2021 est une courroie roulante qui manquera en un clin d'œil aux activités de protection de la vie privée et des données en Inde. L'absence d'une loi globale sur la protection des données en Inde étant plus bruyante que jamais, l'activité législative et administrative ne manque pas. Le gouvernement indien a entrepris des réformes majeures, telles que la libéralisation de l'ancien système de données géospatiales, l'introduction de normes industrielles de protection de la vie privée et l'introduction de mesures de sécurité plus strictes dans le secteur des paiements numériques. Sur le plan judiciaire, des déclarations ont été faites sur des questions telles que l'anonymat, le droit à l'oubli et la surveillance de l'État. Le nouveau projet de loi sur la protection des données, inspiré du RGPD, a bien sûr pris le gâteau et a été examiné pendant deux ans depuis la présentation du précédent projet.
Comme nous l'avions prédit dans nos Perspectives 2021, nous nous attendions à ce que l'automne soit mouvementé, même si nos développements en matière de protection de la vie privée et des données dépassent de loin nos attentes. Depuis 2021, les développements juridiques liés à la protection de la vie privée et des données ont connu des montagnes russes:
Proposition de loi sur la protection des données
Le 16 décembre 2021, la commission parlementaire mixte a présenté au Parlement son rapport sur le projet de loi sur la protection des données, ainsi qu'une version révisée du projet de loi, Loi sur la protection des données de 2021. 1. Le projet de loi n ' a pas encore été soumis au Parlement pour examen et adoption en tant que projet de loi. Après la publication de l'avant-projet de loi, l'industrie a également demandé une nouvelle consultation, car de nombreuses dispositions différaient de la version précédente publiée il y a deux ans.
Par rapport à la version antérieure de la loi proposée, le projet de loi a le goût du RGPD et apporte des changements importants, tels que l'élargissement du champ d'application de la loi pour couvrir non seulement les données personnelles, mais aussi les données non personnelles. En outre, des exigences strictes en matière de déclaration des atteintes aux données (dans les 72 heures), une réglementation des fabricants de matériel et des mécanismes d'authentification pour tous les appareils numériques et IoT ont été introduits pour atténuer les atteintes aux données. Le projet de loi prévoit également une mise en œuvre progressive et le gouvernement central peut notifier différentes dates pour promulguer différentes dispositions.
Notre analyse détaillée du rapport de la commission parlementaire mixte et de l'avant-projet de loi est disponible ici.
Nouveau système de données géospatiales et de services cartographiques
Le ministère des Sciences et de la Technologie du gouvernement indien a publié des "Lignes directrices pour l'acquisition et la production de données géospatiales et de services de données géospatiales, y compris des cartes" 2 « 15 février 2021. Avant l ' adoption de ces directives, de nombreuses circulaires et directives réglementant les données cartographiques avaient été publiées par divers ministères et départements, notamment le Ministère de la défense, le Bureau indien des enquêtes, le Ministère des finances et le Ministère des affaires étrangères, dont la plupart étaient soit peu claires, soit obsolètes, soit les deux. En vertu des nouvelles directives, la collecte, la production, l ' établissement, la diffusion, le stockage, la publication, la mise à jour et/ou la numérisation de données et de cartes géospatiales sur le territoire indien n ' est soumise à aucune restriction et n ' exige aucune autorisation, licence, licence, etc., sous réserve d ' un certain nombre d ' attributs limités. Les nouvelles lignes directrices limitent également la création et/ou la possession ou l'hébergement de données géospatiales par des entités étrangères au-delà de certains seuils prescrits. Ils sont également limités à la cartographie mobile terrestre, à la cartographie des paysages de rue et à l'arpentage dans les eaux territoriales indiennes.
Notre analyse des nouvelles données géospatiales et des guides cartographiques est disponible ici.
