Alors que le mandat du groupe parlementaire sur la protection des données touche à sa fin, voici où en est le débat sur la question à l’heure actuelle

La Reserve Bank of India (RBI) a interdit à MasterCard d’intégrer de nouveaux clients sur son réseau à partir du 22 juillet 2021 en raison du non-respect des normes de stockage des données de paiement en Inde.

Dans une première de ces actions, RBI avait interdit à American Express et Diners Club, qui exercent des activités de cartes de crédit en Inde, d’intégrer de nouveaux clients de cartes de crédit en Inde à partir du 1er mai 2021, invoquant le non-respect des normes qui exigent le stockage local des données de transaction.

AmEx et Diners Club proposent tous deux des services de carte de crédit à une clientèle aisée et fortunée. Ces entités ont été jugées non conformes aux directives sur le stockage des données du système de paiement. Cependant, cela n’a pas d’impact sur leurs clients existants.

Position actuelle

La RBI avait introduit les normes de localisation des données en avril 2018, qui devaient entrer en vigueur à partir d’octobre 2018. Cela imposait des exigences de localisation des données sur toutes les informations relatives aux systèmes de paiement, y compris les données de transaction complètes en Inde.

Les données à stocker uniquement en Inde comprennent « les détails complets de la transaction de bout en bout/informations collectées/transportées/traitées dans le cadre du message/instruction de paiement ».

Les normes obligeaient les entités à stocker les données de transaction des clients nationaux sur des serveurs situés en Inde et à certifier leur conformité via un rapport d’audit du système soumis à la RBI.

Pour une partie étrangère d’une transaction (le cas échéant), les données peuvent également être stockées dans un pays étranger, si nécessaire. Bien qu’il n’y ait pas d’obstacle au traitement des transactions de paiement en dehors de l’Inde, les OSP devaient s’assurer que les données sont stockées en Inde après le traitement. Les données stockées en Inde sont accessibles pour le traitement des litiges clients, chaque fois que nécessaire.

Cela couvrait les banques, les NPCI, les réseaux de cartes tels que Visa et MasterCard, les grandes technologies telles que WhatsApp, Google et les TPSP qui proposent des services de paiement électronique ou numérique, etc. Plusieurs sociétés de paiement internationales telles que MasterCard et Visa avaient demandé des extensions. De nombreuses entreprises ne se conforment pas encore à cette règle.

En cas de violation de la directive, comme en cas de violation d’autres directives et règlements émis par la RBI, la banque centrale dispose d’un pouvoir discrétionnaire pour infliger des amendes ou même des peines d’emprisonnement dans certains cas.

Projet de loi sur la protection des données personnelles, 2019

La localisation et la nationalisation des données est un sujet très pertinent dans le projet de loi sur la protection des données personnelles, 2019 (PDP), basé sur le rapport du comité Justice Srikrishna. L’idée du PDP est d’équilibrer le droit fondamental de l’individu à la confidentialité et à l’autonomie des données ainsi que la nécessité de favoriser une économie des données et numérique.

La localisation des données est l’acte de stocker des données sur n’importe quel appareil physiquement présent à l’intérieur des frontières d’un pays. Bien que l’Inde soit un pays pauvre en termes de revenu par habitant, elle est riche en création de données, et les données doivent être extraites en Inde pour le bénéfice du pays afin d’aider le gouvernement à élaborer de meilleures politiques nationales pour ses citoyens.

Compte tenu de la présence d’acteurs étrangers dans les paiements numériques tels que Google Pay, Amazon Pay, WhatsApp Pay et les réseaux de cartes Visa, MasterCard, American Express, la localisation des données est une évolution clé.

Dans le cadre du PDP, le comité a recommandé le stockage et le traitement locaux des données personnelles en classant les données en différentes catégories. Les données personnelles considérées comme « critiques » seront soumises à l’obligation d’être traitées uniquement en Inde.

