
Darshil Surana
Associé, Kreston OPR Advisors
Darshil Surana est un professionnel chevronné et associé chez O. P. Rathi & Co, où il a joué un rôle déterminant dans l’amélioration des processus d’affaires et la mise en œuvre de transformations numériques stratégiques depuis avril 2023. Doté d’un ensemble de compétences variées, notamment en matière d’audit interne, de technologies de l’information et de comptabilité de gestion, Darshil est connu pour son expertise en matière de conseil financier et d’analyse sur le marché dynamique d’Ahmedabad.
Avant d’occuper son poste actuel, Darshil était propriétaire de Darshil Surana & Associates, ce qui témoigne de son esprit d’entreprise et de ses compétences en matière de planification stratégique, d’analyse financière et de fiscalité globale. Son parcours comprend également des rôles clés chez Intech Systems, où, en tant que chef de SBU et chef de livraison, il a dirigé des équipes interfonctionnelles et géré les performances de l’unité commerciale stratégique pour MS Dynamics NAV/BC.
L’ascension de Darshil, qui est passé du statut de consultant fonctionnel à celui de chef de projet, témoigne de ses compétences exceptionnelles en matière de leadership et de gestion de projet. Il a commencé sa carrière chez CA Pradeepkumar H. Shah & Co, où il a perfectionné ses compétences en matière de comptabilité et d’audit au cours de son stage. La carrière de Darshil Surana est un mélange d’expériences professionnelles solides et d’une compréhension approfondie des subtilités des stratégies financières et commerciales.
Loi indienne sur la protection des données personnelles numériques, 2023 (loi sur la protection des données personnelles numériques)
November 3, 2023
La loi de 2023 sur la protection des données personnelles numériques (Digital Personal Data Protection Act, 2023) a été adoptée en Inde le 11 août 2023. La loi vise à protéger les données personnelles et la vie privée des individus dans ce monde numérique. Il s’agit d’une législation historique qui peut permettre aux individus et à l’État de garantir la confidentialité des données. La loi établit un cadre pour garantir l’utilisation des données à des fins appropriées et désignées et pour éviter les abus. Darshil Surana, de Kreston OPR Advisors, explique.
Définitions de la loi sur la protection des données personnelles numériques
La loi met l’accent sur la “protection des données numériques à caractère personnel”. Par conséquent, les données de toute personne dans le monde numérique doivent être protégées par les personnes chargées de les collecter, de les stocker et de les traiter. Tout d’abord, essayons de comprendre certaines définitions de l’article 2 de la loi :
- Données – “une représentation d’informations, de faits, de concepts, d’opinions ou d’instructions d’une manière qui se prête à la communication, à l’interprétation ou au traitement par des êtres humains ou par des moyens automatisés” – Section 2(h).
- Données à caractère personnel – “toute donnée relative à une personne physique identifiable par ces données ou en relation avec elles” – Section 2(t).
- Données personnelles numériques – “données personnelles sous forme numérique” – Section 2(n)
La première série de définitions est assez simple. Les données, les données à caractère personnel et les données numériques à caractère personnel ont été explicitement définies afin d’éliminer toute confusion et ambiguïté. Il convient de noter que les données ont été largement définies comme “… susceptibles d’être communiquées, interprétées ou traitées par des êtres humains ou des moyens automatisés”. Par conséquent, que les données soient traitées par l’intelligence humaine ou l’intelligence artificielle, elles seront toutes deux couvertes par la loi. Voici quelques exemples de données numériques à caractère personnel :
– Enregistrements KYC tels que PAN, Aadhaar, permis de conduire, etc.
– Coordonnées telles que l’adresse électronique, les numéros de téléphone, etc.
– Identifiants et profils des utilisateurs de médias sociaux.
– Audio – Identification visuelle d’individus tels que les images de vidéosurveillance, les images de webcam, les photos et les vidéos sur les médias sociaux, etc.
– Les données biométriques telles que les empreintes digitales, les scans de l’iris, la reconnaissance faciale, etc.
- Principal intéressé – “la personne physique à laquelle se rapportent les données à caractère personnel et, lorsque cette personne est…”.
(i) un enfant, y compris les parents ou le tuteur légal de cet enfant ;
(ii) une personne handicapée, y compris son tuteur légal, agissant en son nom.
- Section 2(j).
