À qui s’applique la DPDP Act

La DPDP Act régit le traitement des données personnelles numériques en Inde, ainsi que les traitements effectués en dehors de l’Inde lorsqu’ils sont liés à l’offre de biens ou de services à des personnes se trouvant en Inde. En pratique, si votre site web est accessible aux utilisateurs indiens et que vous y collectez des données personnelles — y compris via des cookies, SDK, pixels ou techniques de fingerprinting — la loi s’applique presque certainement à vous.

La loi définit deux rôles clés : le Data Fiduciary (équivalent du responsable de traitement au sens du GDPR) et le Data Processor. Un petit nombre des plus grands opérateurs peuvent être désignés comme Significant Data Fiduciaries, ce qui déclenche des obligations supplémentaires telles que la réalisation d’analyses d’impact sur la protection des données et la désignation d’un délégué à la protection des données résidant en Inde.

Comment la DPDP Act traite les cookies et traceurs

Contrairement à la directive ePrivacy, la DPDP Act ne distingue pas les cookies comme une catégorie séparée. Elle encadre plutôt tout traitement de données personnelles numériques. Cela signifie que les cookies, identifiants d’appareil, adresses IP, identifiants publicitaires et e‑mails hachés entrent tous dans le champ d’application dès lors qu’ils sont liés — directement ou indirectement — à une personne identifiable.

La conséquence pour les éditeurs est simple : si un cookie ou une balise sur votre site entraîne la collecte ou le partage de données personnelles, vous avez besoin d’une base juridique valable. En vertu de la DPDP Act, cette base est presque toujours le consentement, sous réserve d’un ensemble restreint d’exceptions pour des « utilisations légitimes » définies par la loi.

À quoi ressemble un consentement valable

La DPDP Act fixe un seuil élevé pour le consentement. Celui‑ci doit être libre, spécifique, éclairé, inconditionnel et sans ambiguïté, et s’exprimer par une action positive claire. Les cases précochées, le consentement implicite déduit de la poursuite de la navigation, ainsi que les « murs de cookies » qui conditionnent l’accès à l’acceptation ne sont pas compatibles avec ces exigences.

Deux règles supplémentaires, propres à la DPDP, sont importantes pour l’UX de consentement :

• Information détaillée par élément : Avant ou au moment du recueil du consentement, vous devez fournir à l’utilisateur une information claire identifiant les données collectées, les finalités du traitement et la manière dont il peut retirer son consentement ou déposer une plainte auprès du Data Protection Board of India.
• Langage clair et support multilingue : Les informations doivent être disponibles en anglais et dans toute langue parmi les 22 langues officielles de l’Inde choisie par l’utilisateur. Une CMP incapable d’afficher le contenu de consentement en hindi, tamoul, bengali, marathi et dans d’autres langues majeures aura du mal à se conformer.

Données des enfants et consentement parental

La DPDP Act considère toute personne de moins de 18 ans comme un enfant et exige un consentement parental vérifiable avant tout traitement de ses données personnelles. Elle interdit également le suivi comportemental et la publicité ciblée dirigée vers les enfants. Tout site accessible à des mineurs en Inde — ce qui, en pratique, signifie presque tous les sites — doit mettre en place une stratégie de vérification d’âge ou fondée sur le risque, et être en mesure de bloquer les scripts de suivi en l’absence de consentement parental.

Droits des utilisateurs que votre CMP doit prendre en charge

Les Data Principals (utilisateurs) en Inde disposent d’un ensemble de droits qui doivent être actionnables via votre couche de consentement et de préférences :

• Droit d’accès à un résumé de leurs données personnelles faisant l’objet d’un traitement.
• Droit de rectification et d’effacement de leurs données.
• Droit de retirer leur consentement à tout moment, avec la même facilité que pour le donner.
• Droit de désigner une autre personne pour exercer les droits en cas de décès ou d’incapacité.
• Droit à un recours effectif, d’abord auprès du Data Fiduciary puis auprès du Data Protection Board of India.

