The Dialogue - Préparer les startups indiennes au projet de loi sur la protection des données personnelles

Publié: 2018-09-28

Ikigai Law, en association avec Inc42 a organisé 'The Dialogue'

Il s'agissait d'une table ronde sur l'impact du projet de loi sur la protection des données personnelles

La discussion a porté sur les principaux enjeux du projet de loi, à savoir les nouvelles exigences en matière d'avis et de consentement; traitement des données personnelles sensibles ; et plus

Au début de cette année, en avril, la Reserve Bank of India (RBI) a publié une circulaire ordonnant à tous les opérateurs de systèmes de paiement du pays de stocker leurs données exclusivement en Inde. Alors que l' échéance du 15 octobre pour se conformer à la directive RBI approche, il est clair que les entreprises indiennes devront bientôt revoir leurs pratiques de collecte et de traitement des données. Avec la publication du Personal Data Protection Bill, 2018 (Projet de loi) en août, il est devenu important pour les parties prenantes d'anticiper bien en amont les changements qu'elles devront mettre en œuvre. Les startups, en particulier, seront considérablement affectées par ces changements, car le respect des nouvelles exigences en matière de confidentialité nécessitera des investissements considérables en temps et en argent.

Afin de préparer les startups au nouveau régime de confidentialité, Ikigai Law, en association avec Inc42, avait organisé The Dialogue - une table ronde interactive pour discuter de l'impact du projet de loi sur la protection des données personnelles avec les startups. La discussion, animée par Anirudh Rastogi, fondateur de la loi Ikigai ; Nehaa Chaudhari, responsable des politiques, Ikigai Law et Vaibhav Agrawal, fondateur et PDG, Inc42 se sont concentrés sur les questions clés du projet de loi, notamment les nouvelles exigences de notification et de consentement ; traitement des données personnelles sensibles ; finalité et limitation de la collecte ; et la localisation des données.

The Dialogue—Préparer les startups indiennes au projet de loi sur la protection des données personnelles

Exigences en matière d'avis et de consentement : éléments à surveiller

Discutant des nouvelles pratiques de notification et de consentement requises en vertu du projet de loi sur la protection des données personnelles, dans The Dialogue, Anirudh a souligné qu'auparavant, les politiques de confidentialité étaient prises assez à la légère. Les nouvelles exigences de notification en vertu du projet de loi sur la protection des données personnelles sont cependant très spécifiques. L'information doit être donnée à l'utilisateur de manière simple et complète, même dans le cas des langues vernaculaires . Pour les startups impliquées dans l'Internet des objets (« IoT »), les appareils auront besoin d'écrans pour fournir un avis, ou un e-mail devra être envoyé en temps réel. Cela pourrait nuire à l'expérience utilisateur de certains appareils et entraîner des allers-retours entre les équipes juridiques et UX/UI des entreprises lors du développement de produits.

Exprimant ses préoccupations concernant les exigences de consentement, un participant a expliqué comment la reconnaissance faciale pouvait créer des défis. Pour les technologies qui utilisent la reconnaissance faciale pour suivre la gestion et la présence d'un groupe, les règles de consentement sont floues. S'il est facile d'obtenir le consentement sur une base individuelle, capturer des centaines de visages dans une foule est un tout autre jeu de balle. Obtenir le consentement pour cela semble presque impossible à ce stade.

Anirudh a répondu en suggérant qu'ils pourraient peut-être s'appuyer sur le motif de «but raisonnable» en vertu du projet de loi sur la protection des données personnelles, tout en avertissant que ce serait une norme assez élevée à respecter, puisque seule l'autorité de protection des données est habilitée à énumérer ce qui compte comme une fin raisonnable, et les entreprises ne sont pas libres de définir quelles sont les fins raisonnables pour elles-mêmes. Un membre de l'auditoire a répondu à cette observation en disant : « Il est très important de tenir compte des coûts de conformité. Je crains que les normes prévues par ce projet de loi ne soient définies de manière vague. Comment une entreprise avec un chiffre d'affaires annuel d'un million de dollars met-elle de l'argent de côté pour la conformité ? Comment appliquez-vous ce coût dans les affaires ? »

Données personnelles sensibles : répondre à une norme plus élevée

Le traitement des données qualifiées de « données personnelles sensibles » (DPS) en vertu du projet de loi sur la protection des données personnelles est soumis à un seuil de consentement plus élevé que les données personnelles. Tous les mots de passe, données financières, données de santé, identifiants officiels, données biométriques, données génétiques, données indiquant les convictions religieuses ou politiques, l'orientation sexuelle ou le statut de caste/tribu sont considérés comme SPD en vertu du projet de loi sur la protection des données personnelles.

Recommandé pour vous:

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via « Jugaad » : PDG de CitiusTech
Nouvelles

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...

Comment Metaverse va transformer l'industrie automobile indienne
Ressources

Comment Metaverse va transformer l'industrie automobile indienne

Que signifie la disposition anti-profit pour les startups indiennes ?
Ressources

Que signifie la disposition anti-profit pour les startups indiennes ?

