Le Règlement général sur la protection des données est directement applicable dans tout l'Espace économique européen depuis le 25 May 2018. La loi indienne de 2023 sur la protection des données personnelles numériques a reçu l'assentiment présidentiel en août 2023 mais est restée dormante dans l'attente de règles subordonnées. Ces règles, les Digital Personal Data Protection Rules 2025, ont été notifiées le 13 November 2025, déclenchant une entrée en vigueur échelonnée : les dispositions relatives au Data Protection Board ont pris effet immédiatement, les obligations d'enregistrement des Consent Managers suivent au terme d'un an, et les obligations de fond ainsi que les droits des personnes concernées deviennent exécutoires à partir du 13 May 2027 (Ministry of Electronics and Information Technology 2025 ; Shardul Amarchand Mangaldas 2025). Ce qui suit met donc en regard un régime mature, pleinement appliqué, et un régime jeune, juridiquement complet mais encore opérationnellement à l'intérieur de sa fenêtre de mise en conformité. Le statut de la loi est exposé au 6 June 2026, ce qui laisse environ onze mois avant que les obligations de fond et les droits des personnes concernées du DPDP ne deviennent exécutoires le 13 May 2027. Pour un programme qui doit re-fonder le traitement licite sur le consentement, intégrer un Consent Manager et mettre en place un régime des moins de dix-huit ans, onze mois sont un seul horizon de planification, non une marge confortable.
L'ascendance commune, et les trois divergences qui comptent
Les deux lois partagent une ascendance commune. Les rédacteurs indiens ont emprunté au RGPD le vocabulaire de la responsabilité, de la limitation de la finalité, de la minimisation des données et du consentement, et la ressemblance est assez étroite pour qu'une multinationale dotée d'un programme RGPD opérationnel détienne déjà environ soixante-dix pour cent de ce que le DPDP exige. Les trente pour cent restants sont là où se trouvent l'argent et le risque, parce que les divergences sont structurelles et non cosmétiques.
Trois différences dominent tout le reste. Premièrement, le traitement licite : le RGPD offre six bases licites dont le test élastique de mise en balance de l'intérêt légitime, alors que le DPDP ne reconnaît que le consentement et une liste fermée d'usages légitimes énumérés, ne laissant aucun recours général de repli lorsque le consentement est impraticable. Deuxièmement, le catalogue des droits : le RGPD accorde huit droits aux personnes concernées dont la portabilité, l'opposition et la protection contre les décisions exclusivement automatisées, tandis que le DPDP en accorde un ensemble plus restreint et y ajoute un droit idiosyncrasique de nomination. Troisièmement, l'économie de la sanction : le RGPD plafonne les amendes au plus élevé de vingt millions d'euros ou quatre pour cent du chiffre d'affaires annuel mondial et accorde aux particuliers un droit privé à réparation, tandis que le DPDP impose des pénalités pécuniaires fixes pouvant atteindre deux cent cinquante crore de roupies sans lien avec le chiffre d'affaires, sans responsabilité pénale et sans droit d'action privé.
Pour l'organisation soumise aux deux régimes, la leçon pratique est que la conformité au RGPD est nécessaire mais non suffisante. Un programme de niveau RGPD doit être étendu, et non simplement copié, pour absorber l'architecture du consentement d'abord propre au DPDP, son régime de protection des enfants de moins de dix-huit ans, son approche par liste négative des transferts transfrontaliers et sa règle de notification des violations qui ne tolère aucun seuil de risque.
Deux chiffres cadrent les enjeux. Le RGPD gouverne les données personnelles d'environ quatre cent cinquante millions de personnes dans l'Espace économique européen ; le DPDP gouverne celles de près d'un milliard et demi de personnes concernées en Inde, soit environ trois fois plus. Ainsi, bien que le plafond de pénalité par manquement du DPDP soit plus bas et fixe, la charge opérationnelle qu'il impose, le recueil et le retrait du consentement, le traitement des droits et la notification des violations sans seuil, s'exerce à une échelle de population bien plus vaste. Une capacité confortable pour une base d'utilisateurs européenne peut être submergée par une base indienne, et cette capacité doit être bâtie avant que le temps ne s'épuise : les obligations de fond devenant exécutoires à partir du 13 May 2027, soit environ onze mois après la date de rédaction, la fenêtre pour concevoir les chaînes de consentement, de droits et de violations pour plus d'un milliard de personnes concernées est étroite.