Les régulateurs bancaires interdisent le stockage des données sur les cartes de crédit
La Reserve Bank of India (RBI) a lancé des lignes directrices pour la réglementation des agrégateurs de paiement et des passerelles de paiement afin d'autoriser et de réglementer les intermédiaires de paiement qui utilisent des modèles de paiement électroniques/en ligne pour faciliter et traiter les paiements entre utilisateurs et commerçants. 3. Conformément à ces lignes directrices, la RBI impose des restrictions à la mémoire des cartes et des données liées aux cartes par les agrégateurs de paiement et les commerçants. Une clarification subséquente a également été publiée en mars 2021, réaffirmant les limites de stockage des données de la carte. 7 septembre 2021 4 , la RBI a publié un avis exigeant qu'à compter du 1er janvier 2022, (a) aucune entité autre que l'émetteur ou le réseau de cartes n'autorise la mémoire des données de la carte et (b) toutes les données précédemment stockées soient effacées. 5 . À titre d'exemption, le numéro de la carte et les quatre derniers chiffres du nom de l'émetteur peuvent être mémorisés aux fins du suivi et du rapprochement des transactions.
La tokenisation est considérée comme une solution viable pour respecter les limites de stockage des cartes tout en maintenant la continuité des paiements en ligne. RBI étend le cadre de marquage limité basé sur les appareils à tous les appareils et permet le marquage des fichiers sur les cartes. Le 23 décembre 2021, la RBI a prolongé son calendrier de mise en conformité jusqu'au 30 juin 2022, en se fondant sur les représentations de plusieurs secteurs à la RBI. 6.
Notre article sur ces développements dans le stockage des données des cartes est disponible ici, et notre webinaire avec les parties prenantes de l'industrie peut être visionné ici.
Publication de normes de confidentialité des données
Le Bureau indien des normes a mis à la disposition du public ses nouvelles normes de protection de la vie privée des données à la mi-2021, IS17428 notifié antérieurement 7. La norme vise à fournir un cadre de protection de la vie privée aux organisations pour établir, mettre en œuvre, maintenir et améliorer continuellement leurs systèmes de gestion de la vie privée des données. Comprend deux parties: l'une est une partie réglementaire, qui doit être appliquée par toute personne qui applique la norme; Une autre section est la section des recommandations, qui fournit des pratiques exemplaires détaillées pour aider à mettre en œuvre les exigences de la section des règlements.
La conformité de la mise en œuvre de la norme IS17428 par les organisations avec les règles de 2011 relatives aux technologies de l'information (pratiques et procédures de sécurité raisonnables et données ou informations personnelles sensibles) en ce qui concerne le maintien de pratiques et de procédures de sécurité raisonnables pour les données ou informations personnelles sensibles peut être évaluée. Cependant, ces règles et la norme IS17428 ne précisent pas clairement que la mise en œuvre des dispositions de la norme IS17428 est en partie considérée comme conforme à l'exigence de maintenir des pratiques et des procédures de sécurité raisonnables. Par conséquent, il peut incomber aux organisations de démontrer que la mise en œuvre des dispositions de la norme IS17428 satisfait partiellement à cette exigence.
En vertu de la future loi sur la protection des données, les dépositaires et les sous-traitants de données doivent mettre en œuvre des mesures de sécurité, en utilisant des mesures de désidentification, de cryptage, de protection de l ' intégrité des données personnelles et de prévention de l ' utilisation abusive, de l ' accès non autorisé, de la modification, de la divulgation ou de la destruction des données personnelles. Convient d’évaluer et de préciser si la mise en œuvre de la norme IS17428 peut s’avérer conforme à ces obligations en matière de sécurité.
Notre analyse détaillée de l'IS17428 est disponible ici.
