Le projet de loi sur la protection des données devrait être plus sévère pour les entreprises, selon la commission parlementaire

Le projet de loi indien sur la protection des données devrait être modifié pour couvrir plus que les données personnelles et imposer des délais stricts aux entreprises pour signaler les violations de données, a recommandé une commission parlementaire dans un rapport tant attendu publié le 16 décembre 2021.

Le Le comité mixte sur le projet de loi sur la protection des données personnelles, 2019, a passé deux ans à examiner le projet de loi déposé pour la première fois devant le parlement le 11 décembre 2019. Compte tenu du long délai – et de son opinion selon laquelle le projet de loi devrait projeter plus que de simples informations personnelles – le comité a recommandé que la législation qui en résulte soit rebaptisée Loi sur la protection des données, 2021.

Le rapport de 542 pages du comité comprend 93 recommandations aux législateurs sur la rédaction du projet de loi, qui énonce les droits des responsables des données (ceux que les données décrivent) et les obligations des processeurs de données et des fiduciaires des données (ceux qui détiennent les données).

Si le projet de loi et les recommandations du comité deviennent loi, les entreprises auront de nouvelles obligations à remplir, notamment l'affichage d'un avis de confidentialité détaillé sur leur site Web, l'adoption d'une politique de confidentialité dès la conception, la conservation de divers enregistrements relatifs aux activités de traitement des données, la démonstration de l'équité des algorithmes déployés et la réalisation d'évaluations d'impact sur la protection des données, entre autres des mesures de responsabilité et de transparence.

Importance

Le comité a recommandé que les entreprises traitant de gros volumes de données personnelles, ou dont les entreprises, de par leur nature, ont le potentiel d'affecter un grand nombre de personnes, ou qui sont autrement considérées comme risquées, être étiquetées « fiduciaires de données importantes », les obligeant à mettre en œuvre des contrôles et des procédures supplémentaires.

Les conséquences pour ceux qui ne respectent pas les règles proposées seraient pour le moins graves. Les amendes pour infractions graves ou non-conformité s'élèveraient jusqu'à 15 crores ou 4 % du chiffre d'affaires mondial, tandis que les amendes pour infraction mineure ou non-conformité pourraient atteindre 5 crores ou 2 % du chiffre d'affaires mondial.

Le projet de loi crée également une multitude d'infractions moins graves qui entraîneraient des amendes et des sanctions moins élevées. , il est impossible de distinguer clairement les deux, et si la vie privée est une préoccupation, alors toutes les données doivent être protégées. données personnelles dans le projet de loi soient également habilitées à surveiller les données non personnelles. a demandé qu'une fois que cela devienne loi, les fiduciaires et les sous-traitants des données disposent d'environ deux ans pour apporter les modifications à leurs politiques, infrastructures et processus nécessaires pour les mettre en conformité.

Le comité a été moins généreux dans sa suggestion quant à la durée pendant laquelle les entreprises devrait avoir à signaler les violations de données. Il a recommandé que les fiduciaires de données soient tenus de signaler toute violation de données personnelles à la DPA dans les 72 heures suivant la prise de connaissance de la violation, et de tenir un journal de toutes les violations de données, qu'il s'agisse de données personnelles ou non.

Un autre délai proposé par le comité entrerait en vigueur lorsque les principaux responsables des données atteindraient la majorité. Les entreprises qui traitent les données des mineurs devraient, a proposé le comité, devoir les contacter trois mois avant leur 18e anniversaire pour demander une nouvelle autorisation. automatiquement, mais pas si cela révélerait des secrets commerciaux ou n'est pas techniquement possible. Le comité a déclaré que la divulgation de secrets commerciaux ne devrait pas être un motif pour que les entreprises refusent de fournir aux principaux responsables des données leurs données personnelles. Les données personnelles sensibles peuvent être envoyées en dehors de l'Inde pour traitement si l'individu a donné son accord explicite et que certaines conditions supplémentaires ont été remplies, indique-t-il.

Lorsque des données sont envoyées à l'étranger, le comité a recommandé qu'une copie soit conservée en Inde, afin de faciliter la relocalisation éventuelle des activités de traitement des données. Il a également appelé le gouvernement à veiller à ce que l'Inde développe un solide écosystème de logiciels et de services d'IA pour prendre en charge le traitement national des données personnelles des Indiens.

Il a également plaidé en faveur d'un cadre pour superviser les entreprises de matériel informatique qui collectent des données, appelant à une certification. système pour tous les appareils numériques et de l'Internet des objets (IOT). largement compromis. Les citoyens indiens, a-t-il noté, sont les principaux utilisateurs du service de paiement international SWIFT et, selon lui, cela pourrait donner un coup de fouet à l'économie nationale si l'Inde développait sa propre alternative à SWIFT.

Mais d'autres organismes resteraient exonérés. de représailles pour violation de la vie privée en vertu des règles du comité. Son rapport ne recommandait pas de supprimer une clause litigieuse qui donne au gouvernement le pouvoir d'exempter l'une de ses agences des lois sur la protection des données.

Il convient de noter que les recommandations du comité ne sont pas juridiquement contraignantes. Le projet de loi sera ensuite présenté au Cabinet, qui décidera d'adopter ou non les recommandations du comité. Ce n'est qu'alors que le projet de loi sera présenté au Parlement pour approbation. Il devrait être présenté au parlement lors de la session budgétaire 2022.