Le projet de loi sur la protection des données doit concilier les intérêts des entreprises et la confidentialité des individus

Publié: 2020-07-18

Dans le langage courant, les données non personnelles comprennent des ensembles de données agrégés et collectés par diverses applications mobiles, sites Web et appareils.

En Inde, avec une myriade de problèmes de développement, la portée des ensembles de données pourrait avoir dans la conduite des interventions politiques est grande

Comme les données ont été définies pour inclure les « informations recueillies à partir des données », un tel accès aux données par le gouvernement enfreindrait les droits de propriété intellectuelle.

Les données personnelles comprennent toutes les données concernant ou se rapportant à une personne qui est directement ou indirectement identifiable par ces données. Toutes les données collectées par un organisme, qui ne peuvent pas être classées comme données personnelles d'une personne, peuvent être qualifiées de données non personnelles. Dans le langage courant, les données non personnelles comprennent des ensembles de données agrégés et collectés par diverses applications mobiles, sites Web et appareils sur Internet, résultant de la trace numérique que les individus (responsables de données) laissent à la suite de leur utilisation d'Internet.

Cela pourrait inclure des données générées par des individus sur leurs modèles de comportement, leurs préférences sur les réseaux sociaux et les intermédiaires qui ont été collectées et anonymisées. En outre, il pourrait également inclure de grandes quantités de données sur les tendances climatiques générées par une application météo, les modèles de trafic générés par une application de taxi qui proviennent ou non d'un individu, ou ne peuvent pas être identifiés à un individu.

Contrairement aux données personnelles, qui peuvent être retracées jusqu'à un individu, la différence essentielle entre les données personnelles et non personnelles découle du fait qu'elles remettent en cause la notion de contrôle individuel sur les données, car il est peu probable que les individus soient conscients de leur identité personnelle. les données peuvent révéler lorsqu'elles sont agrégées avec un multivers d'autres points de données.

En tant que ressource collective, les données agrégées doivent être exploitées pour une meilleure gouvernance. Il peut guider les décideurs vers des solutions innovantes aux problèmes modernes, en conservant les données comme preuves.

Projet de loi sur la protection des données personnelles, 2019

Utilisation des données non personnelles dans la gouvernance

Le projet de loi de 2019 sur la protection des données personnelles donne au gouvernement le pouvoir (clause 91(1)) d'élaborer une politique à l'aide de données non personnelles pour la croissance, la sécurité et l'intégrité de l'économie numérique, et pour la prévention de l'utilisation abusive des données. À cette fin, le gouvernement aura également le pouvoir d'ordonner à tout fiduciaire/processeur de données de fournir des données non personnelles pour « permettre un meilleur ciblage de la prestation de services ou de la formulation de politiques fondées sur des preuves ».

En Inde, avec une myriade de problèmes de développement, la portée des ensembles de données pourrait avoir dans la conduite des interventions politiques est grande. Par exemple, des industries telles que les technologies de la santé, les technologies financières et les télécommunications ont commencé à s'appuyer sur des ensembles de données pour innover et fournir des solutions de la nouvelle ère.

Conformément à cette clause, le gouvernement peut accéder aux données des fiduciaires de données et des processeurs de données, ce qui comprend des données non personnelles ou des données anonymisées. Cela sape les pratiques commerciales existantes dans lesquelles le processeur de données est lié contractuellement par le fiduciaire des données et ne peut pas partager des données (personnelles ou non personnelles) ou des informations sur celles-ci, car elles appartiennent au client du processeur de données au nom duquel l'entité de traitement des données mène des activités de traitement de données conformément aux instructions et au contrat.

Cela aura un impact énorme sur la confiance des entreprises des clients et des ressortissants étrangers, des sociétés de traitement de données en Inde, car ils craindraient l'accès du gouvernement aux données.

Recommandé pour vous:

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde
Ressources

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via « Jugaad » : PDG de CitiusTech
Nouvelles

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...

