Qu'est-ce que la loi sur la protection des données personnelles numériques ?
En juillet 2024, la loi indienne sur la protection des données personnelles numériques (DPDP) est entrée en vigueur, après avoir été approuvée par les deux chambres du Parlement indien en août 2023. Cette législation novatrice établit un équilibre entre le droit des personnes à protéger leurs données personnelles et la nécessité de traiter ces données à des fins légales. L'acte :
- Elle décrit les droits et les devoirs des responsables des données (propriétaires des données).
- Impose des obligations aux fiduciaires des données (responsables du traitement des données).
- Introduit des sanctions financières en cas d'infraction.
Vous trouverez ci-dessous une vue d'ensemble de la loi indienne sur le DPDP, à qui et à quoi elle s'applique, les sanctions en cas de non-conformité et les solutions Fortra qui peuvent vous aider à répondre aux exigences du DPDP.
Qui doit adhérer à la loi indienne sur la protection des données personnelles numériques (DPDP Act) ?
La loi indienne sur le RGPD couvre toutes les données personnelles numériques traitées en Inde et exclut les données personnelles non numérisées et hors ligne. Plus précisément, il s'applique à
- Les organisations qui traitent des données susceptibles d'identifier une personne.
- Données collectées ou stockées sous forme numérique.
- Les organisations qui traitent des données sur le territoire indien, ou les tiers externes qui traitent des données concernant des biens et des services offerts à des personnes en Inde.
"Les "données numériques à caractère personnel" sont définies comme des données sous forme numérique (soit par la collecte, soit par le stockage) qui pourraient permettre d'identifier une personne. Sont exclues les données agrégées, les données utilisées à des fins domestiques ou ménagères et les données personnelles accessibles au public.
Droits protégés par la loi
La loi sur le RGPD protège les droits des individus en ce qui concerne leurs données personnelles de la manière suivante :
- Savoir quelles données personnelles sont collectées à leur sujet: Le droit d'être informé des données à caractère personnel qui sont collectées à leur sujet, de la finalité de cette collecte et des tiers avec lesquels ces données sont partagées.
- Accéder à leurs données personnelles: Le droit d'accéder à toute donnée personnelle traitée par une organisation.
- Corriger ou supprimer leurs données personnelles: Le droit de corriger toute inexactitude dans leurs données personnelles ou de supprimer leurs données personnelles dans certaines circonstances.
- S'opposer au traitement de leurs données personnelles: Le droit de s'opposer au traitement de leurs données personnelles dans certaines circonstances.
- Transférer leurs données personnelles à une autre organisation: Le droit de transférer leurs données personnelles à une autre organisation dans certaines circonstances.
- Déposer une plainte auprès de la Commission de protection des données (DPB): Les personnes ont le droit de déposer une plainte auprès du DPB si elles estiment que leurs données à caractère personnel ont été traitées d'une manière qui n'est pas conforme à la loi sur le DPDP.
Découvrez les principaux impacts de la loi indienne sur la protection des données personnelles numériques (DPDP) sur les organisations grâce à notre guide complet gratuit.
Obligations organisationnelles en vertu de la loi
La loi sur le DPDP exige que les organisations
- Obtenir le consentement des personnes avant de traiter leurs données personnelles: Les organisations doivent obtenir le consentement des personnes avant de traiter leurs données personnelles, à moins qu'une exemption ne s'applique.
- Utiliser les données à caractère personnel uniquement aux fins pour lesquelles elles ont été collectées: Les organisations doivent utiliser les données à caractère personnel uniquement aux fins pour lesquelles elles ont été collectées, à moins qu'elles n'aient obtenu le consentement de la personne concernée pour un traitement ultérieur.
- Protéger les données à caractère personnel contre toute utilisation non autorisée: Les organisations doivent prendre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre l'accès, l'utilisation, la divulgation, l'altération ou la destruction non autorisés.
- Répondre aux demandes des personnes: Les organisations doivent répondre aux demandes d'accès, de correction, de suppression et d'objection des personnes dans un délai raisonnable.
- Signaler les violations de données au DPB: les organisations doivent signaler les violations de données au DPB dans les 72 heures suivant la prise de connaissance de la violation.
