Classification des données dans le cadre du projet de loi PDP : implications pour les startups
Publié: 2020-03-13Présenté au parlement en décembre 2019, le projet de loi PDP manque de clarté dans la catégorisation des données personnelles, personnelles sensibles et critiques
Avec une catégorisation aussi peu claire, cela menace non seulement d'exposer les utilisateurs à de plus grands risques pour la vie privée, mais également d'avoir un impact sur les activités de traitement des données des startups indiennes.
Actuellement, le projet de loi est examiné par un comité mixte de parlementaires
Présenté au Parlement le 11 décembre 2019, le projet de loi sur la protection des données personnelles (PDP) se veut la pierre angulaire de l'avenir de l'économie numérique indienne et de la protection de la vie privée de ses citoyens.
Cependant, sa catégorisation des données en tant que données personnelles (PD), données personnelles sensibles (SPD) et données personnelles critiques (CPD) ne correspond pas à cette attente. Les préoccupations découlent du manque de clarté quant aux données éligibles dans chaque catégorie, créant des incertitudes et des défis pour les entreprises qui n'ont pas la visibilité requise pour prendre les précautions nécessaires.
À son tour, une catégorisation peu claire des données expose les utilisateurs à des risques pour la vie privée en empêchant la détermination des contrôles de sécurité appropriés pour la protection des données. Les implications de cette catégorisation, en particulier sur les startups, doivent être soigneusement examinées alors qu'un comité mixte de parlementaires examine le projet de loi.
Une définition large des données personnelles sensibles
Un sous-ensemble de données personnelles SPD comprend des données financières, des données de santé, des données biométriques, des données génétiques, des données indiquant les convictions religieuses/politiques/l'orientation sexuelle ou le statut de caste/tribu. L'incertitude réglementaire créée par cette liste peut créer des défis, par exemple, traiter toutes les données financières/données révélant la caste ou la religion comme SPD peut attirer des restrictions supplémentaires sur les transferts transfrontaliers et le traitement des données.
Les « données financières » continuent d'être définies au sens large dans le cadre du projet de loi PDP. Par exemple, les noms collectés par des sociétés offrant des services financiers peuvent être classés dans la catégorie SPD. De plus, l'inclusion des identifiants de paiement nécessaires aux transactions peer-to-peer dans le champ des "données financières" obligerait les utilisateurs à se conformer aux obligations du SPD du projet de loi. Elle est également susceptible de poser des problèmes pour des opérations telles que la gestion des risques et la détection des fraudes. Par ailleurs, la prise en compte des données de santé et des données biométriques pose également problème.
A priori, la définition des données biométriques peut impacter les services d'assistance à commande vocale alors que les données de santé sont amenées à modifier les pratiques des startups proposant des services de diagnostic mais aussi celles proposant des conseils nutritionnels, parmi tant d'autres.
La classification SPD peut également avoir un effet peu pratique pour l'utilisation quotidienne d'informations accessibles au public telles que les noms de famille ou toute information révélant des informations politiques/religieuses. Par exemple, les entreprises exigent le consentement explicite d'un utilisateur pour traiter le SPD, ce qui signifie qu'elles devront l'informer des conséquences du traitement de ses données en plus des exigences régulières de notification et de consentement.
Recommandé pour vous:
Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde
Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...
Comment Metaverse va transformer l'industrie automobile indienne
Que signifie la disposition anti-profit pour les startups indiennes ?
Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...
Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...
Ainsi, dans un pays comme l'Inde, les entreprises recueillant le nom d'un individu qui révèle sa caste/religion seraient obligées de se conformer à toutes les exigences du SPD en vertu du projet de loi. D'un autre côté, raccourcir la liste des SPD sur le modèle du RGPD de l'UE ou même catégoriser les SPD sur la base du risque spécifique porté par la « finalité » du traitement peut atténuer ces préoccupations.
L'incertitude réglementaire peut rendre la conformité difficile
Le projet de loi PDP ne définit pas le CPD ni ne fournit de base pour cette classification. Il habilite également le gouvernement central à notifier de nouvelles catégories de DOCUP. Ces deux dispositions créent une incertitude réglementaire et rendent la conformité difficile. L'absence de critères clairs ne fait qu'aggraver cette incertitude, en particulier pour les petites entreprises qui s'inquiètent de la collecte d'un type de données qui n'a même pas été défini par la loi, mais qui est pourtant plus conforme.
Permettre au gouvernement central de spécifier le DPC sans directives spécifiques lui confère des pouvoirs excessifs qu'il n'a peut-être pas l'expertise nécessaire pour exercer. Le plus préoccupant est qu'il ne sera pas nécessaire de consulter l'autorité de protection des données (DPA) ou l'industrie dans le processus de classification, ce qui décourage gravement la prévisibilité des entreprises et suscite des inquiétudes quant à une utilisation abusive.
Toutefois, le fait de demander au gouvernement central de mener une consultation transparente de la DPA et de l'industrie avant de notifier le CPD (et les nouvelles catégories de DOCUP) peut répondre à ces préoccupations. Comme mes collègues l'ont écrit précédemment, une plus grande transparence dans l'élaboration des lois permet aux entreprises de planifier et d'être prêtes pour l'avenir, tandis que des processus législatifs opaques ont tendance à agir comme des barrières à l'entrée sur le marché, entraînant des litiges coûteux.
Restrictions sur les transferts transfrontaliers
La définition large du SPD entraîne pratiquement l'obligation de stocker presque tous les types de données en Inde. De plus, comme la plupart des données sont collectées et stockées sous la forme d'un ensemble de données mixte, composé à la fois de PD et de SPD, il ne sera pas pratique de séparer SPD ou PD de ces ensembles de données. Ces restrictions entraveront les opérations des startups qui ont besoin de partager des données avec des entités étrangères ou celles qui envisagent de se développer à l'échelle mondiale, ce qui peut réduire les marges bénéficiaires, réduire la productivité et nuire à la compétitivité.
Cependant, étant donné que le transfert de SPD est déjà réglementé, les restrictions de stockage local peuvent être diluées. De plus, étant donné que le projet de loi PDP autorise le transfert de données vers des pays « autorisés », les cadres de transfert de données bilatéraux et multilatéraux devraient être encouragés.
En conclusion, l'ambiguïté des définitions de SPD et de CPD, et les restrictions basées sur ces définitions, présentent une contrainte sérieuse pour les entreprises qui planifient leurs opérations commerciales et leurs mesures de conformité, ce qui à son tour entraîne une diminution de la confidentialité des utilisateurs. Au lieu de cela, pour atténuer la nature évolutive de la catégorisation existante, le projet de loi devrait permettre l'élaboration de critères clairs de classification basés sur une solide consultation de l'industrie.
En outre, les catégories supplémentaires de SPD et de CPD ne doivent être notifiées qu'après avoir recueilli les contributions des parties prenantes. Les approches consultatives sont susceptibles d'accroître la confiance et l'adhésion de l'industrie, d'instituer un régulateur bien informé et d'accroître la responsabilité globale.