Instruments, statut et architecture réglementaire
Le RGPD est un règlement, ce qui signifie qu'il s'applique directement dans chaque État membre sans transposition nationale, bien que les États membres conservent une marge limitée pour légiférer sur des points précis tels que l'âge du consentement numérique et les données relatives à l'emploi. Il est appliqué par un réseau d'Autorités de contrôle nationales indépendantes coordonnées par le Comité européen de la protection des données, le mécanisme de cohérence et le guichet unique résolvant les affaires transfrontalières. La règlementation, les orientations et l'application relèvent ainsi de régulateurs indépendants et, en dernier ressort, des tribunaux et de la Cour de justice de l'Union européenne (notre page cadre RGPD résume brièvement ses obligations, qui elle lie et la source officielle).
L'architecture du DPDP est plus centralisée et plus pilotée par l'exécutif. La loi DPDP est une législation primaire ; le détail opérationnel vit dans les DPDP Rules, que le Gouvernement central édicte et peut amender (notre page cadre DPDP expose brièvement les obligations clés de la loi, qui elle lie et la source officielle). Le Data Protection Board of India est l'organe d'adjudication, mais il est plus restreint qu'une Autorité de contrôle européenne : il enquête sur les violations et impose des pénalités, mais n'émet pas de codes ou d'orientations contraignants, et le pouvoir de règlementation substantiel appartient au Gouvernement central plutôt qu'au Board. Les appels du Board sont portés devant le Telecom Disputes Settlement and Appellate Tribunal. La conséquence de conception est qu'en Inde, l'exécutif politique conserve des leviers (exemptions, restrictions de transfert, amendements de règles) qu'en Europe détiennent des autorités indépendantes ou des tribunaux.
Champ d'application et portée
Le RGPD gouverne les données personnelles traitées en tout ou en partie par des moyens automatisés, et le traitement non automatisé lorsque les données figurent ou sont destinées à figurer dans un système de classement. Il distingue une catégorie particulière de données sensibles au titre de l'article 9 : origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques et biométriques, santé, et vie ou orientation sexuelle, chacune soumise à des conditions renforcées. Le DPDP est plus restreint à un égard et plus plat à un autre. Il ne gouverne que les données personnelles numériques, c'est-à-dire les données sous forme numérisée ou les données collectées sur papier puis numérisées, et il ne règlemente pas les dossiers purement non numériques. De façon décisive, il n'établit aucune distinction légale entre données personnelles ordinaires et sensibles. Il n'existe aucun palier de catégorie particulière ; les dossiers de santé et les historiques d'achats relèvent des mêmes règles de base, une protection supplémentaire n'arrivant qu'indirectement par le mécanisme du Significant Data Fiduciary et les dispositions relatives aux enfants. Pour une organisation soumise aux deux régimes, cette asymétrie joue dans les deux sens : le droit indien n'impose aucune condition de l'article 9, mais un responsable mature conservera généralement ses contrôles RGPD sur les données sensibles à l'échelle mondiale plutôt que de maintenir deux schémas de classification des données.
Les deux lois portent au-delà de leur territoire d'origine. Le RGPD, au titre de l'article 3, s'applique au traitement dans le contexte d'un établissement dans l'Union quel que soit le lieu du traitement, et aux responsables hors de l'Union qui offrent des biens ou des services à des personnes dans l'Union, ou qui suivent leur comportement. Le DPDP, au titre de la section 3, s'applique au traitement de données personnelles numériques en Inde, et au traitement hors de l'Inde lorsqu'il est lié à l'offre de biens ou de services à des personnes concernées en Inde. Le DPDP omet le volet explicite de suivi du comportement du RGPD, de sorte que le profilage pur de résidents indiens sans offre de biens ou de services se situe dans une zone plus grise que son équivalent européen.
