Comment la loi proposée sur la protection des données affectera-t-elle votre startup ?

La commission parlementaire mixte (JPC) a récemment déposé un rapport sur le projet de loi sur la protection des données personnelles de 2019 (projet de loi de 2019) a recommandé d'élargir le champ d'application de la loi pour intégrer les données non personnelles (NPD) dans son champ d'application, divulguer l'équité des algorithmes, etc. Une fois introduite, la loi obligerait les startups à repenser leurs pratiques de traitement des données, ce qui prendrait en compte des coûts de conformité importants.

Pour aider les acteurs de l'écosystème des startups à décoder l'impact du projet de loi sur la protection des données, Ikigai Law a organisé une discussion virtuelle interactive, ' Unscramble : Impact of India's Data Protection Law on Startups ', le 24 février.

La discussion a vu une large participation de la communauté des startups avec des représentants des principales sociétés de services fintech, edtech, santé, e-commerce et IA.

Dirigée par Sreenidhi Srinivasan, associé principal chez Ikigai Law, la discussion a dévoilé l'impact du projet de loi de 2019 sur les startups. Il a abordé les défis de la catégorisation des ensembles de données en données personnelles et NPD, comment le respect de la loi pourrait empêcher les startups de se développer, les implications des DPI de certaines divulgations, entre autres.

Réglementer le NPD et d'autres données exclusives, c'est comme demander à Coke de révéler sa formule "secrète"

La loi sur la protection des données personnelles est en chantier depuis près de cinq ans maintenant. En cours de route, le gouvernement a compris l'idée d'utiliser des données/informations commerciales anonymisées (NPD) pour en tirer une valeur économique. Actuellement, la loi propose de réglementer à la fois les données personnelles et le NPD. Il permet au gouvernement central d'ordonner aux entreprises de partager le NPD à des fins d'élaboration de politiques. Sreenidhi a sollicité des opinions sur la portée élargie de la loi, la nécessité de réglementer le NPD et son impact sur les startups qui s'appuient sur les douves de données pour leur avantage concurrentiel.

Ashutosh Senger, avocat principal de Florence Capital (une plateforme de prêt), a expliqué que l'inclusion de NPD est une étape vers l'équilibre de l'accès aux données, mais l'avantage concurrentiel que procurent les actifs de données propriétaires ne peut être ignoré. Faisant allusion à la nécessité d'équilibrer les intérêts du gouvernement dans l'utilisation du NPD à des fins socio-économiques avec les droits de propriété intellectuelle (PI) des entreprises, il a déclaré "comment pouvons-nous promouvoir l'intérêt de l'État ainsi que l'ensemble de l'écosystème ou l'environnement de l'entrepreneuriat et de l'innovation.

Manuj Garg, cofondateur de MyUpchar (une plateforme de soins de santé), a ajouté que les données sont une « monnaie clé » pour toutes les startups. « Tout ce que vous générez à partir du travail que vous avez fait est votre propriété intellectuelle. C'est ce qui vous donne un avantage sur le marché et vous permet de faire ce que vous faites. Dire que ces données doivent ensuite être rendues publiques, tue essentiellement l'entreprise.

Il existe d'autres dispositions dans le projet de loi qui pourraient porter atteinte aux droits de propriété intellectuelle des entreprises, comme leur demander de divulguer l'"équité" des algorithmes. Il n'y a pas encore de seuil pour définir «l'équité», et même si une telle clarification intervient à l'avenir, le savoir-faire technique sur les algorithmes n'est pas de notoriété publique.

"C'est comme demander à Coke de révéler sa formule secrète - en lui enlevant son incitation à fonctionner", a ajouté Garg.

Megha Nambiar, conseillère juridique principale d'HyperVerge (une plate-forme de vérification d'identité et de détection des fraudes), a convenu que l'inclusion de NPD ajoute "beaucoup d'incertitude dans le mélange car il s'agit essentiellement de données privées qui sont empiétées". Et il y a un élément obligatoire dans le partage des données qui devient à nouveau un problème. Elle a fait allusion au manque d'incitations pour promouvoir le partage des données.

Nambiar a posé quelques questions à la salle et s'est demandé si un tel partage de données pouvait être volontaire et comment cela serait-il tarifé, valorisé et partagé.

Sruthi Srinivasan, conseiller juridique d'Uni Cards, était d'accord avec les orateurs précédents et a remis en question la nécessité de réglementer les ensembles de données dérivées/anonymisées.

Les startups seront confrontées à d'immenses défis dans la manière dont la loi proposée est structurée

Dans la perspective de la loi, les entreprises devraient revoir leurs politiques relatives aux données et ajuster leurs budgets pour se conformer à la loi. Sreenidhi a sollicité des avis sur les défis de conformité que les entreprises anticipent.