Les autres types de données personnelles « sensibles » (non critiques) seront soumis à l’obligation de stocker au moins une copie de service en Inde. Les transferts de données transfrontaliers de ces données « sensibles » (non critiques) se feront par le biais de clauses contractuelles types contenant des obligations clés, le « cédant » étant responsable des dommages causés au commettant en raison de tout comité des violations par le « cessionnaire ».

Fournisseurs de services cloud

Le cloud computing, avec ses services d’intégration faciles et d’hébergement sécurisés, a été un moteur de la croissance des FinTech en Inde. Les services cloud transfrontaliers posent des problèmes même dans le cadre du projet de loi PDP. Le projet de loi PDP envisage l’applicabilité de ses dispositions au traitement des données personnelles par les CSP étrangers s’ils fournissent des services aux utilisateurs en Inde.

La Chine, la Russie et l’Union européenne (UE) ont toutes mis en place des lois sur la localisation des données. Dans le contexte mondial, la Cour européenne de justice, dans un récent arrêt connu sous le nom de Schrems II, a jugé que les transferts de données de l’UE vers un CSP en dehors de l’UE peuvent être illégaux si le CSP n’est pas en mesure de se conformer aux normes de protection des données et de la vie privée de l’UE. pour quelque raison que ce soit.

Cela peut inciter les CSP non européens à quitter le marché de l’UE ou à être contraints d’investir dans la localisation des données des utilisateurs au sein de l’UE. Si d’autres pays adoptent également cette position, cela peut déclencher une localisation sans précédent de l’industrie du cloud.

Discussion

Il existe différents points de vue sur la localisation des données. Selon certains, l’Inde ne doit pas imposer un stockage strict des données dans le pays, mais autoriser leur stockage dans toute juridiction approuvée par le gouvernement qui autorise un accès légal au gouvernement indien dans des circonstances exceptionnelles définies.

L’opinion est que si nous ne permettons pas aux données de circuler, une grande partie de l’activité industrielle sera réduite. Le contre-argument est que c’est la raison de la catégorisation des données en données sensibles et critiques, afin de décider quelles données peuvent être autorisées à sortir. Cependant, cette catégorisation peut être coûteuse à exécuter.

Le maintien de plusieurs centres de données locaux peut entraîner des investissements importants dans l’infrastructure et des coûts plus élevés pour les entreprises mondiales. Selon certains rapports, l’Inde doit augmenter la capacité de son centre de données d’au moins 15 fois au cours des sept à huit prochaines années pour être en mesure de gérer l’afflux massif de données qui entrera à ses frontières en raison de la localisation des données.

Si l’on devait comparer le coût de la main-d’œuvre, de l’immobilier et de la bande passante, l’Inde est beaucoup moins chère que les États-Unis ou Singapour. Ces économies iront finalement aux clients à la recherche d’espace rack. Bengaluru, Hyderabad, Pune, Gurugram peuvent devenir la plaque tournante de l’innovation et du traitement des données. La délocalisation des données mondiales pourrait également créer des emplois et des compétences nationales dans le stockage et l’analyse de données. Mais nous devons assurer la sécurité des centres de données, les rendre résistants aux bombes nucléaires, aux séismes, etc.

La localisation des données est essentielle à la sécurité nationale. La localisation des données est nécessaire car une fois les données transférées vers des juridictions étrangères, les autorités indiennes peuvent ne pas être en mesure d’accéder à ces données, même à des fins statutaires, telles que des activités de renseignement. Les autorités indiennes peuvent devoir acheminer leurs demandes d’accès aux données par le biais de procédures compliquées avec le pays destinataire, ce qui retarde les enquêtes.

Le projet de loi, qui vise à garantir que les citoyens ont le contrôle de leurs données personnelles, est en cours d’analyse par une commission parlementaire mixte en consultation avec des experts et des parties prenantes.

Source link

About Christian M.

Check Also

2003 : Quand le partage de fichiers tourne mal

Alors que le partage de fichiers sur Internet devient une activité légitime, les acteurs malveillants …