| Dimension | RGPD | DPDP |
|---|---|---|
| Forme de données couverte | Automatisée, plus les systèmes de classement manuels structurés | Numérique uniquement (née numérique ou numérisée par la suite) |
| Palier de données sensibles | Oui (catégories particulières de l'article 9) | Aucun palier légal |
| Déclencheur extraterritorial | Établissement ; offre ; suivi du comportement | Offre de biens ou de services à des personnes en Inde |
| Traitement exclu | Purement personnel ou domestique ; répression au titre d'une directive distincte | Personnel ou domestique ; certaines données publiées ; larges exemptions de l'État |
Acteurs et vocabulaire
L'architecture des rôles se transpose assez nettement pour que la traduction soit presque univoque, ce qui aide à la rédaction de politiques bilingues. Le responsable du traitement du RGPD devient le Data Fiduciary du DPDP, un cadrage fondé sur la confiance dont les obligations opérationnelles ressemblent néanmoins à celles d'un responsable. Le sous-traitant du RGPD devient le Data Processor, bien que le DPDP fasse passer la plupart des devoirs du sous-traitant par le contrat du fiduciaire plutôt que d'imposer de nombreux devoirs légaux directs. La personne concernée devient le Data Principal, et pour un enfant, la personne concernée est l'enfant tandis que le consentement est exercé par un parent ou un tuteur légal. L'Autorité de contrôle trouve son analogue dans le Data Protection Board of India, qui adjuge et sanctionne mais n'émet pas d'orientations contraignantes et n'est donc pas un régulateur à spectre complet. Deux rôles du DPDP n'ont aucun équivalent RGPD : le Significant Data Fiduciary, une catégorie désignée par le gouvernement portant des devoirs renforcés, et le Consent Manager, un intermédiaire enregistré spécifique à l'Inde par lequel les personnes concernées accordent, revoient et retirent leur consentement.
Traitement licite : la divergence centrale
C'est là que les deux régimes se séparent le plus lourdement de conséquences. Le RGPD, au titre de l'article 6, prévoit six bases licites : le consentement, l'exécution d'un contrat, le respect d'une obligation légale, la protection des intérêts vitaux, l'exécution d'une mission d'intérêt public, et les intérêts légitimes du responsable ou d'un tiers sous réserve d'un test de mise en balance avec les droits de la personne concernée. La base de l'intérêt légitime est délibérément ouverte ; c'est le cheval de trait qui permet aux organisations de traiter des données pour la prévention de la fraude, la sécurité des réseaux, le marketing direct et l'administration intragroupe sans chercher le consentement pour chaque opération.
Le DPDP ne reconnaît que deux voies vers la licéité : le consentement au titre de la section 6 et une liste fermée de certains usages légitimes au titre de la section 7. La liste des usages légitimes est énumérée et finie : la fourniture volontaire de données par la personne concernée pour une finalité spécifiée, les fonctions de l'État et la fourniture de subventions ou de services, le respect de la loi ou des décisions de justice, les urgences médicales, les finalités liées à l'emploi, et les situations de catastrophe ou d'ordre public, parmi quelques autres. Il n'existe aucun test résiduel de mise en balance. Si une activité de traitement ne correspond à aucun élément de la liste, la seule voie licite est le consentement. C'est la différence opérationnelle la plus importante pour une multinationale, parce que des flux de données que l'Europe gère confortablement sous l'intérêt légitime, par exemple une analytique étendue, l'enrichissement marketing ou le reporting transfrontalier de groupe, peuvent exiger une architecture de consentement explicite en Inde.
La norme du consentement elle-même est similaire sur le papier. Les deux exigent que le consentement soit libre, spécifique, éclairé, univoque et signalé par un acte positif clair, et les deux exigent que le retrait soit aussi aisé que l'octroi. Le DPDP superpose deux caractéristiques spécifiques à l'Inde. Premièrement, l'avis qui accompagne une demande de consentement doit être détaillé et, sur demande, disponible en anglais ou dans l'une des langues de la huitième annexe de la Constitution. Deuxièmement, le consentement peut être médiatisé par un Consent Manager, une plateforme enregistrée qui donne aux personnes concernées un tableau de bord unique pour accorder et révoquer des permissions auprès de plusieurs fiduciaires, une construction institutionnelle sans équivalent RGPD.
La conformité au RGPD est nécessaire mais non suffisante. Un programme de niveau RGPD doit être étendu, et non simplement copié, pour absorber l'architecture du consentement d'abord propre au DPDP.
