Inde DPDP Act 2023 : Conformité à la protection des données personnelles numériques

La loi indienne sur la protection des données personnelles numériques de 2023 (loi DPDP), promulguée le 11 août 2023, représente un changement historique dans l'approche indienne de la réglementation de la vie privée. Après près d’une décennie de délibérations législatives – y compris le rapport du Comité du juge Srikrishna (2017), plusieurs projets de loi sur la protection des données personnelles et un jugement de la Cour suprême affirmant la vie privée comme droit fondamental (Justice K.S. Puttaswamy c. Union of India, 2017) – l’Inde dispose désormais d’un cadre complet et applicable en matière de protection des données.

La loi DPDP introduit des concepts tels que « fiduciaire des données », « principal des données » et « gestionnaire du consentement », établit le Conseil indien de protection des données (DPBI) comme autorité d'application et fixe des sanctions financières pouvant aller jusqu'à 250 crores ₹ (~ 30 millions de dollars) par violation. La loi est désormais en vigueur et ses modalités d’application devraient être finalisées et notifiées en 2025-2026.

Points clés à retenir

• La loi DPDP 2023 s'applique au traitement des données personnelles numériques en Inde et de manière extraterritoriale pour les services offerts aux particuliers indiens
• Le consentement constitue la base juridique principale, complétée par des « utilisations légitimes » à des fins spécifiques (emploi, poursuites judiciaires, intérêt public)
• Les « fiduciaires de données importants » sont confrontés à des obligations accrues, notamment des exigences DPIA et la nomination d'un auditeur de données indépendant.
• Le Data Protection Board of India (DPBI) est l'autorité chargée de l'application des lois dotée du pouvoir d'enquêter, de statuer et d'imposer des sanctions.
• La pénalité maximale est de 250 crores ₹ (~ 30 millions de dollars) par infraction ; les pénalités sont cumulatives pour plusieurs violations
• Les transferts de données transfrontaliers sont autorisés vers tous les pays, à l'exception de ceux spécifiquement restreints par la notification du gouvernement central
• Les responsables des données (individus) ont des droits d'accès, de rectification, d'effacement, de nomination et de règlement des griefs.
• Les règles de mise en œuvre (encore à finaliser) préciseront les principales exigences opérationnelles, notamment le format de notification de consentement, les périodes de conservation et les critères fiduciaires des données importantes.

---

Loi DPDP 2023 : aperçu du cadre

Terminologie clé

La loi DPDP introduit sa propre terminologie, distincte des cadres influencés par le RGPD :

• Données personnelles : toute donnée concernant un individu identifiable par ou en relation avec ces données.
• Données personnelles numériques : Données personnelles sous forme numérique ou données personnelles non numériques numérisées ultérieurement
• Principal des données : La personne physique à laquelle les données personnelles se rapportent (équivalent à la « personne concernée » du RGPD)
• Fiduciaire des données : Toute personne qui, seule ou en collaboration avec d'autres, détermine la finalité et les moyens du traitement (équivalent au « responsable du traitement » du RGPD)
• Traitant de données : Une personne qui traite des données personnelles pour le compte d'un fiduciaire de données.
• Fiduciaire de données important (SDF) : Un fiduciaire de données désigné par le gouvernement central en fonction du volume/de la sensibilité des données, du risque pour les principes des données, des considérations de sécurité nationale et d'autres critères.

Portée

La loi DPDP s’applique :

1. Traitement des données personnelles numériques en Inde
2. Traitement de données personnelles numériques en dehors de l'Inde – si cela a pour but d'offrir des biens ou des services aux responsables des données en Inde

Exemptions : Traitement à des fins personnelles ou domestiques ; les données personnelles rendues publiques par le responsable des données lui-même ou pour lesquelles le responsable des données est légalement tenu de rendre publiques.

---

Consentement en tant que Fondation

Contrairement à la plupart des lois mondiales sur la protection des données dotées de plusieurs bases juridiques égales, la loi DPDP fait du consentement la base juridique principale, complétée par des « utilisations légitimes » pour des catégories spécifiques énumérées. Il s’agit d’un choix de conception fondamental avec des implications pratiques significatives.

