Comment le projet de loi révisé sur le PDP affecte les startups technologiques indiennes : Inc42 et la loi Ikigai reviennent avec "The Dialogue"
Publié: 2020-03-05Inc42 et Ikigai Law ont organisé une table ronde le 7 septembre 2018 sur le projet de loi sur la protection des données personnelles (PDP Bill) et ses implications sur l'écosystème
Avec le projet de loi PDP révisé, The Dialogue est de retour pour aider les startups, les entrepreneurs et les autres parties prenantes à exprimer leurs opinions
La dernière édition du dialogue se tiendra à Delhi
Présenté au Parlement le 11 décembre 2019, le projet de loi PDP obligera les startups à revoir leurs opérations, à retravailler leurs pratiques commerciales et à changer totalement la façon dont elles utilisent les données. Qu'il s'agisse d'exiger l'accès aux données exclusives des entreprises ou de restreindre le flux de données, le projet de loi PDP demandera aux startups de réorganiser leurs processus liés aux données et d'intégrer la confidentialité dans leurs architectures système. Dans le but de comprendre et de gérer les implications du projet de loi PDP sur les startups, Inc42 et Ikigai Law organiseront une table ronde, "The Dialogue" à Delhi.
Actuellement, le projet de loi PDP est examiné par un comité parlementaire mixte ( JPC ), qui avait invité les parties prenantes à formuler des commentaires avant le 25 février 2020. toutes les parties prenantes de l'écosystème pour présenter leur point de vue sur le projet de loi PDP et son impact sur l'écosystème startup et tech en Inde.
L'événement est le point de convergence idéal pour les startups, les investisseurs et les autres parties prenantes de l'écosystème des startups indiennes, qui seront tous impactés par le projet de loi PDP.
Rejoignez la discussionLa prolifération des services numériques associée à l'augmentation rapide de l'utilisation des données pose des risques importants pour les particuliers et les entreprises. Avec l'augmentation des violations de données et des incidents de sécurité, le gouvernement indien a reconnu la nécessité d'une loi sur la protection des données.
Pour travailler sur la tâche de répondre à ces préoccupations et de prévenir la survenue d'incidents de sécurité en Inde, le ministère de l'électronique et des technologies de l'information (MeitY), sous la présidence du juge à la retraite de la Cour suprême BN Srikrishna, a formé un comité d'experts. Créé en 2017, le comité a soumis le projet de loi sur la protection des données personnelles (PDP) en juillet 2018 au gouvernement et l'a ouvert au public pour commentaires et suggestions.
En décembre 2019, le cabinet du syndicat a approuvé le projet de loi PDP révisé. S'appliquant à toutes les entités qui collectent, utilisent, stockent, partagent ou traitent des « données personnelles », le projet de loi PDP couvre toutes les données qui peuvent, directement ou indirectement, identifier une personne.
S'il est adopté dans son état actuel, le projet de loi PDP devrait avoir un impact significatif sur les startups indiennes. Pour répondre à ces préoccupations de l'écosystème des startups technologiques, Inc42 et Ikigai Law organisent « Faites entendre votre voix
Sujets de discussion
La dernière édition de The Dialogue vise à couvrir tous les avantages et les inconvénients pour les startups, les entrepreneurs et les entreprises du projet de loi PDP. Couvrant toutes les principales dispositions du projet de loi du point de vue des startups technologiques et l'impact qu'il créera sur leurs opérations, les sujets de discussion sont :
Transfert transfrontalier de données
Les normes locales de stockage des données mises en place s'appliquent aux données personnelles sensibles (SPD), qui comprennent des catégories telles que la santé, les finances, la biométrie et plus encore, le gouvernement peut également notifier d'autres catégories de SPD. Alors que le projet de loi autorise les entités à transférer des SPD hors de l'Inde sur la base de contrats approuvés, de l'adéquation et plus encore, les données personnelles critiques (DPC) ne peuvent être traitées qu'en Inde et transférées à l'extérieur pour des raisons limitées de services d'urgence. Le projet de loi ne définit pas le PPC et ne fournit aucune indication sur ce qui constitue le PPC, bien qu'il permette au gouvernement d'en notifier certaines catégories.
Ces exigences de stockage ont le potentiel de fermer l'accès aux plates-formes mondiales de services cloud pour les startups en Inde. En outre, ils peuvent également limiter l'accès aux marchés mondiaux et aux dernières technologies. Cela pourrait réduire les marges bénéficiaires, la productivité et nuire à la compétitivité des startups.
De plus, la réduction des coûts d'exploitation est essentielle pour les startups en début de croissance, et les exigences et restrictions de localisation menacent d'augmenter les coûts d'exploitation et d'entraver la capacité des startups à développer leurs services.
Recommandé pour vous:
Comment l'écoute active de vos clients peut aider votre startup à se développer
Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde
Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...
Comment Metaverse va transformer l'industrie automobile indienne
Que signifie la disposition anti-profit pour les startups indiennes ?
Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...
Obligations d'accès aux données pour les entreprises
Alors que le projet de loi PDP exclut spécifiquement les données anonymisées de son champ d'application, le gouvernement est toujours autorisé à demander ces données à toute entité, dans le but d'améliorer la prestation de services et d'élaborer des politiques éclairées.
Cette disposition peut entraver les opérations commerciales des grandes, moyennes et petites entreprises. En particulier, les startups déploient des efforts considérables pour collecter des données et développer des informations, et à ce titre, une exigence de partage obligatoire peut nuire à leurs efforts.