Droits, obligations et enfants
Le RGPD confère un large éventail de droits : accès, rectification, effacement, limitation du traitement, portabilité des données, opposition y compris au marketing direct, et le droit de ne pas faire l'objet d'une décision exclusivement automatisée produisant des effets juridiques ou similairement significatifs au titre de l'article 22. Le DPDP confère un ensemble plus restreint : l'accès à un résumé des données personnelles et du traitement, la correction et l'effacement, le règlement des griefs, et un droit distinctif de nomination qui permet à une personne concernée de désigner un autre individu pour exercer ses droits en cas de décès ou d'incapacité. Les manques comptent. Le DPDP ne contient aucun droit autonome à la portabilité des données, aucun droit général d'opposition, aucun droit de limitation, et aucune protection de type article 22 contre la prise de décision automatisée. À l'inverse, le droit de nomination n'a aucun équivalent européen.
| Droit | RGPD | DPDP |
|---|---|---|
| Accès | Oui (Art 15) | Oui (résumé des données et du traitement) |
| Rectification ou correction | Oui (Art 16) | Oui |
| Effacement | Oui (Art 17) | Oui (au retrait ou à l'achèvement de la finalité) |
| Limitation du traitement | Oui (Art 18) | Non |
| Portabilité des données | Oui (Art 20) | Non |
| Opposition | Oui (Art 21) | Non |
| Garanties sur les décisions automatisées | Oui (Art 22) | Non |
| Règlement des griefs | Via plainte à l'Autorité de contrôle | Oui (droit légal contre le fiduciaire) |
| Nomination | Non | Oui |
Les deux régimes sont bâtis sur la responsabilité, mais ils répartissent différemment les devoirs les plus lourds. Au titre du RGPD, chaque responsable porte un socle de documentation de responsabilité : les registres des activités de traitement au titre de l'article 30 avec une exception pour les petites organisations, la protection des données dès la conception et par défaut au titre de l'article 25, une analyse d'impact relative à la protection des données pour le traitement à haut risque au titre de l'article 35, et des contrats de sous-traitance contraignants au titre de l'article 28. Un délégué à la protection des données est obligatoire au titre de l'article 37 lorsque les activités de base impliquent un suivi systématique à grande échelle ou un traitement à grande échelle de données de catégorie particulière, et les responsables hors de l'Union doivent désigner un représentant dans l'Union au titre de l'article 27. Le DPDP applique un socle universel plus léger et concentre les devoirs lourds sur le Significant Data Fiduciary. Chaque fiduciaire doit mettre en œuvre des garanties de sécurité raisonnables, honorer l'avis et le consentement, effacer les données au retrait ou une fois la finalité servie, et assurer la conformité du sous-traitant par contrat. Seules les entités que le Gouvernement central désigne comme Significant Data Fiduciaries doivent en outre nommer un Data Protection Officer domicilié en Inde, engager un auditeur de données indépendant, et conduire des analyses d'impact et des audits périodiques. Le déclencheur est donc la désignation gouvernementale plutôt que le test de risque auto-évalué du RGPD.
Les deux régimes distinguent les enfants, et ici le DPDP est le plus strict. Le RGPD, au titre de l'article 8, fixe à seize ans l'âge du consentement valide pour les services de la société de l'information, permettant aux États membres de l'abaisser à treize ans au minimum. Le DPDP traite toute personne de moins de dix-huit ans comme un enfant et exige un consentement parental ou de tuteur légal vérifiable avant de traiter les données d'un enfant. Il va plus loin en interdisant le traitement susceptible de causer des effets préjudiciables au bien-être d'un enfant, et en bannissant purement le suivi comportemental, la surveillance comportementale et la publicité ciblée dirigée vers les enfants, sous réserve d'exemptions limitées que le gouvernement peut notifier. Pour un service numérique mondial, c'est une contrainte de conception réelle : une couche d'assurance de l'âge et de consentement parental calibrée sur un seuil européen de treize à seize ans ne satisfera pas la règle indienne des moins de dix-huit ans, et les piles de technologies publicitaires doivent pouvoir désactiver le ciblage comportemental pour les mineurs indiens à l'échelle de la population.
