Le 11 avril 2011, l’Inde a réformé sa loi sur les technologies de l’information de 2000 (« Information Technology Act ») afin d’y inclure de nouvelles dispositions en matière de protection des données personnelles.
Ces dispositions imposent désormais aux entreprises indiennes qui « recueillent, reçoivent, possèdent, stockent, traitent ou manipulent des données personnelles » de mettre en place une charte de confidentialité (accessible le cas échéant sur son site web), indiquant notamment le type de données personnelles collectées, la finalité des traitements de ces données, et les « mesures et procédures raisonnables » mises en place afin de protéger ces données. Les entreprises ont par ailleurs l’obligation d’adopter de telles mesures de confidentialité et sécurité dont le contenu reste à définir (les entreprises appliquant le code IS/ ISO/ IEC 2007 sont réputées avoir adopté des mesure conformes à la loi).
En outre, ces nouvelles dispositions créent la catégorie de « données personnelles sensibles » :
• Les données sensibles incluent notamment les informations relatives aux conditions de santé physique et mentale, les dossiers médicaux, les données biométriques, l’orientation sexuelle, mais également les mots de passe, les informations bancaires. A la différence de la réglementation européenne en la matière, les données relatives à l’origine raciale ou ethnique, ainsi que les croyances politiques ou religieuses ne sont pas qualifiées de données personnelles sensibles.
• Les entreprises indiennes traitant de données sensibles doivent obtenir le consentement écrit (par lettre, fax ou email) et éclairé du « fournisseur de données ». Il semble donc qu’il ne serait pas requis pour l’entreprise indienne d’obtenir le consentement des personnes sur lesquelles portent les données (cette obligation pouvant en revanche incomber, selon la loi applicable, à la personne ou société fournissant les données à l’entité indienne). Ledit « fournisseur » doit avoir la possibilité de refuser et de reprendre à tout moment son consentement ainsi que d’avoir accès et de corriger les données. Le consentement doit être éclairé, c’est-à-dire donné sur la base d’une information préalable sur la finalité de la collecte, les destinataires des données collectées, ainsi que l’identité de l’agence qui les collecte et celle qui les conserve/ stocke.
• La collecte de données personnelles sensibles doit être licite, liée à l’activité de l’entreprise et rendue nécessaire par celle-ci.
• Il n’est pas possible d’utiliser les données sensibles pour d’autres finalités que celles pour lesquelles elles ont été collectées initialement.
• Toute divulgation à des tiers requiert le consentement préalable du « fournisseur de données » (sauf an cas de demande d’une autorité publique ou en application de la loi).
• L’information ne doit pas être conservée plus longtemps que nécessaire, compte tenu de la finalité et de la loi applicable.
Les nouvelles dispositions traitent également du transfert de données à l’étranger. Ainsi, les données personnelles ne peuvent désormais être transférées (i) qu’à destination de pays garantissant le même niveau de protection que l’Inde, et (ii) uniquement si ce transfert est nécessaire à l’exécution d’un contrat licite avec le « fournisseur de données » ou avec le consentement préalable de celui-ci.