La loi de 2023 sur la protection des données personnelles numériques (DPDP) a été officiellement promulguée le 11 août 2023, ce qui constitue une étape importante dans le paysage des droits numériques en Inde. Elle a été approuvée et adoptée par la Chambre basse du Parlement (Lok Sabha) et la Chambre haute du Parlement (Rajya Sabha), puis approuvée par le Président de l’Inde.
Avec la protection des données au cœur de ses préoccupations, la loi établit un cadre juridique en Inde, dédié à la protection des données personnelles de ses citoyens. La législation donne des pouvoirs aux individus, redéfinit les pratiques commerciales et introduit une nouvelle façon de traiter les données de manière responsable.
Table des matières
- Introduction
- La loi sur la protection des données personnelles numériques : Une vue d’ensemble
- Qu’est-ce qui relève de la loi sur la protection des données personnelles numériques ?
- Quelles sont les exclusions prévues par la loi sur la protection des données personnelles numériques ?
- Quels sont les secteurs et les industries qui seront touchés ?
- Loi sur la protection des données personnelles numériques et respect de la vie privée dans les systèmes SAP
- Se préparer à la mise en conformité avec le RGPD
Introduction
La confidentialité des données est par essence l’un des aspects les plus cruciaux d’une organisation. Savoir quelles données stocker, comment les stocker en toute sécurité, protéger les données des clients contre les menaces, etc. fait partie de la liste de contrôle stratégique d’une organisation. Heureusement, plusieurs lois sur la protection des données et de la vie privée permettent de garantir l’utilisation correcte et l’intégrité des données. Par exemple, l’UE dispose du Règlement général sur la protection des données (RGPD), le CCPA aux États-Unis, la Loi 25 au Canada et, très récemment, la Loi sur la protection des données personnelles numériques (DPDP) en Inde.
Dans le paysage numérique actuel, qui évolue rapidement et où la plupart des transactions financières sont numérisées en Inde, la loi sur la protection des données personnelles numériques constitue une avancée majeure, car elle protège le droit à la vie privée des individus tout en encourageant des pratiques responsables de gestion des données. En fait, la loi reconnaît l’importance croissante de la protection des données à caractère personnel et vise donc à établir un équilibre entre les droits d’un individu et les exigences d’une organisation en matière de traitement licite des données.
La loi sur la protection des données personnelles numériques : Une vue d’ensemble
En termes simples, la loi de 2023 sur la protection des données personnelles numériques (DPDP) s’applique à tout traitement de données personnelles numériques en Inde, qu’elles soient collectées en ligne ou hors ligne et ensuite numérisées. La loi s’applique également à tout traitement de données numériques à caractère personnel en dehors de l’Inde s’il implique des offres de biens ou de services aux donneurs d’ordre sur le territoire indien.
L’objectif principal de la loi sur le RGPD est de réglementer le traitement des données numériques à caractère personnel tout en respectant le droit des personnes à protéger leurs données, en reconnaissant le caractère essentiel du traitement et leur utilisation à des fins légitimes. Le langage utilisé dans la documentation officielle de la loi est simple et direct, ce qui garantit une compréhension transparente et efficace pour tous. La loi sur la protection des données personnelles numériques vise également à mettre en place un cadre juridique complet qui contribuera à régir la protection des données en Inde.
Il est intéressant de noter que la loi indienne sur le DPDP façonne et rationalise le processus de gestion des données. Il est donc impératif que les organisations supervisent la mise en œuvre de la loi sur la protection de la vie privée, la gouvernance des données et l’amélioration afin de garantir de meilleures opérations.
Qu’est-ce qui relève de la loi sur la protection des données personnelles numériques ?
Fiduciaire des données significatives (FSD)
L’un des facteurs relevant de la loi sur la protection des données personnelles numériques est le « Significant Data Fiduciary » (SDF), que le gouvernement indien identifiera en fonction du volume et de la sensibilité des données personnelles traitées et des risques qui y sont associés. Le SDF (Significant Data Fiduciary) prévoit certaines obligations spécifiques, notamment la désignation d’un délégué à la protection des données (DPO) basé en Inde, un auditeur de données indépendant et des évaluations fréquentes de l’impact sur la protection des données (DPIA).
Les droits des citoyens de l’Inde
En outre, la loi sur la protection des données personnelles numériques donnera plus de pouvoir aux citoyens indiens, comme le permettent les droits principaux des données.
Droit à l’information
Conformément à la loi, les individus auront le droit de demander plus d’informations sur le traitement et l’utilisation de leurs données. En effet, le Significant Data Fiduciary (SDF) rendra ces informations plus visibles et les documentera de manière beaucoup plus compréhensible.
Droit de rectification
La loi sur la protection des données personnelles numériques rend plus favorable et plus facile pour les individus la correction des inexactitudes ou des informations incomplètes dans leurs données personnelles. Cela dit, la loi donne également aux individus le droit d’effacer les données qui ne sont plus nécessaires au traitement.
Droit à la réparation des griefs
L’une des principales caractéristiques de la loi sur le DPDP est qu’elle donne aux individus le droit de déposer des plaintes. Selon la loi, les individus auront le droit d’utiliser tout moyen facilement disponible pour enregistrer leurs griefs, problèmes, etc. auprès d’un fiduciaire de données.
Droit de nomination
Enfin, le droit de désignation prévu par la loi permet aux individus de désigner toute autre personne pour exercer la protection des données en cas d’incapacité ou de décès.
