Adoptée en 2023, la « Digital Personal Data Protection Act » (DPDPA) constitue une étape clé pour l’Inde. Cette législation vise à renforcer la confiance des entreprises en alignant le pays sur les standards internationaux de référence en matière de protection de la vie privée. Les associés Vikram Jeet Singh et Kalindhi Bhatia du cabinet BTG Advaya analysent son déploiement et les enjeux à venir.
Vikram Jeet Singh & Kalindhi Bhatia (BTG Advaya) : « La loi indienne sur la protection des données personnelles numériques incite les organisations à adopter le “privacy by design” »
Décideurs. En quoi la DPDP Act transforme-t-elle la régulation des données en Inde ?
Vikram Jeet Singh. Depuis 2023, en Inde, l’instauration de la Digital Personal Data Protection Act définit un cadre unifié de protection des données applicable à l’ensemble des secteurs, tout en coexistant avec les réglementations sectorielles existantes. Cette législation incite les organisations à adopter une approche de « privacy by design », fondée sur des finalités clairement définies, la minimisation de la collecte des données et le renforcement de la responsabilité, le tout encadré par les autorités sectorielles et assorti de sanctions significatives, pouvant atteindre 27 millions de dollars US, ainsi que de droits individuels opposables.
L’impact le plus immédiat concerne la gestion du consentement. La DPDPA imposedes mécanismes d’opt-in explicites, des dispositifs de retrait du consentement et des politiques de confidentialité actualisées. La conformité implique également une cartographie précise des flux de données, la mise à jour des politiques de conservation et de suppression, ainsi que le renforcement des mesures de sécurité. Les General Counsels familiers du RGPD savent que ces transformations nécessitent du temps, de la coordination et des ressources budgétaires, d’où la nécessité d’une préparation anticipée.
Au-delà des coûts de conformité, quels seront les principaux impacts opérationnels sur la collecte des données, les transferts internationaux et les contrats ?
Kalindhi Bhatia. Contrairement au RGPD, qui prévoit plusieurs bases légales de traitement, la DPDPA érige le consentement en principe central et limite la collecte aux données strictement nécessaires aux finalités déclarées. Il s’agit d’un changement majeur pour les organisations jusqu’ici structurées autour de la base de « l’intérêt légitime ».
Les entreprises doivent repenser leurs interfaces afin d’obtenir un consentement explicite et granulaire, en faciliter le retrait, tenir à jour des inventaires de données et publier des politiques de confidentialité conformes. Les transferts transfrontaliers demeurent globalement autorisés, mais le gouvernement conserve la possibilité d’imposer ultérieurement des restrictions, ce qui contribue à créer une incertitude réglementaire et souligne l’importance de stratégies de données flexibles et de garanties contractuelles adaptées.
« Contrairement au RGPD, la DPDPA érige le consentement en principe central et limite la collecte aux données strictement nécessaires aux finalités déclarées »
Des exigences de conformité renforcées s’appliquent aux données des mineurs – les personnes âgées de moins de 18 ans. Par ailleurs, les organisations doivent également revoir leurs contrats avec les fournisseurs, sous-traitants et salariés afin de préciser les rôles, les obligations de sécurité, les procédures de notification en cas de violation, les modalités des audits et les responsabilités de chacun.
Quelle gouvernance un conseil d’administration du Fortune 500 doit-il mettre en place ?
V.S. Un conseil d’administration d’une entreprise du Fortune 500 peut instaurer une supervision de la conformité à la DPDPA en instituant un comité dédié à la gouvernance des données personnelles avec le « Privacy Governance », appuyé sur des reportings réguliers et une visibilité renforcée des risques.
Compte tenu de leur taille et des volumes de données traités, nombre de ces organisations, notamment celles orientées B2C, pourraient être qualifiées de « Significant Data Fiduciaries », une qualification impliquant des obligations de gouvernance accrues, notamment avec la réalisation d’audits périodiques des données.
La responsabilité opérationnelle peut être confiée à un Data Privacy Officer, appuyé par des comités de gouvernance chargés de suivre la conformité, d’anticiper les risques et de traiter les enjeux opérationnels. Cette gouvernance doit être complétée par des programmes de formation, des contrôles d’accès robustes, des protocoles de gestion des incidents, des mécanismes d’escalade clairement définis et des incitations favorisant une véritable culture de la protection des données.
À l’horizon mai 2027, quelles priorités pour transformer la conformité en avantage compétitif ?
K.B. Un point de départ pragmatique consiste à établir une vision claire et transversale des flux de données personnelles : quelles données sont collectées, en quelle quantité, où elles sont stockées, qui y a accès et comment elles sont utilisées ou partagées. La mise en place d’un registre des activités de traitement [RoPA, ndlr] pour les opérations en Inde permet d’atteindre ce niveau de visibilité et de maîtrise.
Les organisations déjà soumises au RGPD disposent d’une base solide et peuvent adapter leurs dispositifs existants, tout en s’appuyant sur des conseils locaux pour intégrer les spécificités indiennes. En priorité, les documents destinés aux parties prenantes, notamment les politiques de confidentialité RH, les mentions d’information aux utilisateurs et les mécanismes de consentement, doivent être élaborés, avant le déploiement des procédures internes et des programmes de formation.
Il est également recommandé de désigner des responsables au sein de chaque unité opérationnelle afin de piloter la mise en œuvre. Cette approche favorise l’appropriation des enjeux et permet un déploiement plus rapide et plus efficace.