Près de quatre ans après que le gouvernement a chargé pour la première fois le Comité de justice Srikrishna d'adopter une loi sur la protection des données, l'Inde se rapproche enfin de sa réalisation. La commission parlementaire mixte ( CPM) a récemment déposé son rapport tant attendu sur le projet de loi sur la protection des données personnelles, 2019 (projet de loi 2019). Il a également formulé sa propre version de la loi proposée - en la nommant le projet de loi sur la protection des données (DP Bill). Le changement de nom reflète la décision du JPC d'élargir le champ d'application de la loi pour inclure les données non personnelles dans son champ d'application.

La proposition de loi énonce les choses à faire et à ne pas faire pour toutes les entreprises qui traitent des données. Ainsi, pour respecter la loi, les startups doivent repenser la manière dont elles collectent, stockent, utilisent et partagent les données. Ils doivent adopter une approche « privacy by design », c'est-à-dire intégrer la confidentialité dans la conception même de leur(s) système(s) et assurer sa sécurité. Ils devront également créer des processus pour traiter les demandes des utilisateurs souhaitant exercer certains droits en relation avec leurs données. En plus de cela, cela nécessite de renforcer les capacités techniques pour partager les données avec le gouvernement à des fins d'élaboration de politiques, d'obtenir des certifications pour leur matériel et leurs logiciels et de stocker localement des données sensibles, entre autres. Ces changements entraînent des coûts de mise en conformité importants que les entreprises devront prendre en compte et il est essentiel que les startups disposent de suffisamment de temps pour se conformer à la loi proposée.

Outre les modifications apportées au texte du projet de loi de 2019, la CPM formule également des recommandations générales telles que le traitement des plateformes de médias sociaux comme des éditeurs de contenu, l'application d'une vérification obligatoire des utilisateurs de médias sociaux, la formulation d'une politique stricte de localisation des données, entre autres. Bien que les recommandations générales ne se traduisent peut-être pas en mesures réglementaires immédiates, elles peuvent orienter la réflexion du gouvernement à plus long terme. Il est important que les startups s'engagent avec ces recommandations afin qu'elles aient une idée de ce que l'avenir de la réglementation pourrait leur réserver.

Pour aider les startups à comprendre l'impact de la loi proposée, Ikigai Law organise une table ronde virtuelle - " Unscramble: Impact Of India's Data Protection Law on Startups " - le 24 février 2022, à 15h00 IST. Certains des thèmes abordés au cours de la session incluent le partage obligatoire de données non personnelles avec le gouvernement, les restrictions sur les flux transfrontaliers de données, la divulgation de l'équité des algorithmes et le défi global de conformité pour les startups.

Postulez ici pour participer

Impact de l'inclusion de données non personnelles dans une loi sur la confidentialité

Le projet de loi DP vise à réglementer les données non personnelles ( NPD) dans le cadre d'un cadre de protection des données personnelles. Il donne au gouvernement central de larges pouvoirs pour accéder au NPD afin de formuler des politiques pour l'économie numérique et habilite l'Autorité de protection des données (DPA) à enquêter sur les violations du NPD.

Mais pourquoi cela devrait-il être important pour les startups ?

Il est envisagé que NPD inclue une grande variété de données, y compris des données dépourvues de toute information personnellement identifiable, des données anonymisées et des données qui n'ont jamais eu de lien avec des données personnelles telles que des données météorologiques, des données géospatiales, des données de télémétrie, des données de voyage etc. Les entreprises investissent des ressources techniques et financières pour valoriser le NPD en le soumettant à des outils de traitement et d'analyse de données. Ces données comprennent des données brutes (données collectées à la source), des données déduites, des informations commerciales clés (qui sont de nature exclusive).

Permettre au gouvernement d'accéder à des données exclusives pourrait interférer avec les droits de propriété intellectuelle ( PI ) des entreprises sur leurs ensembles de données. Cela pourrait également avoir un impact sur les startups qui s'appuient sur les informations issues des données pour un avantage concurrentiel sur le marché. Exiger des entreprises qu'elles renoncent au NPD pourrait les décourager d'investir dans la collecte, l'agrégation, le stockage et l'analyse des données. Cela peut entraver l'innovation, entraver le développement du marché des données et empêcher les entreprises d'expérimenter les données et d'autres actifs liés aux données.

L'objectif de la réglementation des données personnelles est de sécuriser la vie privée des individus, et celui de réglementer le NPD est d'en extraire une valeur économique. Réglementer les données personnelles et le NPD sous un même parapluie est susceptible de diluer les deux objectifs.

Incertitude et défis de conformité

Le projet de loi DP, comme le projet de loi de 2019, classe les données en données personnelles sensibles et en données personnelles critiques. Les données sensibles comprennent une liste non exhaustive d'informations traitées en routine telles que des données financières, des données de santé, des données génétiques, etc. Les données personnelles critiques doivent encore être définies par le gouvernement. Le traitement des données sensibles s'accompagne d'obligations de conformité plus strictes, notamment l'obligation d'obtenir le consentement explicite des utilisateurs.

La nature trop large des données sensibles et critiques, et la capacité du gouvernement à notifier des catégories supplémentaires, pourraient créer de l'incertitude. Il pourrait être difficile pour les startups d'évaluer comment classer les données et comment déterminer les conformités pour différentes catégories.

