Entre le 16 et le 22 novembre 2022, le gouvernement indien a présenté une série de projets en lien avec les données personnelles. Parmi ces annonces, le lancement d’un nouveau projet de loi sur la protection des données personnelles a été soumis au parlement indien, trois ans après une proposition de réglementation très controversée, au point d’être mise de côté.

Cinq années de discussion pour aboutir à une mesure de protection des données personnelles

En 2017, le gouvernement indien souhaitait mettre en place un système d’identification numérique du nom d’Aadhaar, permettant d’identifier en quelques instants, n’importe quel habitant indien possédant un smartphone. Toutefois, la justice indienne s’est emparée du dossier et a considéré que la notion de confidentialité est un droit fondamental en Inde et que cet outil ne le respectait pas. Cette décision de justice a obligé le gouvernement et ses instances à entamer des discussions autour de la protection des données personnelles.

En 2019, le gouvernement indien a tenté de faire passer un premier projet de loi sur la protection des données personnelles. Malgré ses efforts, le projet a été vivement critiqué par le parlement, ce qui a obligé l’Inde à mettre de côté cette réglementation et de poursuivre ses consultations et discussions pour aboutir à une législation plus respectueuse envers les données personnelles.

C’est seulement en novembre 2022 qu’un nouveau projet de loi, « plus équilibré et conçu pour encourager la croissance du pays dans le secteur de la data » selon Ashwini Vaishnaw, ministre des Chemins de fer, des Communications, de l’Électronique et de l’Informatique, a été proposé au parlement indien. « Nous avons eu des consultations très approfondies avec toutes les parties prenantes, y compris les groupes de la société civile, y compris l’industrie, y compris l’écosystème des start-up. Ce projet de loi est le résultat de toutes ces consultations », ajoute le ministre.

Néanmoins, il se peut que ce nouveau projet de loi soit également un moyen d’avoir la mainmise sur l’Internet indien. Depuis juin 2022, de nouvelles directives, intitulées Cyber Security Directions, obligent les services cloud et les VPN à conserver les noms et les adresses IP de leurs clients pendant cinq ans.

Une série de projets de loi visant à rassurer et attirer les géants de la tech

D’après Le Financial Times, certaines mesures ont été prises pour éviter de divulguer constamment la localisation des appareils des internautes via leur adresse IP notamment. De plus, le transfert de données personnelles en dehors de l’Inde devrait être possible, uniquement vers des territoires où le gouvernement pense que les données de ses internautes seront protégées.

Parallèlement au projet de loi sur la protection des données personnelles numériques, l’Inde prévoit également de réglementer son écosystème web avec deux autres textes à venir. Un premier projet de loi sera axé sur les télécommunications. Il est actuellement en consultation publique. Une seconde réglementation sur l’Inde numérique remplacera la loi informatique et libertés, considérée comme obsolète par le gouvernement.

Toutes ces annonces ont été prises afin de, certes protéger l’intérêt des internautes indiens, mais aussi pour attirer les grandes entreprises afin qu’ils investissent en Inde. Meta avait par exemple fustigé le projet de loi sur la protection des données personnelles proposée en 2019 et avait affirmé qu’il ne s’installerait pas durablement dans le pays si une législation équitable n’était pas mise en place.