Avec la loi sur la protection des données personnelles numériques qui deviendra bientôt la loi, les experts disent qu’il y a toujours une lacune importante dans la sensibilisation et la mise en œuvre.
Avec la Loi sur la protection des données numériques (DPDP), 2023 devrait devenir une loi dans les prochains mois, les entreprises indiennes sont sous pression pour réviser leurs pratiques de traitement des données pour respecter de nouvelles obligations légales.
« La préparation est inégale », a déclaré Mini Gupta, partenaire de cybersécurité chez EY India. «Les entreprises plus grandes et averties en technologie – en particulier dans l’IT / ITES, le BFSI et les télécommunications – sont relativement plus préparées, grâce à une exposition préalable au RGPD, à la HIPAA ou à d’autres régimes de conformité. Cependant, en ce qui concerne les entreprises et les secteurs traditionnels (fabrication, la logistique), il y a encore un espace important dans le domaine et la mise en œuvre.».
Selon Gupta, les entreprises de soins de santé, en particulier les hôpitaux, ont une grande tâche difficile à venir en raison de l’exposition à de grands volumes de données personnelles sensibles avec une préparation limitée autour de la classification des données et de la protection des données.
Bien que la loi soit en cours pendant plusieurs années, de nombreuses entreprises continuent de lutter contre la compréhension de ses dispositions.
L’un des liens les plus faibles est les classifications de données, où de nombreuses entreprises manquent encore d’un inventaire de données clair des données personnelles et de la cartographie aux processus. Sans savoir quelles données personnelles ils détiennent ou où elles résident, la conformité est presque impossible.
«La majorité des organisations ont du mal à répondre aux exigences du DPDPA en raison des ressources limitées et de la vie privée n’étant pas l’agenda principal», a déclaré Mayuran Palanisamy, associée à Deloitte India. Il a déclaré que le prochain ensemble d’organisations doit s’éloigner des systèmes hérités et des processus de données fragmentés pour construire une gestion efficace de la gestion du consentement et des principaux processus de gestion des droits des données.
La plupart des entreprises continuent de lutter pour mettre en œuvre des cadres de gestion du consentement qui garantissent que le consentement est donné librement, spécifique, éclairé, inconditionnel et sans ambiguïté, comme le mandaté par la loi. La capacité de permettre la gestion du consentement, y compris le retrait et les changements de consentement, peut également nécessiter des changements technologiques importants. «La gestion du consentement est un grand obstacle. Des secteurs comme le commerce électronique adoptent des outils de consentement granulaires, mais les industries traditionnelles utilisent toujours des politiques larges et non conformes», a déclaré Amit Jaju, directrice générale principale chez Ankura Consulting Group (Inde).
Bien que les nouvelles règles soient enracinées dans la protection des droits numériques des citoyens, la responsabilité de l’application réside fortement dans les entreprises. Les organisations devront réviser leurs pratiques de traitement des données.
Une autre obligation critique en vertu du projet de règles sera la déclaration obligatoire des violations de données personnelles dans les 72 heures au Conseil de protection des données, ainsi que la notification immédiate aux personnes touchées. La préparation à la réponse à la violation est faible: seulement 4% des entreprises ont des systèmes de notification proactifs, a déclaré Jaju.
Les entreprises ne respectent pas les risques liés aux sanctions pouvant aller jusqu’à Rs 250 crore (292 000 $) par instance.
Les règles obligent également les entreprises à avoir un responsable de la protection des données (DPO) dédiée pour assurer la transparence et la responsabilité des pratiques de traitement des données et agir comme un point de contact pour les griefs. De plus, les entreprises traitant des données des enfants doivent sécuriser le consentement des parents vérifiables, ajoutant une complexité opérationnelle.
Les règles DPDP sont définies pour être mises en œuvre d’ici la mi-2025. Dans une interview avec The Hindu, le ministre de l’Union pour l’électronique et l’informatique, Ashwini Vaishnaw, a reconnu que si les grandes entreprises sont prêtes à se conformer à la plupart des règles, toutes les entreprises ne sont pas également préparées.
Il a ajouté que certaines entreprises veulent du temps pour mettre en place le cadre du gestionnaire de consentement, tandis que certains veulent comprendre le processus de vérification de l’âge plus en détail. Par conséquent, le gouvernement permettra un déploiement ou une période de transition progressive jusqu’à deux ans pour que différents types d’organisations deviennent pleinement conformes.
Les entreprises de divers secteurs recherchent désormais de plus en plus les conseils pour évaluer leur préparation à la conformité au DPDP, pour évaluer leurs capacités actuelles et identifier les lacunes.
Pas le temps d’attendre
Les experts estiment que les entreprises indiennes peuvent apprendre des entreprises européennes et de leur trajectoire de conformité au RGPD.
« Ils devraient hiérarchiser la préparation précoce pour le DPDPA en cartographiant les flux de données personnels pour chacun de leurs processus et plateformes numériques. Les entreprises devraient impliquer des équipes interfonctionnelles, y compris le juridique, l’informatique et les RH, pour garantir une conformité complète », a ajouté Palanisamy de Deloitte.
Les entreprises devraient également investir dans des technologies évolutives pour rationaliser les processus de conformité. Mais la véritable conformité découle d’une culture de la vie privée au sein d’une entreprise; Par conséquent, les entreprises indiennes peuvent bénéficier de programmes de formation réguliers pour construire une culture de protection des données.
Plus important encore, les entreprises devraient commencer à communiquer clairement avec les utilisateurs en veillant à ce que les formulaires de consentement et les avis de confidentialité soient lisibles par l’homme, pas au légal. Le Gupta d’EY a suggéré que la construction de la confidentialité dans les systèmes était à forte intensité de temps et que les entreprises devraient commencer tôt.
Ils doivent comprendre que l’opérationnalisation de la conformité n’est pas une case à cocher mais doit être intégrée à la formation, à la conception des produits, à l’approvisionnement, etc. De plus, la gestion des risques de confidentialité tierce deviendra plus cruciale, appliquant des contrôles contractuels rigoureux et une diligence raisonnable sur des tiers.