Transferts transfrontaliers : des défauts en miroir
Les modèles de transfert sont presque des images en miroir dans leur posture par défaut. Le RGPD, au chapitre V, part de l'interdiction : les données personnelles ne peuvent quitter l'EEE qu'au titre d'une décision d'adéquation, de garanties appropriées telles que les clauses contractuelles types ou les règles d'entreprise contraignantes, ou d'un ensemble étroit de dérogations. La charge incombe à l'exportateur d'établir un mécanisme de transfert licite, et la jurisprudence Schrems II exige une analyse d'impact du transfert au regard de l'environnement de surveillance du pays de destination. C'est un modèle de liste blanche : interdiction par défaut, autorisé seulement là où un mécanisme est en place.
Le DPDP part de la permission. Les transferts sont autorisés vers tout pays par défaut, et le Gouvernement central peut publier une liste négative restreignant les transferts vers des juridictions spécifiées. C'est un modèle de liste noire : permission par défaut, bloqué seulement là où une destination est nommée. En principe, c'est bien plus permissif, mais deux réserves tempèrent cela. Premièrement, aucune liste négative n'a encore été constituée, de sorte que les contours pratiques restent incertains. Deuxièmement, des règles sectorielles de localisation des données, notamment de la Reserve Bank of India pour les données de paiement, continuent de s'appliquer par-dessus le DPDP et peuvent être plus strictes que le régime général. Pour une multinationale, l'asymétrie est nette : déplacer des données de l'UE vers l'Inde exige un mécanisme documenté au titre de l'article 46, tandis que déplacer des données indiennes vers l'UE n'exige actuellement rien au titre du DPDP lui-même, bien qu'une gouvernance prudente maintienne des garanties contractuelles dans les deux sens.
Notification des violations : le filtre de matérialité manquant
Les deux régimes convergent sur une horloge de soixante-douze heures mais divergent fortement sur le seuil et l'audience. Le RGPD exige une notification à l'Autorité de contrôle sans retard indu et, lorsque c'est faisable, dans les soixante-douze heures de la prise de connaissance, mais seulement lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes ; les personnes concernées ne sont notifiées que lorsque le risque est élevé. Le seuil de risque écarte les incidents triviaux. Les DPDP Rules n'imposent aucun seuil de risque. En prenant connaissance de toute violation de données personnelles, le fiduciaire doit informer sans retard les personnes concernées et doit fournir au Data Protection Board une intimation initiale suivie d'un rapport détaillé dans les soixante-douze heures couvrant la violation, ses circonstances, l'atténuation et l'identité de toute partie responsable (MediaNama 2025 ; Ministry of Electronics and Information Technology 2025). L'absence de filtre de matérialité signifie que les volumes indiens de déclaration de violations s'exerceront à un niveau supérieur à leurs équivalents européens, et face à une population de près d'un milliard et demi de personnes concernées, la machinerie de notification doit s'adapter en conséquence. Les procédures de réponse aux incidents calibrées sur le seuil de risque du RGPD doivent être réécrites pour notifier chaque violation qualifiante à la fois au Board et aux personnes concernées.
| Aspect | RGPD | DPDP |
|---|---|---|
| Notification à l'autorité | Dans les 72 heures, si risque pour les droits | Intimation initiale, puis rapport détaillé dans les 72 heures, sans seuil |
| Notification aux personnes | Seulement si risque élevé | Toujours, sans retard |
| Filtre de matérialité | Oui (fondé sur le risque) | Aucun |
Économie de la sanction
L'économie de la sanction diffère en nature, et non seulement en degré. Les amendes administratives du RGPD vont jusqu'à dix millions d'euros ou deux pour cent du chiffre d'affaires annuel mondial pour le palier inférieur, et jusqu'à vingt millions d'euros ou quatre pour cent du chiffre d'affaires annuel mondial pour le palier supérieur, le montant le plus élevé étant retenu. Le lien avec le chiffre d'affaires échelonne la dissuasion sur la taille de l'entreprise. Le RGPD crée aussi un droit privé : les personnes concernées peuvent demander réparation du dommage matériel et moral au titre de l'article 82, et peuvent déposer des plaintes et exercer des recours judiciaires. Le DPDP impose des pénalités pécuniaires fixes décorrélées du chiffre d'affaires, fixées par référence à des annexes et plafonnées par manquement : jusqu'à deux cent cinquante crore de roupies pour le défaut de garanties de sécurité raisonnables, jusqu'à deux cents crore de roupies pour les manquements à la notification des violations ou aux obligations relatives aux données des enfants, et des plafonds inférieurs pour d'autres défauts. Il n'existe aucune responsabilité pénale au titre du DPDP et, surtout, aucun droit d'action privé et aucune réparation légale aux particuliers ; l'application passe par le Data Protection Board, les pénalités étant versées à l'État. Le DPDP introduit aussi des pénalités sur les personnes concernées pour le dépôt de plaintes fausses ou frivoles, ce qui n'a aucun équivalent RGPD. L'effet net est que, pour une très grande entreprise, le plafond fondé sur le chiffre d'affaires du RGPD peut éclipser le plafond fixe du DPDP, tandis que pour la même entreprise, le DPDP supprime l'exposition à l'action collective et au contentieux individuel qui ombrage la conformité au RGPD en Europe.