- Fiduciaire des données – “toute personne qui, seule ou avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel” – Section 2(i).
- Responsable du traitement des données – “toute personne qui traite des données à caractère personnel pour le compte d’un fiduciaire des données” – Section 2(k).
Le directeur des données
Les définitions suivantes sont importantes. Ils jettent les bases du cadre de protection des données. La personne à laquelle se rapportent les données est appelée “personne concernée”. C’est le responsable des données qui est au centre de la loi. Le “fiduciaire des données” est la personne qui collecte, stocke et traite les données, soit en sa qualité propre, soit en collaboration avec le “responsable du traitement des données”. Ces deux termes ont fait l’objet d’une large définition. Comprenons les définitions à l’aide de quelques exemples :
Illustration 1 :
A Limited est un courtier en bourse et Mme X souhaite ouvrir un compte démat auprès d’eux. A Limited recueille son nom, son adresse, son numéro de contact, son PAN et son Aadhaar et utilise les services de B Limited, qui est un référentiel de données, pour vérifier le KYC. Ici, Mme X est le donneur d’ordre, A Limited est le fiduciaire des données et B Limited est le responsable du traitement des données.
Illustration 2 :
Mme X dirige une académie de musique où elle enseigne la musique classique. Baby Y (10 ans) est l’un de ses élèves. Mme X recueille le nom, l’adresse et les coordonnées du bébé Y pour ses dossiers. Ici, le bébé Y et ses parents sont des données principales et Mme X est une donnée fiduciaire.
- Traitement – “en ce qui concerne les données à caractère personnel, une opération ou un ensemble d’opérations entièrement ou partiellement automatisées portant sur des données numériques à caractère personnel, et notamment des opérations telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation, l’extraction, l’utilisation, le rapprochement ou l’interconnexion, l’indexation, le partage, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, la limitation, l’effacement ou la destruction” – article 2, point x).
Le traitement des données englobe tous les modes et toutes les méthodes, de la collecte des données à leur destruction. Toute activité menée entre-temps en utilisant des données sera couverte par la définition du traitement. Il s’agira également de logiciels et d’outils de reconnaissance faciale ou vocale utilisés pour identifier les personnes.
Application de la loi sur la protection des données personnelles numériques
La loi sur la protection des données personnelles numériques s’applique au traitement des données personnelles numériques sur le territoire indien lorsque les données personnelles sont collectées – sous forme numérique ou sous forme non numérique et numérisées par la suite. Elle s’applique également au traitement des données numériques à caractère personnel en dehors du territoire indien, si ce traitement est lié à une activité d’offre de biens ou de services aux donneurs d’ordre sur le territoire indien.
Si les données du donneur d’ordre sont violées même en dehors de l’Inde, la loi s’appliquera toujours si les biens/services ont été achetés par le donneur d’ordre en Inde. La loi a donc élargi son champ d’application et ne se limite pas aux frontières de l’Inde.
Illustration :
Mme X est une programmeuse basée à Pune qui travaille en free-lance par l’intermédiaire d’un portail (enregistré aux États-Unis) qui agit comme un agrégateur pour les prestataires et les destinataires de services et qui, à cette fin, recueille des données telles que le nom, l’adresse, les coordonnées, les détails bancaires, les détails de la carte de crédit, etc. Dans ce cas, le portail serait couvert par les dispositions de la loi en cas de violation des données numériques à caractère personnel de Mme X.
Toutefois, cette loi ne s’applique pas si les données à caractère personnel ont été traitées par une personne à des fins personnelles et si les données ont été mises à disposition par le donneur d’ordre ou par toute autre personne en vertu d’une obligation légale.
Obligations du fiduciaire des données
- Consentement – La loi impose au fiduciaire des données diverses obligations quant à la manière dont les données doivent être traitées et à la protection de celles-ci. La première et principale obligation est d’obtenir le “consentement” du donneur d’ordre. Conformément à l’article 6 de la loi, le consentement donné par le donneur d’ordre doit être “libre, spécifique, éclairé, inconditionnel et sans ambiguïté avec une action affirmative claire”. Elle précise en outre que “le consentement signifie que l’on accepte le traitement de données à caractère personnel pour une finalité déterminée et qu’il est limité aux données à caractère personnel nécessaires à cette finalité déterminée”. Cela signifie que même si le mandant a donné son consentement pour des données pertinentes et non pertinentes, le consentement serait limité aux seules données pertinentes et le fiduciaire des données serait responsable du manquement à ses obligations pour les données non pertinentes.
