Le projet de loi sur la protection des données personnelles 2018 (PDP Bill) est dans le domaine public et suscite de nombreux débats, critiques et commentaires de la part de diverses parties prenantes. Le projet de loi aura un impact considérable sur tous les aspects d'une entreprise, y compris la collecte, le traitement, le stockage et les transferts transfrontaliers de données.

Inc42, avec le cabinet d'avocats basé à Delhi Ikigai Law (anciennement TRA Law), entame un dialogue sur l'impact du projet de loi sur les startups. « Le dialogue : une table ronde » fournira une plate-forme pour faire entendre votre voix à ceux qui élaborent la politique et jouer un rôle actif dans l'élaboration de la façon dont ce projet de loi affectera l'écosystème indien.

Nous invitons toutes les startups, investisseurs et autres parties prenantes de l'écosystème startup indien à venir enrichir la table ronde.

Remplissez ce formulaire pour rejoindre la discussion

Les données sont suprêmes. Quelle que soit la technologie que vous exploitez - intelligence artificielle, IoT, blockchain, analyse de données volumineuses, solutions basées sur SaaS ou deeptech - si vous êtes une startup technologique en Inde, vous êtes probablement impliqué dans la collecte ou l'exploitation de données.

Dans le but de réglementer la manière dont les données des utilisateurs indiens doivent être gérées, traitées et transférées au-delà des frontières par des fiduciaires de données, un comité d'experts de 10 membres présidé par l'ancien juge de la Cour suprême BN Srikrishna a soumis le 27 juillet son rapport et un projet de protection des données personnelles Bill, 2018. Le comité a été précédemment chargé par le gouvernement central de créer un cadre complet pour la protection des données en Inde.

Le projet de loi PDP rend obligatoire la mise en miroir ou la localisation des données en direct (ce qui signifie qu'au moins une copie de toutes les données personnelles des utilisateurs doit être stockée en Inde), ce qui augmentera les coûts pour les entreprises. Les startups seront tenues de procéder à des examens périodiques de leurs pratiques de sécurité et des évaluations d'impact sur la protection des données.

Le projet de loi PDP prévoit également des sanctions sévères et même une liste d'infractions pénales non susceptibles d'être libérées sous caution et pouvant être reconnues pour violation de la loi et souhaite que tous les grands fiduciaires de données nomment des responsables de la protection des données.

En dehors de cela, il propose la création d'une autorité de protection des données (DPA) dotée de pouvoirs généraux pour traiter toutes les questions liées aux données dans le pays, ce qui pourrait entraîner la recréation de l'ancien «License Raj» dans le secteur de la technologie. .

Toutes ces dispositions sont susceptibles de décourager l'innovation et d'encourager l'ère du raj des licences.

Alors que la plupart des entreprises maintiennent une sorte de tirelire et sont capables d'embaucher des agents de protection des données pour faire face aux aspects juridiques, la plupart des startups indiennes fonctionnent avec «l'argent de la tirelire» collecté auprès de leurs investisseurs et n'ont pas de fonds à dépenser en permanence pour se conformer à la loi.

Alors, quelle est la voie à suivre pour les startups ? Quelles sont les étapes essentielles à franchir pendant la période de transition pour s'assurer qu'ils sont prêts lorsque le projet de loi sera mis en œuvre?

Nous permettrons aux partenaires de l'écosystème de discuter et de chercher les réponses.

Avec The Dialogue — A Roundtable on the draft Personal Data Protection Bill, Inc42 et Ikigai Law offrent une plate-forme aux parties prenantes pour discuter du projet de loi et de ses implications pour les startups indiennes.