Comment Metaverse va transformer l'industrie automobile indienne
Ressources

Comment Metaverse va transformer l'industrie automobile indienne

Que signifie la disposition anti-profit pour les startups indiennes ?
Ressources

Que signifie la disposition anti-profit pour les startups indiennes ?

Comment les startups Edtech aident à améliorer les compétences et à préparer la main-d'œuvre pour l'avenir
Ressources

Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...

Nouvelles

Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...

Une telle disposition est susceptible de décourager l'innovation et les investissements en Inde, car le gouvernement demande des données non personnelles ainsi que des données personnelles anonymisées. On craint également que des informations sensibles pour les entreprises, y compris des secrets commerciaux, puissent être recherchées dans le cadre du projet de loi.

Comme les données ont été définies pour inclure les « informations recueillies à partir des données », un tel accès aux données par le gouvernement enfreindrait les droits de propriété intellectuelle des entreprises et d'autres entreprises. Cette clause est susceptible de contourner le contrôle du fiduciaire des données et les obligations du sous-traitant au titre de son contrat avec le fiduciaire des données.

Désanonymisation des données personnelles par le gouvernement

En vertu de la clause 91(2) du projet de loi de 2019 sur la protection des données personnelles, le gouvernement, en consultation avec l'Autorité de protection des données, a le pouvoir d'ordonner à tout fiduciaire de données de fournir des données personnelles anonymisées aux fins d'élaboration de politiques fondées sur des preuves. La définition de l'anonymisation telle qu'elle est donnée dans le projet de loi prévoit un processus irréversible mais compte tenu de la nature de la cryptographie, l'anonymisation, ainsi que les techniques de désanonymisation des données, se développent simultanément. Bien que l'objectif soit d'atteindre l'irréversibilité absolue des données anonymisées, on ne peut ignorer que la technologie de désanonymisation se développe également.

De plus, le champ d'application de ce projet de loi devrait être limité à la protection des données personnelles et de la vie privée des individus. S'aventurer sur le territoire des données non personnelles ne devrait pas être l'objectif de ce projet de loi. Par conséquent, cette disposition devrait être supprimée et jusqu'à ce que le rapport sur les données non personnelles du comité d'experts soit publié, le gouvernement devrait s'abstenir de prendre des décisions politiques concernant les données non personnelles.

Défis et opportunités

Il est important que toute réglementation traitant des données non personnelles permette leur libre circulation et fournisse l'accès aux ensembles de données pour les avantages collectifs et dans la construction d'une économie numérique. Elle doit favoriser l'innovation et la mise en place d'un écosystème plus large autour des données. Permettre un cadre de partage de données et la libre circulation des données permet aux utilisateurs de services de traitement de données d'utiliser les données recueillies sur différents marchés pour améliorer leur productivité et leur compétitivité.

Les utilisateurs peuvent donc tirer pleinement parti des économies d'échelle fournies par le grand marché, améliorer leur compétitivité mondiale et accroître l'interconnectivité de l'économie des données.

L'objectif de la nouvelle loi doit être de garantir que les droits des citoyens à la protection de leurs données personnelles sont toujours respectés, y compris lorsque leurs données sont mélangées à d'autres types de données, ou que leurs données sont correctement anonymisées.

La loi doit équilibrer l'intérêt des entreprises et la vie privée et la sécurité des deux côtés. S'il est bienvenu de voir le gouvernement s'appuyer de plus en plus sur des données agrégées pour tirer parti de son potentiel de conduite de changements politiques efficaces, il doit y avoir un cadre plus solide et détaillé qui examine la possibilité d'excès de pouvoir et son effet sur le marché.

De plus, le placement des dispositions relatives aux données non personnelles dans un projet de loi sur la protection des données personnelles est un décalage. L'Autorité de protection des données a pour mandat de réglementer les questions relatives à la vie privée et aux données personnelles des utilisateurs. Dans ce contexte, on ne sait toujours pas comment la disposition doit être opérationnalisée, en l'absence de régulateur habilité en place pour effectuer un contrôle.

[L'article a été co-écrit par Karthik Venkatesh et Kazim Rizvi, l'équipe Dialogue]