Illustration :
Mme X s’est inscrite en tant qu’acheteur sur un portail de commerce électronique. Le portail de commerce électronique lui a demandé son numéro de téléphone portable, son adresse et sa liste de contacts téléphoniques. Mme X donne son accord aux deux. Toutefois, la liste de contacts téléphoniques n’est pas nécessaire pour fournir ses biens/services. Son consentement se limitera donc à son numéro de téléphone portable et à son adresse aux fins de l’obtention de biens/services sur le portail de commerce électronique, bien qu’elle puisse avoir explicitement consenti à fournir également une liste de contacts.
Ainsi, si le fiduciaire traite des données pour lesquelles le consentement n’a pas été obtenu ou est réputé ne pas avoir été obtenu conformément aux dispositions de la loi, il sera tenu pour responsable de la violation de ses obligations.
En outre, toute demande adressée au mandant des données par le fiduciaire des données est accompagnée ou précédée d’un avis informant le mandant des données de ce qui suit :
– Les données à caractère personnel et la finalité de leur traitement.
– Comment le mandant des données peut retirer son consentement et déposer un recours.
– Comment le responsable des données peut déposer une plainte auprès du Conseil indien de la protection des données (Data Protection Board of India).
Si le consentement contient quelque chose qui enfreint les dispositions de la loi ou des règles qui en découlent, le consentement est invalide dans la mesure de cette infraction.
Illustration :
X, un particulier, achète une police d’assurance en utilisant l’application mobile ou le site web de Y, un assureur. Elle donne à Y son accord pour (i) le traitement de ses données à caractère personnel par Y dans le but d’émettre la police, et (ii) renoncer à son droit de déposer une plainte auprès de la Commission indienne de protection des données. Partie (Le point ii) du consentement, relatif à la renonciation à son droit de déposer une plainte, est invalide.
Le responsable des données a également le droit de retirer son consentement pour les données à caractère personnel pour lesquelles un consentement valide a été accordé précédemment. En cas de retrait du consentement, le fiduciaire des données devra faire effacer les données de sa base de données et veiller à ce qu’elles ne soient plus utilisées pour le traitement.
- Certaines utilisations légitimes des données à caractère personnel – Le fiduciaire des données peut traiter les données à caractère personnel du mandant des données à certaines fins légitimes telles que
a. Lorsque la personne concernée a volontairement fourni des données à caractère personnel et n’a pas explicitement indiqué qu’elle n’était pas d’accord avec ces données.
b. Données demandées par l’État aux fins de toute loi en vigueur.
c. Respect d’un jugement ou d’une décision
d. Répondre à une urgence médicale impliquant une menace pour la vie ou un risque immédiat pour la santé du donneur d’ordre ou de toute autre personne
e. Prendre des mesures pour fournir un traitement médical ou des services de santé
f. Prendre des mesures pour assurer la sécurité de toute personne en cas de catastrophe ou de troubles de l’ordre public.
g. Pour les besoins de l’emploi ou ceux liés à la protection de l’employeur contre les pertes ou la responsabilité, tels que la prévention de l’espionnage d’entreprise, le maintien de la confidentialité des secrets commerciaux, de la propriété intellectuelle, des informations classifiées ou la fourniture de tout service ou avantage demandé par un donneur d’ordre qui est un employé. - Obligations générales du fiduciaire des données – Le fiduciaire des données a certaines obligations à respecter pour se conformer à la loi :
a. Le fiduciaire des données est responsable du respect des dispositions de la loi, même si le mandant des données ne s’acquitte pas de ses obligations en vertu de la loi.
b. Le fiduciaire des données ne peut faire appel à un sous-traitant des données que dans le cadre d’un contrat en bonne et due forme.
c. Veiller à l’exhaustivité, à l’exactitude et à la cohérence des données.
d. Mettre en œuvre les mesures techniques appropriées pour assurer le respect effectif des dispositions de la loi.
e. dispose de garanties de sécurité raisonnables pour protéger les données à caractère personnel en sa possession ou sous son contrôle, y compris les données traitées en son nom propre ou par le sous-traitant.
f. Informez le Conseil de protection des données de l’Inde en cas de violation de données personnelles.
g. Efface et fait effacer par le sous-traitant les données à caractère personnel en cas de retrait du consentement par le mandant ou si la finalité spécifiée n’est plus remplie. - Données personnelles des enfants – Le fiduciaire des données doit :
a. Obtenir le consentement vérifiable des parents ou du tuteur légal d’un enfant avant de traiter des données à caractère personnel.
b. Ne pas entreprendre de suivi ou de surveillance comportementale des enfants ou de publicités ciblées destinées aux enfants.
