Les propositions du gouvernement indien qui, selon le gouvernement, visent à améliorer la cybersécurité ont été critiquées alors que certains défenseurs des droits numériques et les entreprises du secteur des VPN affirment qu’elles pourraient être sujettes à des abus.
En vertu de la législation prévue pour entrer en vigueur le 27 juin, les fournisseurs de VPN sont tenus de conserver les données des utilisateurs et les adresses IP pendant au moins cinq ans, même après que les clients cessent d’utiliser le service.
L’Inde se classe parmi les 20 premiers pays en matière d’adoption de VPN. De nombreux utilisateurs sont des entreprises (les nouvelles règles ne s’appliquent apparemment pas aux VPN d’entreprise) mais, comme le souligne Reuters, il existe également des militants, des journalistes, des avocats et des lanceurs d’alerte qui utilisent des VPN pour accéder à des sites bloqués, sécuriser leurs données et protéger leur identité. Les nouvelles règles pourraient, a-t-on suggéré, menacer leur vie privée en ligne, leur anonymat et leur liberté d’expression.
La sécurité est un autre moteur des nouvelles lois. Les violations de données sont un problème majeur en Inde, et les nouvelles règles, publiées par l’Équipe indienne d’intervention d’urgence informatique (CERT-In) en avril, obligent également les entreprises à signaler les violations de données dans les six heures suivant leur notification et à conserver les journaux informatiques et de communication pendant six mois.
Les entreprises technologiques s’inquiètent du fardeau de la conformité et du calendrier de déclaration, mais pour certains observateurs, cela fait partie d’une tendance plus inquiétante à travers laquelle les gouvernements du monde entier imposent un plus grand contrôle sur le flux d’informations en ligne, tentent de contrôler la dissidence et de surveiller les activités des citoyens.
Les nouvelles règles ont déjà poussé un acteur majeur à changer son modèle d’affaires. ExpressVPN, l’un des plus grands fournisseurs de services VPN au monde, a maintenant retiré ses serveurs de réseau privé virtuel (VPN) de l’Inde, soulignant que “la nouvelle loi sur les données initiée par CERT-In, destinée à aider à lutter contre la cybercriminalité, est incompatible avec l’objectif des VPN, qui sont conçus pour garder l’activité en ligne des utilisateurs privée”.
Les clients ExpressVPN pourront toujours se connecter à des serveurs VPN qui leur fourniront des adresses IP indiennes, bien que ces serveurs soient situés à Singapour et au Royaume-Uni.