La structure du DPDPA en 2026

Le DPDPA est une loi autonome de protection des données, distincte des lois sectorielles indiennes sur les banques, les télécommunications et la santé. Son déploiement a été délibérément progressif afin que l'écosystème des Gestionnaires de consentement, la DPBI et le régime des transferts transfrontaliers puissent chacun entrer en vigueur successivement.

L'adoption en 2023 et le déploiement 2024-2025

Le DPDPA a été adopté par le Parlement en août 2023 et a reçu peu après l'assentiment présidentiel. Le Ministère de l'électronique et des technologies de l'information (MeitY) a consulté sur les règles d'application en 2024, et les règles finales ont été notifiées en 2025 en plusieurs tranches : d'abord le cadre d'enregistrement des Gestionnaires de consentement, puis les procédures relatives aux droits des personnes concernées, puis les notifications de transferts transfrontaliers, puis les seuils des fiduciaires de données significatifs. Au début de 2026, le cadre complet était en vigueur.

Qui est réglementé

Le DPDPA s'applique au traitement des données personnelles numériques de personnes situées en Inde. Il s'applique également de manière extraterritoriale lorsque le traitement est lié à l'offre de biens ou de services à des personnes concernées en Inde. Un éditeur basé aux États-Unis qui sert des utilisateurs indiens via un site localisé, une version en langue indienne ou un inventaire programmatique acheté sur des adresses IP indiennes est dans le champ d'application. Cette portée extraterritoriale est sans ambiguïté dans la loi et a été confirmée dans les premières orientations de la DPBI.

Le décalage terminologique

Le DPDPA utilise son propre vocabulaire, qui diffère du GDPR et de la plupart des cadres asiatiques plus récents. Un fiduciaire de données correspond à ce que le GDPR appelle un responsable de traitement. Un processeur de données correspond directement au sous-traitant du GDPR. Une personne concernée principale est la personne concernée. Un fiduciaire de données significatif est un responsable de traitement dépassant les seuils de taille ou de sensibilité notifiés par le gouvernement central. Les éditeurs étrangers découvrant le DPDPA pour la première fois font souvent correspondre ces termes incorrectement ; établir une bonne correspondance dès le début évite la confusion ultérieure.

Ce qui compte comme données personnelles

La définition des données personnelles du DPDPA est large et suit étroitement la pratique internationale. Les données personnelles sont toutes données concernant un individu qui est identifiable par ou en relation avec ces données. La DPBI a indiqué dans ses premières orientations que les identifiants en ligne — cookies, identifiants publicitaires, adresses IP, empreintes d'appareils et profils comportementaux — constituent des données personnelles lorsqu'ils peuvent être liés à un individu identifiable directement ou par des moyens raisonnables.

Pas de catégorie sensible, mais des règles pour les fiduciaires de données significatifs

Contrairement au GDPR, au LGPD et au PIPA, le DPDPA ne définit pas formellement une catégorie de données personnelles sensibles. La loi s'appuie plutôt sur la désignation de fiduciaire de données significatif, qui impose des obligations supplémentaires aux responsables de traitement qui traitent des données à grande échelle, traitent des données d'enfants, traitent des données susceptibles d'affecter l'intégrité électorale ou de menacer la sécurité nationale. Le résultat net est similaire aux règles sur les catégories sensibles du GDPR pour les processeurs les plus importants et les plus sensibles, mais l'architecture est différente.

Pourquoi cela importe pour les cookies

Un cookie collectant un identifiant publicitaire ordinaire constitue des données personnelles, mais n'est pas soumis à des obligations renforcées simplement parce qu'il alimente un segment d'audience d'apparence sensible. Mais un éditeur qui atteint le seuil de fiduciaire de données significatif — par exemple une grande plateforme avec des dizaines de millions d'utilisateurs indiens — est soumis à des obligations supplémentaires, notamment un délégué à la protection des données obligatoire, des audits périodiques et des analyses d'impact relatives à la protection des données. Les seuils de taille ont été notifiés en 2025 ; la plupart des plateformes mondiales sont désormais dans le champ d'application.