Aditya Shamlal, responsable juridique de Zeta (une start-up fintech), a déclaré que la loi dans sa forme actuelle est « lourde de conformité ». Et que « le vrai mordant de cette loi sera montré dans les réglementations et les codes de pratique publiés sur des sujets tels que la protection de la vie privée dès la conception, le droit à l'oubli, etc. Jusqu'à ce que ces réglementations arrivent, vous opérez dans un espace nébuleux, où vous faites des suppositions éclairées sur la base d'expériences européennes comme le RGPD. Il pensait que les nouvelles startups centrées sur les données auraient du mal à entrer sur le marché et à se développer lorsque la loi entrerait en vigueur.

Recommandé pour vous:

Ressources

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde

Amit Das

31 juillet 2022

Nouvelles

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...

Jaspreet K.

31 juillet 2022

Ressources

Comment Metaverse va transformer l'industrie automobile indienne

Vaibhav S.

31 juillet 2022

Ressources

Que signifie la disposition anti-profit pour les startups indiennes ?

Charana L.

31 juillet 2022

Ressources

Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...

Ankush S.

31 juillet 2022

Nouvelles

Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...

Tapanjana R.

31 juillet 2022

Les participants ont également discuté de l'interaction entre les régulateurs sectoriels et le futur régulateur des données. Sruthi d'Uni Cards, a noté que de nombreuses entités réglementées dans l'espace fintech intègrent déjà le droit de retirer le consentement (envisagé par la proposition de loi sur la protection des données) dans leurs pratiques standard en matière de données. Elle s'est demandé comment le retrait du consentement se déroulerait dans un espace réglementé où les joueurs doivent conserver des ensembles de données sous forme de journaux de données dans leur système pour les afficher à des fins d'audit.

Sruthi a déclaré que les régulateurs devront traiter des questions sur la quantité d'informations pouvant être retirées et conservées. « À l'avenir, les clients pourraient s'adresser à des entités réglementées et demander la suppression complète de leurs informations du système. Cependant, en tant que plateforme de prêt, RBI vous oblige à conserver ces informations pour valider le fait que vous avez intégré ce client », a-t-elle fait remarquer.

Vinita Varghese, responsable du service juridique d'Urban Company (une plateforme de services d'experts hyperlocale), est d'accord avec Sruthi et ajoute que « lorsque vous parlez de mettre en œuvre la loi telle qu'elle est actuellement rédigée, c'est un investissement en temps et en argent pour les startups et petite organisation, alors que pour les grandes organisations - qui n'ont pas commencé ce processus - c'est une entreprise absolument monstrueuse.

Elle a déclaré que la loi proposée oblige les entreprises, quelle que soit leur taille, à créer des inventaires de données pour pouvoir classer les données dans différentes catégories. Il ne s'agit pas d'un exercice strictement juridique car il impliquerait toutes les verticales de l'organisation. Varghese a également déclaré que pour permettre aux startups de se conformer à la loi, il faudrait une sensibilisation et une éducation à un niveau interfonctionnel.

S'appuyant sur la question, Garg a expliqué comment un cofondateur moyen sans expertise juridique aurait du mal à déballer ce que signifient et incluent les données personnelles, les données personnelles sensibles et critiques. À différentes catégories de données correspondent différents seuils de consentement (obligations renforcées d'obtenir un consentement explicite en cas de données sensibles). Il a mentionné qu'en vertu des directives sur la télémédecine, si un patient initie une consultation, l'application n'a pas besoin d'obtenir le consentement explicite du patient. Mais en vertu de la loi proposée sur les données, il est « difficile de savoir comment le consentement explicite sera géré ». Garg a également souligné l'ambiguïté dans l'obtention de la certification du logiciel matériel (qui est introduite pour maintenir l'intégrité des données) et la nécessité de revoir cette certification lorsque le logiciel est mis à jour.

Panduranga Acharya, avocat général de Girnarsoft.com (un fournisseur de solutions informatiques), a déclaré que "la conformité ne peut pas être difficile, elle peut être coûteuse".

Il a appelé à l'inclusion de seuils pour exclure les petites entreprises des exigences de conformité plus coûteuses. Acharya a également identifié les difficultés liées aux différentes normes de consentement pour différentes catégories de données. Il a déclaré que « la catégorisation comme données sensibles, critiques, non sensibles conduirait à une multiplicité de consentements ou faudrait-il un rythme bipolaire des mécanismes de consentement. Le déploiement de tels mécanismes de consentement pourrait être très difficile pour toute entreprise.

Les garanties améliorées pour les données des enfants ont un coût élevé pour les entreprises Edtech

Sachin Ravi, cofondateur de Qshala (une plate-forme edtech), a expliqué comment la Chine et l'Inde travaillent sur des politiques visant à réglementer le secteur edtech. Il a noté que définir les enfants comme toute personne de moins de 18 ans est préoccupant pour plusieurs acteurs du secteur. Il a déclaré que "les conseils du gouvernement pour l'edtech sur la manière dont les données peuvent être utilisées" pourraient être bénéfiques.

