Le gouvernement indien a publié vendredi une version provisoire du règlement tant attendu sur la protection des données, ce qui en fait le quatrième effort de ce type depuis sa première proposition en juillet 2018. Le projet de loi sur la protection des données personnelles numériques, 2022, comme on l’appelle, vise à sécuriser les données personnelles, tout en sollicitant également le consentement des utilisateurs dans ce que le projet prétend être un « langage clair et simple » décrivant les types exacts d’informations qui seront collectées et pour quoi objectif. Le projet est ouvert à la consultation publique jusqu’au 17 décembre 2022. L’Inde compte plus de 760 millions d’internautes actifs, ce qui nécessite que les données générées et utilisées par les plateformes en ligne soient soumises à des règles de confidentialité afin d’éviter les abus et d’accroître la responsabilité et la confiance. « Le projet de loi établira le cadre juridique complet régissant la protection des données personnelles numériques en Inde », a déclaré le gouvernement. « Le projet de loi prévoit le traitement des données personnelles numériques d’une manière qui reconnaisse le droit des individus à protéger leurs données personnelles, les droits de la société et la nécessité de traiter les données personnelles à des fins licites. » La législation, dans sa forme actuelle, exige des entreprises (c. « Le stockage doit être limité à la durée nécessaire à l’objectif déclaré pour lequel les données personnelles ont été collectées », indique une note explicative publiée par le ministère indien de l’électronique et des technologies de l’information (MeitY). Le fait de ne pas prendre de mesures pour prévenir les violations de données peut entraîner pour les entreprises une pénalité financière pouvant atteindre 250 crores ₹ (30,6 millions de dollars). Il en va de même pour l’incapacité des entités à informer les utilisateurs de la violation, ce qui porte le total des amendes à 500 crores ₹ (61,3 millions de dollars). Les utilisateurs de services Internet, pour leur part, peuvent demander aux entreprises de partager les catégories de données personnelles qui ont été communiquées à d’autres tiers, sans oublier de demander l’effacement ou la mise à jour de leurs données dans les cas où ces informations sont jugées « inexactes ». ou trompeuse. » En outre, le projet impose des exigences de minimisation des données ainsi que des garde-corps supplémentaires que les entreprises doivent adopter afin d’empêcher la collecte ou le traitement non autorisé de données personnelles. Ce qui est également remarquable, c’est que la législation n’impose plus la localisation des données, permettant aux géants de la technologie de transférer des données personnelles en dehors des frontières géographiques indiennes vers des pays et territoires spécifiques. Enfin, la nouvelle mesure vise à établir un comité de protection des données, un organisme nommé par le gouvernement qui supervisera l’essentiel des efforts de conformité. Cela dit, le gouvernement central (c’est-à-dire fédéral) est exempté des dispositions de la loi « dans l’intérêt de la souveraineté et de l’intégrité de l’Inde, de la sécurité de l’État, des relations amicales avec les États étrangers, du maintien de l’ordre public ou de la prévention de l’incitation à tout infraction se rapportant à l’un de ceux-ci. » Ces clauses vagues, en l’absence de tout mécanisme de protection des données, pourraient conférer au gouvernement de larges pouvoirs et faciliter efficacement la surveillance de masse. « Cela donnerait aux organes gouvernementaux notifiés une immunité contre l’application de la loi, ce qui pourrait entraîner d’immenses violations de la vie privée des citoyens », a déclaré l’Internet Freedom Foundation (IFF). « C’est parce que ces normes sont excessivement vagues et larges, donc ouvertes à une mauvaise interprétation et à une mauvaise utilisation. » Le dernier développement intervient après qu’une version précédente de la loi, introduite en décembre 2021, a été annulée en août 2022 à la suite de dizaines d’amendements et de recommandations. La législation sur la protection des données est en préparation depuis 2017, lorsque la Cour suprême a réaffirmé à l’unanimité le droit à la vie privée en tant que droit fondamental en vertu de la Constitution de l’Inde, un verdict historique qui a été adopté à la suite d’une requête déposée par le juge à la retraite de la Haute Cour K. S. Puttaswamy en 2012.