Le rôle des autorités de protection des données : l'Inde et le monde
Publié: 2019-12-19Le RGPD évalue le rôle de l'Autorité de protection des données sur la base de "l'indépendance" et de "l'adéquation"
Les pays qui ne font pas partie de l'Union européenne ont du mal à se conformer à tous les idéaux énoncés par le RGPD
Semblable à l'Inde, le Brésil a une autorité de protection des données établie
Note de l'éditeur : cet article a été écrit avant que le projet de loi sur la protection des données personnelles ne soit approuvé par le cabinet de l'Union avec des modifications non divulguées de la version préliminaire du projet de loi sur lesquelles cet auteur a fondé ses opinions. Par conséquent, certaines opinions exprimées ci-dessous peuvent ne plus être applicables en vertu du projet de loi révisé.
Des conversations sur la nécessité de la protection des données et de la réglementation qui l'entoure ont eu lieu récemment dans le monde. Le besoin s'est fait sentir encore plus fortement depuis que le Parlement de l'Union européenne a approuvé le règlement général sur la protection des données (RGPD) en 2016 et l'a appliqué aussi récemment qu'en 2018. De même, d'autres pays ont des niveaux d'importance différents accordés à la protection des droits de leurs citoyens. concernant les données.
Cependant, l'Autorité de protection des données - qui a la responsabilité de s'assurer que les lois sur la protection des données sont respectées - n'est pas suffisamment évoquée. Basé à Bruxelles, le comité européen de la protection des données (EDPB) a été conçu dans le but de rassembler les autorités nationales de protection des données de différents États membres et cherche à organiser des conférences qui traitent des problèmes de données et de confidentialité qui sont pertinents au-delà des frontières. L'idée est de coopérer et d'apprendre les meilleures pratiques de leurs homologues, de discuter de la manière d'appliquer la loi sur la protection de la vie privée, de travailler sur des initiatives conjointes et d'élaborer des stratégies sur les techniques de sensibilisation.
En Inde, le projet de loi sur la protection des données personnelles (2018) prévoit la création d'une autorité de protection des données à l'article 49, chapitre 10. Le projet de loi recommande que cette autorité soit composée d'un président et de six autres membres, nommés par le gouvernement central. Les recommandations sont faites par un comité de sélection, présidé par le juge en chef de l'Inde (CJI) ou un juge de la Cour suprême de l'Inde nommé par le CJI ; un secrétaire de cabinet et un expert dans le domaine (nommé par le CJI, ou un juge de la Cour suprême de l'Inde. Le secrétaire de cabinet doit également être consulté pour cette nomination).
Le projet de loi donne en outre des pouvoirs au gouvernement central en ce qui concerne les conditions d'emploi, la révocation des membres et les subventions, ce qui soulève des inquiétudes quant au degré d'indépendance dont disposera l'Autorité dans la pratique. Il n'y a pas encore de directive claire sur la création de bureaux régionaux dans le projet de loi, ce qui surcharge l'Autorité envisagée.
En outre, le projet de loi crée le poste d'un agent d'arbitrage nommé par le gouvernement central - et une aile d'arbitrage qui s'occupera de la réparation et de la défense des droits des utilisateurs en vertu du projet de loi. La méthode qui sera utilisée pour embaucher un tel agent est peu claire et n'inspire pas confiance en termes de transparence et d'indépendance. Dans le cadre du projet de loi, l'Autorité de protection des données dispose de pouvoirs discrétionnaires - et l'un des défis auxquels l'Inde peut s'attendre à faire face à l'avenir est de s'assurer qu'elle n'est pas au-dessus de l'inspection du parlement.
Le RGPD évalue le rôle de l'Autorité de protection des données sur la base de «l'indépendance» et de «l'adéquation» qui sont intégrées à l'article 45, paragraphe 2, point b), soulignant l'importance d'une autorité qui doit être impartiale.
Recommandé pour vous:
Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde
Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...
Comment Metaverse va transformer l'industrie automobile indienne
Que signifie la disposition anti-profit pour les startups indiennes ?
Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...
Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...