Le consentement dans le cadre du DPDPA

Le DPDPA place le consentement au centre de son cadre, mais le définit avec un ensemble distinct d'exigences qui ne correspondent pas au consentement du GDPR terme à terme.

La norme de consentement valide

Le consentement au titre du DPDPA doit être :

• Libre — non subordonné à la fourniture d'un service auquel l'utilisateur a autrement droit, et non contraint
• Spécifique — lié à une finalité clairement identifiée, et non à un consentement général
• Éclairé — la personne concernée comprend quelles données sont traitées et à quelles fins
• Inconditionnel — le consentement n'est pas lié à des conditions sans rapport
• Univoque — exprimé par une action affirmative claire, non déduit du silence ou de l'inaction

L'obligation de notice détaillée

Le DPDPA exige une notice au moment du consentement ou avant celui-ci, décrivant les données personnelles à traiter, la finalité du traitement, la manière dont la personne concernée peut exercer ses droits et la manière dont elle peut se plaindre auprès de la Commission. La notice doit être disponible en anglais et dans l'une des 22 langues programmées de l'Inde demandée par la personne concernée.

L'architecture du Gestionnaire de consentement

C'est là que le DPDPA diverge le plus nettement des autres cadres. La loi établit un rôle agréé appelé le Gestionnaire de consentement — une entité tierce enregistrée auprès de la DPBI qui fournit un tableau de bord de consentement interopérable permettant aux personnes concernées d'accorder, de consulter, de gérer et de retirer des consentements auprès de plusieurs fiduciaires de données depuis une interface unique. Les Gestionnaires de consentement doivent être enregistrés auprès de la Commission et doivent satisfaire aux spécifications techniques d'interopérabilité. En pratique, les fiduciaires de données peuvent obtenir le consentement soit directement via leur propre CMP, soit via un Gestionnaire de consentement enregistré, et dans de nombreux cas les personnes concernées choisissent de centraliser leur consentement via un Gestionnaire de consentement plutôt que de gérer séparément la bannière de chaque site.

À quoi ressemble un CMP conforme

Un CMP configuré pour le trafic indien en 2026 devrait présenter :

• Une bannière visible avant le déclenchement de tout cookie ou traceur non essentiel, avec les actions Accepter, Refuser et Personnaliser à égale prépondérance visuelle
• La disponibilité en anglais et dans la langue programmée préférée de l'utilisateur si demandée
• Des options de consentement granulaires par finalité, incluant l'analyse, la publicité, la personnalisation et le transfert transfrontalier
• Un lien clair vers la notice détaillée complète incluant les droits et le canal de plainte de la DPBI
• Un mécanisme permanent et facile à trouver pour retirer le consentement, aussi facile que de le donner
• Une interopérabilité technique avec les Gestionnaires de consentement enregistrés afin que l'état du consentement puisse être synchronisé avec le Gestionnaire de consentement choisi par la personne concernée

Les registres de consentement

Les fiduciaires de données doivent tenir des registres de consentement, incluant qui a consenti, quand, via quelle interface, pour quelle finalité et toute modification ultérieure. La DPBI a mentionné des registres de consentement inadéquats dans plusieurs de ses premières procédures, et des registres de consentement exportables et horodatés constituent l'attente de base.

Les transferts transfrontaliers de données

Le cadre de transfert transfrontalier du DPDPA est l'un des éléments les plus distinctifs du régime indien et diffère significativement du modèle adéquation-plus-garanties utilisé par le GDPR, le PIPA et le KVKK modifié.

Le cadre de notification

Le DPDPA fonctionne sur la base d'une approche par liste négative : les transferts transfrontaliers sont généralement autorisés, sauf si le pays de destination figure sur une liste de juridictions restreintes notifiée par le gouvernement central. C'est l'inverse du modèle d'adéquation du GDPR, qui traite les transferts comme interdits en l'absence d'une décision d'adéquation positive ou de garanties. L'approche du DPDPA est plus permissive en apparence, mais la liste négative peut être étendue à la discrétion du gouvernement, et plusieurs juridictions ont été inscrites sur la liste en 2025 pour des catégories de données spécifiques.