Remplissez ce formulaire pour rejoindre la discussion

Localisation des données : « effet paralysant » sur les startups

Quel est le plus gros problème avec le projet de loi PDP pour les startups ? La localisation des données et les coûts induits pour les entreprises. Tuhina Joshi, associée, Ikigai Law explique que selon un rapport de McKinsey, 80 % des startups technologiques dans le monde sont « nées mondiales », utilisant des clients, des financements et des fournisseurs étrangers dès le premier jour. On estime que la coupure de l'accès aux services mondiaux d'informatique en nuage — par le biais de la localisation — obligera les entreprises locales au Brésil et dans l'UE à payer de 10,5 à 62,5 % de plus pour certains services d'informatique en nuage.

Elle ajoute : « L'application des exigences de localisation des données augmenterait considérablement les coûts opérationnels des startups, car elles devraient investir dans des centres de données locaux. Cela aurait un effet dissuasif sur l'innovation des startups amorcées en imposant une barrière d'entrée élevée pour les nouveaux entrants locaux dans un large éventail de secteurs sur le marché indien.

Alors que la localisation des données est largement considérée comme une couche supplémentaire de protection des données indiennes introduite par les groupes de réflexion pro-gouvernementaux, Pooja Sareen, rédactrice en chef, Inc42 Media, estime qu'un si grand pas ne peut être franchi simplement sous la tenue de mesures de sécurité et de sûreté.

"Bien que la clause de localisation des données dans le projet de loi puisse aider à piloter BharatNet et des projets similaires à travers le pays, ce sera une affaire coûteuse pour les startups technologiques indiennes qui souhaitent répondre aux besoins du marché mondial", déclare Sareen.

Autorité de protection des données : autre autorité, autre casse-tête

Le projet de loi sur la protection des données personnelles propose la création d'une autorité de protection des données (DPA) distincte pour mettre en œuvre, réglementer et superviser la protection des données dans le pays.

Cela n'augure rien de bon pour les startups, car l'Autorité de protection des données est investie de pouvoirs étendus et globaux pour s'acquitter de fonctions quasi-exécutives, quasi-législatives et quasi-judiciaires, selon Joshi. "Cela inclut l'obligation d'audits obligatoires pour toutes les données personnelles par des auditeurs externes, l'attribution de scores de confiance du public, la présence de sanctions pénales sévères, de lourdes obligations de déclaration à la DPA, etc.", estime-t-elle.

Étant donné que les startups manquent généralement de ressources telles que le temps, la main-d'œuvre et, surtout, l'argent qu'elles utiliseraient pour respecter les conformités à temps, cela aura des implications négatives pour les startups. Sareen déclare : « Se conformer aux normes et aux ordonnances imposées par la DPA sera une tâche fastidieuse pour les startups. En cas de litiges liés à la TPS, nous avons vu comment l'Autorité de décision anticipée de Telangana (AAR) et l'AAR du Bengale occidental ont non seulement rendu des verdicts contradictoires, mais ont également utilisé des méthodologies différentes pour arriver à leurs conclusions. ”

Alors, à qui profite le projet de loi PDP ? Dur à dire

Se conformer aux dispositions du projet de loi PDP nécessitera d'énormes investissements de la part des entreprises sur plusieurs fronts, ce qui finira par augmenter le coût du produit/service connexe. « En fin de compte, le coût de toute réglementation se répercutera sur le consommateur. Dans un scénario alternatif, si l'entité réglementée supporte les coûts, ses bénéfices seront érodés jusqu'à ce qu'il ne soit plus rentable ou même possible de rester en activité. Ces deux scénarios seraient contre-productifs pour l'intérêt des utilisateurs », déclare Joshi.

La table ronde de la loi Inc42-Ikigai sur le projet de loi sur la protection des données débattra et cherchera des réponses aux questions susmentionnées, entre autres. Il décodera également le projet de loi proposé pour en faciliter la compréhension. Alors, pour entendre les experts, faire valoir vos points de vue et discuter de vos préoccupations avec eux, nous vous invitons à assister à la prochaine table ronde le 7 septembre.

Remplissez ce formulaire pour rejoindre la discussion