Exemptions
Le RGPD garde les exemptions étroites et encadrées par des règles. L'article 23 permet au droit d'un État membre de restreindre les droits seulement lorsque c'est nécessaire et proportionné pour des objectifs d'intérêt public énumérés, et il existe des dérogations spécifiques pour le journalisme, l'expression académique, artistique et littéraire, et pour la recherche et l'archivage sous réserve de garanties. Le DPDP accorde des exemptions plus larges et plus contrôlées par l'exécutif. La section 17 permet au Gouvernement central d'exempter les instruments de l'État de la plupart de la loi dans l'intérêt de la souveraineté, de la sécurité, de l'ordre public et des relations amicales, et prévoit des exemptions pour le traitement nécessaire à la recherche, à l'archivage ou à des fins statistiques, pour certaines jeunes pousses par notification, et pour l'exercice de droits légaux. La largeur des exemptions tournées vers l'État, et le fait qu'elles soient conférées et bornées par l'exécutif plutôt que par une autorité indépendante ou un tribunal, est l'une des caractéristiques les plus débattues du régime indien et un thème récurrent du commentaire de la société civile (Internet Freedom Foundation 2025).
Quels contrôles un programme à double régime doit ajouter
Pour une organisation à l'intérieur des deux régimes, le modèle opérationnel est la convergence avec une divergence délibérée. L'architecture pragmatique consiste à exécuter un socle mondial unique de niveau RGPD et à y greffer des modules spécifiques à l'Inde plutôt que de maintenir deux programmes indépendants. Les actifs RGPD réutilisables sont substantiels : les registres de traitement, les contrôles de sécurité et de réponse aux violations, l'outillage des droits des personnes concernées pour l'accès, la correction et l'effacement, les modèles de contractualisation des sous-traitants et la discipline de la protection des données dès la conception se transfèrent tous au DPDP avec une adaptation mineure. Les ajouts spécifiques à l'Inde sont là où l'effort se concentre, et ce sont précisément les contrôles qu'un programme RGPD seul n'aura pas à la date d'application du 13 May 2027 : une conception de base licite axée sur le consentement d'abord qui ne s'appuie pas sur l'intérêt légitime ; l'intégration avec ou la préparation à un Consent Manager ; un régime des enfants de moins de dix-huit ans avec consentement parental vérifiable et suppression de la publicité comportementale ; un flux de nomination ; un processus de violation qui notifie chaque incident qualifiant sans seuil de risque ; et une veille sur la liste négative transfrontalière du gouvernement et les règles sectorielles de localisation. À l'inverse, l'organisation ne peut retirer aucune machinerie RGPD, car l'ensemble plus restreint de droits et le modèle de transfert permissif du DPDP ne relâchent pas les devoirs européens.
Ce que change l'outillage de CCI
Un programme à double régime échoue le plus souvent non sur la politique mais sur le fait de ne pas savoir, en termes de preuve, où se trouvent les données personnelles, sur quelle base licite repose chaque flux, et ce que coûterait un événement d'application. Les primitives de CCI attaquent exactement ces lacunes, et chaque affirmation ci-dessous est une réduction de probabilité appuyée par un produit existant plutôt qu'une garantie.