Une CMP conforme doit proposer un lien de préférences persistant, permettre le retrait du consentement en un clic et journaliser les événements de consentement de manière à pouvoir les produire sur demande lors d’une enquête.

Transferts transfrontaliers de données

La DPDP Act adopte une approche dite de « liste négative » pour les transferts internationaux : les données personnelles peuvent être transférées en dehors de l’Inde, sauf si le pays de destination est spécifiquement restreint par le gouvernement central. Ce régime est plus permissif que celui d’adéquation du GDPR, mais vous devez tout de même documenter les pays tiers qui reçoivent des données d’utilisateurs indiens et surveiller la liste des restrictions publiée.

Sanctions et application

Les sanctions financières prévues par la DPDP Act sont importantes. Le Data Protection Board peut infliger des amendes allant jusqu’à ₹250 crores (environ 30 millions de dollars US) pour défaut de mise en œuvre de mesures de sécurité raisonnables, et jusqu’à ₹200 crores pour non‑respect des obligations relatives aux enfants. Les manquements liés au consentement — y compris la collecte de consentement via des bandeaux non conformes — sont passibles d’amendes pouvant atteindre ₹50 crores par violation.

Mettre en œuvre un consentement conforme à la DPDP dans votre CMP

1. Géolocaliser les utilisateurs indiens et appliquer un modèle de consentement spécifique à la DPDP plutôt que de réutiliser un bandeau GDPR. Le contenu d’information requis et les options de langue sont différents.
2. Afficher les informations dans plusieurs langues indiennes. À minima, prendre en charge l’hindi et l’anglais, puis ajouter des langues régionales en fonction de la répartition de votre trafic.
3. Bloquer par défaut tous les traceurs non essentiels. Ne charger les publicités, outils d’analytics et SDK tiers qu’après un consentement explicite.
4. Bien séparer les finalités. Ne regroupez pas publicité, analytics et personnalisation dans une seule action « accepter » si un utilisateur peut raisonnablement souhaiter consentir à certaines finalités mais pas à d’autres.
5. Journaliser les consentements et retraits avec horodatage, la version exacte de l’information affichée et la langue choisie par l’utilisateur, afin de pouvoir démontrer votre conformité lors de contrôles réglementaires.
6. Fournir un lien de préférences visible sur chaque page, permettant aux utilisateurs de consulter, mettre à jour ou retirer leur consentement à tout moment.

DPDP vs GDPR : différences pratiques

• Pas de base « intérêts légitimes ». La DPDP Act ne reconnaît pas les intérêts légitimes comme base juridique générale, contrairement au GDPR. Le consentement a donc davantage de poids, et la conception de l’UX devient encore plus déterminante.
• Règles plus strictes pour les enfants. L’âge du consentement numérique est fixé à 18 ans, et non à 13 ou 16 ans, et la publicité ciblée à destination des mineurs est explicitement interdite.
• Exigence d’information multilingue propre à la DPDP Act, qui ne peut pas être satisfaite par un bandeau uniquement en anglais.
• Les obligations des Significant Data Fiduciaries créent un second niveau de conformité pour les opérateurs à haut risque, sans véritable équivalent direct dans le GDPR.

Conclusion

La DPDP Act fait entrer l’Inde dans le paysage moderne de la protection des données, avec ses spécificités : priorité au consentement, multilinguisme par conception et protection des mineurs à un niveau inhabituellement élevé. Les éditeurs et plateformes disposant déjà d’une CMP conforme au GDPR partent avec un avantage, mais ils devront tout de même adapter le contenu des bandeaux, le support linguistique, la gestion de l’âge et la journalisation pour répondre aux exigences de la DPDP. Considérer l’Inde comme « une simple juridiction de plus relevant du GDPR » est le moyen le plus rapide de se retrouver devant le Data Protection Board.