Décryptage de la loi indienne de 2023 sur la protection des données personnelles numériques (DPDP)

23-05-2024 | 7 lecture minimale | Conformité au RGPD, Tendances informatiques

La confidentialité des données est par essence l’un des aspects les plus cruciaux d’une organisation. Savoir quelles données stocker, comment les stocker en toute sécurité, protéger les données des clients contre les menaces, etc., fait partie de la liste de contrôle stratégique d’une organisation. Heureusement, plusieurs lois sur la protection des données et de la vie privée permettent de garantir l’utilisation correcte et l’intégrité des données. Par exemple, l’UE dispose du Règlement général sur la protection des données (RGPD), le CCPA aux États-Unis, la Loi 25 au Canada et, très récemment, la Loi sur la protection des données personnelles numériques (DPDP) en Inde.

Dans le paysage numérique actuel, qui évolue rapidement et où la plupart des transactions financières sont numérisées en Inde, la loi sur la protection des données personnelles numériques constitue une avancée majeure, car elle protège le droit à la vie privée des individus tout en encourageant des pratiques responsables de gestion des données. En fait, la loi reconnaît l’importance croissante de la protection des données à caractère personnel et vise donc à établir un équilibre entre les droits d’un individu et les exigences d’une organisation en matière de traitement licite des données.

En termes simples, la loi de 2023 sur la protection des données personnelles numériques (DPDP) s’applique à tout traitement de données personnelles numériques en Inde, qu’elles soient collectées en ligne ou hors ligne et ensuite numérisées. La loi s’applique également à tout traitement de données numériques à caractère personnel en dehors de l’Inde s’il implique des offres de biens ou de services aux donneurs d’ordre sur le territoire indien.

L’objectif principal de la loi sur le RGPD est de réglementer le traitement des données numériques à caractère personnel tout en respectant le droit des personnes à protéger leurs données, en reconnaissant le caractère essentiel du traitement et leur utilisation à des fins légitimes. Le langage utilisé dans la documentation officielle de la loi est simple et direct, ce qui garantit une compréhension transparente et efficace pour tous. La loi sur la protection des données personnelles numériques vise également à mettre en place un cadre juridique complet qui contribuera à régir la protection des données en Inde.

Il est intéressant de noter que la loi indienne sur le DPDP façonne et rationalise le processus de gestion des données. Il est donc impératif que les organisations supervisent la mise en œuvre de la loi sur la protection de la vie privée, la gouvernance des données et l’amélioration afin de garantir de meilleures opérations.

Ce qui relève du PDD
Ce qui relève du PDD

L’un des facteurs relevant de la loi sur la protection des données personnelles numériques est le Significant Data Fiduciary (SDF), que le gouvernement indien identifiera en fonction du volume et de la sensibilité des données personnelles traitées, ainsi que des risques associés. Le SDF prévoit certaines obligations spécifiques, notamment la désignation d’un délégué à la protection des données (DPO) basé en Inde, un auditeur de données indépendant et des évaluations fréquentes de l’impact sur la protection des données (DPIA).

La loi sur la protection des données personnelles numériques donne plus de pouvoir aux citoyens indiens, notamment à travers les droits suivants :

Les individus auront le droit de demander plus d’informations sur le traitement et l’utilisation de leurs données. En effet, le Significant Data Fiduciary (SDF) rendra ces informations plus visibles et les documentera de manière beaucoup plus compréhensible.

La loi sur la protection des données personnelles numériques rend plus favorable et plus facile pour les individus la correction des inexactitudes ou des informations incomplètes dans leurs données personnelles. Cela dit, la loi donne également aux individus le droit d’effacer les données qui ne sont plus nécessaires au traitement.

L’une des principales caractéristiques de la loi sur le DPDP est qu’elle donne aux individus le droit de déposer des plaintes. Selon la loi, les individus auront le droit d’utiliser tout moyen facilement disponible pour enregistrer leurs griefs, problèmes, etc. auprès d’un fiduciaire de données.

Enfin, le droit de désignation prévu par la loi permet aux individus de désigner toute autre personne pour exercer la protection des données en cas d’incapacité ou de décès.

L’une des caractéristiques importantes de la loi sur la protection des données numériques à caractère personnel est la clause de sanction. Des sanctions pouvant aller jusqu’à 250 milliards INR sont prévues en cas de non-respect des dispositions par les fiduciaires de données. Parmi les cas dans lesquels des sanctions peuvent être imposées, on peut citer :

  • Tout manquement au devoir des responsables des données peut entraîner une amende de 10 000 INR.Tout manquement aux obligations supplémentaires relatives aux enfants peut entraîner une amende de 200 millions INR.Tout manquement à l’obligation de notifier la commission de protection des données et les responsables des données concernés en cas de violation de données à caractère personnel peut entraîner une amende pouvant aller jusqu’à 200 millions INR.