Shatakrutu Saha, conseiller juridique chez KidsChaupal (une plate-forme edtech), a fait remarquer que puisque la justification de la fixation de l'âge à 18 ans découle des dispositions de la loi indienne sur les contrats et de la loi sur la majorité, il est peu probable qu'elle soit modifiée. Il a toutefois noté que la loi sur la justice pour mineurs comprend l'âge de la majorité différemment.

Saha a partagé un aperçu intéressant sur la façon dont un Indien de 16 ans a battu le champion du monde d'échecs Magnus Carlsen : « Imaginez si cet enfant est limité par le consentement de son tuteur, qui s'oppose à la décision de ce garçon talentueux sur les cours à suivre en ligne, c'est un scénario de cas problématique. Il a également parlé de la différence d'approche entre l'Inde et d'autres cadres mondiaux comme l'UE, qui définissent un enfant comme toute personne âgée de 13 à 16 ans.

Le manque de clarté sur les mécanismes de contrôle de l'âge et les dispositions relatives au consentement parental a également été discuté. Ravi de Qshala a déclaré que les parents pourraient envisager de créer des comptes pseudonymes pour les enfants plutôt que de donner des informations personnelles. Cependant, des questions subsistent sur les modalités d'utilisation des données anonymisées pour créer du contenu et fournir des services aux utilisateurs adultes et aux enfants. Saha de KidsChaupal a noté que la restriction d'âge pourrait être basée sur le risque, expliquant que de telles mesures sont en place pour les produits et services ciblant des groupes d'âge et des données démographiques spécifiques tels que les applications de rencontres et de jeux en ligne. Dans ces applications et services, la restriction d'âge est effectuée pour protéger les mineurs des risques associés à ces services.

Saha a ajouté que la mise en œuvre de nouvelles fonctionnalités pourrait déclencher la définition du préjudice ou du suivi dans la loi proposée. L'interdiction générale de suivre/profiler les données des enfants et la définition large du préjudice pourraient créer des frictions entre la conception des produits et les équipes juridiques des startups edtech

La loi proposée doit être interopérable avec les cadres mondiaux pour stimuler l'économie des données en Inde

Sreenidhi a demandé à la salle si elle estimait que la loi proposée favorisait l'interopérabilité avec les cadres de données mondiaux et comment le respect de la loi pourrait avoir un impact sur l'accès aux marchés mondiaux.

Neelakshi Gupta, Legal Associate chez Qure.ai (une plateforme de technologies de la santé), a posé plusieurs questions en termes de conformité mondiale – elle a demandé : « Qu'est-ce qu'un transfert de données transfrontalier ? Quand les nouvelles clauses contractuelles types (CSC) s'appliqueront-elles ? Si nous signons les SCC avec nos clients, pouvons-nous dire que nous sommes en conformité avec l' arrêt Schrems II ? »

En termes de stratégies de conformité mondiales, Nambiar d'HyperVerge a déclaré que l'évolution vers la localisation des données dans plusieurs cadres de protection des données à l'échelle mondiale est préoccupante, car l'entreprise implique des fournisseurs dans différentes zones géographiques. Elle a déclaré que "si nous voyons la localisation des données devenir une tendance mondiale, alors avoir des centres de données locaux dans chacune de ces zones géographiques va nous coûter très cher".

Varghese d'Urban Company a convenu que les dispositions relatives à la localisation des données créeront des problèmes de conformité car différents pays semblent avoir un seuil différent pour la localisation. Elle a déclaré qu'une norme de référence pour la localisation des données pourrait être développée, qui soit favorable aux entreprises et compatible entre les juridictions.

Prochaines étapes pour répondre aux préoccupations des startups

Les coûts de mise en conformité et le manque de clarté autour de certaines dispositions sont des préoccupations majeures pour les startups. L'objectif du gouvernement de positionner l'Inde comme un acteur majeur de l'économie numérique devrait s'accompagner d'un régime de protection des données favorable. Cela devrait permettre aux startups de se développer et d'accéder aux marchés mondiaux.

Actuellement, le ministère de l'informatique discute des recommandations du JPC et a reconnu les défis de conformité qui accompagnent la loi. Il s'agit d'une excellente occasion pour les startups et les petites entreprises de dialoguer avec les décideurs politiques et d'appeler à des consultations publiques plus larges sur la loi et de travailler à des solutions mutuellement bénéfiques.

*Les citations ont été modifiées et affinées pour s'adapter à l'article et au contexte.

*Cet article a été co-écrit par Shrinidhi Rao et Kanupriya Grover, associés chez Ikigai Law