L'Inde face à la protection des données : enjeux juridiques et géostratégiques

A l'approche de l'adoption du Data Protection Bill indien après des années de discussions, nous revenons sur ses principales dispositions, par le biais d'une analyse comparative avec le RGPD. Cette nouvelle réglementation vient confirmer une tendance de fond qui s'affirme dans l'intégralité des pays adoptant une réglementation de protection des données : les données et leur circulation sont, dans nos sociétés numériques globalisées, un enjeu de pouvoir devenu absolument central.

Prêt de 2 ans après son introduction au Parlement indien, le 11 décembre 2019, le Data Protection Bill reste aujourd’hui un projet de loi qui doit encore être adopté par le Parlement. La commission parlementaire chargée du dossier a obtenu récemment une cinquième prolongation afin d’examiner de nouvelles modifications apportées au projet de loi. Elle a cependant été invitée à soumettre une version définitive avant la session d'hiver du Parlement qui devrait être convoquée au cours de la troisième semaine de novembre.

Ainsi, il est probable que le très attendu Data Protection Bill voit enfin le jour au cours des prochains mois, et permette à l’Inde de se doter d’un cadre législatif exhaustif pour la protection des données de ses citoyens.

De ce point de vue, l’Inde semble, comme beaucoup de pays récemment, suivre le sillage du RGPD afin de réguler le domaine économiquement et stratégiquement sensible des données à caractère personnel. Quel est l’angle choisi par le Data Protection Bill ? Quels sont les enjeux juridiques et géopolitiques soulevés par l’adoption d’un tel texte ?

Data Protection Bill et RGPD : une courte analyse comparative

De nombreux pays ont introduit ces dernières années des réglementations visant à protéger les données de leurs citoyens dans le sillage du RGPD (entré en vigueur le 25 mai 2018), et bien souvent en se basant sur ce même texte. Le Data Protection Bill (DPB) indien ne fait pas exception, en ce que la structure et l’orientation générale de la régulation des acteurs quant à leurs traitements de données à caractère personnel présentent de nombreuses similitudes avec le contenu du RGPD.

Ainsi, le DPB définit les obligations des “data fiduciaries” (un concept équivalent au responsable de traitement), qui doivent obtenir le consentement des personnes à qui appartiennent les données personnelles si elles veulent pouvoir les traiter. D’autres obligations spécifiques concernent, elles, les “data processors” (une qualification équivalente au sous-traitant du RGPD).

Qu’il s’agisse des conditions dans lesquelles le consentement doit être recueilli (qui doit être libre, spécifique, éclairé et univoque), du champ d’application de la réglementation (qui est pertinente dès lors que des données des citoyens indiens sont concernées), du principe de minimisation, des droits des personnes concernées ou encore des règles spécifiques aux données des mineurs, l’implémentation du DPB se rapproche par bien des aspects du RGPD.

Une divergence intéressante a cependant été introduite par une modification récente du projet de loi. Ainsi, le DPB concernerait non seulement les données personnelles, mais également les données non-personnelles. Il s’agirait, selon le comité en charge du projet, d’offrir une protection plus exhaustive aux citoyens, notamment dans le cas où des données même anonymisées pourraient être dangereuses du fait de leur caractère stratégique.

Mais au-delà des discussions entourant la portée juridique de la protection offerte par le DPB, il est impossible d’ignorer deux autres divergences cruciales du DPB par rapport au RGPD, qui revêtent un caractère géostratégique central.

La protection des données au centre des enjeux de pouvoir

La première d’entre elle s’est progressivement enracinée dans le projet de loi au fil des révisions introduites ces dernières années, et soulève l’inquiétude d’une grande partie des académiques et activistes indiens. Cette divergence concerne les nombreuses et larges exemptions accordées par le texte au gouvernement indien dans le cadre de ses traitements de données.

L'article 35 stipule que des exceptions peuvent être faites aux règles de collecte, aux exigences de déclaration et aux autres dispositions du texte lorsque le gouvernement estime que cela est "nécessaire ou opportun" (necessary or expedient) dans "l'intérêt de la souveraineté et de l'intégrité de l'Inde, de la sécurité nationale, des relations diplomatiques avec les États étrangers et de l'ordre public". Plus important encore, "nécessaire ou opportun" a remplacé la précédente rédaction, "nécessaire et proportionnée". Ce qui implique qu’il n’existe pas d'obligation de procéder à la mise en balance entre le caractère intrusif du traitement et l'objectif qu’il poursuit. Les pouvoirs de surveillance de l’État indien sont donc, dans ce cadre, définis de manière extrêmement large.

