La loi sur la protection des données personnelles numériques de l'Inde (DPDPA 2023) établit des exigences de protection des données pour 1,4 milliard de personnes — le plus grand cadre de protection des données au monde par population. Le Conseil de protection des données de l'Inde est devenu opérationnel en 2025, marquant le début de l'application active. Pour les organisations mondiales servant des consommateurs indiens, traitant des données d'employés indiens ou opérant avec des fournisseurs de services informatiques indiens, la conformité au DPDPA est désormais une exigence de conformité active.
DPDPA : Aperçu du cadre clé
Champ d'application territorial : Le DPDPA s'applique au traitement des données personnelles numériques en Inde, et au traitement en dehors de l'Inde dans le but d'offrir des biens ou des services à des individus en Inde. Comme la portée extraterritoriale du RGPD, le DPDPA s'applique à toute organisation servant des consommateurs indiens, peu importe où le traitement a lieu.
Amendes maximales : Jusqu'à ₹250 crore (environ 27 millions d'euros aux taux de change actuels) par violation. Le Conseil de protection des données peut imposer des pénalités en fonction de la gravité, de la durée et de l'ampleur.
Bases légales pour le traitement : Consentement (volontaire, éclairé, spécifique, sans ambiguïté) ou utilisations légitimes définies dans la loi (emploi, obligations légales, intérêts vitaux, fonctions d'intérêt public, recherche/archivage, sécurité nationale).
Droits des personnes concernées : Droit à l'information sur le traitement, droit à la rectification et à l'effacement, droit à un recours en cas de grief, et droit de désigner un représentant en cas d'incapacité.
Fiduciaires de données (équivalent aux responsables du traitement du RGPD) : Les organisations traitant des données personnelles sont des "fiduciaires de données" avec des obligations en matière de mesures de sécurité, de notification de violation au Conseil de protection des données dans les 72 heures, et de nomination d'un délégué à la protection des données pour les fiduciaires de données significatifs.
Aadhaar : Le plus grand système d'identité biométrique au monde
Aadhaar est le système national d'identité biométrique de l'Inde — un numéro d'identification unique à 12 chiffres lié aux empreintes digitales et aux scans de l'iris de chaque titulaire. Délivré à 1,36 milliard de résidents indiens, Aadhaar est utilisé pour :
- Distribution des prestations gouvernementales (schémas de bien-être PAN)
- Authentification des services bancaires et financiers (eKYC)
- Enregistrement des numéros de téléphone mobile (vérification SIM obligatoire)
- Accès aux services de santé
- Vérification de l'emploi
Les numéros Aadhaar apparaissent dans presque tous les documents financiers, de santé et administratifs indiens. La loi Aadhaar de 2016 impose des restrictions spécifiques sur l'utilisation d'Aadhaar — il ne peut pas être utilisé comme identification obligatoire pour des services privés et ne peut pas être stocké dans des bases de données au-delà de cas d'utilisation autorisés spécifiques.
Exigences de détection : Aadhaar suit un format spécifique à 12 chiffres avec validation du chiffre de contrôle Verhoeff. Contrairement aux identifiants nationaux plus simples, Aadhaar utilise l'algorithme Verhoeff (un schéma de détection d'erreur théorique de groupe complexe) pour le calcul du chiffre de contrôle. Les outils de correspondance de motifs génériques manquent Aadhaar dans les documents indiens, et les outils qui mettent en œuvre la correspondance de motifs sans validation Verhoeff génèrent des faux positifs à partir de tout numéro à 12 chiffres.
Autres identifiants PII indiens
PAN (Numéro de compte permanent) : Identifiant fiscal alphanumérique à 10 caractères au format AAAAA9999A (5 lettres + 4 chiffres + 1 lettre). Le 4ème caractère encode le type de contribuable, le 5ème caractère est la première lettre du nom du contribuable. Le PAN est obligatoire pour les transactions financières supérieures à ₹50,000 et apparaît dans pratiquement tous les documents financiers indiens.
Passeport indien : Format X suivi de 7 chiffres. Format spécifique au système d'émission de passeports de l'Inde.
Permis de conduire indien : Format basé sur le code de l'État (DL-0420110149646 pour Delhi, par exemple) — le format varie selon l'État d'émission, similaire au RG du Brésil.
Numéros de compte bancaire : Pas de format standard en Inde — les numéros de compte bancaire varient de 9 à 18 chiffres selon la banque, sans normalisation nationale. Les codes IFSC (codes de succursale bancaire de 11 caractères) apparaissent aux côtés des numéros de compte dans les documents de paiement.
Numéros de mobile : Format à 10 chiffres avec le code pays +91. La pénétration mobile de l'Inde (1,2 milliard d'abonnés mobiles) signifie que les numéros de téléphone sont omniprésents dans les documents commerciaux indiens.
Exigences techniques du DPDPA
L'exigence de mesures de sécurité du DPDPA est exprimée en termes de résultats plutôt qu'en mesures techniques spécifiques (contrairement aux exigences énumérées du HIPAA) :
Mesures de sécurité : Les fiduciaires de données doivent mettre en œuvre des "mesures de sécurité raisonnables" appropriées au risque. Les règles du DPDPA (attendues en 2025) spécifieront des normes techniques minimales.
Notification de violation : Dans les 72 heures au Conseil de protection des données pour toute violation de données personnelles. Ce délai est plus exigeant que les 72 heures du RGPD pour la notification à l'autorité de protection des données — le RGPD permet 72 heures pour la notification à l'autorité de protection des données et des délais séparés pour la notification des personnes concernées. Le DPDPA exige les deux dans la même fenêtre de 72 heures pour les violations significatives.
Localisation des données (fiduciaires de données significatifs) : Les fiduciaires de données significatifs — ceux désignés par le gouvernement indien en fonction du volume et de la sensibilité du traitement — peuvent être tenus de conserver une copie des données personnelles en Inde. Les exigences spécifiques de localisation seront définies dans les règles, mais les entreprises multinationales traitant de grands volumes de données personnelles indiennes devraient se préparer à d'éventuelles obligations de localisation.
Transferts transfrontaliers : Le DPDPA restreint les transferts de données personnelles vers des pays qui ne figurent pas sur une liste approuvée par le gouvernement. La liste des pays approuvés n'a pas été finalisée à partir de 2025, créant une incertitude de conformité pour les flux de données entre l'UE et l'Inde. La position de transfert UE-Inde diffère de celle du DPF UE-États-Unis du RGPD — il n'existe pas d'accord bilatéral d'adéquation, et les organisations sont conseillées de mettre en œuvre des mesures contractuelles de protection pendant que le cadre réglementaire se développe.
Pour les organisations mondiales ayant des opérations en Inde : La détection d'Aadhaar et de PAN avec des chiffres de contrôle validés, le support de format de passeport et de permis de conduire indiens, et la documentation des finalités de traitement alignées sur les bases légales du DPDPA sont les exigences techniques de base pour la conformité au DPDPA.
Sources :