La nouvelle loi indienne sur la protection des données inclut des éléments de portabilité des données, mais ne parvient pas à intégrer pleinement ce droit dans le régime indien de protection des données.
L’année dernière a vu une étape majeure dans la législation indienne sur la protection des données avec la promulgation de la loi sur la protection des données personnelles numériques (la loi DPDP), la première loi sur la protection des données en Inde. Le premier projet de loi, qui suit largement les principes du règlement général sur la protection des données (RGPD) de l’UE, a été publié en 2018 et a fait l’objet de plusieurs révisions au cours des années suivantes. Une critique de la version finale de la loi DPDP est l’exclusion du droit à la portabilité des données (RtDP) par rapport aux versions précédentes. Ce blog analyse brièvement les éléments de portabilité des données, passe en revue les dispositions pertinentes de la loi DPDP et les arguments en faveur d’une éventuelle inclusion du RtDP dans le régime indien de protection des données.
Le concept de (droit à) la portabilité des données
Prenons l’exemple d’une personne qui a utilisé un réseau social plateforme A depuis cinq ans, créant un profil en ligne riche grâce à de nombreux téléchargements de données personnelles. Si cette personne décide de passer à plate-forme B, ils devraient pouvoir transférer sans effort leurs données de profil depuis plateforme A à plateforme.plateforme b
dans le cadre du RtDP.
La portabilité des données garantit le contrôle de l’utilisateur sur ses données numériques. Le concept fondamental du RtDP consiste à permettre aux utilisateurs de transférer de manière transparente leurs données personnelles et autres contenus entre plateformes en ligne, sans rencontrer d’obstacles.
Une mise en œuvre appropriée du RtDP peut conduire à un contrôle plus efficace des utilisateurs sur le transfert de données personnelles. Entre autres avantages, la portabilité des données peut contribuer à permettre la réutilisation des données et à faciliter une meilleure compréhension des flux de données pour un utilisateur commun. Le RGPD de l’UE a été le premier mécanisme réglementaire à adopter un droit à la portabilité des données personnelles et a inspiré les décideurs politiques d’autres pays, notamment le Brésil, les États-Unis et l’Inde.
Absence du RtDP dans la loi indienne et importance des données (portables)
La version 2019 de la loi DPDP prévoyait le RtDP avec trois exceptions : a) conformité à la loi ; b) les informations susceptibles de révéler un secret commercial d’une plateforme ; et c) les informations dont l’extraction n’est pas techniquement réalisable. Cependant, la version finale cherchait à supprimer complètement le RtDP.
La raison pour laquelle le RtDP a été supprimé des versions ultérieures de la législation indienne sur la protection des données reste en suspens. En l’absence d’explication de la part du gouvernement indien, certaines caractéristiques du RtDP pourraient avoir contribué à son exclusion de la législation. Par exemple, une portabilité facile peut présenter un risque pour la sécurité des données. Une seule fraude d’identité pourrait potentiellement conduire à une violation à grande échelle de données personnelles sur plusieurs plateformes, puisqu’un pirate informatique sera capable de transférer une fausse identité sur plusieurs plateformes. La portabilité des données devient également difficile dans les cas où une seule information, telle qu’une photographie, concerne plusieurs utilisateurs qui diffèrent sur la manière dont elle doit être transférée entre les différentes plateformes.
Il convient de noter que la loi DPDP maintient une forme limitée de portabilité des données à travers le concept de gestionnaires de consentement, agissant comme intermédiaire entre les utilisateurs et les plateformes. Ces gestionnaires – enregistrés auprès du Conseil de protection des données – serviront de points de contact permettant aux utilisateurs de donner, gérer, examiner et retirer leur consentement. Le terme « plateforme interopérable » qui a été inclus dans la définition des gestionnaires de consentement indique que ce que le législateur avait en tête pour les gestionnaires de consentement était de faciliter une certaine sorte de portabilité des données.
Même si de nombreuses incertitudes subsistent quant à l’opérationnalisation du nouveau système, à sa portée et à la responsabilité des gestionnaires, le nouveau concept présente un potentiel intéressant pour évoluer progressivement vers un transfert plus fluide des données personnelles afin de mieux gérer le consentement des utilisateurs.
Pourquoi le droit à la portabilité des données devrait rester partie intégrante de la loi indienne sur la protection des données
Malgré les critiques émergentes quant à l’efficacité du RtDP, qui s’appuient principalement sur l’expérience passée du RGPD de l’UE, ses avantages sont doubles puisque le droit reste un catalyseur tant pour les plateformes que pour les utilisateurs. Avant tout, le RtDP facilite le contrôle de l’utilisateur sur ses données personnelles. L’interopérabilité accorde en outre le droit de répliquer les données sur diverses plateformes, permettant aux utilisateurs et aux plateformes de réutiliser les mêmes données de plusieurs manières. Par exemple, un utilisateur ayant ses informations d’identification sur une plateforme peut les faire refléter sur une autre plateforme sans aucun problème. Parallèlement à l’exercice du droit de transfert ou de réutilisation des données, l’utilisateur peut concomitamment exercer le droit à l’effacement de ses données personnelles, obligeant les plateformes à les supprimer. En encourageant l’interopérabilité entre les plates-formes, le RtDP réduit les risques d’effets de verrouillage et d’augmentation des coûts de changement, augmentant ainsi la concurrence sur le marché (y compris la compétitivité des petits détenteurs de données) et offrant aux utilisateurs la liberté de rejoindre leurs plates-formes préférées.
Conclusion
Le débat autour du RtDP est complexe, impliquant la concurrence, les droits des consommateurs et les droits des plateformes en ligne. La mise en œuvre correcte du RtDP pourrait défendre les droits et les intérêts de toutes les parties prenantes impliquées et promouvoir le bien-être des consommateurs sur le marché numérique. Pour que le RtDP fonctionne bien, il est crucial que toutes les plateformes en ligne utilisent les mêmes formats. Cependant, parvenir à cette standardisation s’est avéré difficile. Même en 2020, la Commission européenne a reconnu que tout le potentiel du RtDP dans le cadre du RGPD de l’UE n’avait pas été exploité. Bien que l’inclusion des gestionnaires de consentement dans la loi DPDP en Inde suggère certains droits de portabilité des utilisateurs, les effets restent à voir.