Les dangers du projet de loi sur la protection des données personnelles numériques, 2023, je veux dire ce que je dis

Celle de la Cour suprême Puttuswamy Le jugement a été limpide en affirmant le droit du citoyen à la vie privée en tant que droit fondamental. Depuis le jugement, nous avons désespérément besoin d’une loi transparente et complète pour la protection des données personnelles et la protection de ce droit fondamental. Le projet de loi sur la protection des données numériques, 2023, menace cependant de saper les droits mêmes qu’il devrait idéalement chercher à protéger.

Le projet de loi DDP rejoint malheureusement la multitude de lois qui témoignent de l’intensification de la répression du gouvernement contre la liberté d’expression – tout comme les règles informatiques de 2021, qui avaient permis un plus grand contrôle gouvernemental sur le contenu en ligne et menaçaient d’affaiblir le cryptage, ainsi que la liberté d’expression en ligne . J’avais sonné l’alarme à ce sujet lorsque je présidais la commission parlementaire sur l’informatique. Le projet de loi actuel emboîte le pas et accorde des pouvoirs étendus et injustifiés au gouvernement.

Le projet de loi établit un Conseil de protection des données de l’Inde, qui est conçu pour être à la merci du gouvernement central, puisque tous les hauts fonctionnaires du conseil seront nommés par le gouvernement conformément au projet de loi. Cela en soi nie l’idée de l’impératif d’autonomie dans un cadre approprié de protection des données. La situation s’aggrave : l’immunité contre les poursuites judiciaires est étendue au gouvernement, au conseil d’administration, à son président et à ses membres. Le manque d’indépendance du Conseil, combiné à son impunité et à l’absence d’une autorité de régulation indépendante, viole l’intention déclarée de sa proposition de création et le dépouille du peu de crédibilité qu’il aurait pu avoir. Il y a un certain soulagement que l’autorité d’appel en vertu du projet de loi est le Tribunal de règlement des différends et d’appel des télécommunications (TDSAT), qui comprend un membre judiciaire. Mais cela peut ne pas suffire ; car les appels porteront souvent sur le droit au respect de la vie privée, qui devra être adressé à la Haute Cour plutôt qu’au TDSAT, qui est principalement destiné à statuer sur les litiges entre les opérateurs de télécommunications et TRAI ou le Département des télécommunications.

Le projet de loi habilite le gouvernement à exempter le traitement par les agences gouvernementales de tout ou partie des dispositions, dans «l’intérêt de la souveraineté et de l’intégrité de l’Inde, de la sécurité de l’État, des relations amicales avec les États étrangers, [or] maintien de l’ordre public. » Ce sont des termes élastiques qui peuvent être interprétés de manière très lâche. Aucun des droits des titulaires de données et des obligations des fiduciaires de données (à l’exception de la sécurité des données) ne s’appliquera dans certains cas tels que le traitement pour la prévention, la recherche et la poursuite d’infractions. Le projet de loi ne prend pas la peine de préciser les limites des définitions de ces motifs vagues, des termes dont le gouvernement peut facilement abuser pour violer la liberté d’expression et les garanties d’une procédure régulière.

En utilisant ces exemptions, une agence gouvernementale peut collecter des données sur ses citoyens pour créer un profil à 360 degrés pour la surveillance, ce qui viole le test de proportionnalité établi dans le Puttuswamy jugement. L’État peut utiliser les données conservées par divers organismes gouvernementaux pour compléter cet objectif, car le projet de loi ne met pas non plus en place de garanties significatives contre une surveillance trop large.

En tant qu’ancien président du Comité des technologies de l’information, dont j’ai été défenestré pour avoir posé trop de questions auxquelles le gouvernement n’a pas voulu répondre, je constate avec regret que le projet de loi ne prévoit aucune surveillance parlementaire. Comparez cela à des démocraties comme le Royaume-Uni, où la loi sur la protection des données prévoit des exemptions similaires pour la sécurité nationale et la défense, mais nécessite l’approbation préalable d’un commissaire judiciaire.

