Inde : nouvelle loi sur la protection des données numériques personnelles

Le 11 août 2023, l’Inde a adopté une nouvelle loi pour la protection des données numériques personnelles (The Digital Personal Data Protection Act, 2023).

Cette nouvelle loi s’applique au traitement des données numériques à caractère personnel sur le territoire de l’Inde et en dehors de celui-ci.

Elle remplace la section 43A de la loi sur les technologies de l’information de 2000 (Information Technology Act, 2000) et les règles sur les technologies de l’information (pratiques et procédures de sécurité raisonnables et données ou informations personnelles sensibles) de 2011 (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011).

La Digital Personal Data Protection Act, 2023 encadre le traitement et la protection des données à caractère personnel des personnes concernées (Data Principal) et impose, à cette fin, des obligations aux responsables du traitement (Data Fiduciaries) et aux sous-traitants (Data Processor).

La loi repose sur 7 principes :

consentement et transparence ;
limitation des finalités ;
minimisation des données ;
limitation de la conservation ;
sécurité des données ;
exactitude des données ; et
responsabilité.

Les responsables du traitement importants (Significant Data Fiduciaries), au regard notamment du volume et des catégories des données traitées, sont soumis à des obligations supplémentaires. Ils doivent, par exemple, obligatoirement désigner un délégué à la protection des données et réaliser des analyses d’impact.

La loi s’applique uniformément à tous les types de données numériques à caractère personnel (Digital Personal Data), sans instaurer de régime particulier pour les données sensibles. Les données numériques à caractère personnel sont définies comme des données à caractère personnel qui ont été collectées dans un format numérique, ou bien dans un format non numérique mais ayant fait l’objet d’une numérisation ultérieure.

Des obligations renforcées sont prévues à l’égard des personnes vulnérables que sont les enfants (personnes âgées de moins de 18 ans) et les personnes handicapées.

Le transfert de données à caractère personnel est autorisé, par défaut, dans tous les pays, à l’exception de ceux qui sont expressément interdits par le gouvernement indien.

Enfin, la loi institue une autorité chargée de surveiller son application, le Data Protection Board. Des “Consent Manager“, enregistrés auprès de cette autorité, servent de point de contact unique entre les responsables du traitement et les personnes concernées pour tout ce qui a trait au consentement (obtention, gestion, retrait) de ces dernières.

Siddhartha George et Dharani V. Polavaram, membres Lexing pour l’Inde, vous présentent en détail cette nouvelle loi : lire l’article complet en anglais.

Lexing Inde

Imprimer
Partager

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.