Exigences en matière de consentement

Le consentement en vertu de la loi DPDP doit être :

• Gratuit : Pas de coercition ni de conditionnalité
• Spécifique : Pour chaque objectif décrit
• Informé : sur la base d'un avis de consentement clair
• Inconditionnel : ne dépend pas de la fourniture de plus de données que nécessaire
• Sans ambiguïté : action positive claire

Exigences en matière de notification de consentement (Sections 5 et 7) : Avant de demander le consentement, les fiduciaires des données doivent fournir un avis contenant :

• Description des données personnelles à traiter
• Finalité du traitement
• Manière dont le responsable des données peut exercer ses droits
• Manière dont les réclamations peuvent être déposées auprès du fiduciaire des données
• Modalités selon lesquelles les réclamations peuvent être déposées auprès du DPBI

Les avis doivent être rédigés en anglais et dans les langues spécifiées dans la huitième annexe de la Constitution (22 langues officielles) – une exigence opérationnelle importante pour les entreprises en contact avec les consommateurs.

Gestionnaires de consentement : la loi DPDP introduit des gestionnaires de consentement – des entités enregistrées qui agissent en tant qu'intermédiaires gérant le consentement au nom des principaux responsables des données. Les responsables des données peuvent gérer leurs consentements sur plusieurs fiduciaires de données via un seul gestionnaire de consentements. Il s'agit d'un mécanisme innovant unique au cadre indien.

Utilisations légitimes (Section 7)

Le traitement sans consentement est autorisé pour des « utilisations légitimes » spécifiques :

1. Fonctions de l'État : traitement par les instruments de l'État pour l'octroi de subventions, d'avantages, de services, de certificats et de licences
2. Urgence médicale : traitement d'une urgence médicale mettant la vie en danger ou présentant un risque immédiat pour la santé
3. Épidémie/catastrophe : réponse aux épidémies, pandémies ou catastrophes
4. Finalités liées à l'emploi : Traitement destiné à l'exécution d'obligations ou à l'exercice de droits en vertu de la loi en matière d'emploi (y compris le contrôle préalable à l'emploi)
5. Ordonnances judiciaires : Traitement requis par les ordonnances judiciaires
6. Recherche et statistiques : Traitement à des fins de prévention/détection de fraude, d'évaluation du crédit, de recherche juridique, à des fins statistiques — dans le cadre des normes prescrites
7. Finalités justes et raisonnables : Traitement à des fins spécifiées par le gouvernement central comme étant justes et raisonnables

---

Droits du principal des données

La loi DPDP accorde aux responsables des données les droits suivants (articles 11 à 14) :

Absence notable : la loi DPDP n'inclut pas de droits explicites à la portabilité, à la restriction ou à l'opposition à la prise de décision automatisée sous la même forme que le RGPD. Les règles d'application du gouvernement central peuvent répondre à certains de ces problèmes au moyen de normes prescrites.

Délai de réponse : La loi ne précise pas de délais – ceux-ci devraient être prescrits dans les règles d'application. Les fiduciaires des données doivent accuser réception des plaintes dans un délai prescrit et les résoudre dans un autre délai prescrit.

---

Obligations fiduciaires en matière de données

Obligations générales (article 8)

Tous les fiduciaires de données doivent :

• Maintenir l'exactitude des données (exhaustivité, exactitude, cohérence avec l'objectif)
• Mettre en œuvre des mesures de sécurité des données, notamment le cryptage, les contrôles d'accès et la réponse aux incidents
• Supprimer les données personnelles lorsque la finalité est remplie ou que le consentement est retiré (sauf si une obligation légale exige la conservation)
• Avoir un responsable des réclamations (ou un responsable/mécanisme) pour les plaintes principales concernant les données
• Ne pas traiter les données des enfants sans le consentement parental vérifiable (pour les enfants de moins de 18 ans)
• Ne pas suivre ou surveiller le comportement des enfants ni cibler la publicité sur les enfants

Protection des données des enfants

La loi DPDP contient des dispositions strictes concernant les données des enfants (personnes de moins de 18 ans) :

• Le traitement nécessite un consentement parental vérifiable
• Interdiction du pistage, de la surveillance comportementale et de la publicité ciblée destinée aux enfants
• Aucun traitement de données des enfants préjudiciable à leur bien-être

Les règles de mise en œuvre préciseront le mécanisme technique permettant de vérifier le consentement parental – il s’agit d’un défi UX et technique important pour les applications grand public.

