Ces cadres juridiques incluent la Loi sur les Technologies de l’Information (IT Act), les Règles SPDI indiennes et la Politique nationale de cybersécurité, ainsi que d’autres directives sectorielles. Le dernier mandat en date provient du SEBI.
De plus, on retrouve les exigences globales définies par la Loi sur la Protection des Données Personnelles Numériques (DPDP), dont les règles sont à venir, engageant les organisations à la sécurité des données et pouvant leur infliger des amendes sévères.
Les incohérences dans les exigences en matière de certification, d’évaluation des vulnérabilités, de contrôles, d’exigences d’audit et de notification d’incidents compliquent la tâche des entreprises mondiales confrontées aux lois nationales et étrangères, a déclaré Jared Ragland, Directeur Senior – Politique pour l’APAC à BSA – The Software Alliance.
“Pire encore, dans de nombreux pays, y compris les États-Unis, l’Australie et l’Inde, les règles ne sont même pas entièrement cohérentes à l’intérieur d’un seul pays. Nos entreprises, offrant des services dans divers secteurs (énergie, télécommunications, finances), doivent faire face à des incohérences inutiles.”
Le regard occidentalIl a ajouté que des problèmes similaires se retrouvent dans des pays comme les États-Unis et l’Australie, confrontés à “un réseau de règles en matière de cybersécurité.”
“Nous avons discuté de cette question avec le MeitY et le coordinateur national de la cybersécurité. Je pense qu’ils commencent à comprendre nos défis… Où pouvons-nous briser les barrières, réduire les coûts inutiles, car cela ne profite à personne,” a-t-il ajouté.
“Actuellement, une mosaïque d’exigences pousse les gens dans toutes les directions, mais (il n’y a) aucune application stricte. C’est pourquoi nous constatons une multitude de violations de données, sans répit pour les consommateurs, et sans politique nationale de cybersécurité pour nos données et infrastructures,” a affirmé Mishi Choudhary, fondatrice du Software Freedom Law Centre.
“Une législation omnibus est censée être globale pour résoudre tous les problèmes liés à la question. Cependant, par exemple, la loi DPDP ne considère pas les données de santé ou financières de manière distincte, d’où la nécessité pour toutes les institutions d’avoir leurs propres politiques. De plus, ces politiques préexistent à la loi DPDP, qui n’est toujours pas en vigueur avec ses règles,” a-t-elle ajouté.
Bien que la gouvernance sectorielle renforce l’écosystème, les complexités engendrent des coûts de conformité et de la confusion parmi les organisations concernant les exigences de déclaration d’incidents et d’audit. Les experts en politiques et les avocats réclament une harmonisation de ces exigences sous une seule autorité de régulation.
Un focus étatique
“La cybersécurité est clairement une priorité pour le gouvernement, et par conséquent, nous observons une augmentation des mandats juridiques provenant également des régulateurs sectoriels, ce qui est une issue positive,” a déclaré Huzefa Tavawalla, responsable du groupe de pratique des technologies perturbatrices chez Nishith Desai Associates.
“Mais cela a engendré des complexités à certains égards. Par exemple, à qui devez-vous signaler une violation de données et dans quel délai ? Il est donc nécessaire d’harmoniser toutes les lois applicables concernant les exigences de déclaration des violations,” a-t-il précisé.
Il a recommandé que le Conseil de Protection des Données, qui sera constitué en vertu de la loi DPDP, puisse agir comme une autorité de régulation unique pour tous les incidents liés aux données.
“Le paysage réglementaire en matière de cybersécurité en Inde est effectivement complexe, avec plusieurs lois, règlements et directives qui se chevauchent,” a déclaré Kazim Rizvi, directeur fondateur du groupe de réflexion politique The Dialogue, basé à Delhi. “Certaines de ces lois sont entièrement sectorielles. C’est principalement la Loi IT qui est sectoriellement neutre.”
Il a expliqué que les coûts de conformité en matière de cybersécurité ne posent pas problème pour les grandes entreprises, mais pourraient être un défi pour les startups modernes qui peinent à suivre les coûts d’exploitation au quotidien.
“La législation doit être incitative de manière à encourager une approche de ‘sécurité dès la conception’. De plus, une stratégie nationale de cybersécurité pourrait servir de modèle pour une gouvernance coordonnée, favorisant la résilience face aux menaces cybernétiques évolutives,” a ajouté Rizvi, plaidant pour la nécessité d’une autorité réglementaire centralisée de la cybersécurité, qui soutiendrait également les petites et moyennes entreprises.
Bon à savoir
- Une collaboration entre les autorités et les entreprises est essentielle pour faciliter l’application des lois de cybersécurité.
- L’harmonisation des règles pourrait réduire les coûts et simplifier le processus de conformité pour les organisations.
- Les infractions liées aux données sont en augmentation, soulignant l’importance cruciale d’une politique nationale cohérente.
Dans un monde numérique de plus en plus complexe, la nécessité de réglementations claires et harmonisées en matière de cybersécurité se fait ressentir. Les entreprises doivent non seulement s’adapter à des réglementations en constante évolution, mais également anticiper les défis futurs. Comment les réglementations pourraient-elles évoluer pour mieux soutenir les entreprises, tout en protégeant les données des consommateurs ? La discussion est ouverte.
La complexité croissante des lois de cybersécurité reflète notre époque numérique. Une harmonisation serait essentielle pour garantir la sécurité des données et soutenir l’innovation.