Loi indienne DPDP : calendrier d'application échelonné

Ne laissez pas les échéances échelonnées de la loi indienne DPDP prendre votre programme de protection des données au dépourvu

Mis à jour le 2026-06-23
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui arrime les échéances échelonnées de la loi indienne DPDP à vos programmes RGPD existants, réduisant les délais de conformité multi-entités de plusieurs mois à quelques semaines.

La loi indienne DPDP se déploie en 5 phases, avec des sanctions pouvant atteindre 250 crores de roupies par infraction. Si vous gérez déjà le RGPD, intégrer l'Inde ne devrait pas vous obliger à repartir de zéro. Priverion arrime les obligations DPDP à votre programme existant en quelques semaines.

Obtenez votre plan de préparation DPDP
Infrastructure conforme à l'ISO 27001 Résidence des données en Suisse 92 % de satisfaction client (enquête T1 2025)

Déjà client de Priverion ? Votre équipe de compte peut activer la couverture de la loi DPDP en un seul appel.

Vous avez bâti un programme de protection des données couvrant le RGPD, peut-être la LGPD, peut-être le CCPA. Voilà que la loi indienne DPDP ajoute une couche supplémentaire.

Elle s'accompagne de son propre cadre de consentement, de subtilités en matière de localisation des données et d'un déploiement échelonné qui rend dangereusement facile le fait de manquer une échéance. Le coût d'une erreur de calendrier ne se limite pas aux amendes pouvant atteindre 250 crores de roupies (~30 M$). C'est le chaos opérationnel dans l'ensemble de vos filiales.

Montant de la sanction selon la loi indienne DPDP, 2023, article 33, annexe (sanction maximale par infraction pour les manquements spécifiés)

250 Cr ₹

Sanction maximale par infraction

Loi DPDP, 2023, annexe

5 phases

Déploiement échelonné de l'application

D'après le texte de loi et le projet de règlement (janvier 2025)

72 h

Délai de notification des violations

Loi DPDP, 2023, article 8(6)

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Pourquoi ce calendrier est différent

Pourquoi le calendrier de conformité à la loi indienne DPDP est particulièrement exigeant pour les organisations multi-entités

Trois caractéristiques structurelles de la loi DPDP la rendent plus difficile à piloter que toute réglementation à date d'application unique, surtout lorsque vous gérez déjà la conformité au RGPD, à la nLPD ou à la LGPD.

Application échelonnée

Pas de date de mise en service unique : seulement une vague d'échéances qui défile

Contrairement au big bang du RGPD du 25.05.2018, la loi DPDP délègue le calendrier d'application au gouvernement central, qui active les dispositions par voie de notifications distinctes. Les Significant Data Fiduciaries se voient imposer des obligations plusieurs mois avant les fiduciaires généraux. Si vous gérez plusieurs entités indiennes aux classifications différentes, vous suivez plusieurs horloges de conformité en parallèle, chacune avec ses propres points de départ et ses propres exigences.

Résultat : un avionneur s'appuie sur le tableau de bord multi-entités de Priverion pour suivre les échéances propres à chaque juridiction dans toutes ses filiales depuis une seule vue, sans aucune acrobatie sur tableur.

Avionneur, six premiers mois de déploiement

Structure des sanctions

Jusqu'à 250 crores de roupies par infraction, sans plafond lié au chiffre d'affaires

Le RGPD plafonne les amendes à 4 % du chiffre d'affaires annuel mondial. La loi DPDP applique des sanctions forfaitaires par infraction, pouvant atteindre 250 crores de roupies (~30 millions de dollars US) par infraction. Pour un groupe comptant plusieurs entités fiduciaires en Inde, une seule lacune de conformité répliquée dans les filiales multiplie l'exposition. Le déploiement échelonné crée un faux sentiment de sécurité : les organisations qui attendent le règlement définitif avant d'agir devront composer avec une fenêtre de mise en œuvre comprimée, irréaliste sur le plan opérationnel pour des structures de groupe complexes.

Résultat : un établissement de santé a atteint une couverture de 100 % de l'évaluation des risques fournisseurs grâce à Priverion, et le même flux de travail s'étend désormais aux obligations relatives aux tiers prévues par la loi DPDP.