Données fiduciaires importantes (SDF)

Le gouvernement central désignera certains fiduciaires de données comme fiduciaires de données importants sur la base de facteurs tels que :

• Volume et sensibilité des données personnelles traitées
• Risque pour les droits des responsables des données
• Impact potentiel sur la souveraineté et l'intégrité de l'Inde
• Risque pour la démocratie électorale
• Sécurité de l'État
• Ordre public

Les FDS sont confrontés à des obligations supplémentaires (Section 10) :

• Évaluation d'impact sur la protection des données (DPIA) : mener et documenter les DPIA pour les activités de traitement à haut risque
• Audit des données : Audit périodique par un auditeur de données indépendant
• Délégué à la protection des données (DPO) : Nommer un DPO basé en Inde en tant que personnel de direction clé
• Autres mesures : Comme prescrit par le gouvernement central

Les critères de désignation du FDS ne sont pas encore finalisés – les règles de mise en œuvre préciseront les seuils. Sur la base des précédents internationaux, les entreprises technologiques comptant des millions d’utilisateurs indiens, les plateformes de médias sociaux et les grandes entreprises de commerce électronique sont des candidats probables.

---

Transferts de données transfrontaliers

L'article 16 de la loi DPDP adopte une approche notable : les données personnelles peuvent être transférées vers n'importe quel pays en dehors de l'Inde, à l'exception de ceux spécifiquement restreints par notification du gouvernement central.

Il s’agit d’une approche de liste positive/restriction négative : par défaut, les transferts sont autorisés, mais le gouvernement peut restreindre les transferts vers des pays spécifiques pour des raisons de sécurité nationale, stratégiques ou autres.

Implications pratiques :

• Les entreprises peuvent transférer des données à l'international sans évaluation par transfert (sous réserve des restrictions nationales)
• Le gouvernement central publiera une liste de pays soumis à des restrictions — les entreprises doivent surveiller et mettre en œuvre des restrictions
• Les exigences de localisation spécifiques au secteur (données financières sous RBI, données de santé sous NMC/Ministère de la Santé) continuent de s'appliquer parallèlement à la loi DPDP.

Statut actuel : au début de 2026, aucune notification de restriction par pays n'avait été émise. Les modalités d'application établiront le cadre de publication et de mise à jour de la liste restreinte.

---

Conseil indien de protection des données (DPBI)

L'article 18 établit le DPBI en tant qu'organe juridictionnel indépendant doté des pouvoirs suivants :

• Recevoir et enquêter sur les plaintes des responsables des données
• Mener des enquêtes sur les manquements présumés
• Passer les commandes incluant des pénalités financières
• Émettre des instructions aux fiduciaires et aux sous-traitants des données
• Soumettre les questions au gouvernement central pour une action politique

Structure du DPBI : présidé par un président nommé par le gouvernement central ; les membres comprennent des experts en technologie, en droit et en politique publique. Le DPBI n’est pas encore constitué – son état de préparation opérationnelle dépendra des règles de mise en œuvre et des nominations gouvernementales.

Processus d'enquête : les responsables des données peuvent se plaindre auprès du DPBI après avoir épuisé le mécanisme de réclamation interne du fiduciaire des données. Le DPBI peut enquêter, rechercher des documents, convoquer des témoins et émettre des avis de justification. Les entités ont le droit d'être entendues avant une ordonnance de sanction.

Pénalités

La loi DPDP établit un barème des sanctions (Barème du DPBI) :

Les sanctions sont par violation et peuvent être cumulatives : une seule violation de données impliquant un échec de sécurité et un échec de notification pourrait théoriquement attirer un total de 450 crores ₹.

