L'Inde présente un nouveau projet de loi sur la protection des PD - un autre analogue au RGPD?

Dans notre blog, nous avons déjà écrit sur le RGPD , ses « victimes » et la situation du durcissement de la réglementation du secteur informatique dans son ensemble. Dans cet article, nous parlerons de la protection de la MP en Inde.

Nous discuterons notamment d'un nouveau projet de loi déposé fin juillet de cette année.

Réfléchissez à ses principaux points et parlez de la critique dans la communauté.


/ photo ruben alexander CC

Points clés

Le projet de loi sur la protection des données personnelles (2018) a été rédigé depuis près d'un an par les membres du comité de la justice. Shrikrishna (Comité Justice Srikrishna). Le document a été préparé en tenant compte des particularités de la réglementation informatique en Inde, mais une expérience étrangère a également été introduite. Par conséquent, ceux qui ont lu le document ont immédiatement noté qu'il rappelle largement le RGPD.

Examinez les principales dispositions énoncées dans le document:

Les citoyens auront plus de contrôle sur la DP

Les propriétaires personnels dans le document sont appelés le principal des données (et non la personne concernée comme dans le RGPD). Et ils ont les droits suivants ( page 14, chapitre 6 ):

• le droit de savoir si l'opérateur traite certains PD;
• le droit de modifier les données si elles sont incorrectes ou obsolètes;
• le droit d'exiger la fourniture de leurs données sous forme électronique;
• le droit d'oublier / restreindre la publicité ou de cesser d'utiliser PD.

Il convient de noter que le Comité s'est également occupé des enfants: un chapitre séparé est consacré à la protection de leurs données, qui précise les responsabilités des opérateurs de DP ( page 13, chapitre 5 ). Par exemple, il précise que l'opérateur est obligé d'organiser des mécanismes de vérification de l'âge, ainsi que de limiter le suivi des comportements et l'affichage de publicités ciblées sur le site.

Nouvelles exigences pour les opérateurs PD

Quiconque recueille et traite les données personnelles des habitants de l'Inde est appelé Data Fiduciary dans le texte du document - la personne chargée des données (les avocats l' appellent «fiduciaire» ou «fiduciaire»: il est responsable des biens d'une autre personne - dans ce cas, la propriété est les données du sujet )

Et un certain nombre d'exigences leur sont imposées lors du traitement de PD ( page 17, chapitre 7 ). Par exemple, ils sont tenus de respecter le concept Privacy by Design. Cela signifie que toutes les technologies, politiques de sécurité et gestion d'entreprise applicables doivent être «affûtées» pour préserver l'intégrité du PD et éviter d'éventuelles conséquences désagréables pour leurs propriétaires (par exemple, les fuites de données).

En outre, les fiduciaires sont tenus de nommer un délégué à la protection des données ( DPD ) dans leur entreprise, de stocker des informations sur toutes les transactions avec PD, ainsi que de se soumettre à un audit et de notifier les fuites de données dans les délais fixés par une autorité de surveillance spéciale.

Soit dit en passant, sur les superviseurs

Pour contrôler le respect de la loi, une autorité de protection des données de l'Inde (DPA) sera créée dans le pays. Le montant des amendes pour non-respect des exigences de la loi est à peu près égal à celui prévu par la législation européenne. Par exemple, les opérateurs de PD font face à une récupération allant jusqu'à 2 millions de dollars (ou 4% du chiffre d'affaires annuel) pour avoir permis le piratage d'une base de données.

Dans le même temps, l'article 10 ( page 29 du document ) stipule que les membres de la DPA doivent être des personnes ayant plus de dix ans d'expérience dans le domaine de la protection des données et des domaines connexes. Par conséquent, nous pouvons supposer que des personnes possédant une connaissance technique approfondie et une compréhension des principes du travail technologique occuperont des postes.