Contrairement aux lois sur la protection des données dans d'autres juridictions, la loi indienne proposée se concentre fortement sur le consentement de l'utilisateur en tant que base juridique pour traiter les données. La loi proposée obligerait les entreprises à obtenir le consentement même pour les opérations de routine telles que l'amélioration des produits, les corrections de bogues, etc., entraînant une notification excessive et une fatigue du consentement pour les utilisateurs. Cela crée également deux normes - le consentement et le consentement explicite - sans explication claire de la différence entre les deux, ce qui ajoute à l'incertitude.

Le régulateur de données proposé aura le pouvoir de désigner tout fiduciaire de données (notre équivalent de ce que le RGPD appelle les « contrôleurs de données », entités qui décident de la finalité et des moyens de collecte des données) comme fiduciaire de données significatif (SDF), sur la base de certains critères . Cela inclut le volume et la sensibilité des données traitées, l'utilisation des nouvelles technologies, le traitement des données des enfants, les sociétés de médias sociaux au-dessus d'un certain seuil d'utilisateurs, entre autres.

Les SDF ont des exigences de conformité renforcées telles que la réalisation d'évaluations d'impact sur la protection des données et la nomination de responsables de la protection des données. Les Fintechs qui traitent des données financières, et toute startup qui utilise les nouvelles technologies, resteront à l'affût de leur classification en tant que SDF

En outre, dans le but de créer des garanties supplémentaires pour protéger les données des enfants, la loi exige effectivement que toutes les entreprises en ligne limitent l'âge de leurs services d'une manière ou d'une autre. Cependant, les conseils sur les normes des techniques de contrôle de l'âge ne proviendront du régulateur qu'à un stade ultérieur, ce qui rendra difficile la planification de la conformité.

Les exigences de stockage local pourraient affecter la compétitivité des startups

Un grand nombre de startups indiennes dépendent des transferts de données transfrontaliers, par exemple, pour utiliser les services de fournisseurs de services cloud situés en dehors de l'Inde. Les dispositions qui entravent la libre circulation des données créeront des difficultés pour les startups, qui ne pourront pas accéder à des technologies et à une infrastructure rentables et de premier ordre. De plus, les exigences de stockage local pourraient constituer des obstacles pour les startups de technologie profonde (IA/ML, analyse de données) qui ambitionnent de répondre aux besoins des consommateurs du monde entier.

Le projet de loi de 2019 imposait déjà plusieurs restrictions aux transferts transfrontaliers de données. Le JPC, dans le projet de loi DP, a proposé des obstacles bureaucratiques supplémentaires sur les transferts de données, comme exiger l'approbation du gouvernement central pour les transferts en vertu d'un contrat ou de régimes intra-groupe.

La libre circulation des données agit comme un égaliseur, permettant aux startups de rivaliser à l'échelle mondiale sur le prix et la qualité, quelle que soit leur taille. D'autre part, des restrictions disproportionnées sur les transferts de données pourraient empêcher l'accès à des services moins chers et à une technologie de pointe offerts par les plateformes cloud mondiales et les marchés internationaux pour les startups.

La divulgation de l'"équité" des algorithmes et des secrets commerciaux pourrait avoir un impact sur les droits de propriété intellectuelle des startups

La loi proposée oblige les entités à partager des informations sur «l'équité de l'algorithme» avec le régulateur des données. Ceci afin d'assurer la transparence du traitement et d'empêcher l'utilisation abusive d'algorithmes. Il n'est pas clair ce que signifie « équité » ou la quantité d'informations qui devraient être divulguées. Cela pourrait également avoir des implications pour les droits de propriété intellectuelle d'une entreprise, en particulier si l'algorithme est interprété par le régulateur comme signifiant un code source algorithmique.

Le projet de loi DP permet également à un individu de demander aux entreprises de transférer ses données personnelles à lui-même ou à une autre entreprise. La portée des données personnelles pouvant être transférées est large car elle comprend les données générées dans le cadre de la fourniture de services aux utilisateurs et toutes les données faisant partie de tout profil d'utilisateurs. Cela pourrait inclure des informations commerciales confidentielles.

Alors que le projet de loi de 2019 permettait aux entreprises de refuser ces demandes - si cela était nécessaire pour protéger les secrets commerciaux - le JPC suggère de supprimer l'exemption relative aux secrets commerciaux, exposant les informations commerciales confidentielles de l'entreprise aux concurrents. Étant donné que les startups s'appuient de manière significative sur leurs douves de données pour maintenir leur compétitivité, cela pourrait nuire à leurs perspectives de croissance.

Plus de certificats

Le projet de loi DP propose également de mettre en place un régime de certification et de test pour les logiciels et le matériel des appareils informatiques afin de prévenir les fuites de données ou les menaces à la sécurité nationale sur les appareils numériques. Cela pourrait conduire à la création de nouvelles normes matérielles/logicielles, en plus des normes locales et mondiales existantes. Cela peut perturber les opérations de production et ne pèsera que sur les startups, qui devront peut-être modifier leurs systèmes matériels et logiciels, ce qui entraînera une augmentation des coûts.

Alors, quelle est la prochaine étape ?

Bien que le rapport du JPC recommande que le régulateur des données garde à l'esprit les intérêts des startups et des petites entreprises pour encourager l'innovation, des conformités incertaines, des exigences strictes en matière de stockage local, entre autres, pourraient contrecarrer cette intention. Ainsi, il est crucial de communiquer les préoccupations des startups au gouvernement, alors qu'il délibère sur le projet de loi DP.

À cette fin, Ikigai Law invite toutes les parties prenantes de l'écosystème à discuter de l'impact du cadre de protection des données personnelles proposé lors d'une table ronde virtuelle - Unscramble: Impact Of India's Data Protection Framework For Startups le 24 février 2022 à 15 h IST.

Réservez vos créneaux maintenant