Établissement de santé, résultat client vérifié

Recoupement des cadres

Les obligations DPDP s'arriment à votre programme RGPD existant, mais n'en sont pas le miroir

La loi DPDP emprunte des concepts au RGPD (consentement, AIPD, notification des violations sous 72 heures) mais les met en œuvre différemment. Le cadre indien du consentement exige un Consent Manager (un intermédiaire enregistré), et pas seulement une plateforme de gestion du consentement. Les transferts transfrontaliers reposent sur un modèle de liste négative, et non sur des décisions d'adéquation. Le traitement des données des enfants exige un consentement parental vérifiable, sans porte de sortie par « intérêt légitime ». Superposer ces éléments à un programme existant sans dupliquer les efforts requiert une plateforme qui maîtrise la cartographie multi-cadres, et pas une simple conformité à cocher.

Résultat : une entreprise de technologie médicale a économisé plus de 200 heures de préparation à la certification ISO 27001 en réutilisant ses artefacts de conformité d'un cadre à l'autre, la même approche que Priverion applique à la superposition de la loi DPDP.

Entreprise de technologie médicale, résultat client vérifié

200+

Heures économisées sur la gestion du registre des traitements

Une entreprise de technologie médicale a récupéré plus de 200 heures lors de sa préparation à la certification ISO 27001 en remplaçant le suivi manuel du registre des traitements par des flux de recertification automatisés.

60 %

Coût inférieur à OneTrust

Un avionneur a obtenu une couverture de conformité complète à l'échelle du groupe pour une fraction du tarif des plateformes d'entreprise, sans pièges d'expansion par utilisateur ou par module.

3 mois

D'avance sur le calendrier ISO 27001

Une entreprise de technologie médicale a accéléré de trois mois son calendrier de certification ISO 27001 grâce aux dossiers de preuves prêts pour l'audit et à la documentation automatisée de Priverion.

Ce que disent nos clients

La confiance des équipes de protection des données qui pilotent la conformité multi-juridictionnelle

« Nous avons évalué OneTrust et deux autres plateformes. Priverion était la seule à comprendre la gestion de la protection des données multi-entités dès le premier jour. Nous étions pleinement opérationnels dans toutes nos filiales en moins de quatre semaines, et non dans les six mois annoncés ailleurs. »

Responsable de la conformité chez un avionneur

Résultat : 60 % de temps administratif de conformité en moins en 6 mois

« Ajouter un nouveau cadre réglementaire signifiait autrefois des semaines de cartographie manuelle. Avec Priverion, nous avons superposé la nouvelle loi sur la protection des données (nLPD) à notre programme RGPD existant en quelques jours. Nous faisons désormais de même pour la loi indienne DPDP, en réutilisant 70 % de nos mesures existantes. »

CEO chez un établissement de santé

Résultat : 100 % de couverture de l'évaluation des risques fournisseurs dans toutes les entités

D'après des entretiens clients et des résultats vérifiés, du T4 2024 au T1 2025

Priverion contre OneTrust

La qualité d'entreprise sans la complexité d'entreprise

Les entreprises du marché intermédiaire dotées de structures multi-entités méritent une plateforme conçue pour leur mode de fonctionnement réel, et non une version allégée d'un produit pensé pour les cycles d'achat des entreprises du Fortune 500.

L'expérience OneTrust typique

Tarification par utilisateur et par module

Les coûts grimpent de façon imprévisible à mesure que vous ajoutez des filiales, des utilisateurs ou des modules. Les discussions budgétaires deviennent des négociations trimestrielles.

Infrastructure hébergée aux États-Unis

Dans le contexte post-Schrems II, les plateformes hébergées aux États-Unis exigent une justification juridique supplémentaire pour chaque transfert transfrontalier de données.

Conçu pour le Fortune 500

Une surenchère de fonctionnalités sur l'ESG, l'éthique, le consentement aux cookies et bien plus encore. Les équipes du marché intermédiaire finissent par payer pour des capacités qu'elles n'activent jamais.

Mise en œuvre complexe

Un déploiement de plusieurs mois avec des consultants externes. Un délai de rentabilité qui se compte en trimestres, pas en semaines.

Plus de 200 intégrations superficielles

Une place de marché de connecteurs qui impressionne, mais qui génère souvent une charge de maintenance sans réelle valeur pour les flux de protection des données.