NetDiagramer cartographie le patrimoine de données réel, les flux entre systèmes et les juridictions que chaque flux traverse. Pour le problème du transfert, c'est fondateur : vous ne pouvez pas appliquer la liste blanche des mécanismes de l'article 46 du RGPD ni surveiller la liste noire du DPDP si vous ne pouvez pas voir quels flux quittent l'EEE ou atterrissent en Inde. La même topologie fait apparaître chaque flux qui s'appuie actuellement sur l'intérêt légitime, qui est précisément la population qui doit être re-fondée sur le consentement avant que le DPDP ne morde.
EviGen transforme la responsabilité d'un exercice de documentation en preuve automatisée. Les registres de traitement au titre de l'article 30, les registres de consentement, et les artefacts d'analyse d'impact et d'audit qu'un Significant Data Fiduciary doit produire sont générés et tenus à jour à partir du patrimoine vivant plutôt que reconstitués à partir de tableurs au moment de l'audit. Une seule chaîne de preuve sert à la fois le devoir européen de registres et les devoirs indiens de responsabilité et d'audit.
Evidence Vault donne au processus de violation la chronologie infalsifiable dont il a besoin pour survivre à la règle sans seuil du DPDP. Quand chaque incident qualifiant doit atteindre le Board dans les soixante-douze heures et chaque personne concernée sans retard, la contrainte n'est pas la volonté mais la capacité d'assembler vite un récit défendable de ce qui s'est passé, quand et envers qui. Le même coffre satisfait la conservation des registres des articles 33 et 34 du RGPD.
cVaR chiffre en argent l'économie divergente de la sanction. Il quantifie l'exposition sous les deux plafonds, le quatre pour cent lié au chiffre d'affaires du RGPD et les deux cent cinquante crore fixes par manquement du DPDP, de sorte qu'un conseil voit sa surface de pénalité à double régime comme un seul chiffre plutôt que comme deux abstractions juridiques, et peut classer la remédiation par réduction de perte attendue.
Domain Separation garde les patrimoines de données européen et indien logiquement séparables, de sorte que les exigences de localisation, une future liste négative et les régimes de base licite différents peuvent être appliqués par juridiction sans forker tout le programme en deux. C'est le contrôle qui rend la convergence avec divergence délibérée opérable plutôt qu'aspirationnelle.
Mettre debout à temps le double mandat
Les obligations de fond du DPDP atterrissent le 13 May 2027. Depuis la date de rédaction, cela fait environ onze mois, ce qui se lit comme lointain et ne l'est pas : une ré-architecture axée sur le consentement d'abord, une intégration de Consent Manager et un régime des moins de dix-huit ans sont des programmes pluri-trimestriels, et ils s'exécutent en série plus souvent qu'en parallèle parce que chacun dépend d'une vue claire du patrimoine de données que la plupart des organisations n'ont pas encore. En comptant à rebours depuis mai 2027, le travail de découverte et de cartographie des données doit commencer ce trimestre pour que les phases de construction, de test et d'audit tiennent avant l'application. Là où une organisation a besoin d'un leadership senior de la confidentialité pour piloter cette construction sans ajouter d'effectif permanent, le CISO-as-a-Service de CCI offre un vivier de huit praticiens certifiés CISSP ou plus pour une couverture intérimaire, fractionnée, à la demande ou post-incident, l'indépendance étant préservée puisque CCI n'audite pas là où il dirige. Ce vivier n'est pas seulement européen : CCI dispose de praticiens certifiés CISSP basés en Inde, des spécialistes seniors de la confidentialité des données qui connaissent le DPDP, le modèle du Consent Manager et les obligations linguistiques de la huitième annexe de l'intérieur. Cela compte en pratique, car un Significant Data Fiduciary doit nommer un Data Protection Officer domicilié en Inde, et un responsable local de la confidentialité raccourcit aussi la distance au conseil juridique indien, au Data Protection Board et aux réalités du consentement à l'échelle nationale.
