour les consommateurs de l’UE, étant le droit d’être informé, le droit de s’opposer, le droit de restreindre, etc.

RGPD et sa conformité

Toutes les sociétés qui opèrent dans l’UE et les stocks et traitent les informations privées des consommateurs de l’UE (citoyens) doivent se conformer au RGPD. Il inclut également les entreprises qui n’ont pas de présence dans l’UE, mais le site Web est accessible dans l’UE. Le RGPD crée une onus sur les sociétés suivantes pour la conformité de la loi:

1. Toute entreprise ayant un fonctionnement / présence dans l’UE.
2. .
3. La force des employés devrait dépasser 250.
4. Moins de 250 employés, mais son traitement des données affecte les droits et libertés des sujets de données, est en cours ou implique certaines données personnelles sensibles.

La conformité est donc pour chaque entreprise directement ou indirectement impliquée dans le stockage et l’utilisation des informations des citoyens de l’UE.

• Quelles sont les principales conformes auxquelles les entreprises doivent se conformer?

Il y a une norme que chaque entreprise éligible en vertu du RGPD doit se conformer. Il y a plusieurs conformes, certaines des principales conformité sont les suivantes:

1. Les visiteurs du site Web sont informés de la collecte de données.
2. En cliquant sur un bouton ou en prenant une autre mesure, les visiteurs consentent volontairement à cette collection d’informations.
3. Si l’une des données personnelles détenues par un site Web est jamais compromise, le site informe rapidement ses visiteurs.
4. Une évaluation de la sécurité des données du site Web est requise.
5. Si un employé actuel peut remplir ce rôle sans avoir besoin d’embaucher un responsable de la protection des données (DPO) dédiée. 1

Il existe différentes façons pour les entreprises de se conformer au RGPD. Auditer les données personnelles et maintenir un enregistrement de toutes les données qu’ils collectent et traitent sont quelques-unes des tâches cruciales. De plus, les entreprises doivent s’assurer que tous les visiteurs du site Web voient des notifications de confidentialité mises à jour et que tout problème de base de données est corrigé.

• Autorité de conformité pour les entreprises

Le contrôleur de données, le processeur de données et le responsable de la protection des données figurent parmi les rôles que le RGPD spécifie comme étant en charge de garantir la conformité (DPO). La personne qui contrôle comment et pourquoi les données personnelles sont traitées est connue sous le nom de contrôleur de données. Le contrôleur doit également s’assurer que les entrepreneurs externes suivent les règles.

Inde et RGPD – similitudes et différences

En Inde, la loi de 2000 sur les technologies de l’information (ci-après dénommée la loi informatique) et les règles des technologies de l’information, 2011 (ci-après dénommé les règles informatiques) régissent la protection des données en ligne. La loi a été promulguée pour fournir une reconnaissance juridique pour les transactions numériques du transfert de données électroniques et d’autres techniques de communication électronique 2 . La loi sur l’informatique prévoit des responsabilités criminelles et civiles pour un accès non autorisé à tout système informatique ou informatique en vertu de l’article 66 et de l’article 43 de la loi respectivement. L’amendement de l’année 2009 a amené les entreprises (corporal) sous le cadre et le fardeau a également été créé sur eux. 3

Similitudes et différences entre la loi sur l’informatique et le RGPD

1. L’acte informatique et le RGPD ont tous deux un objet pour contrôler et réguler le transfert de données pour le commerce électronique. D’un autre côté, le RGPD est plus soucieux de sauvegarder les citoyens de l’UE et leurs droits, mais il manque la même chose dans l’Indian IT Act.
2. Le RGPD et les règles informatiques en vertu de l’article 5 et de la règle 5 indiquent que:

1. La collecte de données doit être effectuée avec une justification légale.
2. La collection devrait être nécessaire pour atteindre l’objectif déclaré.

Cependant, les principes directeurs du RGPD s’appliquent au traitement des données. D’un autre côté, les principes décrits dans la Loi sur l’informatique s’appliquent à la collecte et à l’utilisation des informations. Le traitement n’est pas indiqué. L’intégrité des données, la protection contre le traitement non autorisé, la responsabilité, l’équité et la transparence sont parmi les principes énoncés dans le RGPD mais non inclus dans la loi informatique.

1. En vertu des règles informatiques et du RGPD, respectivement, le consentement du fournisseur d’informations ou de la personne concernée est requise pour la collecte et le traitement d’informations. Cependant, la loi informatique n’a pas de clause qui aborde directement la “légalité” du traitement, contrairement au RGPD. Le RGPD donne aux États membres le pouvoir de fixer des exigences de traitement spéciales et d’énumérer cinq conditions supplémentaires sur la nécessité du traitement. La loi informatique n’implique pas de telles exigences.
2. Les deux réglementations nécessitent le consentement avant la collecte des données et donne aux fournisseurs la possibilité de révoquer ce consentement.

Cependant, contrairement au RGPD, la loi informatique ne fait pas:

1. Définir le consentement
2. Spécifiez les conditions du consentement des enfants
3. Exiger que le contrôleur de données fournit des preuves de consentement.

1. Les deux règles classent l’orientation sexuelle, les informations sur la santé et les données biométriques comme des données sensibles. Des catégories de données personnelles sensibles supplémentaires qui ne sont pas couvertes par les deux réglementations sont définies par la loi informatique et le RGPD séparément.
2. Certaines dispositions de l’article 43A de la loi informatique s’alignent à peu près sur les droits du RGPD. Ce sont les droits à la rectification, à l’information et à révoquer le consentement.

L’acte informatique n’utilise pas le mot “droit” comme le RGPD. La loi informatique ne fait pas référence à certains droits significatifs énoncés dans le RGPD. Il s’agit notamment des droits pour accéder à des informations, pour limiter le traitement, la portabilité des données, l’opinion, la suppression et les droits concernant la prise de décision et le profilage automatisés. Le RGPD fournit des détails importants sur les droits. D’un autre côté, plusieurs de ces droits ne sont décrits que de manière lâche dans la loi informatique.

Voie à suivre et conclusion

Les décisions institutionnelles particulières que l’Inde prend concernant la protection des données devrait avoir un impact important sur l’économie du pays. Ces répercussions pourraient être directes (telles que des dépenses de conformité élevées) ou indirectes (l’étouffement potentiel de l’innovation et des pertes globales de productivité). Même si les chiffres numériques indiqués peuvent ne pas toujours être exacts sur l’Inde, ils montrent les différents effets qu’un règlement de confidentialité de données de style RGPD pourrait avoir sur différents segments de l’économie indienne.

Notes de bas de page

2 La loi sur les technologies de l’information 2000.

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Des conseils spécialisés doivent être recherchés sur votre situation spécifique.