La différence Priverion

Une tarification prévisible et tout compris

Une tarification fondée sur le nombre de sociétés et la taille de l'organisation, et non par utilisateur ou par module. Aucun piège d'expansion. Votre direction financière vous remerciera.

Conçu en Suisse, hébergé en Suisse

Résidence européenne des données par défaut. Tous les traitements de données s'effectuent au sein d'une infrastructure suisse. Ce n'est pas une case marketing à cocher, mais un avantage juridique pour les transferts transfrontaliers.

Conçu sur mesure pour la protection des données multi-entités

Registre des traitements, AIPD, risque fournisseurs, demandes des personnes concernées, gestion des incidents et préparation au règlement IA. Tout ce dont un DPD a besoin, rien de superflu. Nous ne couvrons ni l'ESG, ni les lignes d'alerte éthique, ni le consentement aux cookies, et c'est délibéré.

Opérationnel en quelques semaines

Un avionneur a réduit de 60 % son temps administratif de conformité au cours de ses six premiers mois. Pas de projets de mise en œuvre s'étalant sur plusieurs mois.

Avionneur, six premiers mois après le déploiement

Des intégrations approfondies là où ça compte

Des intégrations ciblées avec les systèmes RH, d'achats et de gestion du parc informatique, celles qui alimentent réellement les flux de protection des données. Des connexions approfondies, pas une place de marché de connecteurs superficiels.

Vous évaluez déjà OneTrust ? Découvrez comment Priverion se compare pour les organisations multi-entités.

Réservez une démonstration de 30 minutes
Ressource gratuite

Checklist de conformité à la loi indienne DPDP pour les organisations multi-entités

La plupart des groupes mondiaux qui gèrent déjà le RGPD supposent qu'ils sont couverts pour la loi indienne sur la protection des données personnelles numériques. Ils ne le sont pas. Cette checklist cartographie les écarts entre votre programme européen de protection des données existant et ce que la loi DPDP exige spécifiquement, afin que vous puissiez cadrer le travail avant que les échéances ne tombent.

Ce que contient la checklist :

  • Un calendrier de conformité phase par phase aligné sur les jalons d'application attendus de la loi DPDP, y compris la nomination du Data Protection Board et la publication des règlements subordonnés
  • Un cadre d'analyse des écarts qui met en correspondance les mesures RGPD dont vous disposez déjà avec les exigences propres à la loi DPDP que vous n'avez probablement pas, notamment le libellé de la notice de consentement, les obligations des Data Fiduciaries et les seuils des Significant Data Fiduciaries
  • Les exigences en matière de transfert transfrontalier comparées côte à côte avec les CCT du RGPD et les mécanismes de la nLPD, pour que votre équipe juridique évalue le risque de transfert d'un seul coup d'œil
  • Une feuille de cadrage entité par entité pour les groupes ayant des filiales indiennes, des clients indiens ou des données de collaborateurs indiens, car la loi DPDP s'applique aux trois

PDF gratuit. Aucune démonstration requise. Nous vous l'envoyons par e-mail.

Cessez de gérer la protection des données dans des tableurs

Découvrez ce qu'est une gestion de la protection des données à l'échelle du groupe qui fonctionne vraiment

En 30 minutes, nous vous montrons comment des organisations comme cet avionneur ont automatisé la recertification du registre des traitements dans chaque filiale, réduisant de 60 % le temps administratif de conformité au cours de leurs six premiers mois.

Pas d'argumentaire commercial. Pas de déballage de fonctionnalités. Juste une démonstration ciblée, adaptée à votre structure d'entités, à vos cadres et à vos plus grandes difficultés de conformité.

Des semaines, pas des mois

Délai moyen de mise en service

Tarification prévisible

Aucun piège par utilisateur ou par module

Hébergé en Suisse

Résidence européenne complète des données

Résultats de l'avionneur basés sur les six premiers mois suivant la mise en œuvre. Satisfaction client : 92 % (enquête T1 2025, n=47).

