Législation sur la confidentialité des données
La loi de 2000 sur les technologies de l'information
La loi de 2000 sur les technologies de l'information (TI) est la principale législation en Inde régissant le commerce électronique et répondant aux préoccupations concernant la cybercriminalité.
Elle a été introduite afin de renforcer la gouvernance électronique, de fournir un soutien juridique aux transactions en ligne et de lutter contre la cybercriminalité. L'objectif principal de cette loi est de faciliter les activités numériques, informatiques et les activités en ligne qui sont légitimes et fiables, tout en minimisant ou en éliminant les cas de cybercriminalité.
L'étendue de la loi
La loi de 2000 sur les technologies de l'information est applicable sur l'ensemble du territoire de l'Inde et a également une compétence extraterritoriale. Cela signifie qu'elle s'applique aux délits cybernétiques commis à l'extérieur des frontières de l'Inde. Si un système ou un réseau indien est impliqué, les dispositions de la loi de 2000 sur les technologies de l'information seront appliquées, quel que soit le lieu géographique où se trouve le contrevenant.
Les objectifs de la loi
- Conférer un statut juridique à toutes les opérations effectuées par voie électronique qui remplacent le mode de communication traditionnel sur papier, que ce soit par le biais d'échange de données, d'autres moyens de communication électroniques ou du commerce électronique,
- Valider les signatures numériques en tant que preuve légale de toute information ou tout document nécessitant une vérification juridique.
- Permettre la présentation par voie électronique de documents aux ministères et organismes gouvernementaux.
Les principales caractéristiques de la loi
Les principales caractéristiques de la loi sont les suivantes :
- La loi est composée de 94 articles, divisés en 13 chapitres et 4 annexes.
- Elle rend juridiquement contraignants tous les contrats intelligents signés par des moyens électroniques sécurisés.
- Elle maintient les précautions de sécurité requises. Un cadre juridique pour les signatures numériques utilisant un système cryptographique a également été ajouté.
- Les dossiers électroniques ont été authentifiés.
- Des dispositions sont également prévues pour la création d'un comité consultatif sur la réglementation cybernétique chargé de conseiller le contrôleur et le gouvernement central.
- La loi permet aux officiers de police de rang élevé et à d'autres fonctionnaires d'entrer dans tout espace public et de procéder à des arrestations sans mandat pour les infractions qu'elle vise.
- Les procurations, les instruments négociables, les testaments et autres documents similaires ne sont pas régis par les réglementations contenues dans ladite loi.
- Finalement, cette loi liste les nombreux délits et infractions cybernétiques, les définit et précise les sanctions qui y sont associées.
La loi de 2000 sur les technologies de l'information a été modifiée par la loi de 2008 portant l'amendement de la loi sur les technologies de l'information. De ce fait, tous les types d'outils de communication et de ressources informatiques sont désormais couverts par la loi de 2000 sur les technologies de l'information.
Les lois sur la confidentialité des données empêchant les entreprises de transférer des données entre les pays
Ces dernières années ont vu une forte augmentation des flux mondiaux de données et du commerce transfrontalier des services numériques. Selon un rapport de la Banque mondiale, en 2020, le trafic Internet mondial a atteint environ trois zettaoctets, soit l'équivalent d'un gigaoctet par personne par jour. Ce volume de données devrait doubler dans un avenir proche, ce qui souligne l'ampleur des échanges de données qui propulse le commerce international. Les flux de données transfrontaliers jouent un rôle central dans l'amélioration de la productivité et la réduction des coûts de transactions commerciales et servent de plate-forme principale pour les transactions de services numériques. La relation entre les flux de données transfrontaliers et le commerce international, qui se renforce mutuellement, joue un rôle déterminant dans l'impulsion du commerce mondial.
Tenant compte de cette situation, le ministère indien de l'Électronique et des Technologies de l'information (MeitY) a publié le projet de loi de 2022 sur la protection des données personnelles numériques à des fins de consultations publiques. Ce projet de loi vise à répondre aux préoccupations en matière de confidentialité des données et à réglementer le traitement des données personnelles numériques. Le MeitY organisera des consultations publiques cette année.
Projet de dispositions : Projet de loi de 2022 sur la protection des données personnelles numériques
La législation proposée vise les objectifs suivants :
- Le traitement équilibré des données : Le projet de loi vise la gestion du traitement des données numériques à caractère personnel de manière à respecter les droits des individus de protéger leurs informations personnelles tout en permettant le traitement légal des données à des fins spécifiques.
- Le transfert transfrontalier de données : Le projet de loi introduit des dispositions relatives aux transferts transfrontaliers de données entre « certains pays et territoires notifiés ». Cette décision est considérée comme étant une évolution positive pour les entreprises technologiques cherchant à échanger des données à l'international.
- Plaidoyer en faveur de l'industrie technologique : Les groupes de pression de l'industrie, tels que l'Asia Internet Coalition, qui représentent de grandes entreprises technologiques comme Meta, Google et Amazon, ont plaidé en faveur d'un assouplissement des réglementations sur le transfert transfrontalier de données afin de promouvoir l'innovation et la facilité de faire des affaires.
- La réglementation proportionnelle : Le projet de loi souligne le fait que les décisions relatives aux transferts transfrontaliers devraient être fondées sur des évaluations détaillées et devraient, idéalement, être régies par une réglementation minimale afin d'encourager la libre circulation des données.
