Le gouvernement indien vient de franchir une étape majeure dans la protection des données personnelles en publiant le projet de règles DPDP (Digital Personal Data Protection) 2025. Cette nouvelle réglementation vise à mettre en application la loi DPDP adoptée en 2023, marquant ainsi un tournant décisif dans la gestion des données personnelles sur le territoire indien.
Une réforme attendue pour encadrer les géants du numérique
Le texte, ouvert aux consultations publiques jusqu’au 18 février, définit un cadre strict pour les « fiduciaires de données » – comprendre les entreprises qui collectent nos données personnelles. Ces derniers devront désormais respecter des règles précises sous peine de sanctions financières conséquentes.
« Les soumissions seront conservées de manière confidentielle au sein du MeitY et ne seront divulguées à personne à aucun stade », précise le ministère indien de l’Électronique et des Technologies de l’Information sur le portail MyGov.
Des obligations renforcées pour les entreprises
Les nouvelles règles imposent aux entreprises plusieurs obligations majeures :
- Transparence totale sur la collecte de données : nature des informations récoltées, finalité, et obtention d’un consentement éclairé
- Mise en place de gestionnaires de consentement agréés pour encadrer la collecte
- Protection renforcée contre les violations de données avec des mesures de sécurité techniques et opérationnelles
- Notification obligatoire sous 72h au Data Protection Board of India en cas de fuite de données
- Suppression des données après une période d’inactivité prolongée (avec préavis de 48h)
- Audits réguliers pour les « fiduciaires significatifs »
Une attention particulière aux données des mineurs
Le texte prévoit des dispositions spécifiques pour protéger les plus jeunes. Les entreprises devront :
- Obtenir un consentement parental vérifiable
- Mettre en place des mesures techniques appropriées
- Utiliser des systèmes de vérification d’âge fiables, notamment via des tokens virtuels ou des services de Digital Locker
Un encadrement du transfert international des données
Le gouvernement indien se réserve le droit de définir ultérieurement les conditions de traitement des données des citoyens indiens à l’étranger, laissant entrevoir un possible durcissement des règles relatives aux transferts internationaux.
Un calendrier serré pour la mise en conformité
Les entreprises devront rapidement s’adapter à ces nouvelles obligations, bien que le Data Protection Board of India, l’autorité de contrôle, ne soit pas encore opérationnelle. Le texte prévoit également des exceptions pour :
- Les collectes de données gouvernementales liées aux subventions et prestations sociales
- Les traitements à des fins statistiques
- Certaines activités étatiques soumises à des « standards » spécifiques
Cette réforme s’inscrit dans un mouvement global de renforcement de la protection des données personnelles, l’Inde rejoignant ainsi d’autres juridictions comme l’Europe (RGPD) dans la mise en place d’un cadre réglementaire strict.
