Votée le 9 août 2023, la nouvelle loi Indienne sur la protection des données, appelée « Digital Personal Data Protection Bill », a été publiée vendredi 11 août dans la Gazette de l’Inde. Cette nouvelle loi fixe un cadre règlementaire aux traitements des données numériques en Inde. Elle instaure des droits et des interdictions pour les personnes concernées, des obligations pour les responsables de traitement, appelésfiduciaires de données et prévoit des sanctions considérables en cas de non-respect de ces dernières.
Le champ d’application est circonscrit aux données numériques : le texte ne s’applique donc pas aux « données papier ». Contrairement au RGPD qui prévoit six bases légales pour qu’un traitement de données à caractère personnel soit licite, le Digital Personal Data Protection Bill prévoit uniquement deux bases légales : le consentement et les utilisations légitimes. Proche de la base de l'intérêt légitime prévue par le RGPD, celle indienne renvoie en outre à la mise en oeuvre de traitements fondés sur des prestations ou services fournis par le Gouvernement, les urgences médicales ou l’emploi.
Les personnes concernées disposent quant à elles de plusieurs droits : le droit d'être informées sur l'utilisation de leurs données personnelles, le droit de les corriger, leseffacer ou encore de nommer une tierce personne pour exercer leurs droits en cas de décès ou d’incapacité. Le texte prévoit en outre l'existence du droit de déposer une plainte auprès du Conseil Indien de la Protection des Données (Data Protection Board of India), équivalent des autorités de protection des données européennes comme la CNIL en France. Chargé de contrôler la conformité des entités, l'organisme indien peut infliger des sanctions en cas de non-respect du texte (jusqu’à 2 milliards de roupies, environ 22,5 millions d’euros), d’absence de mesures de sécurité pour éviter les violations de données (jusqu’à 28 millions d’euros) ou encore d’ordonner aux fiduciaires des données de prendre des mesures nécessaires lorsqu’une telle violation a lieu. Cependant, les personnes concernées ont aussi des interdictions, comme celle de fournir de faux détails aux responsables de traitements, appelés fiduciaires dans certains cas spécifiques, ou encore d’usurper l’identité d’une autre personne, et encourent le cas échéant une amende pouvant aller jusqu’à 10000 roupies (113 euros).
À l’heure actuelle, l’Inde n’est pas considéré comme pays adéquat pour les transferts de données hors de l’Union Européenne : tout exportateur de données doit prendre des garanties prévues aux articles 46 et 47 du RGPD lorsqu’il souhaite transférer des données vers ce pays. En outre, bien que la nouvelle règlementation indienne renforce les droits des individus quant à la protection de leurs données personnelles, elle reste moins contraignante que le RGPD faisant obstacle à ce que la Commission Européenne adopte une décision d’adéquation permettant de transférer des données personnelles de l’Union Européenne vers l’Inde, sans prendre de garantie complémentaire comme le prévoit l’article 45 du RGPD.