Les applications de messagerie volumineuses doivent introduire des fonctionnalités de traçabilité
Communiqué du Ministère de l'électronique et des technologies de l'information sur les règles 2021 des technologies de l'information (guide des intermédiaires et éthique des médias numériques) 8 Remplacer les règles de 2011 sur les technologies de l'information (lignes directrices pour les intermédiaires) le 25 février 2021. Les nouvelles règles sur les intermédiaires prévoient que les « intermédiaires » de l'internet doivent respecter certaines exigences de diligence raisonnable, notamment l'obligation de conserver toutes les informations sur les utilisateurs collectées lors de l'enregistrement pendant 180 jours, même après l'annulation ou le retrait de cet enregistrement. La règle a également pris une longueur d'avance en identifiant certains intermédiaires comme des "intermédiaires importants des médias sociaux" si le nombre d'utilisateurs enregistrés dépasse un certain seuil (notifié par la suite à 50 millions d'utilisateurs enregistrés). 9 ). L ' une des obligations additionnelles de diligence raisonnable auxquelles doivent se conformer les grands intermédiaires des médias sociaux qui fournissent principalement des services d ' information est l ' identification du premier auteur de toute information transmise par l ' intermédiaire d ' un tribunal ou d ' un gouvernement afin d ' intercepter, de surveiller ou de décrypter l ' information. Les nouvelles règles d'intermédiation stipulent que les intermédiaires importants des médias sociaux ne doivent divulguer que l'identité du premier promoteur du message et ne divulguent pas le contenu de tout message électronique ni aucune information concernant le premier promoteur ou d'autres utilisateurs.
Cette exigence rétroactive en vertu des nouvelles règles d'intermédiation a été contestée par WhatsApp devant la Haute Cour de Delhi 10 Pour des motifs inconstitutionnels et des violations des droits fondamentaux de l'individu à la vie privée, à la liberté d'expression et à la liberté d'expression. At the date of this article, the case was pending before the High Court of Delhi.
Discussion judiciaire sur le logiciel espion Pegasus
La Cour suprême indienne a rendu un jugement important le 27 octobre 2021, après des informations selon lesquelles un logiciel espion appelé Pegasus (développé par une société de sécurité israélienne, le groupe NSO) avait été déployé comme un outil de surveillance pour les citoyens indiens. 11. La pétition prie pour une enquête indépendante sur les allégations de déploiement de Pegasus par certains gouvernements étrangers et agences gouvernementales indiennes.
The Supreme Court stated that the impact of the alleged use of Pegasus on the right to privacy and freedom of expression was needed to be examined in the formation of the three experts technical Le comité a été chargé de faire des recommandations sur l'élaboration ou la modification des lois de surveillance existantes pour garantir une "amélioration" du droit à la vie privée, une meilleure cybersécurité et des mesures d'évaluation des menaces. La proposition de la Commission doit encore être présentée.
Antitrust concerns with WhatsApp’s privacy policy update
WhatsApp LLC, which operates the messaging platform WhatsApp updated its privacy policy and terms of service in January 2021. Bien que la mise à jour précédente de WhatsApp ait donné à ses utilisateurs la possibilité de « participer » au partage de données avec Facebook, cette mise à jour de la politique de confidentialité exige que les utilisateurs consentent au partage de données avec Facebook afin que les utilisateurs puissent continuer à utiliser les services WhatsApp. Dans une ordonnance du 24 mars 2021, la Commission indienne de la concurrence, le régulateur antitrust indien, a ouvert une enquête contre WhatsApp. Et Facebook Inc. Évaluation de l'impact potentiel des mises à jour de WhatsApp sur la concurrence sur le marché indien 12. Elle a noté que demander unilatéralement aux utilisateurs d'accepter les mises à jour de la politique de confidentialité de WhatsApp sape leur accord volontaire et semble principalement injuste et déraisonnable pour ses utilisateurs.
Facebook, Inc. and WhatsApp, Inc. in separate petitions before the Delhi High Court challenged the order of the Competition Commission of India initiating an investigation13. Certains soutiennent que la mise à jour de WhatsApp ne nie pas le choix des utilisateurs, mais vise plutôt à accroître la transparence des pratiques de partage de données de WhatsApp avec Facebook. La Haute Cour de Delhi a rejeté les pétitions et, en outre, a soutenu les allégations de Facebook. Considéré comme faisant partie intégrante de l ' enquête 14.
