Quel sera le sort des recommandations TRAI et de la circulaire RBI après la promulgation du projet de loi PDP ?
Publié: 2018-08-08Alors que TRAI traite les données comme la propriété des utilisateurs, le projet de loi sur la protection des données personnelles n'accorde aux utilisateurs aucun droit de propriété
Le projet de loi PDP crée une relation fiduciaire entre les fiduciaires des données et les utilisateurs, de sorte que les premiers sont tenus d'agir dans le meilleur intérêt des seconds
La circulaire RBI semble être globalement conforme au projet de loi PDP ; cependant, le manque de clarté sur ce qui constitue des données personnelles critiques est un problème
Il y a environ 10 jours, le comité d'experts présidé par le juge Srikrishna (comité Srikrishna), nommé par le ministère de l'électronique et des technologies de l'information (MeitY) l'année dernière, a publié ses recommandations finales sur ce à quoi devrait ressembler le cadre de protection des données en Inde. Il a également publié un projet de loi sur la protection des données personnelles, 2018, (PDP Bill).
Dans cet article, je juxtapose le projet de loi PDP avec les recommandations de la Telecom Regulatory Authority of India (TRAI) sur la confidentialité et la propriété des données et le diktat de la Reserve Bank of India (RBI) sur la localisation des données des systèmes de paiement. (Voir ici et ici pour des listes rassemblées d'articles sur d'autres aspects du projet de loi PDP).
Alors, que pensez-vous qu'il adviendra de la circulaire RBI et des recommandations TRAI lorsque (toute version de) le projet de loi PDP sera promulgué ? Commençons par un peu d'histoire récente.
En juillet 2017, le gouvernement indien a chargé le comité Srikrishna d'élaborer une loi complète sur la protection des données pour l'Inde. Le comité a ensuite publié un livre blanc pour commentaires publics et, plus tard, en janvier 2018, a mené quatre consultations publiques - une à Delhi, Bangalore, Hyderabad et Mumbai. Six mois plus tard, mettant fin à toutes les spéculations sur le moment de leur publication, le Comité a publié ses recommandations finales et le projet de loi PDP. Pendant ce temps, en août 2017, TRAI a lancé sa propre consultation sur la confidentialité, la sécurité des données et la propriété des données dans le secteur des télécommunications. Les délibérations de la TRAI se sont déroulées parallèlement à l'exercice du comité Srikrishna et ont abouti à la publication par le régulateur des télécommunications de ses recommandations en matière de confidentialité le 16 juillet 2018, moins de deux semaines avant que le comité Srikrishna ne publie les siennes.
TRAI n'était pas le seul régulateur à avoir sauté dans le train de la protection des données, en attendant la publication des recommandations finales du comité Srikrishna. En avril, plus tôt cette année, le régulateur financier du pays – la RBI – a exigé que les données des systèmes de paiement soient localisées, ce qui signifie qu'elles doivent être stockées uniquement en Inde. Bien que les recommandations de TRAI ne soient que cela – des recommandations – le mandat de la RBI est entré en vigueur immédiatement. Les fournisseurs de systèmes de paiement ont jusqu'au 15 octobre 2018 pour se conformer à la norme et informer la RBI de leur conformité.
Les actions de la TRAI et de la RBI n'ont pas été bien accueillies par le comité Srikrishna. Peu de temps après la publication de ses recommandations par TRAI, il a été signalé que le Comité était contrarié par le moment de la décision du régulateur des télécommunications, car cela retarderait la publication de ses propres recommandations finales. En ce qui concerne la décision de la RBI, lors de la conférence de presse pour publier les recommandations finales du Comité, le juge Srikrishna a estimé que le régulateur financier avait sauté le pas avec sa circulaire. Mis à part le mécontentement du Comité à l'égard de la TRAI et de la RBI, les régulateurs sectoriels joueront un rôle clé dans l'avancement du cadre de protection des données en Inde. Le juge Srikrishna lui-même l'a déjà reconnu.
Recommandé pour vous:
Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...
Comment Metaverse va transformer l'industrie automobile indienne
Que signifie la disposition anti-profit pour les startups indiennes ?
Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...
Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...
Les startups indiennes prennent des raccourcis à la recherche de financement
Le projet de loi PDP n'est que la première étape vers l'élaboration d'un cadre complet de protection des données pour l'Inde. Les régulateurs sectoriels, TRAI et RBI inclus, joueront sans aucun doute un rôle clé dans l'opérationnalisation du projet de loi PDP et dans l'élaboration de principes et de normes de confidentialité pour leurs secteurs respectifs. Alors que le projet de loi PDP envisage la création d'une nouvelle autorité - l'Autorité de protection des données - pour superviser la mise en œuvre de la loi, il exige également que cette autorité consulte et travaille avec d'autres régulateurs sectoriels.
Étant donné que le projet de loi PDP sera la loi mère, toute action entreprise par TRAI, la RBI ou tout autre régulateur en matière de protection des données devra être conforme à ses dispositions. Toute action d'un organisme de réglementation qui est incompatible avec la loi mère au moment de son entrée en vigueur devra être réexaminée. Dans cet esprit, il est peu probable que les recommandations radicales de TRAI en matière de confidentialité, qui étendent sa compétence bien au-delà des télécommunications, se traduisent par une réglementation concrète dans leur forme actuelle. L'« écosystème numérique » que le régulateur des télécoms parle de réglementer sera, dans tous les cas, soumis à la loi sur la protection des données du pays.
La TRAI étend-elle sa juridiction ?
La tentative de la TRAI d'étendre sa compétence n'est pas nouvelle et remonte au moins à 2008, lorsqu'elle a tenté pour la première fois de réglementer les « services à valeur ajoutée ». Au cours de la dernière décennie, ces efforts visant à réglementer plus que les télécoms se sont poursuivis, bien que la terminologie ait changé - les « services à valeur ajoutée » sont devenus des « services d'application », des « services over-the-top » et maintenant, les « services numériques ». écosystème ».
Les recommandations de TRAI en matière de confidentialité – sa dernière tentative de surréglementation – diffèrent du projet de loi PDP dans certains domaines clés.
De l'avis de TRAI, les utilisateurs sont propriétaires de leurs informations personnelles et les contrôleurs de données (appelés fiduciaires de données dans le cadre du projet de loi PDP) sont de « simples gardiens » de ces données. Le projet de loi PDP n'accorde aux utilisateurs aucun droit de propriété, mais crée une relation fiduciaire entre les fiduciaires des données et les utilisateurs, de sorte que les premiers sont tenus d'agir dans le meilleur intérêt des seconds.
En outre, alors que le projet de loi PDP tient uniquement les fiduciaires de données responsables en vertu de la loi et les processeurs de données uniquement sous certaines conditions, TRAI est d'avis que les contrôleurs et les processeurs devraient être responsables. Les recommandations de TRAI et le projet de loi PDP diffèrent également sur la localisation des données. Le régulateur des télécommunications n'a fait aucune recommandation concrète sur cette question et s'en est remis au comité Srikrishna.
D'autre part, le projet de loi PDP spécifie différents degrés de localisation des données pour différentes catégories de données et exige que les données personnelles critiques soient stockées et traitées uniquement en Inde. Fait intéressant, le projet de loi ne précise pas ce que sont les données personnelles critiques et laisse au gouvernement central le soin de définir. Il est probable que le gouvernement désignera les données de télécommunications comme des données personnelles critiques.
Contrairement aux recommandations du TRAI, la circulaire RBI semble être globalement conforme au projet de loi PDP. Cependant, le manque de clarté sur ce qui constitue des données personnelles critiques est également un problème pour les informations financières. Tout comme les données de télécommunications, il est tout à fait probable que le gouvernement désignera les données financières comme des données personnelles critiques. Si tel est le cas, toutes les données financières, et pas seulement les données des systèmes de paiement, devront être stockées localement et traitées uniquement en Inde.
Le projet de loi PDP est susceptible d'être modifié avant d'être promulgué. Quelle que soit la forme finale de la loi, cependant, le fait que les régulateurs sectoriels ont un rôle crucial à jouer dans l'élaboration de la loi indienne sur la protection des données reste inchangé.