Loading…
Le DPDPA emprunte largement au GDPR — limitation des finalités, droits des personnes concernées, notification des violations, jusqu'au concept même de délégué à la protection des données. Mais le cadre indien est plus léger, davantage centré sur le consentement, se passe de la base légale des « intérêts légitimes » et utilise des plafonds en crores par infraction plutôt que des amendes en pourcentage du chiffre d'affaires. Si vous servez des personnes concernées indiennes depuis n'importe où dans le monde, vous avez besoin des deux perspectives.
| Dimension | 🇮🇳 DPDPA | 🇪🇺 GDPR |
|---|---|---|
| Instrument juridique | Digital Personal Data Protection Act, 2023 + DPDP Rules 2025 (G.S.R. 846(E)) | Règlement (UE) 2016/679 |
| Date d'entrée en vigueur | Loi : 11 août 2023 ; règles : par phases jusqu'en 2025-2026 | 25 mai 2018 |
| Portée territoriale | Traitement des données personnelles numériques des personnes concernées indiennes — partout dans le monde (article 3) | UE/EEE + extraterritorial au titre de l'art. 3 |
| Bases légales | Consentement OU « certaines utilisations légitimes » (article 7) — définies de manière restrictive | Six bases (art. 6) ; intérêts légitimes largement disponibles |
| Exigences de consentement | Libre, spécifique, éclairé, inconditionnel, univoque — avec un avis clair (article 6) | Donné librement, spécifique, éclairé, univoque — révocable (art. 7) |
| Délégué à la protection des données | Les Significant Data Fiduciaries (SDF) — doivent désigner un DPO en Inde (article 10) | Obligatoire dans certains cas définis (art. 37) |
| Représentant local | Non requis par la loi (mais opérationnellement essentiel pour les échanges avec le Board) | Représentant UE de l'article 27 obligatoire pour les responsables du traitement hors UE |
| Amende maximale (par cas) | 250 crores ₹ (~30 M$ USD) — mesures de sécurité (règle 6) | 20 M€ ou 4 % du chiffre d'affaires mondial (art. 83(5)) |
| Structure de sanctions par paliers | 250 cr ₹ sécurité · 200 cr ₹ notification de violation · 150 cr ₹ données des enfants · 50 cr ₹ autres | Deux paliers : 10 M€/2 % (inférieur) et 20 M€/4 % (supérieur) |
| Notification des violations | Dans les 72 heures au Data Protection Board of India + aux personnes concernées affectées (règle 7) | 72 heures à l'autorité de contrôle (art. 33) + aux personnes concernées en cas de risque élevé (art. 34) |
| Régulateur | Data Protection Board of India (DPBI) | 27 autorités de contrôle des États membres de l'UE + EDPB |
| Données des enfants | Consentement parental vérifiable pour les moins de 18 ans (article 9). Aucun suivi comportemental, aucune publicité ciblée. | Âge de consentement par défaut de 16 ans (les États membres peuvent l'abaisser à 13 ans) |
| Droits des personnes concernées | Accès, rectification, effacement, traitement des réclamations, désignation, retrait du consentement (articles 11 à 14) | 8 droits (art. 15 à 22) y compris la portabilité et l'opposition aux décisions automatisées |
| Droit à la portabilité | Non accordé par le DPDPA | Oui — art. 20 |
| Droit d'opposition aux décisions automatisées | Non accordé par le DPDPA | Oui — art. 22 |
| Transfert transfrontalier | Autorisé sauf si le gouvernement central restreint la destination spécifique (article 16) | Restreint — SCCs/BCR/adéquation requis (chapitre V) |
| Localisation des données | Aucune localisation générale dans la loi ; les règles de la RBI imposent la localisation des données de paiement | Aucune localisation imposée par le GDPR ; certains États membres imposent des règles sectorielles |
| Catégorie de données sensibles | Non explicitement catégorisée (palier unique de données personnelles) | Données de catégorie particulière (art. 9) avec exigence de consentement explicite |
| Équivalent de la DPIA | Obligatoire pour les SDF (article 10(2)) | Obligatoire pour les traitements à haut risque (art. 35) |
| Recours auprès d'une autorité indépendante | Telecom Disputes Settlement and Appellate Tribunal (TDSAT) | Recours judiciaire direct + droit de plainte auprès de la DPA (art. 77 à 79) |
Non — bien qu'il emprunte le vocabulaire du GDPR. Le DPDPA privilégie le consentement avec un ensemble plus restreint d'« utilisations légitimes », omet le droit à la portabilité des données et le droit d'opposition aux décisions automatisées, et utilise des plafonds en crores par infraction plutôt que des amendes en pourcentage du chiffre d'affaires. L'exposition aux sanctions peut tout de même atteindre 500 crores ₹ pour des violations systématiques.
Non — exploitez un seul programme cartographié. Utilisez les exigences plus strictes du GDPR (DPIA, retrait du consentement, violation sous 72 h) comme base de référence, et ajoutez les surcouches propres au DPDPA (notification au Board, DPO en Inde pour les SDF, restrictions sur les données des enfants).
Oui, si vous proposez des biens ou services à des personnes concernées en Inde (article 3(b)). La loi s'applique de manière extraterritoriale, indépendamment de l'emplacement de vos serveurs ou de votre entité.
La loi est en vigueur, mais les règles sont mises en œuvre par phases jusqu'en 2025-2026. Le Data Protection Board est opérationnel. L'application devrait monter en puissance tout au long de 2026 — préparez-vous dès maintenant.
L'Inde est plus stricte : les moins de 18 ans requièrent un consentement parental vérifiable et le suivi comportemental ou la publicité ciblée sont interdits. L'âge de consentement par défaut du GDPR est de 16 ans avec abaissement autorisé à 13 ans, et le suivi comportemental est permis avec consentement et DPIA.
Pas dans la loi, mais en pratique le Data Protection Board of India attend un point de contact désigné, résidant en Inde, pour les Significant Data Fiduciaries. C'est le rôle que joue notre service de représentation en Inde.
Cartographiez les contrôles une fois, conformez-vous deux fois. RegulatoryBridge vous offre un pipeline DSAR unique, un DPO unique, un guide d'intervention en cas de violation unique — couvrant les deux cadres réglementaires.