Sanctions en cas de non-respect
Les sanctions prévues par la loi sur le DPDP en cas de non-conformité sont les suivantes :
| Violation des dispositions | Sanction |
| Absence de prévention d'une violation de données à caractère personnel | Jusqu'à 250 crore INR/$30 millions |
| Absence de notification d'une violation de données à caractère personnel au conseil d'administration ou au directeur principal des données concerné | Jusqu'à 200 crore INR/ 25 millions de dollars |
| Manquement aux obligations supplémentaires concernant les enfants | Jusqu'à 200 crore INR/ 25 millions de dollars |
| Manquement aux obligations supplémentaires du fiduciaire des données importantes | Jusqu'à 150 crore INR/$18 millions |
| Manquement à l'observation des devoirs | Jusqu'à 10k INR/$120 |
| Violation d'une clause de l'engagement volontaire accepté par la Commission | Dans la mesure applicable à l'infraction |
| Violation de toute autre disposition du présent acte | Jusqu'à 10 000 INR/6 millions de dollars |
Fortra vous permet de vous mettre en conformité avec le RGPD
Comme les données numériques peuvent se cacher à plusieurs endroits de votre réseau, la conformité au RGPD nécessite des solutions en couches qui peuvent être intégrées de manière transparente dans l'ensemble de votre entreprise. La suite de sécurité Fortra offre une variété de solutions intégratives et superposables pour vous aider à respecter vos obligations en matière de RGPD.
La sécurisation des informations personnelles nécessite un ensemble solide de solutions de protection des données. Il s'agit notamment de
Data Loss Prevention (DLP ) | Appliquez des politiques de protection des données qui vous aideront à vous assurer qu'aucune donnée personnelle numérisée ne passe entre les mailles du filet. Pour vous aider, Fortra Data Loss Prevention (DLP) :
- Déployez rapidement pour une visibilité immédiate des actifs de votre organisation.
- Découvrez, surveillez et bloquez les menaces qui pèsent sur les données sensibles.
- Vous fournir des tableaux de bord prêts à l'emploi et guider les utilisateurs vers les meilleures mesures de sécurité.
Data Classification | Créez des règles personnalisées basées sur chaque classification et niveau de sensibilité, de sorte qu'un magasin de données publiques bénéficiera d'un niveau de cybersécurité différent (et moins gourmand en ressources) qu'un dépôt de données personnelles privées. Avec Fortra, vous pouvez le faire :
- Appliquez des étiquettes visuelles et de métadonnées qui simplifient et soutiennent vos politiques DLP.
- Obtenez des suggestions du moteur d'IA pour une application rapide des étiquettes.
Collaboration sécurisée | Travaillez en toute sécurité au-delà des frontières du territoire indien tout en respectant les politiques du DPDP, que vous soyez une organisation indienne ou un tiers externe. La solution de collaboration sécurisée de Fortra :
- Chiffre les fichiers pour les sécuriser où qu'ils aillent.
- Révoquer l'accès au fichier à tout moment (même après l'envoi du fichier).
- Prend en charge une approche de confiance zéro en matière de partage de fichiers et de collaboration.
Gestion des identités et des accès (IAM) | La protection des données personnelles implique la protection de tous les points d'accès à l'organisation, y compris ceux des partenaires de la chaîne d'approvisionnement. Les solutions IAM et de gestion des accès privilégiés (PAM) de Fortra :
- Fournir un approvisionnement éclairé.
- Améliorez la gouvernance des identités grâce à des données exploitables.
Résumé
Dans l'environnement de données hautement réglementé d'aujourd'hui, ce n'est rien de moins que l'identité et les droits fondamentaux d'une personne qui sont en jeu. En 2017, la Cour suprême de l'Inde a reconnu le droit à la vie privée dans un verdict historique et la loi indienne sur la protection des données personnelles numériques en est le produit direct.
Bien qu'elle soit obligatoire, la conformité à la nouvelle loi sur le DPDP offrira aux utilisateurs un avantage concurrentiel, tant auprès de leurs partenaires que de leurs clients, et constituera une initiative commerciale autant qu'un avantage en matière de sécurité.
Fortra soutient des initiatives de ce type dans le monde entier en apportant ce qu'il y a de mieux, permettant ainsi à ceux qui s'efforcent de satisfaire aux exigences de conformité les plus strictes de répondre aux besoins de leurs clients, de protéger la vie privée de leurs citoyens et de continuer à progresser vers une maturité complète en matière de protection de la vie privée et de la sécurité.
Pour en savoir plus, consultez la gamme de solutions de protection des données de Fortra.