Les anniversaires, lorsqu’ils sont significatifs, ne sont pas des célébrations mécaniques qui se déroulent chaque année, mais incitent à une réflexion plus approfondie. Ce mois-ci marque non seulement 75 ans d’indépendance, mais aussi cinq ans de jugement sur le droit à la vie privée. Le 24 août 2017, la Cour suprême a réaffirmé que la vie privée est un droit fondamental, en la liant à chaque droit fondamental en vertu de la Constitution. Il a prescrit des tests qui sont devenus des qualificatifs juridiques pour assurer un cadre efficace de responsabilité de l’État et des entreprises afin de garantir l’autonomie, la liberté et la dignité de tous les Indiens.
Mais depuis ce verdict, deux tendances évidentes ont compromis la promesse de respect de la vie privée dans le cadre des réformes de la protection et de la surveillance des données. Le premier est la croissance de la numérisation en Inde par le biais de politiques étatiques et d’entreprises privées qui conduisent souvent à une collecte de données aveugle et le second est la résistance institutionnelle à la vie privée. Cela a conduit collectivement à une politique de maximisation des données.
En réponse à la transformation numérique rapide, les pays du Nord ont établi et continuellement redéveloppé des cadres de protection des données. De nombreuses réglementations s’inspirent d’un ensemble commun de principes, notamment la limitation des finalités et la minimisation des données, pour protéger la confidentialité des informations.
Les écarts par rapport à celui-ci, tels que ceux des bacs à sable réglementaires, constituent une exception à la règle. Cela reconnaît que les données personnelles, lorsqu’elles sont collectées et stockées par un État ou une personne morale, exercent un pouvoir sur un individu ou un groupe. Ce point de vue est contesté en Inde. Une valeur commune dans l’exécution des programmes gouvernementaux est de collecter des données personnelles sensibles à travers une gamme d’actions quotidiennes via des systèmes numériques. On peut parler de politique de maximisation des données, remettant en cause les garanties démocratiques.
Un exemple de maximisation des données existe dans la carte d’identité nationale biométrique de l’Inde, Aadhaar, qui, conformément à la loi, est limitée à l’utilisation de la prestation de prestations, de droits et de subventions. Confirmant la validité d’Aadhaar en 2018, la Cour suprême a restreint son utilisation et approuvé les principes de protection des données, y compris la limitation des finalités et la minimisation des données.
Malgré cela, l’utilisation d’Aadhaar a été étendue et est utilisée comme identifiant numérique commun dans les services publics et privés au-delà des objectifs de bien-être. Par exemple, en décembre 2021. Le Parlement a adopté une loi sur l’utilisation d’Aadhaar pour établir l’identité des électeurs en ignorant les risques de suppression et de profilage des électeurs. Cet amendement est maintenant en cours d’opérationnalisation avec des agents au niveau du bloc de la Commission électorale qui entreprennent une collecte porte-à-porte de numéros Aadhaar et la relient aux listes électorales. Dans le secteur privé, son utilisation est répandue pour satisfaire aux normes de « connaître son client » (KYC), des entreprises fintech de la nouvelle ère aux services matrimoniaux en ligne.
Une telle expansion de l’utilisation ouvre la voie à la prolifération des bases de données et des plates-formes numériques en Inde. Pour les agriculteurs, il y a un AgriStack, pour les travailleurs non syndiqués, le portail e-SHRAM, dans le domaine de la santé, l’Aarogya Setu (une application de recherche de contacts qui a subi un glissement de fonction) et Ayushman Bharat Digital Health Mission (ABHA), et pour les écoliers et les enseignants , une NDEAR (Architecture Nationale de l’Éducation Numérique). Ces bases de données numériques n’ont pas de législation d’ancrage mais ont développé des cadres dans des documents politiques accessibles au public. Ils plaident pour un traitement et un stockage accrus des données à des fins publiques et privées. Toutes les protections de la vie privée qui en découlent – même lorsque la pression publique est exercée – restent un mirage car elles n’ont pas force de loi. Par exemple, il y a une irresponsabilité totale sur tous les problèmes liés aux données pour Aarogya Setu.
En plus des cadres spécifiques aux bases de données, il existe des politiques d’unification des données telles que l’architecture d’autonomisation et de protection des données (DEPA) qui préconisent de « casser les silos de données ». La DEPA est soutenue par des politiques encourageant une combinaison de données personnelles entre bases de données.
Il comprend India Digital Ecosystem Architecture (InDEA), qui est en cours de mise à jour et le projet de politique indienne d’accès aux données ouvertes pour le libre partage des données au sein du gouvernement et son enrichissement, sa valorisation et sa concession de licences au secteur privé. Une caractéristique notable des cadres d’unification est l’accent mis sur l’innovation et la croissance qui seront stimulées par une plus grande collecte de données via des plateformes numériques individuelles, qui devront ensuite être combinées pour fournir un profil complet d’un individu. Une unification supplémentaire des données existe dans le cadre de programmes de sécurité numérique tels que le Crime and Criminal Tracking Network System (CCTNS) qui conduit à un profilage à 360 degrés.
Ici, l’absence de loi sur la protection des données a été rendue quasi permanente par le retrait du projet de loi sur la protection des données personnelles, 2019 au Parlement. Au contraire, les impératifs commerciaux du traitement sans but et de sa concession au secteur privé sont promus.
Prenons cet exemple tiré de l’Étude économique 2019 — « Les gouvernements détiennent déjà un riche référentiel de… données sur les citoyens… La fusion de ces ensembles de données distincts générerait de multiples avantages, les applications étant illimitées… Le secteur privé peut avoir accès à certaines bases de données à des fins commerciales. .” Les données sur les véhicules dans les bases de données Vahan et Saarthi ont été autorisées pour ₹3 crores par an. La politique n’a été retirée qu’après que des informations aient révélé que les données avaient été utilisées lors d’une émeute communautaire pour identifier des personnes par religion, sur la base de véhicules garés devant leurs maisons. Plus récemment, l’IRCTC a lancé un appel d’offres pour explorer comment les données de réservation de train, y compris les éventuelles données personnelles des passagers, peuvent être monétisées.
Ici, de puissantes incitations de l’État et du secteur privé existent en l’absence de toute réglementation légale. Son impact va au-delà du développement réglementaire autour de la protection des données, comme la conservation des données ou les mandats de localisation, sur les droits individuels et les relations de pouvoir dans une démocratie constitutionnelle.
En effet, l’Inde a adopté un cocktail politique autoritaire, mêlant welfarisme de surveillance et capitalisme. Cinq ans après Puttaswamy, l’Inde n’a pas simplement échoué à mettre en œuvre le droit à la vie privée, mais a compromis ses principes fondamentaux.
Apar Gupta est avocat et directeur exécutif, Internet Freedom Foundation
Les opinions exprimées sont personnelles
