Inde DPDPA 2023 : Conformité technique pour les équipes mondiales
La loi indienne sur la protection des données personnelles numériques (Digital Personal Data Protection Act) couvre 1,4 milliard de personnes. C'est la plus grande loi sur la vie privée au monde par population. Le Conseil de protection des données est devenu actif en 2025. L'application a commencé. Si votre entreprise sert des utilisateurs indiens, gère des fichiers de personnel indien ou travaille avec des prestataires informatiques indiens, cette loi est désormais une obligation active.
Ce que couvre le DPDPA
Champ d'application territorial : La loi couvre le traitement en Inde. Elle couvre aussi le traitement hors d'Inde lorsque l'objectif est de vendre des biens ou des services à des utilisateurs indiens. Comme le RGPD, elle suit la personne — pas le serveur.
Amendes maximales : Jusqu'à ₹250 crore par infraction. Cela représente environ €27 millions au taux actuel. Les amendes dépendent de la gravité et de la durée de l'infraction.
Bases juridiques : Le consentement doit être libre, éclairé et clair. D'autres bases valides incluent l'emploi, les obligations légales, les intérêts vitaux, l'intérêt public et la recherche.
Droits individuels : Les personnes peuvent demander comment leurs données sont utilisées. Elles peuvent demander une correction ou une suppression. Elles peuvent déposer une plainte. Elles peuvent désigner un représentant si elles perdent leur capacité.
Data Fiduciaries : C'est le terme DPDPA pour les responsables du traitement. Ils doivent protéger les données personnelles. Ils doivent signaler les violations au Conseil dans les 72 heures. Ils doivent désigner un délégué à la protection des données s'ils sont un Significant Data Fiduciary.
Aadhaar : Un problème de détection unique
Aadhaar est le système d'identification biométrique national de l'Inde. Chaque titulaire reçoit un numéro à 12 chiffres lié à ses empreintes digitales et scans d'iris. Environ 1,36 milliard de résidents en ont un. Les banques, agences gouvernementales, opérateurs mobiles et hôpitaux l'utilisent tous.
Les numéros Aadhaar apparaissent dans les fichiers financiers, de santé et administratifs. La loi Aadhaar de 2016 en limite l'utilisation. Les services privés ne peuvent pas l'exiger comme pièce d'identité obligatoire. Le stockage est limité à des cas spécifiquement autorisés.
Pourquoi la détection est difficile : Aadhaar utilise la méthode Verhoeff pour son chiffre de contrôle. Un outil qui recherche uniquement des chaînes à 12 chiffres signalera tout nombre à 12 chiffres. Cela génère des faux positifs. Une bonne détection nécessite une logique de vérification Verhoeff. La simple reconnaissance de motifs ne suffit pas.
Autres formats PII indiens
PAN (Permanent Account Number) : Un identifiant fiscal à 10 caractères. Format : cinq lettres, quatre chiffres, une lettre. La quatrième lettre indique le type de contribuable. La cinquième est la première lettre du nom du contribuable. Le PAN est requis pour les transactions supérieures à ₹50 000. Il est courant dans les fichiers financiers indiens.
Passeport indien : La lettre X suivie de sept chiffres. Ce format est unique à l'Inde.
Permis de conduire : Chaque État a son propre format. Un permis de Delhi peut ressembler à DL-0420110149646.
Comptes bancaires : Il n'existe pas de norme nationale. Les numéros de compte vont de 9 à 18 chiffres. Les codes IFSC — codes à 11 caractères d'agences bancaires — apparaissent à côté des numéros de compte dans les fichiers de paiement.
Numéros de mobile : Dix chiffres avec indicatif pays +91. L'Inde compte 1,2 milliard d'abonnés mobiles. Les numéros de téléphone apparaissent souvent dans les documents commerciaux.
Découvrez comment anonym.legal gère tous les formats PII indiens : /blog/apac-pii-detection-thai-indonesian-vietnamese-2025.
Exigences techniques du DPDPA
Mesures de sécurité : Le DPDPA demande des « mesures de sécurité raisonnables » adaptées au risque. La loi définit cela par le résultat. Elle ne fournit pas de liste fixe d'étapes. Les normes techniques minimales viendront dans les règles DPDPA. Celles-ci sont attendues à partir de 2025.
Notification de violation : Signalez toute violation de données personnelles au Conseil dans les 72 heures. Sous le RGPD, cette fenêtre ne couvre que le régulateur. Sous le DPDPA, les violations majeures nécessitent une notification au Conseil et aux personnes concernées. Les deux doivent avoir lieu dans les 72 heures.
Localisation : Le gouvernement peut désigner des entreprises comme Significant Data Fiduciaries. Ces entreprises devront peut-être conserver une copie des données en Inde. Les règles finales ne sont pas encore établies.
Transferts transfrontaliers : La loi bloque les transferts vers des pays non inclus dans une liste approuvée. Cette liste n'était pas fixée en 2025. Il n'existe pas de décision d'adéquation UE-Inde. Les entreprises avec des flux UE-Inde doivent mettre des contrats en place maintenant.
Pour voir comment les règles transfrontalières s'appliquent entre différentes lois : /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn.
Votre liste de contrôle technique de base
Si vous traitez des données personnelles indiennes, commencez ici :
- Détection Aadhaar avec logique de chiffre de contrôle Verhoeff.
- Détection PAN avec vérification du caractère de type contribuable.
- Support pour le passeport indien et le permis de conduire par État.
- Détection de compte bancaire pour des longueurs de 9 à 18 chiffres avec codes IFSC.
- Registres d'objectifs de traitement correspondant aux bases juridiques DPDPA.
- Un plan de réponse aux violations respectant la fenêtre de 72 heures.
Découvrez comment un seul preset couvre tous les types PII indiens : /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025.