Examen du marché

Demo

Les institutions financières sont généralement tenues de se conformer aux cadres juridiques existants en matière d'informatique, de cybersécurité et de confidentialité des données, y compris par le biais d'accords d'externalisation. À cet égard, la RBI a imposé certaines restrictions à la fourniture d'informations sur le crédit des clients par les banques et les prêteurs non bancaires à des entités non réglementées (telles que les sociétés fintech non réglementées) sans le consentement exprès des clients. Il existe également une obligation générale en vertu de la loi sur les technologies de l'information (loi informatique) et des règlements pris en vertu de celle-ci de demander le consentement des personnes concernées avant de collecter et de divulguer leurs données personnelles sensibles.¹

En ce qui concerne le partage obligatoire des données, les institutions en Inde ne sont tenues de partager les informations sur les clients que lorsque la divulgation est requise par un tribunal ou une ordonnance gouvernementale en vertu de la loi. Cependant, pour équilibrer les préoccupations en matière de confidentialité des données avec le besoin croissant du secteur en matière de partage de données ouvertes, la RBI a récemment lancé une nouvelle catégorie de NBFC appelée « agrégateurs de comptes » (AA). Les AA sont des intermédiaires d'accès aux données réglementés qui permettent l'échange sécurisé et basé sur le consentement de données financières via un cadre conforme et indépendant de la technologie avec des organisations de services financiers.¹

La loi sur les technologies de l'information régit les pratiques de protection et de sécurité des données en Inde, en vertu desquelles les "informations personnelles sensibles" sont caractérisées comme des informations personnelles relatives aux mots de passe, aux informations financières, etc. Les entités qui collectent, reçoivent, possèdent ou traitent ces informations personnelles sensibles doivent fournir un politique de confidentialité, et la collecte ou la divulgation d'informations nécessiteront le consentement de l'utilisateur ou de la personne concernée, qui pourra ensuite être révoqué. Le transfert de ces informations à une personne morale ou physique en Inde ou en dehors de l'Inde est autorisé sous certaines conditions.¹

Dans le cadre actuel de protection des données et de confidentialité, une organisation est uniquement tenue d'obtenir le consentement actif de l'utilisateur pour la collecte ou l'utilisation de données, en vertu de laquelle l'organisation peut effectuer un profilage numérique. Cependant, le gouvernement s'emploie à introduire une législation complète sur la confidentialité des données afin d'aligner le régime indien de protection des données sur des normes internationales plus strictes telles que le règlement général sur la protection des données de l'UE. Récemment, la commission parlementaire mixte a publié un rapport sur les modifications proposées au projet de loi PDP et l'a renommé le projet de loi sur la protection des données 2021 (DPB), qui a élargi la portée de la législation proposée pour inclure les données non personnelles. Quelques autres changements clés apportés au DPB incluent la suppression des données non numériques de son champ d'application et l'introduction de restrictions plus strictes sur le transfert de données par un administrateur de données. Une fois que le DPB (sous réserve de modifications ultérieures) sera finalement adopté, les entreprises fintech en Inde pourraient être tenues d'investir des ressources et du temps supplémentaires pour se conformer au nouveau régime.¹

Plateformes fintech étrangères sur le marché indien

Fintech en Inde

Fintech dans d'autres pays

Remarques

1. https://thelawreviews.co.uk/title/the-financial-technology-law-review/india