La loi sur la protection des données personnelles numériques exclut les données personnelles non automatisées, les données personnelles hors ligne et les données personnelles qui existent depuis au moins 100 ans. En outre, la limite maximale de la pénalité de 500 milliards INR a également été supprimée.

Par ailleurs, le délai de 72 heures dans lequel une violation de données doit être signalée aux autorités a également été exclu. En outre, à l’heure actuelle, la loi ne prévoit pas de calendrier spécifique pour la mise en œuvre des droits de recours et des droits des personnes concernées.

La loi sur la protection des données personnelles numériques devrait avoir un impact sur les principaux secteurs organisationnels tels que la sécurité de l’information, l’informatique, le juridique, les ventes et le marketing, les ressources humaines, la finance et les achats, pour n’en citer que quelques-uns. Cela s’explique par le type et le volume de données à caractère personnel collectées, stockées, traitées, conservées et éliminées en Inde. Par conséquent, les organisations des secteurs susmentionnés, ainsi que celles qui y sont liées, doivent élaborer une politique solide et efficace en matière de confidentialité et de protection des données en gardant à l’esprit la loi sur le RGPD de 2023.

Le fait est qu’environ 70 % des transactions commerciales mondiales s’effectuent par l’intermédiaire de SAP ; la majorité des organisations utilisent des systèmes SAP, y compris en Inde, ce qui souligne l’importance d’aligner la protection de la vie privée dans SAP sur la loi sur le RGPD. Voici quelques éléments clés du DPDP que les organisations utilisant des systèmes SAP doivent respecter :

Utilisation légale des informations : Les organisations indiennes doivent s’assurer qu’elles respectent les règles de protection des données personnelles numériques lorsqu’elles traitent des informations personnelles individuelles, comme l’obtention d’une autorisation claire, l’utilisation des informations uniquement pour des raisons légales et authentifiées, etc.

Sécurité des données : Conformément aux règles de la loi sur le RGPD, les organisations prennent des mesures pour protéger les informations personnelles contre l’accès, la modification, le partage et la destruction sans le consentement ou l’autorisation de l’intéressé. Les systèmes SAP disposent de plusieurs fonctionnalités intégrées qui peuvent aider les entreprises à garantir la sécurité des données.

Droits de l’individu sur l’information : Étant donné que le droit à l’information et le droit à la rectification sont deux des principales caractéristiques de la loi sur la protection des données personnelles numériques, les organisations doivent prendre des mesures pour veiller à ce que les personnes puissent voir les informations qui sont stockées, corriger les erreurs dans leurs données et effacer les données qui ne sont plus nécessaires.

Garantir la conformité au RGPD
Garantir la conformité au RGPD

Voici ce que les entreprises peuvent faire pour préparer leurs systèmes SAP à la conformité au RGPD :

Trouvez toutes les informations : Identifiez et documentez toutes les informations personnelles stockées dans les systèmes SAP, y compris leur origine, la raison pour laquelle ces données sont utilisées et leur conformité à l’usage légal.

Vérifiez comment les informations sont utilisées : En tant qu’organisation, il est impératif d’examiner l’utilisation des informations et la manière dont elles sont traitées dans SAP, afin de s’assurer qu’elles respectent les règles du RGPD, telles que l’obtention du consentement, l’utilisation du minimum d’informations nécessaires et leur traitement à des fins spécifiques.

Respecter les règles: Appliquez les règles de suppression des données ou les règles de conservation légale dans les systèmes SAP, selon les besoins, afin de garantir le respect de la confidentialité des données au sein du système.

Renforcer la sécurité des données : Une autre étape consiste à mettre en place des mesures de sécurité robustes au sein de SAP pour protéger les informations contre les accès non autorisés, les violations ou les utilisations abusives.

Former les employés : Formez les collaborateurs qui utilisent SAP et traitent des informations personnelles, afin qu’ils comprennent et respectent les règles et les meilleures pratiques du RGPD.

La loi sur le DPDP témoigne de l’engagement de l’Inde en faveur de la protection des données et de la vie privée à l’ère numérique. En s’adaptant aux changements réglementaires, les organisations ouvrent la voie à un avenir où les données ne sont pas seulement protégées, mais utilisées de manière responsable pour stimuler l’innovation et améliorer les conditions de vie.

Outre la loi indienne sur la protection des données personnelles numériques, il existe d’autres lois sur la confidentialité des données, telles que le GDPR, la loi 25, etc.

Dans les prochains blogs, nous en parlerons en détail. Restez à l’écoute pour d’autres articles de blog dans le cadre de notre série sur la confidentialité des données.

D’ici là, si vous avez des questions sur la gestion du volume de données, vous pouvez contacter nos experts ici !