Le droit à l ' oubli (sans)
Un juge de la Haute Cour de Madras a rendu un jugement le 3 août 2021, rejetant un pétitionnaire qui cherchait à retirer son nom d'une ordonnance du tribunal en exerçant son droit à l'oubli 15. Le requérant a fait l ' objet d ' une procédure pénale devant le tribunal de première instance et la Haute Cour de Madras, mais a finalement été acquitté. Dans l ' intérêt de sa réputation, le requérant a demandé que son nom soit rayé de la décision de la Haute Cour de Madras. La Haute Cour de Madras a réaffirmé le droit à la vie privée (et à l ' anonymat) de la personne tel qu ' il a été établi par la Cour suprême dans l ' affaire K. S. Puttaswamy c. Union of India 16 Dans le même temps, il a été souligné que la Cour suprême a jugé que le droit à l'oubli ne pouvait pas être exercé si des informations étaient nécessaires pour accomplir des tâches d'intérêt public. Dans le système de justice pénale indien, en l ' absence d ' un cadre précis ou de critères objectifs concernant la modification du nom de l ' accusé, la Cour a estimé qu ' il serait plus approprié d ' attendre la promulgation de la nouvelle loi indienne sur la protection des données pour exercer ces droits et a donc rejeté la requête.
Cela est identique aux décisions judiciaires antérieures des différentes juridictions supérieures au cours des dernières années, qui ont souligné l'importance du droit à l'oubli et la nécessité d'une action législative à cet égard. Est intéressant de noter que le projet de loi sur la protection des données reconnaît de manière limitée le droit des personnes à l'oubli et l'étend pour inclure des restrictions au "traitement". 17 , peut être exercé conformément à la procédure régulière.
Notre analyse des décisions précédentes sur le droit à l'oubli peut être consultée ici.
National Strategy on blockchain recommends data localization
The Ministry of Electronics and Information Technology published its ‘National Strategy on Blockchain’18 in December 2021 with the aim to provide an insight into strategies and recommendations for creating a trusted digital platform using blockchain that can facilitate trusted service delivery to citizens and businesses. Interestingly, the ministry has identified that many countries have introduced data localization restrictions and as a security/privacy measure recommends that data localization should be enabled for blockchain based systems in the country. Suggère que cette exigence de localisation puisse être satisfaite en « hébergeant l'infrastructure de blockchain nationale, les données et les contrats intelligents». Bien que cela reste une considération politique, il reste à voir comment les mesures de localisation des données seront mises en œuvre pour les technologies décentralisées.
Un regard de plus près sur les plateformes de prêt numérique
En janvier 2021, compte tenu de l'interférence croissante avec les applications de prêt en ligne, la RBI a mis sur pied un groupe de travail pour étudier les activités de prêt numérique. Le rapport du Groupe de travail sur les prêts numériques, y compris les prêts via les plateformes Web et les applications mobiles, a été publié le 18 novembre 2021. 19 On a observé de nombreuses erreurs concernant la vie privée dans les applications de prêt numérique. Le manque de transparence, le fait que les utilisateurs n ' ont pas la possibilité de gérer ou de supprimer leurs données une fois le prêt payé, la non-divulgation des banques partenaires ou des sociétés financières non bancaires et l ' utilisation abusive des données sensibles des emprunteurs pour les harceler, ainsi que leur famille ou leurs amis, ont été considérés comme des problèmes majeurs.
Le groupe de travail de la RBI a formulé un certain nombre de recommandations techniques par le biais de ce rapport, y a eu notamment une recommandation récente selon laquelle les données devraient être stockées sur des serveurs locaux en Inde et ne devraient être collectées que « auprès d'emprunteurs/emprunteurs potentiels, en fournissant à l'avance des informations sur le but, l'utilisation et l'impact de ces données et en obtenant le consentement explicite de l'emprunteur d'une manière vérifiable». La réunion a également recommandé que des normes de sécurité des données et des réseaux soient établies pour ces applications et qu'elles soient obligatoirement reflétées dans les conditions de service. Le rapport a été soumis aux commentaires du public, et la RBC a indiqué qu'elle formulerait ses observations finales sur le régime proposé.