---

Notification de violation

L'article 8 exige que les fiduciaires des données informent le DPBI (et les responsables des données par les moyens prescrits) de toute violation de données personnelles. Contrairement au seuil basé sur le risque du RGPD (uniquement « susceptible d'entraîner un risque élevé »), la loi DPDP semble exiger la notification de toutes les violations affectant les données personnelles numériques. Les modalités d'application préciseront :

• Calendrier de notification
• Forme et contenu de la notification
• Manière de notifier les responsables des données concernés

En l'absence de délais spécifiés, la meilleure pratique consiste à s'aligner sur la norme de 72 heures du RGPD pour la notification DPBI et à informer les responsables des données sans retard indu en cas de violations à haut risque.

---

Calendrier de mise en œuvre de la loi DPDP

Août 2023 : la loi DPDP est promulguée et a reçu la sanction présidentielle

2024 : Consultation gouvernementale sur les règles d'application ; périodes de rétroaction des parties prenantes

2025-2026 : règles d'application qui devraient être notifiées, précisant :

• Format de la notification de consentement et exigences linguistiques
• Délais de conservation des données
• Critères et seuils de désignation du FDS
• Mécanisme de consentement parental vérifiable
• Conditions d'inscription du gestionnaire de consentement
• Constitution et procédures opérationnelles du DPBI
• Exigences de qualification de l'auditeur de données

Situation actuelle : La loi est en vigueur mais de nombreuses exigences opérationnelles dépendent des règles d'application. Les entreprises doivent concevoir des programmes de conformité en supposant la rigueur du RGPD tout en surveillant l’évolution des règles.

---

Liste de contrôle de conformité à la loi DPDP

• Analyse d'applicabilité terminée (opérations en Inde, clients indiens)
• Inventaire des données personnelles réalisé pour toutes les activités de traitement
• Avis de consentement élaboré répondant aux exigences des sections 5 et 7
• Mécanisme de consentement mis en œuvre (affirmatif, spécifique, inconditionnel)
• Traduction de l'avis de consentement dans les langues indiennes applicables prévue
• Analyse des utilisations légitimes réalisée pour le traitement sans consentement
• Identification des données des enfants terminée — mécanisme de consentement parental prévu
• Procédures de droits principaux sur les données documentées (accès, rectification, effacement, nomination)
• Responsable des griefs désigné et coordonnées publiées
• Mesures de sécurité mises en œuvre (cryptage, contrôle d'accès, réponse aux incidents) -[ ] Procédure de notification de violation documentée (alignée sur les exigences de reporting DPBI)
• Procédures de conservation et de suppression des données documentées et automatisées
• Évaluation des transferts transfrontaliers — surveillance de la liste de pays restreinte prévue
• Évaluation de la désignation SDF — préparez-vous à des obligations supplémentaires si vous êtes susceptible d'être admissible -[ ] Processus DPIA établi pour les traitements à haut risque
• Formation des employés sur les obligations de la loi DPDP terminée

---

Questions fréquemment posées

La loi DPDP de 2023 est-elle pleinement en vigueur ?

La loi DPDP a été promulguée et a reçu la sanction présidentielle en août 2023. Cependant, de nombreuses dispositions dépendent de règles de mise en œuvre (appelées règles en vertu de la loi) qui précisent les exigences opérationnelles. Début 2026, les modalités d’application n’avaient pas été entièrement notifiées. La loi elle-même est en vigueur – ce qui signifie que ses principes et certaines obligations s’appliquent – ​​mais les exigences détaillées de conformité (format de notification de consentement, critères SDF, procédures DPBI) attendent des règles. Les entreprises devraient préparer des cadres de conformité dès maintenant et les mettre à jour au fur et à mesure que les règles sont publiées.

En quoi la loi DPDP diffère-t-elle du RGPD ?

Plusieurs différences significatives : (1) la loi DPDP utilise le consentement comme base principale, avec des « utilisations légitimes » limitées – le RGPD a six bases juridiques égales ; (2) La loi DPDP autorise les transferts transfrontaliers par défaut (à l’exception des pays soumis à des restrictions gouvernementales) – le RGPD restreint les transferts à moins qu’une protection adéquate n’existe ; (3) La loi DPDP n'inclut pas de droits explicites à la portabilité des données ou à la limitation du traitement ; (4) La loi DPDP introduit des gestionnaires de consentement – ​​une innovation unique ; (5) La structure des sanctions de la loi DPDP (250 crores ₹ maximum) est inférieure aux maximums potentiels du RGPD pour les grandes multinationales ; (6) La loi DPDP s’applique uniquement aux données personnelles numériques – le RGPD s’applique à toutes les données personnelles, quel que soit leur format.