Il s’agit notamment de ces évolutions qui ont poussé B. N. Srikrishna, ancien juge de la Cour Suprême ayant produit le texte de loi originel, à déclarer que le projet révisé constituait "un chèque en blanc pour l'État".

La seconde divergence est liée à l’épineuse et sensible question des transferts de données. Même si quelques dispositions ont pu être progressivement adoucies, le projet de loi introduit des exigences particulièrement strictes en la matière. Ainsi, il est indiqué que les “données personnelles critiques”[1] devront impérativement être localisées et traitées en Inde, sans qu’aucune exception ne soit possible. Les “données personnelles sensibles”[2], quant à elles, devront également être stockées en Inde et ne pourront être copiées dans un État tiers que si certaines conditions d’adéquation de la réglementation étrangère sont remplies.

Ces différentes exigences de localisation des données jugées particulièrement stratégiques par le gouvernement indien ne sont pas entièrement nouvelles, puisque de telles dispositions existent déjà pour le stockage des données de paiement des citoyens indiens, une mesure introduite par la Reserve Bank of India.

Qu’il s’agisse des exemptions particulièrement larges concédées au gouvernement indien, ou des restrictions assez sévères implémentées par le DPB, il semble que l’État indien perçoive, à juste titre, la régulation de données comme un enjeu de pouvoir au sens large : pouvoir régalien de surveillance et de renseignement d’un point de vue interne, pouvoir géostratégique dans le référentiel global de sa politique internationale.

Vers une fracturation de l’espace numérique global ?

La posture de l’État indien quant à la régulation des flux de données est en réalité loin d’être isolée. On dénote aujourd’hui une tendance générale à l’instrumentalisation des réglementations portant sur la protection des données à des fins stratégiques de contrôle et de souveraineté. Ce qui est loin d’être étonnant, considérant le caractère largement numérique de nos sociétés globalisées, qui a fait de la maîtrise des flux de données un enjeu de pouvoir absolument central.

C’est ainsi que la Chine, dont la première réglementation exhaustive de protection des données est entrée en vigueur le 1er novembre dernier, implémente des mesures similaires au texte indien dans les exemptions accordées à ses instances étatiques, comme dans les restrictions imposées dans le cadre des transferts. Pour plus d’informations, voir tribune dédiée à cette question.

On dénote également une telle orientation en Europe, où les récentes décisions comme l’arrêt Schrems II manifestent la volonté européenne d’encourager le traitement des données des citoyens européens par des acteurs locaux, ainsi que de soustraire ces mêmes données aux législations étrangères au caractère extraterritorial. De même, les récents appels de la CNIL à intégrer une obligation de localisation de certaines données considérées comme particulièrement sensibles, comme les données de santé ou de paiement, illustrent très clairement l’intersection entre les questions de souveraineté et de protection des données.

L’immixtion progressive des enjeux de pouvoir et de souveraineté dans la régulation des flux de données dessinerait donc petit à petit les contours d’une fracturation numérique à l’échelle mondiale. Le choc des souverainetés pousse les autorités étatiques à encourager la localisation des données ainsi que leur traitement sur leur territoire, par des acteurs locaux sur lesquels ils gardent le contrôle, et qui ne peuvent être soumis à l’ingérence d’acteurs étrangers.

Cette approche souverainiste de la régulation des données pourrait mener à ralentir l’innovation en posant des obstacles à leur circulation globale. Il s’agissait cependant d’un scénario inévitable dans un monde qui reste encore largement défini par ses frontières étatiques ou régionales : nous devrons apprendre à composer avec la gestion délicate des souverainetés dans l’univers de la donnée, afin de continuer à coopérer pour promouvoir, en toute transparence, une innovation responsable et durable.

[1] : Le Data Protection Bill indique que les données comprises dans cette catégorie seront définies de manière entièrement libre, et sans aucune limitation par le gouvernement indien.

[2] : Cette catégorie de données se rapproche des “données sensibles” définies par le RGPD à son article 9 (données de santé, relatives à l’orientation religieuse, politique, philosophiques, données biométriques…). Elles incluent cependant, contrairement au RGPD, les données financières dans la version indienne.