L'autre lacune récurrente est fondatrice plutôt que juridique : la plupart des organisations ne peuvent pas dire, en preuve, où se trouvent réellement leurs données personnelles. Les spécialistes de l'inventaire des données de CCI cartographient exactement cela sur les patrimoines hérités, les données chaudes dans les systèmes vivants et les données froides dans les archives et les sauvegardes, les dossiers structurés dans les bases de données et l'éparpillement non structuré bien plus difficile dans les documents, les boîtes mail, les partages de fichiers et les magasins d'objets. Cet inventaire est la condition préalable de tout ce qui vient ensuite, la re-fondation du consentement, les flux de droits et d'effacement, la vue des transferts transfrontaliers et l'évaluation de la portée des violations, dont aucun ne peut être de confiance si la carte du patrimoine est incomplète. Là où la lacune est un outillage sur mesure, l'équipe interne de recherche et développement, les universitaires, chercheurs de niveau doctoral et ingénieurs qui ont construit NetDiagramer, EviGen, cVaR et DORA-MAST, peut composer ces primitives, l'ingestion d'inventaire, la preuve de configuration, la cartographie de topologie et la quantification, en un outil rapide de préparation à double régime. Cela est énoncé comme une capacité, avec les produits livrés pour preuve, et non comme une promesse au chronomètre. Pour cadrer une évaluation de préparation à double régime, parlez à un praticien.
Matrice maîtresse côte à côte
| Dimension | RGPD | DPDP |
|---|---|---|
| Instrument | Règlement (UE) 2016/679 | DPDP Act 2023 + DPDP Rules 2025 |
| En vigueur | 25 May 2018 | Échelonné ; obligations de fond à partir du 13 May 2027 |
| Données couvertes | Automatisées et manuelles structurées ; palier sensible | Numérique uniquement ; aucun palier sensible |
| Déclencheur extraterritorial | Établissement ; offre ; suivi | Offre de biens ou de services à des personnes en Inde |
| Bases licites | Six, dont l'intérêt légitime | Consentement plus liste fermée d'usages légitimes |
| Régime des données sensibles | Catégories particulières de l'article 9 | Aucun (indirect via SDF et enfants) |
| Âge des enfants | 16 (les États membres peuvent abaisser à 13) | Moins de 18 ans ; interdiction de la publicité comportementale |
| Droits | Huit, dont portabilité, opposition, Art 22 | Accès, correction, effacement, griefs, nomination |
| Délégué à la protection des données | Obligatoire selon le risque | Significant Data Fiduciaries seulement ; basé en Inde |
| Modèle transfrontalier | Liste blanche (interdiction par défaut) | Liste noire (permission par défaut) |
| Avis de violation | 72h à l'AC si risque ; personnes si risque élevé | 72h au Board plus toutes les personnes concernées, sans seuil |
| Pénalité maximale | 20 M EUR ou 4% du chiffre d'affaires mondial | 250 crore INR par manquement, sans lien avec le chiffre d'affaires |
| Droit d'action privé | Oui (Art 82) | Aucun |
| Régulateur | Autorités de contrôle indépendantes | Data Protection Board (adjudication seule) |
| Règlementation | CEPD, Commission, Autorités de contrôle | Gouvernement central |
Acronymes
| Acronyme | Forme développée (anglais) | Traduction française |
|---|---|---|
| BCR | Binding Corporate Rules | Règles d'entreprise contraignantes |
| CJEU | Court of Justice of the European Union | Cour de justice de l'Union européenne |
| DPDP | Digital Personal Data Protection | Protection des données personnelles numériques |
| DPIA | Data Protection Impact Assessment | Analyse d'impact relative à la protection des données |
| DPO | Data Protection Officer | Délégué à la protection des données |
| EDPB | European Data Protection Board | Comité européen de la protection des données |
| EEA | European Economic Area | Espace économique européen |
| GDPR | General Data Protection Regulation | Règlement général sur la protection des données |
| MeitY | Ministry of Electronics and Information Technology (India) | Ministère de l'électronique et des technologies de l'information (Inde) |
| RBI | Reserve Bank of India | Banque de réserve de l'Inde |
| SA | Supervisory Authority | Autorité de contrôle |
| SCC | Standard Contractual Clauses | Clauses contractuelles types |
| SDF | Significant Data Fiduciary | Fiduciaire de données significatif |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | Tribunal de règlement et d'appel des litiges de télécommunications |
References
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html