Droits et devoirs du responsable des données
Le principal intéressé s’est vu accorder divers droits et privilèges en vertu de la loi afin de préserver la confidentialité de ses données numériques personnelles. Ils sont également tenus de respecter les dispositions de la loi.
- Droits du donneur d’ordre :
a. Droit d’accès aux informations sur les données personnelles : Le mandant a le droit d’obtenir un résumé des données à caractère personnel traitées par le fiduciaire.
b. Le principal intéressé a le droit de modifier les données à caractère personnel ou de les faire effacer en retirant son consentement en vertu de la loi.
c. En cas de violation par un fiduciaire des données, le mandant des données aura le droit de déposer un recours auprès du fiduciaire des données ainsi qu’auprès du Conseil indien de protection des données. - Devoirs du responsable des données :
a. Respecter les dispositions de la loi.
b. Ne pas usurper l’identité d’une autre personne lorsqu’elle fournit des données à caractère personnel dans un but précis.
c. Ne pas supprimer d’informations matérielles en fournissant des données à caractère personnel pour tout document, identifiant unique, preuve d’identité ou preuve d’adresse délivré par l’État ou l’une de ses institutions.
d. Ne pas enregistrer de griefs ou de plaintes faux ou frivoles
e. Fournir des informations vérifiables et authentiques.
Sanctions en cas d’infraction aux dispositions de la loi
La loi contient des dispositions strictes concernant le respect de la loi par les fiduciaires de données. Elle prévoit également des sanctions sévères en cas de violation des dispositions de la loi. Examinons quelques-unes des sanctions prévues par la loi :
Sr. Non. Sanction en cas d’infraction
1 Le manquement à l’obligation du fiduciaire des données de prendre des mesures de sécurité raisonnables pour empêcher la violation de données à caractère personnel en vertu de l’article 8, paragraphe 5, peut s’élever à 250 millions d’INR.
2 Manquement à l’obligation de notifier à la Commission ou au responsable des données concerné(e) une violation de données à caractère personnel en vertu de l’article 8, paragraphe 6. Peut aller jusqu’à 200 millions d’INR.
3 Le manquement aux obligations supplémentaires concernant les enfants en vertu de l’article 9 peut s’élever à 200 millions d’INR.
4 Manquement aux obligations supplémentaires incombant au Fidéicommissaire aux données significatives en vertu de l’article 10. Peut aller jusqu’à 150 crores INR.
5 Violation de toute autre disposition de la présente loi ou des règles qui en découlent. Peut aller jusqu’à 50 crores INR.
Comme vous pouvez le constater, la sanction peut aller de 50 à 250 milliards d’INR en fonction du type d’infraction. Toutes les organisations qui répondent à la définition de fiduciaire ou de responsable du traitement des données doivent donc prendre des mesures pour se conformer à la loi et à ses règles en temps utile. Le gouvernement devrait accorder une période de transition pour permettre la mise en œuvre de mesures visant à garantir la conformité.
Conclusion
Les organisations devraient procéder de manière proactive à une évaluation de l’impact de la protection des données et dresser un inventaire des mesures à adopter. Ceux-ci peuvent couvrir les domaines suivants :
- Concevoir des mécanismes de consentement.
- Adopter des mesures de sécurité informatique et cybernétique.
- Nommer des responsables de la conformité au sein de l’organisation.
- Concevoir des politiques de stockage, d’archivage et de purge des données et des outils pour les mettre en œuvre.
Les particuliers doivent également s’informer sur la loi et connaître leurs droits et privilèges. Ils ont exposé d’énormes quantités de données en ligne à de multiples portails. Cette loi leur permet de contrôler la manière dont leurs données peuvent être utilisées et protégées.
Si vous souhaitez en savoir plus sur la loi sur la protection des données personnelles numériques en Inde, n’hésitez pas à nous contacter.