Peut-être le plus dangereux dans ses dangers, ce projet de loi abandonne la Loi de 2005 sur le droit à l’information. C’est ce même gouvernement qui a cherché à vider le cadre du RTI avec l’amendement de 2019, en donnant au gouvernement le contrôle des salaires, des indemnités et autres termes et conditions de service des commissaires à l’information. L’amendement à l’article 8(1)(j) de la Loi RTI donne davantage la priorité à la confidentialité des renseignements personnels par rapport au droit à l’information des citoyens. Le nouvel amendement stipule simplement que tout ce qui concerne les informations personnelles peut être refusé dans une demande RTI. Que ces informations personnelles aient un intérêt public ou qu’elles doivent être mises à la disposition du Parlement n’a plus d’importance.

Pour obliger efficacement les responsables gouvernementaux à rendre des comptes, les gens doivent avoir accès à l’information, y compris à diverses catégories de données personnelles. L’expérience de la loi RTI en Inde a montré que les gens, en particulier les marginalisés, ont besoin d’accéder à des informations granulaires pour obtenir les avantages des régimes gouvernementaux et des programmes de protection sociale. Par exemple, le système PDS reconnaît la nécessité de mettre les détails des détenteurs de cartes de rationnement et les registres des magasins de rationnement dans le domaine public pour permettre un examen public et des audits sociaux du PDS. En l’absence de telles données personnelles accessibles au public, il est impossible pour les bénéficiaires prévus d’accéder à leurs droits et avantages légitimes.

Le gouvernement essaie de justifier ces exemptions par l’écran de fumée du consentement. Cependant, l’article 7 du projet de loi autorise le gouvernement à s’approprier les données pour « certains usages légitimes ». Le traitement des données personnelles peut donc être effectué sans obtenir le consentement éclairé du responsable des données chaque fois que le gouvernement le juge approprié. En plus d’imposer de manière déraisonnable à des personnes peu méfiantes la responsabilité de reconnaître correctement tous les risques pour la vie privée liés à des applications numériques complexes, le consentement présente dans ce cas un faux choix. Un cadre solide de protection des données placera la responsabilité sur les fiduciaires des données quel que soit le niveau de consentement, plutôt que d’imposer aux individus la responsabilité principale.

Regardez cela dans son contexte : l’idée même de Digital India a été de promouvoir une économie de données où les données sont le fondement de toutes les formes de transactions économiques. Chaque projet d’infrastructure numérique, d’Aadhaar, UPI et Digital Locker à CoWIN et Aarogya Setu, a promu cela en fournissant des interfaces de programmation d’applications au secteur privé pour construire une économie de données. En fin de compte, le gouvernement crée une base de données d’informations identifiables qui peuvent être interconnectées, sans aucune garantie vérifiable pour empêcher le profilage des citoyens.

Même après avoir quitté le Comité parlementaire permanent sur l’informatique, j’avais parlé avec le ministre responsable, Ashwini Vaishnaw, un homme capable pour qui j’ai le plus grand respect, pour l’exhorter à répondre à ces préoccupations. Il a fait un effort consciencieux pour équilibrer le besoin de dispositions qui faciliteront le travail des entrepreneurs numériques et les préoccupations compréhensibles du gouvernement en matière de sécurité. Mais il n’est pas allé assez loin dans le sens de donner la priorité aux intérêts des citoyens et de permettre au gouvernement de prendre un peu de recul par rapport à son pouvoir excessif et à son désir obsessionnel de contrôle.

Je ne doute pas que M. Vaishnaw, comme la plupart d’entre nous, soit convaincu de la pureté de ses propres bonnes intentions. Mais quelles garanties peut-il donner pour un futur gouvernement ? Tout se résume à savoir si nous voulons une loi qui expose potentiellement le pays à de grands dangers, si les fonctionnaires aux intentions malveillantes sont enclins à profiter de tout le langage vague de la loi. Nous devons nous demander : est-ce la « nouvelle Inde » que nous voulons créer ? Une Inde où les citoyens sont potentiellement dupés et dépouillés de leur vie privée par un État orwellien qui espionne ses propres citoyens ?