Projet de loi indien sur la protection des données personnelles et l'Internet des objets : les défis à venir

Publié: 2018-09-04

Inonder les utilisateurs de plusieurs avis longs pour obtenir leur consentement à chaque instance de la collecte entraînera probablement une lassitude du consentement

Fournir des avis pour les appareils dépourvus d'interfaces utilisateur interactives ou d'écrans d'affichage s'avérera être un défi

Les développeurs IoT en Inde devront se coordonner avec l'Autorité de protection des données pour élaborer des directives pratiques afin de contourner ces problèmes

Le projet de loi sur la protection des données personnelles, 2018 (PDP Bill) est arrivé à un moment opportun - à un moment où la collecte et l'utilisation de nos données personnelles sont devenues un aspect omniprésent de la vie quotidienne.

L' accent mis par le projet de loi sur l'obtention du consentement éclairé de l'utilisateur pour le traitement de toutes les données personnelles marque un pas en avant par rapport au cadre prévu par les règles sur les technologies de l'information (pratiques et procédures de sécurité raisonnables et données ou informations personnelles sensibles), 2011 (règles informatiques). En vertu des règles informatiques, le consentement de l'utilisateur n'était requis que pour la collecte, l'utilisation ou la divulgation de données personnelles sensibles , contrairement au nouveau projet de loi.

Les citoyens peuvent désormais se reposer en sachant que leurs données ne peuvent pas être prises à leur insu. Cependant, il y a un revers aux normes strictes du projet de loi sur le consentement.

Pour que le consentement de l'utilisateur soit valide en vertu du projet de loi, il doit être donné librement, spécifique, clair, susceptible d'être retiré et peut-être le plus important — informé par le biais d'un avis clair et détaillé qui est fourni au moment de la collecte. Bien que la fourniture d'avis complets pour obtenir le consentement à l'utilisation des données à chaque étape soit un bon principe directeur, en théorie, il peut être difficile à appliquer dans la pratique.

Cela est particulièrement vrai pour les utilisateurs qui dépendent des appareils de l'Internet des objets (IoT) qui fonctionnent dans un environnement hautement interconnecté. Pour qu'un avis soit considéré comme significatif, l'utilisateur d'un appareil IdO doit être en mesure de comprendre comment et pourquoi ses données personnelles sont utilisées et, dans le cas de données personnelles sensibles, les conséquences de l'utilisation de ces données.

Inonder les utilisateurs de plusieurs avis longs pour obtenir leur consentement à chaque instance de la collecte entraînera probablement une fatigue du consentement et peut ne pas être le meilleur moyen d'obtenir un consentement significatif.

De plus, fournir des avis pour les appareils dépourvus d'interfaces utilisateur interactives ou d'écrans d'affichage s'avérera également un défi . Les développeurs IoT en Inde devront se coordonner avec l'Autorité de protection des données pour élaborer des directives pratiques afin de contourner ces problèmes.

Le consentement à la collecte n'est pas aussi simple qu'il est défini

Les dispositions du projet de loi sur l'objectif et la limitation de la collecte peuvent également poser des problèmes opérationnels . Les fiduciaires de données en vertu du projet de loi ne peuvent collecter des données personnelles qu'à des fins claires, précises, licites et communiquées à l'avance.

Bien que cette limitation soit nécessaire pour protéger la vie privée des individus et empêcher l'utilisation abusive des données, elle peut ne pas être pratiquement applicable pour les environnements activés par l'IdO comme les maisons intelligentes, les voitures intelligentes et les villes intelligentes qui s'appuient sur des ensembles de données interconnectés pour arriver à des conclusions.

Par exemple, il peut être difficile de déterminer à l'avance l'objectif exact de la collecte de données dans un environnement où les utilisations des mêmes ensembles de données évoluent constamment.

Recommandé pour vous:

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via « Jugaad » : PDG de CitiusTech
Nouvelles

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...

Comment Metaverse va transformer l'industrie automobile indienne
Ressources

Comment Metaverse va transformer l'industrie automobile indienne

Que signifie la disposition anti-profit pour les startups indiennes ?
Ressources

Que signifie la disposition anti-profit pour les startups indiennes ?

Comment les startups Edtech aident à améliorer les compétences et à préparer la main-d'œuvre pour l'avenir
Ressources

Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...

Nouvelles

Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...