Parliamentary Standing Committee recommends permanent blocking of VPNs
The Parliamentary Standing Committee of Home Affairs presented its 233rd report on Atrocities and Crimes against Women and Children20 on March 15, 2021 before the upper house Of Parliament. The report identified Virtual Private Network (VPN) services as a “technological challenge” that allow criminals to remain anonymous online and access the dark web to commit crimes bypassing security walls. It recommended that a coordination mechanism be developed with international agencies to ensure that these VPNs are blocked. Étant donné que les réseaux privés virtuels sont également utilisés comme un outil pour renforcer la sécurité et la vie privée afin de permettre aux utilisateurs de rester anonymes sur Internet, cette proposition doit être considérée du point de vue du droit des individus à rester anonymes, qui fait partie du droit fondamental à la vie privée confirmé par la Cour suprême dans l'affaire K. S. Puttaswamy c. Union of India. 21 À l'heure actuelle, il n'y a pas de restrictions juridiques générales qui pourraient spécifiquement interdire ou réglementer l'utilisation des réseaux privés virtuels par des particuliers.
Projet de loi sur la technologie de l'ADN
Projet de loi sur le règlement sur la technologie de l'ADN (utilisation et application) pendant la session de mousson 2021 du Parlement 22 En 2019, il sera examiné et adopté par la Chambre des communes. Ce projet de loi vise à réglementer l'utilisation de la technologie de l'ADN à des fins précises, comme la résolution de crimes, etc. Prévoit également des procédures de collecte d'ADN, la création d'une base de données ADN, un comité de réglementation, un mécanisme de certification, etc.
Étant donné que le projet de loi permet le prélèvement d'échantillons d'ADN sans consentement dans certaines circonstances (p. ex., les infractions passibles d'une peine d'emprisonnement de plus de sept ans), l'interaction avec le droit à la vie privée est une considération sérieuse que la loi peut tolérer.
Une année décisive pour l'avenir
2022 est susceptible d'être une année historique pour l'introduction de la première loi indienne complète et universelle sur la protection des données. Bien que certains aspects doivent encore être abordés, il est possible de soumettre un projet de loi au Parlement indien lors de la session budgétaire de février ou de la session de mousson qui suit, qui se déroule généralement en juillet et août. There may even be a fresh public consultation held on the draft law, which would be a welcome step.
De nombreux progrès ont été réalisés dans la réglementation des données sectorielles, les organismes de réglementation de l'industrie jouant également un rôle plus actif dans la protection des données et des intérêts des consommateurs dans leur secteur. La prochaine loi générale sur la protection des données, qui sera mise en œuvre conjointement avec ces règlements sectoriels spécifiques, pourrait soulever des questions notables et pourrait même inciter les tribunaux indiens à examiner certaines questions importantes. Par exemple, avec l ' importance croissante des nouvelles technologies telles que l ' AI/ML, l ' IoT, les chaînes de blocage et le Web 3.0, il sera intéressant de savoir comment les autorités de réglementation peuvent intégrer les positions traditionnelles de localisation des données à ces cadres décentralisés de partage des données.
Attachez vos ceintures de sécurité, restez assis et embrassons une année 2022 prometteuse!
FOOTNOTES
Available at http://164.100.47.193/lsscommittee/Joint%20Committee%20on%20the%20Personal%20Data%20Protection%20Bill,%202019/17_Joint_Committee_on_the_Personal_Data_Protection_Bill_2019_1.pdf (last accessed December 31, 2021).
[2] Disponible en https: //dst.gov.in/sites/default/files/Final%20Approved%20Guidelines%20on%20Geospatial%20Data.pdf (Dernière visite le 31 décembre 2021).
[3] Disponible en https: //rbi.org.in/Scripts/NotificationUser.aspx? Id=11822&Mode=0 (last accessed December 31, 2021).
