La législation autour de la protection des données à caractère personnel connaît une évolution majeure à l’échelle mondiale avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en Europe et le renforcement des lois existantes sur la protection des données en Inde. Cet article portera sur les similitudes et différences entre le RGPD et les régulations indiennes, ainsi que leurs conséquences pour les entreprises françaises ayant une activité en Inde.
Contexte de la protection des données en Inde
L’Inde est un marché en pleine croissance, attirant de nombreuses entreprises internationales grâce à sa population importante, son développement économique rapide et sa société connectée. Pourtant, jusqu’à récemment, le pays ne disposait pas d’une législation spécifique pour encadrer la protection des données personnelles. Les premières dispositions concernant ce sujet ont été intégrées dans la loi sur les technologies de l’information en 2000, puis renforcées en 2008 et en 2011 par l’introduction de règles relatives à la confidentialité et la sécurité des informations sensibles.
Règles actuelles en matière de protection des données en Inde
Les règles actuellement en vigueur en Inde pour assurer la protection des données à caractère personnel sont contenues dans la loi sur les technologies de l’information (Information Technology Act) et ses amendements successifs. Parmi les principales dispositions de cette loi, on peut citer :
- L’obligation pour les entreprises indiennes et étrangères traitant des données personnelles en Inde d’avoir une politique de confidentialité et de sécurité, ainsi que de nommer un responsable interne de la protection des données (Data Protection Officer)
- Le consentement préalable et explicite des personnes concernées pour le traitement de leurs données
- La possibilité pour les individus de corriger ou supprimer leurs données en cas d’inexactitude ou de traitement illégal
- Le stockage obligatoire des données sensibles sur des serveurs situés en Inde
Les évolutions récentes et l’harmonisation avec le RGPD
Depuis 2017, les autorités indiennes travaillent à l’élaboration d’une nouvelle législation dédiée exclusivement à la protection des données personnelles. Le projet de loi intitulé « Personal Data Protection Bill » a été présenté au Parlement indien en décembre 2019 et est actuellement en cours d’examen par un comité parlementaire.
Principaux apports du projet de loi indien
Le « Personal Data Protection Bill » vise à renforcer les droits des individus et les obligations des entreprises en matière de protection des données dans le pays. Parmi les principales nouveautés introduites par ce texte, on retrouve :
- Le principe de minimisation des données, qui implique que seules les informations strictement nécessaires pour la finalité prévue doivent être collectées et traitées
- La prise en compte des données de localisation géographique, du comportement en ligne et des préférences politiques ou religieuses comme « données sensibles »
- L’obligation pour les entreprises de notifier les violations de données aux autorités dans un délai de 72 heures
- Le droit à l’oubli, qui permet aux individus de demander la suppression de leurs données si le traitement n’a plus de raison d’être
- Des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires mondial pour les entreprises en cas de non-respect des règles
Certaines de ces dispositions sont similaires à celles contenues dans le RGPD, ce qui montre une volonté d’harmoniser les régulations internationales sur la protection des données personnelles. Toutefois, il est important de souligner que le projet de loi indien présente également des différences notables avec le texte européen, notamment en ce qui concerne l’exemption des restrictions pour certaines opérations liées à l’intérêt public ou à la sécurité nationale.
Les conséquences pour les entreprises françaises ayant une activité en Inde
Avec l’adoption probable du « Personal Data Protection Bill » et la convergence entre le RGPD et les régulations indiennes, de nouvelles obligations et exigences vont peser sur les entreprises françaises exerçant une activité en Inde. Les acteurs concernés devront donc anticiper les changements législatifs pour assurer leur conformité.
Adapter les politiques et process internes
Les entreprises françaises, déjà familiarisées avec le RGPD pour leur activité en Europe, seront sans doute avantagées par rapport à leurs concurrents locaux en ce qui concerne l’adaptation aux nouvelles règles indiennes. Pour s’aligner sur ces exigences, elles devront notamment :
- Réviser et mettre à jour leur politique de confidentialité et de sécurité des données pour les adapter au contexte indien
- Vérifier que le consentement des personnes concernées est conforme aux normes locales
- Mettre en œuvre un système de traitement et de stockage des données respectueux des règles indiennes – cela peut potentiellement impliquer une localisation des serveurs en Inde ou la mise en place de solutions de chiffrement spécifiques’
Suivre l’évolution du cadre législatif indien
Même si le « Personal Data Protection Bill » n’est pas encore définitivement adopté, il est crucial pour les entreprises françaises actives en Inde de se tenir informées de son évolution et des discussions autour de son contenu. Ainsi, elles pourront être prêtes à mettre en œuvre les ajustements nécessaires dès l’entrée en vigueur de la loi.
En somme, alors que l’Inde avance vers une législation plus stricte en matière de protection des données personnelles, s’inspirant du modèle européen du RGPD, les entreprises françaises ayant une activité dans le pays devront être attentives aux évolutions législatives et adapter leurs pratiques pour être en conformité avec les nouvelles exigences.