Comment les startups Edtech aident à améliorer les compétences et à préparer la main-d'œuvre pour l'avenir
Ressources

Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...

Nouvelles

Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...

Les startups indiennes prennent des raccourcis à la recherche de financement
Fonctionnalités

Les startups indiennes prennent des raccourcis à la recherche de financement

Les entreprises qui collectent ou utilisent ces données devront obtenir le consentement explicite de leurs utilisateurs afin de traiter ces données - ce qui signifie qu'elles devront informer les utilisateurs des conséquences du traitement de leurs données en plus des exigences régulières de notification et de consentement.

Anirudh a expliqué que cela pourrait avoir des implications peu pratiques - si les utilisateurs sur les plateformes de médias sociaux publient des informations qui révèlent leur sexualité, leurs croyances religieuses ou leurs convictions politiques, cela sera considéré comme SPD, et un consentement explicite devra être obtenu pour l'utilisation de ces informations. Même les informations librement disponibles comme les noms de famille qui révèlent la caste seront étiquetées SPD en vertu de ce projet de loi.

Limitation de l'objectif et de la collecte : Limites sur la façon dont les startups peuvent monétiser les données

Une fois que le projet de loi sur la protection des données personnelles sera en vigueur en tant que loi, les startups ne pourront collecter des données personnelles qu'à des fins claires, précises, licites et communiquées à l'avance. Ils ne peuvent collecter que les données nécessaires au traitement. Expliquant les implications de cette exigence, Nehaa a commenté : « Le consentement doit être spécifique à un objectif. Vous ne pouvez pas réutiliser les données pour un autre usage sans informer l'utilisateur de ce changement. » Anirudh a accepté et a souligné que cela pourrait être particulièrement pertinent pour les projets pilotes qui collectent des données sans but précis, dans l'espoir de monétiser ces données à un moment donné.

Dans le cadre du nouveau régime de confidentialité, les startups devront anticiper et informer les consommateurs des cas d'utilisation et des finalités de la collecte de données à l'avance avant de traiter toute donnée, afin de s'assurer que le consentement de l'utilisateur qu'elles obtiennent est valide.

Localisation des données : effets possibles

Lorsqu'on leur a demandé combien d'entreprises stockaient des données sur le cloud, presque toutes les personnes présentes ont répondu par l'affirmative. De nombreux participants se sont appuyés sur des plates-formes mondiales de cloud computing telles que Google Cloud, Microsoft Azure et AWS d'Amazon. Ils ont expliqué que leur choix de plates-formes cloud était déterminé par la réactivité du service, la latence du service cloud, la disponibilité des centres de reprise après sinistre et l'efficacité globale. Ces services permettent aux startups de réduire considérablement leurs coûts puisqu'elles n'ont pas à investir dans de grandes quantités de matériel pour stocker leurs données.

L'accès gratuit aux plates-formes mondiales de cloud computing dont bénéficient actuellement les startups indiennes peut être affecté par les exigences de localisation des données en vertu du projet de loi sur la protection des données personnelles. Comme Nehaa l'a expliqué, la localisation dans le projet de loi comporte deux aspects. Tout d'abord, au moins une copie de toutes les données personnelles doit être stockée en Inde. Cela pourrait être difficile à opérationnaliser. Deuxièmement, il existe une exception pour les « données personnelles critiques », qui ne peuvent être stockées et traitées qu'en Inde. Les données personnelles critiques ne sont actuellement pas définies, le gouvernement central doit notifier les types de données qui relèveront de cette catégorie. Une théorie est que certains types de SPD seront considérés comme des données personnelles critiques, mais cela n'est pas encore clair.

L'un des participants, un scientifique des données travaillant avec une société d'analyse de données, a souligné que les exigences strictes en matière de stockage des données entraînent des coûts importants, même pour les grandes entreprises, et que les startups seraient donc particulièrement touchées par cette mesure. Concernant les sanctions sévères et la responsabilité pénale prévues pour le non-respect des dispositions du projet de loi, Vikas Chauhan de 1MG a souligné que nous ne pouvons pas avoir un système où les entrepreneurs de la santé numérique ont peur d'exploiter des entreprises de santé numérique et d'innover, par crainte de poursuites pénales. Selon lui, la sanction devrait être financière et il devrait y avoir différents niveaux de responsabilité pour les entreprises qui violent la même disposition à plusieurs reprises. Cela garantira que les entrepreneurs ne sont pas confrontés à une menace existentielle pour de petites infractions.

The Dialogue—Préparer les startups indiennes au projet de loi sur la protection des données personnelles

Comment les startups s'engagent-elles avec le projet de loi sur la protection des données personnelles ?

Il est clair que le nouveau régime de protection des données aura des conséquences importantes pour les startups et les entreprises gagneraient à s'engager dans l'élaboration du projet de loi sur la protection des données personnelles. Heureusement, le ministère de l'Électronique et des Technologies de l'information (MeitY) a lancé un appel public à commentaires, la date limite approchant à grands pas le 30 septembre. l'écosystème sont dûment représentés devant le MeitY.