Il y a quelques jours, le gouvernement a notifié le Règlement de 2025 sur la protection des données personnelles numériques, présenté comme la preuve que l'Inde prend enfin la protection de la vie privée au sérieux. Sur le papier, ce règlement promet des droits des citoyens renforcés, une confiance accrue et une véritable responsabilisation dans l'économie numérique. Cependant, comme le révèlent les petites lignes, le nouveau cadre réglementaire indien en matière de données fait tout autre chose : il confère des pouvoirs étendus à l'État tout en imposant de lourdes contraintes aux journalistes, aux start-ups et aux consommateurs.
Pour un pays qui s'enorgueillit d'être la plus grande démocratie du monde et une superpuissance numérique émergente, cette situation est préoccupante. Sur le papier, le cadre DPDP promet contrôle et consentement. Mais pour des millions d'Indiens, notamment ceux qui comptent sur une presse indépendante et le droit à l'information pour demander des comptes aux puissants, ces règles menacent de réduire la transparence même qui est essentielle à la santé de la démocratie. Deux des plus importants organismes de surveillance des médias du pays, DIGIPUB et la Guilde des rédacteurs en chef de l'Inde, ont tiré la sonnette d'alarme. Leur message est clair : ces nouvelles règles pourraient faire du journalisme lui-même une activité soumise au consentement. Si la collecte d'informations de routine est réinterprétée comme un “ traitement de données ”, les journalistes pourraient avoir besoin du consentement des personnes mêmes qu'ils enquêtent. Ce n'est pas une protection de la vie privée. C'est une muselière. Et les conséquences ne s'arrêtent pas aux portes de la rédaction.
Ces règles affaiblissent le cadre du droit à l'information en limitant la primauté de l'intérêt public, un principe qui permet aux journalistes et aux citoyens d'accéder à des informations sensibles et de les publier lorsque l'intérêt public l'emporte sur le préjudice potentiel causé par leur divulgation. Cette garantie a permis de dénoncer la corruption, de révéler des actes répréhensibles et de renforcer le pouvoir des citoyens ordinaires pendant près de vingt ans. Parallèlement, la règle 23 autorise le gouvernement à exiger des données personnelles de toute plateforme ou entreprise, sans avertir l'utilisateur dont les données sont consultées. Les entreprises ont l'interdiction formelle de vous informer lorsque l'État se présente à votre demande. Ainsi, alors que les citoyens risquent bientôt d'être contraints à des démarches supplémentaires pour accéder à l'information, l'État bénéficie d'un accès privilégié.
Ce déséquilibre a un coût considérable. L'économie numérique indienne prospère grâce à la confiance que les consommateurs accordent aux plateformes pour la protection de leurs informations. Les start-ups innovent car elles ne sont pas engluées dans les formalités administratives. Les journalistes enquêtent en toute liberté car ils peuvent protéger leurs sources. Les militants du droit à l'information posent des questions difficiles car ils savent que la loi les soutient. Avec le nouveau régime, ces piliers sont ébranlés. Les PME et les start-ups sont désormais soumises aux mêmes audits plus rigoureux, aux mêmes évaluations d'impact annuelles et aux mêmes certifications de conformité que les géants mondiaux de la tech. C'est un coup dur pour l'écosystème des start-ups indiennes, déjà fragilisé par les pénuries de financement et les bouleversements réglementaires. Il ne s'agit pas d'une protection, mais d'un obstacle. Lorsque les jeunes entreprises sont contraintes de consacrer leurs maigres ressources à la paperasserie au lieu de développer des produits, l'innovation s'étouffe, et la concurrence et les consommateurs en paient le prix fort.
Pour les journalistes, les chercheurs et les organismes de défense de l'intérêt public, l'effet dissuasif est immédiat. Lorsque la frontière entre le journalisme et le “ traitement des données personnelles ” devient floue, la surconformité devient le choix de la sécurité, et un choix antidémocratique. Il ne s'agit pas de rejeter la protection des données. Les Indiens méritent de meilleures normes de protection de la vie privée, des règles transparentes, des garanties renforcées et une plus grande responsabilité de la part des plateformes qui gèrent nos données. Mais la protection de la vie privée ne doit pas se faire au détriment des institutions qui défendent nos libertés. Une loi qui prétend donner plus de pouvoir aux citoyens tout en restreignant la presse et en limitant la transparence ne protège ni la démocratie ni les consommateurs. Le monde nous montre déjà ce qui arrive lorsque les lois sur les données vont trop loin. Le RGPD européen, malgré ses bonnes intentions, a créé un labyrinthe de conformité qui a pénalisé les petites entreprises et consolidé la domination des géants du numérique.
L'innovation a stagné, les petits acteurs ont souffert et les consommateurs ont été privés de concurrence et de choix. L'Inde risque de reproduire les mêmes erreurs, ce qui pourrait cette fois-ci engendrer une transparence moindre au niveau national et une presse encore plus contrainte de remettre en question l'autorité. Une voie plus judicieuse est possible. Le gouvernement doit instaurer une exemption journalistique explicite afin de protéger les journalistes, les lanceurs d'alerte et les enquêtes d'intérêt public, et rétablir la prérogative d'intérêt public du droit à l'information, qui a longtemps permis aux citoyens de demander des comptes aux puissants.
Il est impératif de veiller à ce que les garanties de protection de la vie privée ne se transforment pas en surveillance accrue ni en accès incontrôlé aux données personnelles. L'Inde a déjà mis en place des infrastructures numériques publiques ambitieuses, telles que l'UPI, CoWIN et DigiLocker. Mais le succès de ces systèmes reposait sur la clarté, l'ouverture et la confiance, et non sur l'opacité, l'incertitude ou le silence face aux préoccupations démocratiques. Un régime de protection des données équitable doit donner aux citoyens les moyens d'agir, et non les intimider. Il doit renforcer leur contrôle sur leurs données personnelles, et non créer des règles qui les incitent à remettre en question les décisions de l'État. Protégeons les consommateurs, et non freinons les innovateurs.
Publié à l'origine ici