Obtenez votre plan de préparation DPDP

Consultation gratuite, sans engagement

À propos de cette page — références, définitions et FAQ

Points clés : calendrier de conformité à la loi indienne DPDP

La loi indienne sur la protection des données personnelles numériques de 2023 introduit un modèle d'application échelonné en cinq étapes de déploiement, des sanctions pouvant atteindre 250 crores de roupies par infraction et un délai de notification des violations de 72 heures. Les organisations multi-entités qui gèrent déjà le RGPD, la nouvelle loi sur la protection des données (nLPD) ou la LGPD peuvent arrimer environ 70 % de leurs mesures existantes aux obligations DPDP, mais doivent traiter les exigences propres à l'Inde, notamment les Consent Managers enregistrés, un modèle de liste négative pour les transferts transfrontaliers et un consentement parental vérifiable pour les données des enfants.

Définitions

Qu'est-ce que la loi indienne DPDP ?

La loi sur la protection des données personnelles numériques de 2023 (loi DPDP) est la loi indienne de référence en matière de protection des données, promulguée le 11.08.2023. Elle établit des droits pour les data principals (les particuliers), des obligations pour les data fiduciaries (responsables du traitement), et institue le Data Protection Board of India comme autorité d'application. La loi s'applique aux données personnelles numériques traitées en Inde ainsi qu'aux traitements réalisés hors d'Inde lorsqu'ils sont liés à l'offre de biens ou de services à des data principals en Inde. [IAPP — Ressource sur la loi indienne DPDP]

Qu'est-ce qu'un Significant Data Fiduciary (SDF) ?

Un Significant Data Fiduciary est un data fiduciary désigné par le gouvernement central en vertu de l'article 10 de la loi DPDP, en fonction du volume et de la sensibilité des données personnelles traitées, du risque pour les droits des data principals, de l'impact potentiel sur la souveraineté et l'intégrité de l'Inde et d'autres facteurs prescrits. Les SDF doivent nommer un délégué à la protection des données résidant en Inde, désigner un auditeur de données indépendant et réaliser périodiquement des analyses d'impact relatives à la protection des données.

Qu'est-ce qu'un Consent Manager au titre de la loi DPDP ?

Un Consent Manager est un intermédiaire enregistré au titre de l'article 6 de la loi DPDP qui permet aux data principals de donner, gérer, réexaminer et retirer leur consentement via une plateforme accessible, transparente et interopérable. Contrairement aux plateformes de gestion du consentement du RGPD, les Consent Managers indiens doivent être enregistrés auprès du Data Protection Board et respecter les normes techniques et opérationnelles prescrites.

Foire aux questions

Quel est le calendrier de conformité à la loi indienne DPDP ?

La loi indienne DPDP est appliquée en 5 phases au moyen de notifications distinctes du gouvernement central. Les Significant Data Fiduciaries se voient imposer des obligations plusieurs mois avant les fiduciaires généraux. Le projet de règlement publié en janvier 2025 apporte des précisions supplémentaires sur la mise en œuvre. Les sanctions peuvent atteindre 250 crores de roupies (~30 millions de dollars US) par infraction, au titre de l'article 33 et de l'annexe de la loi.

En quoi la loi DPDP diffère-t-elle du RGPD ?

Si la loi DPDP emprunte des concepts au RGPD — consentement, analyses d'impact relatives à la protection des données et notification des violations sous 72 heures — elle les met en œuvre différemment. Les principales différences sont les suivantes : (1) l'Inde exige un intermédiaire Consent Manager enregistré plutôt qu'une simple plateforme de gestion du consentement ; (2) les transferts transfrontaliers reposent sur un modèle de liste négative et non sur des décisions d'adéquation ; (3) le traitement des données des enfants exige un consentement parental vérifiable, sans porte de sortie par « intérêt légitime » ; et (4) les sanctions sont des montants forfaitaires par infraction (jusqu'à 250 crores de roupies) plutôt que des plafonds en pourcentage du chiffre d'affaires. [Texte intégral du RGPD — EUR-Lex]

Quelles sont les sanctions maximales prévues par la loi DPDP ?

L'annexe de la loi DPDP (visée par l'article 33) prévoit des sanctions par infraction pouvant atteindre 250 crores de roupies (~30 millions de dollars US). Contrairement au plafond du RGPD fixé à 4 % du chiffre d'affaires annuel mondial, il n'existe aucun plafond fondé sur le chiffre d'affaires. Pour les groupes d'entreprises multi-entités, une seule lacune de conformité répliquée dans les filiales indiennes multiplie l'exposition totale de manière proportionnelle.

Quelle est l'exigence de notification des violations ?

