Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Du consentement et des utilisations licites : là où le caoutchouc rencontre la route
Bien que le concept de consentement, conformément au régime actuel fondé sur le consentement en vertu de la Loi de 2000 sur les technologies de l'information («Loi informatique")[1] ainsi que la primauté constitutionnelle du consentement et de l'autonomie dans diverses décisions de justice traitant du droit à la confidentialité des informations est restée fermement ancrée en tant que base principale de la collecte et du traitement des données personnelles dans le cadre des différents projets de protection générale des données personnelles. législation en Inde au fil des ans,[2] la loi de 2023 sur la protection des données personnelles numériques récemment notifiée (« Digital Personal Data Protection Act, 2023 »)Acte")[3] prévoit également une "utilisation légitime" comme base supplémentaire clé à la disposition des fiduciaires des données[4] pour la collecte et le traitement des données personnelles[5].
Dans le cadre de notre série sur la loi, nous examinons maintenant comment la loi traite le consentement ainsi que l'utilisation légitime, par rapport au projet de loi sur la protection des données personnelles numériques, 2022 («Brouillon”[6] et certains cadres globaux.
La Loi continue d'exiger que le consentement soit libre, spécifique, éclairé, inconditionnel, express et signifié par un acte positif.[7]
En vertu de la Loi, cet avis doit être donné chaque fois que le consentement est demandé[8], ce qui pourrait augmenter l'ampleur du tsunami d'avis (et la fatigue qui en découle) auquel les Indiens seront bientôt soumis.
La loi continue également d'exiger qu'un nouvel avis soit fourni lorsque le traitement a déjà été consenti.[9] En Inde, où le consentement n'était requis que pour traiter un ensemble étroitement défini de « données ou informations personnelles sensibles » en vertu de la loi sur les technologies de l'information,[10] les fiduciaires des données devront examiner attentivement leurs consentements antérieurs, fournir de nouvelles notifications et (potentiellement) prendre de nouveaux consentements après l’entrée en vigueur officielle de la loi. Il peut donc être utile de clarifier la situation concernant les données personnelles héritées qui ont été traitées sans consentement spécifique, alors que la loi ne l'exigeait pas. Les fiduciaires de données peuvent continuer à traiter les données personnelles pour lesquelles le consentement au traitement a été recueilli avant la promulgation de la loi[11], en fournissant une notification sous la forme prescrite[12], et dans une démarche qui sera bien accueillie par les entreprises, la loi précise que les données Les fiduciaires peuvent continuer à traiter les données personnelles jusqu'à ce que le responsable des données[13] retire son consentement[14].
Il est important de noter que, dans une position actuellement plus libérale que la plupart des autres législations dans le monde[15], elle permet actuellement d'obtenir un consentement consolidé moyennant une notification (claire, compréhensible, disponible en plusieurs langues, énumérant les finalités pour lesquelles les données sont fournies). peuvent être traitées, la manière dont le responsable des données peut exercer ses droits et la manière dont une plainte peut être déposée auprès du Conseil) de la manière qui peut être précisée.
Contrairement au projet, la Loi n'exige plus expressément que ces avis énumèrent les objectifs sous une forme détaillée, mais exige plutôt que l'avis soit rédigé d'une manière qui sera prescrite.[16]
Bien que cela laisse ouverte la possibilité d’une exigence plus onéreuse de consentements granulaires (c’est-à-dire des consentements distincts pour chaque fin)[17], la Loi semble également répondre de manière différente à la préoccupation des consentements regroupés « tout ou rien ».
Il est intéressant de noter que dans un changement qui semble destiné à codifier la limitation des objectifs et à éviter le regroupement, la loi comprend :
Si la première solution est la bienvenue, la seconde pose problème pour deux raisons :
La loi reflète la position sur le retrait du consentement telle que spécifiée dans le projet.[20] Les responsables des données ont le droit de retirer leur consentement au traitement des données aussi facilement que les modalités de consentement. Toutefois, un tel retrait n'affecterait pas la licéité du traitement effectué avant le retrait.[21] Lors du retrait, le fiduciaire des données est tenu de cesser le traitement de ces données personnelles « dans un délai raisonnable », à moins qu'un tel traitement ne soit autorisé par la loi.[22] Les conséquences d'un tel retrait seraient supportées par le Responsable des données.[23] Dans une autre démarche visant à renforcer le consentement, la loi étend l'obligation d'effacement des données lors du retrait du consentement à la fois au fiduciaire des données et aux entités traitant les données en son nom.[24]