26 janvier 2021
Le projet de loi 2019 sur la protection des données personnelles doit être débattu en profondeur

Le projet de loi 2019 sur la protection des données personnelles doit être débattu en profondeur

Ces dernières années, la question de la vie privée a pris une place importante dans l’imaginaire juridique, politique et commercial mondial, et l’Inde ne fait pas exception.

Selon l’arrêt Puttuswamy c. Inde (2017), la vie privée est un droit fondamental. Il s’agit là d’une évolution importante. Lorsque la Cour suprême avait été saisie d’affaires antérieures relatives à la vie privée, notamment MP Sharma contre Satish Chandra (1954) et Kharak Singh contre Uttar Pradesh (1962), les juges avaient déclaré que si, dans certaines circonstances, la vie privée des individus devait être protégée, il n’existait pas de droit constitutionnel à la vie privée en soi.

Mais une décision de la Cour suprême ne suffit certainement pas. La marche implacable de la technologie mondiale et la mise en œuvre du programme biométrique Aadhaar, en particulier, ont créé le besoin de jeter un nouveau regard sur la situation juridique de la vie privée en Inde.

Le principal champ de bataille de la vie privée aujourd’hui, comme l’ont démontré les affaires Aadhaar et bien d’autres, est celui des données, un produit intangible qui constitue désormais la base d’une grande partie de l’économie mondiale et qui est porteur d’un capital politique stupéfiant. L’importance croissante des données a poussé plus de 80 pays à adopter des lois nationales protégeant la collecte et l’utilisation des données de leurs citoyens par les entreprises et le gouvernement. Dans un avenir proche, l’Inde les rejoindra car le projet de loi 2019 sur la protection des données personnelles (DPB) est actuellement examiné par une commission parlementaire.

Le DPB aura d’énormes conséquences commerciales et politiques pour l’Inde. Selon Ernst and Young, les technologies émergentes en Inde créeront une valeur économique de 1 000 milliards de dollars d’ici 2025. Une grande partie de cette valeur sera fondée sur la création, l’utilisation et la vente de données, et le DPB aura d’immenses implications alors que les entreprises s’efforceront de respecter les nouvelles réglementations en matière de protection de la vie privée.

Le projet de loi établit un certain nombre de conditions à respecter par les entreprises et par les grandes entreprises technologiques internationales qui souhaitent opérer sur le territoire indien. Tout d’abord, il exigerait des entreprises numériques qu’elles obtiennent l’autorisation des utilisateurs avant de collecter leurs données. Il déclare également que les utilisateurs qui fournissent des données sont, en fait, les propriétaires de leurs propres données. Cela a des implications majeures, suggérant que les utilisateurs sont en mesure de contrôler les données qu’ils produisent eux-mêmes en ligne, et peuvent demander aux entreprises de les supprimer, tout comme les internautes européens sont en mesure d’exercer un “droit à l’oubli” et de faire supprimer les preuves de leur présence en ligne.

Mais le projet de loi ne protège pas les individus contre le gouvernement indien de manière aussi efficace. Il stipule que les données personnelles “critiques” ou “sensibles”, liées à des informations telles que la religion, ou à des questions de sécurité nationale, doivent être accessibles au gouvernement si cela est nécessaire pour protéger l’intérêt national. Les critiques ont suggéré que cet accès illimité pourrait conduire à des abus. Même B N Srikrishna, qui a présidé le comité qui a rédigé le projet de loi original, a averti que les exemptions d’accès du gouvernement risquent de créer un “État orwellien”.

Il y a en effet suffisamment de raisons de s’inquiéter. Le projet de loi prévoit la création d’une autorité de protection des données (DPA), qui sera chargée de gérer les données collectées par le programme Aadhaar. Elle sera dirigée par un président et six membres du comité, nommés par le gouvernement central sur recommandation d’un comité de sélection. Mais ce comité sera composé de hauts fonctionnaires, dont le secrétaire du cabinet, ce qui soulève des questions quant à l’indépendance du conseil. Le pouvoir du gouvernement de nommer et de révoquer les membres à sa discrétion alimente également les craintes quant à sa capacité à influencer cette agence ostensiblement indépendante. Contrairement à des institutions similaires, telles que la Banque de réserve de l’Inde ou le Securities and Exchange Board, le DPA ne comptera pas d’expert indépendant ou de membre du pouvoir judiciaire dans son comité directeur. L’UIDAI, pour sa part, a un président nommé par le gouvernement central et relevant directement du Centre.

Le besoin de protéger la liberté individuelle est particulièrement aigu, car les récents développements ont laissé entendre que l’Inde était en train d’acquérir certaines caractéristiques d’un État de surveillance. Par exemple, le gouvernement indien a de plus en plus recours à la reconnaissance faciale alors que l’utilisation de cette technique viole le droit à la vie privée. Après les manifestations anti-CAA et les émeutes de Delhi, le ministre de l’intérieur Amit Shah a déclaré : “La police a identifié 1 100 personnes grâce à la technologie de reconnaissance faciale. Près de 300 personnes venaient de l’Uttar Pradesh. C’était une conspiration planifiée”. Comment la police a-t-elle pu le savoir ? Il semble que les images fournies par les caméras de surveillance, les médias et le public aient été comparées aux photographies stockées dans la base de données de la Commission électorale et dans e-Vahan, une base de données pan-indienne sur l’immatriculation des véhicules, gérée par le ministère des transports routiers et des autoroutes.

Outre la controverse entourant le programme Aadhaar, le dernier indice de la désinvolture du gouvernement indien à l’égard de la vie privée de ses citoyens a été le contrecoup de l’application de recherche des contacts Aarogya Setu, développée pour suivre la propagation de la pandémie COVID-19. Le gouvernement a d’abord rendu l’application obligatoire, mais les réactions des partis d’opposition et des groupes de la société civile l’ont forcée à faire marche arrière. Les experts en technologie ont critiqué l’application pour sa collecte de données apparemment gratuite et son manque de mesures de protection des données adéquates. Où sont stockées ces données et qui y a accès restent des questions ouvertes.

Ces développements n’augurent rien de bon pour la responsabilité du gouvernement indien en matière de collecte et de protection des données en masse. C’est pourquoi le projet de loi sur la protection de la vie privée est un texte législatif si important. Le DPB est une occasion unique pour l’Inde, un pays qui compte quelque 740 millions d’internautes, de forger un programme novateur qui servira de référence dans le domaine encore en développement de la législation nationale sur la protection des données. Curieusement, il ne sera pas discuté par la commission parlementaire des technologies de l’information présidée par Shashi Tharoor, mais par une commission parlementaire mixte (CPM) de 30 députés, dont 15 du BJP, qui est dirigée par Meenakshi Lekhi. Tharoor a fait valoir que sa commission informatique est chargée d’examiner le BJP, et a qualifié la décision du gouvernement de le renvoyer à la CPM d'”exercice délibéré de sape de la Chambre” qui témoigne d’un “mépris éhonté pour la Commission permanente”. Un débat transparent aura-t-il lieu à la CPM puis au Parlement pour promouvoir la transparence ? Un tel débat ferait à nouveau du Parlement un centre de pouvoir important, après l’annulation de la session d’hiver et l’annulation des heures de questions de la session précédente.

Jaffrelot est chargé de recherche au CERI-Sciences Po/CNRS, Paris, professeur de politique et de sociologie indiennes au King’s India Institute, Londres ; Sharma est étudiante en sciences politiques à l’université de Columbia, New York