Sanctions au titre de la loi sur le DPDP
L’une des caractéristiques importantes de la loi sur la protection des données numériques à caractère personnel est la clause de sanction. Des sanctions pouvant aller jusqu’à 250 milliards d’INR sont prévues en cas de non-respect des dispositions par les fiduciaires de données. Parmi les cas dans lesquels des sanctions peuvent être imposées, on peut citer –
- Tout manquement au devoir des responsables des données peut entraîner une amende de 10 000 INR.
- Tout manquement aux obligations supplémentaires relatives aux enfants peut entraîner une amende de 200 millions d’INR.
- Tout manquement à l’obligation de notifier la commission de protection des données et les responsables des données concernés en cas de violation de données à caractère personnel peut entraîner une amende pouvant aller jusqu’à 200 millions d’INR.
Quelles sont les exclusions prévues par la loi sur la protection des données personnelles numériques ?
La loi sur la protection des données personnelles numériques exclut les données personnelles non automatisées, les données personnelles hors ligne et les données personnelles qui existent depuis au moins 100 ans. En outre, la limite maximale de la pénalité de 500 milliards d’INR a également été supprimée.
Par ailleurs, le délai de 72 heures dans lequel une violation de données doit être signalée aux autorités a également été exclu. En outre, à l’heure actuelle, la loi ne prévoit pas de calendrier spécifique pour la mise en œuvre des droits de recours et des droits des personnes concernées.
Quels sont les secteurs et les industries qui seront touchés ?
La loi sur la protection des données personnelles numériques devrait avoir un impact sur les principaux secteurs organisationnels tels que la sécurité de l’information, l’informatique, le juridique, les ventes et le marketing, les ressources humaines, la finance et les achats, pour n’en citer que quelques-uns. Cela s’explique par le type et le volume de données à caractère personnel collectées, stockées, traitées, conservées et éliminées en Inde. Par conséquent, les organisations des secteurs susmentionnés, ainsi que celles qui y sont liées, doivent élaborer une politique solide et efficace en matière de confidentialité et de protection des données en gardant à l’esprit la loi sur le RGPD de 2023.
Loi sur la protection des données personnelles numériques et respect de la vie privée dans les systèmes SAP
Le fait est qu’environ 70 % des transactions commerciales mondiales s’effectuent par l’intermédiaire de SAP ; la majorité des organisations utilisent des systèmes SAP, y compris l’Inde, ce qui souligne l’importance d’aligner la protection de la vie privée dans SAP sur la loi sur le RGPD. Voici quelques éléments clés du DPDP que les organisations utilisant des systèmes SAP doivent s’assurer de respecter.
Utilisation légale des informations : Les organisations indiennes doivent s’assurer qu’elles respectent les règles de protection des données personnelles numériques lorsqu’elles traitent des informations personnelles individuelles, comme l’obtention d’une autorisation claire, l’utilisation des informations uniquement pour des raisons légales et authentifiées, etc.
Sécurité des données : Conformément aux règles de la loi sur le RGPD, les organisations prennent des mesures pour protéger les informations personnelles contre l’accès, la modification, le partage et la destruction sans le consentement ou l’autorisation de l’intéressé. Les systèmes SAP disposent de plusieurs fonctionnalités intégrées qui peuvent aider les entreprises à garantir la sécurité des données.
Droits de l’individu sur l’information : Étant donné que le droit à l’information et le droit à la rectification sont deux des principales caractéristiques de la loi sur la protection des données personnelles numériques, les organisations doivent prendre des mesures pour veiller à ce que les personnes puissent voir les informations qui sont stockées, corriger les erreurs dans leurs données et effacer les données qui ne sont plus nécessaires.
Se préparer à la mise en conformité avec le RGPD
Voici ce que les entreprises peuvent faire pour préparer leurs systèmes SAP à la conformité au RGPD :
Trouvez toutes les informations : Identifiez et documentez toutes les informations personnelles stockées dans les systèmes SAP, y compris leur origine, la raison pour laquelle les données sont utilisées et leur conformité à l’usage légal.
Vérifiez comment les informations sont utilisées : En tant qu’organisation, il est impératif d’examiner l’utilisation des informations et la manière dont elles sont traitées dans le SAP afin de s’assurer qu’elles respectent les règles du RGPD, telles que l’obtention du consentement, l’utilisation du minimum d’informations nécessaires et l’utilisation à des fins spécifiques.
Respecter les règles: Appliquez les règles de suppression des données ou les règles de conservation légale sur les systèmes SAP, selon les besoins, afin de garantir le respect de la confidentialité des données sur le système.
Renforcer la sécurité des données : Une autre étape consiste à renforcer les mesures de sécurité au sein de SAP afin de protéger les informations contre les accès non autorisés, les violations ou les utilisations abusives.
Former les employés : Formez les personnes qui utilisent SAP et traitent des informations à comprendre et à respecter les règles et les meilleures pratiques du RGPD.
La loi sur le DPDP témoigne de l’engagement de l’Inde en faveur de la protection des données et de la vie privée à l’ère numérique. En s’adaptant aux changements réglementaires, les organisations ouvrent la voie à un avenir où les données ne sont pas seulement protégées, mais utilisées de manière responsable pour stimuler l’innovation et améliorer les conditions de vie.
Outre la loi indienne sur la protection des données personnelles numériques, il existe d’autres lois sur la confidentialité des données, telles que le GDPR, la loi 25, etc. Dans les prochains blogs, nous en parlerons en détail. Restez à l’écoute pour d’autres articles de blog dans le cadre de notre série sur la confidentialité des données !
D’ici là, si vous avez des questions sur la gestion du volume de données, vous pouvez contacter nos experts ici !