- Responsabilité en matière d'utilisation des données : Le projet de loi souligne que les entreprises ne devraient utiliser les données recueillies qu'aux fins spécifiques pour lesquelles elles les ont obtenues, garantissant ainsi une responsabilité et une transparence accrues en matière du traitement des données.
- Stockage limité des données : Le projet de loi propose que le stockage des données soit limité à la durée nécessaire aux fins prévues afin d'éviter la conservation indéfinie des données personnelles.
- Sanctions en cas de non-conformité : Le projet de loi prévoit des sanctions en cas de mesures de sécurité inadéquates, de fuite de données et de non-notification de ces fuites de données aux autorités et aux utilisateurs, ainsi que des amendes pouvant s'élever à plusieurs millions de dollars.
- Simplification de la réglementation : La version actuelle du projet de loi a regroupé les dispositions sous une forme plus concise, passant de plus de 90 à 30 articles, dans le but d'établir un équilibre entre les exigences réglementaires et un environnement commercial propice.
- Exemptions en matière de sécurité nationale : Le projet de loi habilite le gouvernement fédéral à exempter les gouvernements des États de certaines dispositions dans l'intérêt de la sécurité nationale.
- Précurseur de la loi nommée loi sur l'Inde numérique : New Delhi travaille en parallèle à l'actualisation de sa loi sur les technologies de l'information qui est en vigueur depuis plus de deux décennies. La nouvelle loi fera ses débuts sous le nom de Digital India Act. Cette nouvelle législation vise à moderniser le cadre réglementaire et à relever les défis technologiques contemporains.
Le parcours de l'Inde vers une législation complète sur la protection des données a été marqué par une série de mises à jour et de révisions. Le retrait des versions antérieures reflète l'engagement du gouvernement d'aligner le projet de loi sur l'évolution des préoccupations en matière de protection de la vie privée et sur le cadre juridique plus large. Ce progrès législatif vise également à trouver un équilibre entre la protection des données, l'innovation technologique et la facilitation des flux transfrontaliers de données aux fins du commerce international.
La raison d'être des lois sur la protection des données en Inde
- Utilisation répandue des données : Des millions d'Indiens utilisent chaque jour de nombreuses applications, laissant, par inadvertance, des pistes de données qui sont susceptibles d'être utilisées à mauvais escient à des fins de profilage, de publicités ciblées et d'analyse prédictive.
- Ambiguïté juridique : Le cadre juridique indien se caractérise par des lois disparates entre les domaines, ce qui entraîne une ambiguïté. Cette fragmentation est un facteur important contribuant à la fuite de volumes importants de données. L'absence d'une législation consolidée qui régit de manière exhaustive tous les aspects liés à la protection des données et qui prévoit des sanctions appropriées ne fait qu'exacerber ce défi.
- Lacunes en matière de redressement des griefs : Dans de nombreux cas, les mécanismes de redressement des griefs se sont révélés inadéquats et défectueux. Il est impératif de revitaliser rapidement ces mécanismes et de les revoir en détail. Le régime d'application de la loi est souvent confronté à des obstacles lors de sa mise en œuvre lorsqu'il s'agit des cas de fuites de données et de cybersécurité.
- Actif national de données : L'Inde, en tant que pays souverain, considère que les données de ses citoyens constituent un actif national. La sauvegarde et la localisation de cet actif à l'intérieur des frontières nationales pourraient devenir primordiales en fonction des objectifs sécuritaires et géopolitiques du pays. Cela concerne non seulement les personnes morales mais également les organisations non gouvernementales et les organismes publics.
- Respect des cadres internationaux et protection des droits des citoyens : Malgré l'adhésion de l'Inde à diverses organisations internationales, telles que la Commission du commerce international des Nations Unies, qui soulignent l'importance des mécanismes de protection des données, son engagement à assurer la confidentialité et la protection des données reste insuffisant. De plus, les dispositions constitutionnelles de l'article 38 en matière de bien-être général des citoyens mettent en avant la nécessité de renforcer les mesures de protection des données. En outre, l'article 51 de la Constitution souligne l'obligation de l'État de favoriser la paix et la sécurité internationales en promouvant le respect des obligations découlant des traités et du droit international.
La nécessité d'une législation solide en matière de protection des données en Inde résulte de l'interaction complexe de la technologie moderne, des subtilités juridiques et des impératifs en termes de sécurité nationale. La mise en place d'un cadre juridique complet pour la protection des données est essentielle pour faire face à ces défis, assurer le respect des droits des citoyens, veiller à ce que les entreprises opèrent de manière responsable et à ce que les intérêts nationaux soient sauvegardés à l'échelle mondiale.
Avis de non-responsabilité
Le service des délégués commerciaux du Canada en Inde recommande aux lecteurs de se référer aux conseils de professionnels selon leurs circonstances spécifiques. Cette publication ne devrait pas être utilisée comme substitut à des conseils professionnels. Le gouvernement du Canada ne garantit pas l'exactitude des informations contenues sur cette page. Les lecteurs sont priés de vérifier de manière indépendante l'exactitude et la fiabilité des informations.
Le contenu de cette page a été fourni par Dezan Shira & Associates, une entreprise de services professionnels multidisciplinaires pour l'ensemble de l'Asie, offrant des conseils juridiques, fiscaux et opérationnels aux investisseurs internationaux.