« Le projet de loi devrait se concentrer sur la protection des données personnelles et ne devrait pas inclure de dispositions visant à réglementer les données non personnelles (NPD). De plus, un comité gouvernemental distinct examine actuellement la question de la réglementation complète du NPD. Les startups devraient également faire part de leur point de vue sur la réglementation du NPD à ce comité », a déclaré Nehaa Chaudhari, directrice, politique publique, Ikigai Law.
Exigences concernant les données relatives aux enfants
Le projet de loi PDP définit un « enfant » comme toute personne âgée de moins de 18 ans, tout en obligeant également les entités à vérifier l'âge d'un enfant et à obtenir le consentement parental avant de traiter les données appartenant à l'enfant. Les modalités de vérification de l'âge et d'obtention du consentement parental seront fixées par l'autorité de protection des données (DPA).
Les exigences de vérification de l'âge peuvent potentiellement avoir un impact sur toutes les entités offrant des services en ligne, alors qu'en effet le projet de loi exigerait une vérification de l'âge de chaque utilisateur pour s'assurer qu'aucune donnée d'enfant n'est traitée. De plus, l'exigence du consentement parental peut entraîner la perte d'accès des enfants à des services précieux, en particulier pour les startups dans des secteurs tels que l'edtech, la santé et les jeux, car le traitement des données des enfants sera confronté à des exigences de conformité accrues, dont la forme est encore inconnue.
Le but et les limites de la collecte
Le projet de loi oblige les entités à collecter des données personnelles à des fins claires, précises, licites et communiquées à l'avance. Cela peut constituer un frein pour les startups, qui collectent parfois des données sans finalité définitive ou à des fins de monétisation des données. Ainsi, les startups devront anticiper et obtenir le consentement des utilisateurs avant de traiter les données pour tout nouveau cas d'utilisation ou finalité.
Exigences en matière d'avis et de consentement
Afin de traiter légalement les données, les entités doivent se conformer à des exigences strictes en matière de consentement et de notification. Les startups qui traitent des données personnelles sur la base du consentement doivent fournir aux utilisateurs des avis détaillés au moment de la collecte. Exiger des avis détaillés à chaque instance de collecte de données peut s'avérer peu pratique et coûteux, en particulier pour les transactions répétitives et routinières.
L'exigence de plusieurs langues pour chaque avis peut également s'avérer fastidieuse dans la pratique. De plus, le grand nombre d'avis peut entraîner une lassitude du consentement pour les utilisateurs.
Droits des utilisateurs
Le projet de loi confère aux utilisateurs plusieurs droits sur leurs données, notamment des droits d'accès aux données, de correction des données, de portabilité des données et d'effacement des données. Cela obligera les entités à concevoir leurs systèmes de manière à permettre aux utilisateurs de faire de telles demandes et à s'assurer que ces demandes peuvent être satisfaites.
"Les droits accordés à un utilisateur en vertu du projet de loi peuvent avoir un impact commercial significatif sur les startups, car le remaniement de leurs systèmes de base pour permettre de tels processus augmentera les coûts de l'entreprise", a déclaré Vijayant Singh, associé, Ikigai Law.
Pouvoirs excessifs de la DPA et du gouvernement ?
Le projet de loi sur le PDP confère au DPA et au gouvernement central des pouvoirs étendus et généraux. Par exemple, la DPA peut notifier les « fiduciaires de données significatifs » (SDF) ; notifier de nouveaux motifs de traitement de données personnelles ; déterminer la forme, la manière et la procédure de réalisation des audits de données, et peut exiger des entités qu'elles soumettent des politiques de « confidentialité dès la conception » pour certification.
En outre, le gouvernement est habilité à décider de spécifier de nouvelles catégories de DOCUP, de classer les DPC et les conditions de transfert transfrontalier de données dans certains cas.
« Permettre au gouvernement de notifier les catégories de SPD et de CPD entraîne une incertitude commerciale importante. Il est difficile de désagréger des ensembles de données mixtes - il peut être pratiquement impossible de nettoyer les ensembles de données et de stocker certaines données localement tout en transférant librement d'autres données », a expliqué Singh.
Autres dispositions du projet de loi
En plus de couvrir tous les points ci-dessus, la table ronde couvrira également les préoccupations suivantes :
- L'absence d'un calendrier clair pour la mise en œuvre et l'application du projet de loi PDP. La version précédente proposée prévoyait des délais précis pour la mise en œuvre des dispositions, y compris les restrictions aux transferts transfrontaliers, la création de la DPA, etc. Une période de temps adéquate est nécessaire pour que les start-up effectuent les ajustements nécessaires à leurs activités de traitement et se conforment à la loi.
- La version révisée du projet de loi contient des dispositions sur la responsabilité pénale en cas de réidentification de données personnelles anonymisées. Cela a le potentiel de dissuader les startups d'entreprendre des opérations de traitement de données.
Lors de notre dernière édition du Dialogue sur le projet de loi PDP, tenue en septembre 2018, la discussion a clairement montré qu'il existe un fossé très évident entre les décideurs politiques et les startups technologiques. Pour préserver l'élan et la croissance de l'écosystème de démarrage de l'Inde, ce fossé doit être comblé par des dialogues, des débats et des discussions. L'impact du projet de loi doit être mis en évidence à travers de tels efforts.
Prévu à Delhi, The Dialogue est l'occasion idéale pour toutes les parties prenantes et les membres de l'écosystème des startups indiennes de se réunir et d'exprimer leurs préoccupations et leurs opinions concernant le projet de loi. Réservez vos créneaux dès maintenant avant que tous les sièges ne soient complets.
Rejoignez-nous dans la discussionMise à jour : En raison de l'épidémie de coronavirus à Delhi, Inc42 et la loi Ikigai ont décidé de reporter l'événement. Nous mettrons à jour l'article au fur et à mesure que la date et le lieu seront finalisés.