En vertu de l'article 8(6) de la loi DPDP de 2023, les data fiduciaries doivent notifier à la fois le Data Protection Board of India et les data principals concernés une violation de données personnelles dans un délai de 72 heures. Cela s'aligne sur le délai de notification à l'autorité de contrôle du RGPD (article 33), mais ajoute l'exigence d'une notification simultanée aux personnes. [RGPD article 33 — EUR-Lex]

Comment la loi DPDP traite-t-elle les transferts transfrontaliers de données ?

La loi DPDP adopte un modèle de liste négative : les données personnelles peuvent être transférées vers tout pays, à l'exception de ceux spécifiquement restreints par notification du gouvernement central. Cela contraste avec le cadre d'adéquation à liste positive du RGPD et l'approche de la nouvelle loi sur la protection des données (nLPD) fondée sur la liste des pays du Préposé fédéral à la protection des données et à la transparence. Les organisations doivent surveiller en continu les notifications gouvernementales pour repérer les juridictions nouvellement restreintes. [IAPP — Transferts transfrontaliers DPDP]

Les mesures RGPD existantes peuvent-elles être réutilisées pour la conformité DPDP ?

Environ 70 % des mesures RGPD existantes peuvent être arrimées aux obligations de la loi DPDP, selon des évaluations de conformité multi-cadres. Les éléments réutilisables comprennent le registre des activités de traitement (registre des traitements), les analyses d'impact relatives à la protection des données, les flux de gestion des risques fournisseurs et le traitement des demandes des personnes concernées. Les ajouts propres à l'Inde incluent l'enregistrement des Consent Managers, la surveillance des transferts par liste négative et les mécanismes de consentement parental vérifiable pour les données des enfants.

Quel est le rôle du Data Protection Board of India ?

Le Data Protection Board of India (DPBI) est l'organe de jugement institué par le chapitre 5 de la loi DPDP. Il reçoit les notifications de violation, statue sur les plaintes des data principals et inflige les sanctions. Contrairement aux autorités de contrôle européennes, le DPBI fonctionne comme un tribunal « digital-first », ses procédures se déroulant principalement en ligne.

Statistiques et contexte

Selon le rapport annuel IAPP-EY 2023 sur la gouvernance de la protection des données, l'organisation moyenne gère la conformité à 4,2 cadres de protection des données simultanément. La loi indienne DPDP en ajoute un cinquième pour bon nombre d'organisations multinationales actives sur le marché indien. Le rapport révèle également que 63 % des professionnels de la protection des données citent la conformité multi-juridictionnelle comme leur principal défi opérationnel.

L'économie numérique de l'Inde compte plus de 800 millions d'internautes en 2024, ce qui en fait la deuxième population en ligne du monde. L'approche d'application échelonnée de la loi DPDP reflète l'ampleur du défi de conformité : le projet de règlement publié en janvier 2025 apporte des précisions de mise en œuvre concernant la gestion du consentement, les transferts transfrontaliers et les obligations des Significant Data Fiduciaries.

Loi DPDP contre RGPD contre nLPD : comparaison

CaractéristiqueLoi indienne DPDP (2023)RGPD de l'UE (2016/679)nLPD suisse (révLPD 2023)
Modèle d'applicationDéploiement échelonné via les notifications du gouvernement centralDate d'application unique (25.05.2018)Date d'application unique (01.09.2023)
Sanction maximale250 crores de roupies (~30 M$) par infraction20 M€ ou 4 % du chiffre d'affaires mondial250'000 CHF (responsabilité individuelle)
Notification des violations72 heures (Board + data principals)72 heures (autorité de contrôle)Dès que possible (PFPDT)
Transferts transfrontaliersModèle de liste négativeDécisions d'adéquation + CCT/BCRListe d'adéquation + CCT/BCR
Mécanisme de consentementConsent Manager enregistréPlateforme de gestion du consentementConsentement ou autre base légale
Données des enfantsConsentement parental vérifiable requisConsentement parental en dessous de 16 ans (variations selon les États membres)Aucun seuil d'âge spécifique
Exigence relative au DPDLe SDF doit nommer un DPD résidant en IndeRequis pour certains responsables du traitement / sous-traitantsFacultatif (recommandé)
Organe de contrôleData Protection Board of IndiaAutorités de contrôle nationalesPFPDT