Des copies du PD devront être stockées sur des serveurs en Inde

Cela est indiqué à l'article 8 ( page 23 ). Il s'agit de la politique de «cyber-souveraineté», que les autorités ont décidé de suivre. Le projet de loi interdit aux entreprises de déplacer des données à l'extérieur du pays à moins que l'autorisation n'ait été obtenue de l'entité PD, de la DPA ou de l'État et que d'autres subtilités ne soient pas respectées. Potentiellement, cette exigence peut créer des difficultés supplémentaires pour les entreprises locales et les fournisseurs de cloud étrangers.

La PD ne peut être stockée inconditionnellement à l'étranger qu'en cas d'urgence (état de santé du propriétaire de la PD, menace pour sa vie, etc., lorsque vous devez agir rapidement).

Comment avez-vous adopté le projet de loi?

Avec le projet de loi, le Comité de justice nommé d'après Shrikrishny a fourni la justification de toutes les dispositions et ses recommandations pour protéger la DP dans le pays. Les auteurs expliquent que lors de l'élaboration du document, ils ont utilisé le concept d'un triangle , dont le sommet est l'intérêt des citoyens indiens, et les motifs sont les intérêts des entreprises et de l'État. Par cela, ils veulent probablement souligner que le projet de loi tient compte des droits de tous ceux qu'il touche.

Cependant, tous les «sommets triangulaires» ne sont pas d'accord avec eux. Un certain nombre de dispositions du projet de loi ont été critiquées.

Le président de la Fondation Mozilla, Mitchell Baker, a exprimé ses préoccupations concernant les exceptions pour l'État mentionnées dans le document ( chapitre 9 ) - les raisons et les tâches de traitement de la DP par les agences gouvernementales (par exemple, l'archivage ou l'analyse statistique) ne sont pas claires.

L'interdiction de mener des études de «ré-identification» a été sérieusement critiquée, lorsque l'identité de leur propriétaire est déterminée par des données anonymisées. Ces études contribuent à améliorer les technologies de protection PD et à fournir des statistiques sur les fuites ou le niveau de sécurité des données dans une entreprise.

Selon le texte du nouveau projet de loi, de tels tests ne peuvent désormais être effectués qu'avec le consentement de l'opérateur PD (sinon, une amende de 3 000 dollars sera infligée). Cela devrait aider à éviter d'éventuelles «décharges» de bases de données avec des PD de résidents indiens. D'un autre côté, les experts en sécurité de l'information soulignent que l'interdiction de réidentification ne résout pas le problème.

Tout cela peut conduire à ce que les entreprises qui traitent des données personnelles refusent d'effectuer des tests si elles ne sont pas sûres de la «qualité» de leur désanonymisation. Lors du piratage des systèmes de ces entreprises par des pirates (qui n'ont évidemment pas besoin de l'autorisation de pirater), les conséquences peuvent être graves.

Par exemple, en 2017 au Royaume-Uni, ils ont également proposé d'interdire les études de réidentification, mais y ont réfléchi à deux fois pour des raisons de sécurité.

Et ensuite

Le nouveau projet de loi doit passer par un certain nombre de cas: du ministère des TI et des communications à la chambre haute du Parlement indien, Rajya Sabha, et obtenir leur approbation. Il est probable qu'en raison des critiques sous sa forme actuelle, il ne sera pas accepté, car le moment de l'entrée en vigueur est toujours en question.

---

PS Qu'avons-nous d'autre sur le sujet dans le blog IaaS:

• Comment gérer la PD dans le cloud
• Ce qu'il faut considérer PD du point de vue du régulateur russe
• PD dans le cloud: domaines de responsabilité des clients et des fournisseurs de cloud

---

La direction principale de notre activité est la fourniture de services cloud:

Infrastructure virtuelle (IaaS) | Hébergement PCI DSS | Cloud FZ-152 | Hébergement SAP | Stockage virtuel | Chiffrement des données dans le cloud | Stockage cloud