Ce que cela signifie opérationnellement

Pour la plupart des flux de publicité programmatique en 2026, la réponse est que les transferts transfrontaliers vers les principales destinations adtech sont autorisés à condition que le pays de destination ne figure pas sur la liste restreinte. Les éditeurs doivent vérifier la liste notifiée actuelle, conserver la documentation du transfert et de sa finalité, et être prêts à rediriger ou suspendre les flux si une destination est ajoutée. C'est significativement plus simple que la mécanique de transfert GDPR pour la plupart des flux, mais l'exigence de vigilance est réelle.

La localisation sectorielle

Indépendamment du DPDPA, plusieurs régulateurs sectoriels indiens — dont la Reserve Bank of India pour les données financières et le Ministère de la Santé pour les données de santé — ont leurs propres exigences de localisation qui s'ajoutent au DPDPA. Un éditeur servant des utilisateurs indiens dans l'un de ces secteurs réglementés doit se conformer à la fois au DPDPA et aux règles sectorielles applicables.

Les droits des personnes concernées

Le DPDPA accorde aux personnes concernées un ensemble de droits familier mais légèrement plus étroit que le GDPR :

• Droit d'accès aux données personnelles traitées, incluant les catégories et les sous-traitants
• Droit de rectification, de complétude et de mise à jour des données personnelles
• Droit à l'effacement des données personnelles qui ne sont plus nécessaires à la finalité déclarée
• Droit de désigner une autre personne pour exercer les droits au nom de la personne concernée en cas de décès ou d'incapacité
• Droit au recours en cas de litige auprès du fiduciaire de données
• Droit de se plaindre auprès de la Commission de protection des données si le recours est insatisfaisant

Ce qui ne figure pas dans la liste des droits

Le DPDPA ne comprend notamment pas un droit autonome à la portabilité, un droit général d'opposition au traitement, ni un droit explicite contre la prise de décision automatisée — bien que le régime des fiduciaires de données significatifs et le mécanisme de retrait du consentement couvrent indirectement une grande partie du même terrain.

Les délais de réponse

Les fiduciaires de données doivent répondre aux demandes des personnes concernées dans les délais précisés dans les règles notifiées — qui dans la plupart des cas correspondent à un délai raisonnable ne dépassant pas la fenêtre spécifiée, la DPBI considérant un retard significatif comme un manquement à la conformité. Le système de recours est la première étape ; seuls les recours non résolus sont escaladés à la Commission.

Les fiduciaires de données significatifs

La désignation de fiduciaire de données significatif (SDF) déclenche des obligations supplémentaires au-delà des exigences de base du DPDPA.

Les obligations supplémentaires

• Nomination d'un délégué à la protection des données basé en Inde
• Analyses d'impact relatives à la protection des données périodiques pour les activités de traitement spécifiées
• Audits indépendants périodiques
• Obligations de transparence supplémentaires sur le traitement algorithmique
• Notification des violations et tenue de registres plus strictes

Qui est concerné

La taille, le volume de données personnelles traitées, la sensibilité des données, le risque pour les personnes concernées, l'impact potentiel sur la démocratie électorale, la sécurité et la souveraineté, et l'impact potentiel sur l'ordre public sont tous des facteurs. Le gouvernement central notifie les SDF individuellement ou par classe. La plupart des grandes plateformes mondiales servant l'Inde entrent dans les classes notifiées en 2026.

Les données des enfants

Le DPDPA définit un enfant comme tout individu de moins de 18 ans — un seuil plus élevé que le défaut de 16 ans du GDPR et les différents seuils nationaux inférieurs. Le traitement des données personnelles d'enfants nécessite un consentement parental vérifiable, et le suivi, la publicité ciblée et la surveillance comportementale des enfants sont restreints quel que soit le statut du consentement. Les éditeurs dont le public comprend un trafic significatif de moins de 18 ans ont besoin d'une vérification de l'âge, de flux de consentement parental et d'un traitement restreint pour le segment mineur — tout ce qui nécessite un vrai travail d'ingénierie que peu d'éditeurs étrangers ont effectué par défaut.