Les startups indiennes prennent des raccourcis à la recherche de financement
Fonctionnalités

Les startups indiennes prennent des raccourcis à la recherche de financement

En fait, une limitation stricte de l'objectif et de la collecte peut même aller à l'encontre de la fonctionnalité de certains appareils et applications, comme dans le cas des systèmes de sécurité domestique. Par exemple, comment les sonnettes intelligentes avec vidéo qui capturent les images faciales des visiteurs qui sonnent à la porte, informeront-elles ces visiteurs de la capture de leur image sans aller à l'encontre de l'objectif initial d'installation de telles caméras ? Ce problème est aggravé dans le cas d'appareils basés sur des capteurs qui fonctionnent sans aucune interface utilisateur.

Alors que le projet de loi assouplit la limitation de la collecte de données pour les utilisations «raisonnables» et accessoires des données personnelles, la norme pour déterminer le «caractère raisonnable» dans ces cas n'est pas claire à l'heure actuelle.

Le projet de loi est certainement progressiste dans son adoption de normes élevées de protection de la vie privée. Cependant , les entreprises qui cherchent à se conformer au projet de loi auront du mal à respecter ses exigences strictes en l'absence de toute orientation pratique. Étant donné que le non-respect du projet de loi peut entraîner de lourdes sanctions civiles et pénales, la clarté de tous les aspects du projet de loi est essentielle pour les entreprises gourmandes en données.

Qu'est-ce que la finalité et la limitation de la collecte ?

L'article 5 du projet de loi sur la protection des données personnelles, 2018 (« projet de loi ») propose que les données ne soient traitées qu'à des fins claires, précises et licites. Cependant, le projet de loi autorise le traitement des données à toute autre fin accessoire pour laquelle le responsable des données s'attendrait raisonnablement à ce que les données personnelles soient utilisées en fonction des circonstances et du contexte dans lesquels les données personnelles ont été collectées.

L'article 6 du projet de loi stipule que les données ne seront collectées que si la collecte de ces données est nécessaire aux fins du traitement.

Quel est l'objectif derrière le but et la limitation de la collecte ?

Puisqu'il existe une relation de confiance entre le fiduciaire des données (l'entité qui collecte et traite les données) et le responsable des données (la personne dont les données sont collectées et traitées), l' objectif de la limitation des finalités est de s'assurer que les données qui sont collectées ne sont utilisées que dans le but pour lequel elles sont collectées et non à d'autres fins qui n'ont pas été divulguées au responsable des données au moment de la collecte. L'objectif de la limitation de la collecte est d'assurer la minimisation des données.

Quel est le problème avec le but et la limitation de la collecte ?

La finalité et la limitation de la collecte reposent sur l'hypothèse que, pour que le consentement soit valide, il ne suffit pas de mentionner vaguement la finalité de la collecte et, par conséquent, la finalité doit être précise. Cependant, le problème avec cette hypothèse est que chaque finalité pour laquelle les données personnelles peuvent être utilisées à l'avenir peut être déterminée au moment de la collecte.

Cependant, ce n'est pas le cas car les données peuvent devoir être utilisées à certaines fins qui ne pouvaient pas être prévues au moment de la collecte. Par conséquent, une spécification vague de l'objectif sous la forme "améliorer l'expérience utilisateur" devrait suffire car il s'agit d'un motif valable et légal pour le traitement des données personnelles.

Les données sont un catalyseur de stratégies futures et de changements immédiats, grâce à la puissance de l'analyse prédictive et de la science des données avancée. Exploiter correctement les données peut aider à parvenir à une meilleure prise de décision basée sur des faits et à améliorer l'expérience client globale.

En utilisant les nouvelles technologies Big Data, les organisations peuvent répondre aux questions en quelques secondes plutôt qu'en jours, et en jours plutôt qu'en mois. Cette accélération permet aux entreprises de permettre le type de réactions rapides aux questions et défis clés de l'entreprise qui peuvent créer un avantage concurrentiel et améliorer les performances, et fournir des réponses aux problèmes complexes ou aux questions qui ont résisté à l'analyse.

à propos des auteurs

Cet article est co-écrit par Tuhina Joshi et Ila Tyagi, les associés d'Ikigai Law (anciennement TRA Law), un cabinet d'avocats et d'avocats spécialisé dans les technologies émergentes.