Qui est susceptible d'être désigné comme fiduciaire de données important ?

Les critères de la section 10 suggèrent que les SDF incluront : les principales plateformes de médias sociaux opérant en Inde, les grandes entreprises de commerce électronique avec d'importantes bases d'utilisateurs indiens, les entreprises traitant des données sensibles (santé, financières) à grande échelle, les entreprises technologiques avec des volumes de traitement importants. Sur la base du seuil analogue de « surveillance systématique à grande échelle » du RGPD et de la taille de l'Inde (1,4 milliard d'habitants), les entreprises comptant des millions d'utilisateurs indiens, en particulier dans les secteurs de l'Internet grand public, des technologies financières et des technologies de la santé, devraient évaluer la probabilité d'un SDF et se préparer à des obligations accrues.

Quelles sont les dispositions du gestionnaire de consentement ?

Les gestionnaires de consentement sont des entités enregistrées auprès du DPBI qui maintiennent des plates-formes interopérables grâce auxquelles les responsables des données peuvent donner, gérer, examiner et retirer leur consentement auprès de plusieurs fiduciaires de données. Les fiduciaires des données sont responsables du traitement basé sur le consentement obtenu via un gestionnaire de consentement. Ceci est conçu pour donner aux individus une vue et un contrôle centralisés de leur consentement dans l’ensemble de l’écosystème numérique. Les exigences d’enregistrement et les normes techniques pour les gestionnaires de consentement seront précisées dans les règles d’exécution.

Comment la loi DPDP s'applique-t-elle aux données des employés ?

Les données sur l'emploi sont traitées par la disposition sur les « utilisations légitimes » (Section 7(f)) — le traitement dans le but de remplir des obligations ou d'exercer des droits en vertu de la loi en matière d'emploi (y compris la vérification préalable à l'emploi, la vérification des antécédents, la paie, les avantages sociaux) est considéré comme une utilisation légitime sans nécessiter de consentement. Cependant, les données des employés au-delà des fins professionnelles nécessiteraient leur consentement. Les règles d'application devraient clarifier la portée des utilisations légitimes liées à l'emploi.

Existe-t-il des exigences sectorielles en matière de localisation des données qui s'appliquent toujours ?

Oui. Les dispositions relatives aux transferts transfrontaliers de la loi DPDP ne remplacent pas les exigences de localisation spécifiques au secteur. La Reserve Bank of India (RBI) exige le stockage des données financières en Inde (Payment System Data Storage Direction, 2018). La Commission médicale nationale et le ministère de la Santé ont des exigences en matière de localisation des données de santé. L'IRDAI (assurance) a des exigences en matière de localisation des données pour les compagnies d'assurance. Les entreprises des secteurs réglementés doivent satisfaire à la fois à la loi DPDP et aux exigences spécifiques au secteur.

---

Prochaines étapes

La loi indienne DPDP représente une évolution réglementaire importante pour toute entreprise ayant des opérations, des clients ou des employés en Inde. Alors que les règles de mise en œuvre sont encore en cours de finalisation, l'élaboration de votre programme de conformité dès maintenant, en particulier autour des mécanismes de consentement, des droits des principaux responsables des données et des mesures de sécurité, vous permet d'assurer efficacement la conformité lorsque les règles sont notifiées.

L'équipe de mise en œuvre technologique d'ECOSIRE aide les entreprises à concevoir des architectures de données, des systèmes de gestion des consentements et des flux d'opérations de confidentialité conformes au DPDP, adaptés au marché indien.

Commencez : Services ECOSIRE

Avertissement : ce guide est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les modalités d'application de la loi DPDP sont en attente ; les exigences évolueront à mesure que les règles seront notifiées. Consultez un conseiller juridique indien qualifié pour obtenir des conseils spécifiques à votre organisation.