Sanctions et exécution

Le DPDPA a introduit un régime de sanctions plus élevé que les amendes administratives indiennes historiques et significativement calibré à la gravité de la violation.

Sanctions administratives

Le DPDPA permet des sanctions allant jusqu'à 250 crore INR (environ 30 millions USD) par violation pour les infractions les plus graves. Des sanctions de moindre niveau s'appliquent aux manquements liés au consentement, aux notifications, à la sécurité, à la notification des violations et au traitement des réclamations. La DPBI a utilisé la plage médiane à plusieurs reprises en 2025 et début 2026, et la structure des sanctions est conçue pour s'aggraver avec les manquements systématiques.

Les thèmes d'application de la DPBI

Les premières décisions de la DPBI se concentrent sur un petit ensemble de problèmes récurrents : des bannières de consentement sans véritable option de refus, des notices ne décrivant pas les canaux de plainte de la DPBI, des flux transfrontaliers vers des destinations figurant sur la liste restreinte, des systèmes de traitement des réclamations qui ne répondent pas réellement, et des défaillances d'interopérabilité des Gestionnaires de consentement. Des éditeurs étrangers ont été cités dans presque toutes ces catégories.

La dimension réputationnelle

La DPBI publie ses décisions publiquement, incluant le nom du fiduciaire et un résumé du manquement. Sur un marché indien où les frictions réglementaires se traduisent rapidement en couverture médiatique et en attention politique, le coût réputationnel d'une décision publiée par la DPBI est significatif en plus de la sanction financière.

Liste de contrôle d'audit pour le trafic indien en 2026

• La bannière CMP est servie avec Accepter, Refuser et Personnaliser à égale prépondérance visuelle
• La notice est disponible en anglais et dans la langue programmée demandée par la personne concernée, le cas échéant
• La notice décrit explicitement le canal de plainte de la DPBI et les droits des personnes concernées
• Les finalités du consentement sont granulaires, avec le transfert transfrontalier comme finalité distincte
• L'interopérabilité technique avec au moins un Gestionnaire de consentement enregistré est en place
• Le retrait du consentement est aussi facile que de le donner et déclenche la suppression en aval et le filtrage d'activation
• Le flux de travail des droits des personnes concernées — accès, rectification, effacement, désignation — est pourvu et documenté
• Le canal de traitement des réclamations est pourvu avec suivi des délais de réponse
• Les destinations de transfert transfrontalier sont examinées par rapport à la liste restreinte actuelle et documentées
• Les obligations de fiduciaire de données significatif — DPO, DPIA, audit — sont en place si le seuil est franchi
• Flux adapté à l'âge pour les utilisateurs de moins de 18 ans, avec consentement parental vérifiable le cas échéant
• Les règles de localisation et de traitement sectorielles sont documentées et respectées si l'éditeur opère dans un secteur réglementé

Les perspectives 2026

Le régime de protection de la vie privée en Inde est passé de l'abstraction législative à la réalité opérationnelle en un peu plus de deux ans. L'architecture du DPDPA est distinctive — l'écosystème des Gestionnaires de consentement est l'expérience mondiale la plus visible en matière de consentement portable et interopérable, et l'approche de transfert par liste négative diffère significativement du modèle adéquation-plus-garanties qui domine les autres cadres. Pour les éditeurs qui utilisent déjà une pile de consentement de niveau GDPR, l'écart jusqu'à la conformité DPDPA est opérationnel plutôt qu'architectural : interopérabilité des Gestionnaires de consentement, notices en langue programmée, divulgations des plaintes à la DPBI, le seuil des moins de 18 ans et la vérification des transferts par liste négative. L'écart peut être comblé en quelques semaines s'il est priorisé. Les éditeurs qui le comblent avant que la DPBI n'arrive à leur porte ne remarqueront pas la transition. Ceux qui attendent trouveront 2026 et 2027 significativement plus coûteux que les années précédentes.