Les pays européens se sont chargés de créer de telles autorités, mais l'Inde ne sera pas en mesure d'assurer la conformité en raison des problèmes mis en évidence dans la section précédente. Il serait pertinent pour l'Inde de prendre note et d'apprendre des expériences des pays qui se concentrent sur l'établissement du rôle de l'Autorité de protection des données comme indépendante et adéquate.
Autriche, Belgique, Bulgarie, Croatie, Chypre, République tchèque, Danemark, Estonie, Finlande, France, Allemagne, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, Roumanie, Slovaquie, Slovénie , l'Espagne, la Suède, le Royaume-Uni, le Liechtenstein et la Norvège sont tous des pays qui ont mis en place des autorités de protection des données qui se réunissent et discutent des questions de confidentialité et de sécurité, et collaborent régulièrement.
Les détails concernant leur bureau et leur point de contact sont répertoriés sur le site web du comité européen de la protection des données afin de rendre les autorités plus transparentes et accessibles à leurs citoyens. Ils écoutent les plaintes à mesure que les citoyens deviennent plus conscients et soulèvent des questions relatives à la sécurité de leurs données personnelles, et sont ouverts aux commentaires critiques sur la manière dont ils peuvent rendre leurs campagnes plus efficaces. Leur travail quotidien consiste principalement à veiller à ce que le droit fondamental à la vie privée soit respecté et préservé.
Cependant, les pays qui ne font pas partie de l'Union européenne ont du mal à se conformer à tous les idéaux énoncés par le RGPD. Les États-Unis d'Amérique n'ont pas encore établi d'autorité de protection des données - les questions commerciales relèvent de la compétence de la Federal Trade Commission (FTC), et il existe des lois telles que la United States Privacy Act et la Safe Harbor Act qui visent à protéger la vie privée et les données personnelles de ses citoyens. De même, dans des domaines tels que les soins de santé, les services financiers, les télécommunications et les assurances, il existe des lois et des réglementations spécifiques au secteur en question.
En Russie, le Roskomnadzor est reconnu comme l'autorité de protection des données qui surveille la collecte, le stockage et le partage des données personnelles et a également le pouvoir d'imposer des règles de protection des données et cherche à sécuriser les informations personnellement identifiables (PII).
Récemment, Google et Facebook ont été critiqués par le Roskomnadzor pour avoir prétendument enfreint la loi électorale russe. La Chine a un régulateur appelé Cyberspace Administration of China (CAC), qui contrôle et censure le domaine Internet et tout ce qui s'y rapporte. Bien que le ministère de la Sécurité publique existe également pour répondre à des préoccupations similaires, le CAC est le principal organisme de réglementation. En dehors de cela, comme aux États-Unis, il existe des organismes de réglementation sectoriels qui choisissent de limiter leur champ d'action.
À l'instar de l'Inde, le Brésil dispose d'une autorité de protection des données établie - l'Autorité nationale de protection des données (ANPD). L'ANPD comprend un conseil d'administration, un conseil national, un organe d'inspection, un organe de médiation, un organe consultatif juridique et des unités administratives spécialisées pour l'application de la LGPD (Lei Geral de Protecao de Dados) - qui est la loi générale de la protection des données personnelles. C'est aussi un organe hautement politique avec peu d'indépendance propre. En outre, l'ANPD est submergé par des mesures administratives autres que l'arbitrage.
Étant donné que les pays voisins et géographiquement plus proches de l'Inde cherchent l'inspiration pour élaborer des lois sur l'évolution rapide d'Internet et le zénith des préoccupations qu'il suscite, auxquelles la société doit répondre, la définition du rôle de l'Autorité de protection des données est d'une importance capitale.
S'inspirant du RGPD qui établit le rôle de l'Autorité en termes clairs, l'Inde doit se concentrer sur les principes d'adéquation et d'indépendance. Surcharger l'autorité ou entacher le processus de nomination ne conduira pas au type de transparence qui est globalement exigé. L'avenir de la confidentialité et de la sécurité, et le rôle du stockage et du partage des données entre ces préoccupations ne peuvent être abordés que par une autorité de protection des données clairement conceptualisée.
[L'article est co-écrit par Kazim Rizvi et Trisha Pande, Policy Manager chez The Dialogue.]