[4] Disponible en https: //www.rbi.org.in/Scripts/NotificationUser.aspx? ID = 12050& Mode = 0 (dernière visite le 31 décembre 2021).
[5] Available at https://www.rbi.org.in/Scripts/NotificationUser.aspx? Id=12159&Mode=0 (last accessed December 31, 2021).
[6] Available at https://www.rbi.org.in/Scripts/NotificationUser.aspx? Id=12211&Mode=0 (last accessed December 31, 2021).
[7] See https://egazette.nic.in/WriteReadData/2020/223869.pdf (last accessed December 31, 2021).
[8] Disponible en https: Www.meity.gov.in/writereaddata/files/immediary_guidelines_and_digital_media_ethics_code_rules-2021.pdf (Dernière visite le 31 décembre 2021).
[9] Voir https: //egazette.nic.in/WriteReadData/2021/225497.pdf (Dernière visite le 31 décembre 2021).
[10] WhatsApp v. Union of India (W.P. (C) 7284/2021).
[11] Manohar Lal Sharma c. UOI (WP(Crl) no 314 de 2021); Disponible en https: //main.sci.gov.in/supremecourt/2021/16884/16884_2021_1_1501_30827_Judgement_27-Oct-2021.pdf (Dernière visite le 31 décembre 2021)
[12] Voir https: //www.cci.gov.in/sites/default/files/SM01of2021_0.pdf (Dernière visite le 31 décembre 2021).
[13] WhatsApp c. CCI (W.P. (C) 4378/2021 & CM 13336/2021) and Facebook, Inc. v. CCI (W.P. (C) 4407/2021 & CM 13490/2021).
[14] Disponible à l ' adresse suivante: //164.100.69.66/jupload/dhc/NAC/judgement/24-04-2021/NAC22042021CW43782021_153656.pdf (Dernière visite le 31 décembre 2021).
[15] Karhich Theodre c. Greffier général, Haute Cour de Madras (W.P. (MD)No 12015 de 2021 et WMP (M.D. no 9466 de 2021); Disponible en https: Www.mhc.tn.gov.in/judis/index.php/casestatus/viewpdf/783065 (dernière visite le 31 décembre 2021).
[16] WP(C) no 494 de 2012; Disponible en https: //main.sci.gov.in/supremecourt/2012/35071/35071_2012_Judgement_24-Aug-2017.pdf (Dernière visite le 31 décembre 2021).
[17] La définition du "traitement" au sens de l'article 3(36) du projet de loi sur la protection des données est la suivante:
« traitement», en ce qui concerne les données à caractère personnel, une opération ou un ensemble d'opérations effectuées sur des données à caractère personnel et pouvant comprendre la collecte, l'enregistrement, l'organisation, la construction, le stockage, l'adaptation, la modification, la récupération, l'utilisation, l'alignement ou la combinaison, l'indexation, la divulgation par transmission, Diffuser ou autrement mettre à disposition, restreindre, supprimer ou détruire. "
[18] Disponible à l ' adresse https: //www.meity.gov.in/writereaddata/files/National_BCT_Strategy.pdf (Dernière visite le 31 décembre 2021).
[19] Available at https://www.rbi.org.in/Scripts/PublicationReportDetails.aspx? UrlPage=&ID=1189 (last accessed December 31, 2021).
[20] Disponible à l ' adresse https: //rajyasabha.nic.in/rsnew/Committee_site/Committee_File/ReportFile/15/143/230_2021_3_14.pdf (Dernière visite le 31 décembre 2021).
[21] WP(C) no 494 de 2012; Disponible en https: //main.sci.gov.in/supremecourt/2012/35071/35071_2012_Judgement_24-Aug-2017.pdf (Dernière visite le 31 décembre 2021).
[22] Disponible à l ' adresse suivante: //164.100.47.4/billstexts/lsbilltexts/asintroduced/128_%202019_LS_eng.pdf (Dernière visite le 31 décembre 2021).
