Dans le cadre de la campagne gouvernementale de répression de la cybercriminalité, l’Inde a instauré de nouvelles règles strictes sur le traitement des données numériques, par les opérateurs de VPN présents sur le territoire. Parmi ces mesures, la directive n° 20(3)/2022-CERT-In impose la conservation des informations personnelles à partir du 27 juin 2022. Considérant cette décision comme une atteinte à la vie privée, les principaux fournisseurs de VPN comme Express VPN, et récemment PIA ont officialisé leur retrait du pays.
Les grands fournisseurs de VPN se désengagent de l’Inde
Le 28 avril 2022, l’équipe d’intervention d’urgence informatique CERT-In (Computer Emergency Response Team) du gouvernement indien, a publié la nouvelle politique d’exploitation des VPN. La directive implique l’enregistrement d’une multitude de données personnelles sur une période d’au moins 5 ans.
Pour appuyer cela, le ministre d’État à l’électronique et à l’informatique, Rajeev Chandrasekhar, a mis en demeure les opérateurs qui chercheraient à contourner la loi. Selon sa déclaration, les sociétés disposant de serveurs physiques en Inde doivent se conformer ou quitter l’Inde.
Depuis, les entreprises de VPN actives sur le territoire se sont successivement ruées vers la sortie. NordVPN a été l’un des premiers à annoncer son départ. « Nos serveurs indiens resteront jusqu'au 26 juin 2022. Afin de nous assurer que nos utilisateurs sont au courant de cette décision, nous enverrons des notifications avec toutes les informations via l'application NordVPN à partir du 20 juin. En tant que défenseurs de la confidentialité et de la sécurité numériques, nous sommes préoccupés par l'effet possible que ce règlement peut avoir sur les données des personnes », confie alors Laura Tyrylyte, responsable des relations publiques de la société.
Parallèlement, Matt Fossen de Proton VPN affirme surveiller la situation avant de préciser l’attachement de la société à une politique de « non journalisation ». D’autres entreprises ont également emboîté le pas, à savoir ExpressVPN, SurfShark, Hide.me et PIA (Private Internet Access).
Le contenu de la directive N°20(3)/2022-CERT-In comprend une liste impressionnante de mesures sur le stockage de données clients.
Le document détaille les informations à collecter comme suit :
- Noms validés des abonnés/clients recrutant les services
- Période de location y compris les dates
- IP attribuées à / utilisées par les membres
- Adresse e-mail, adresse IP et horodatage utilisés au moment de l’inscription / de l’intégration
- But de la location de services
- Adresse et numéros de contact validés
- Modèle de propriété des abonnés/clients qui embauchent des services
À travers ces « précautions », le gouvernement indien cherche notamment à renforcer la sécurité numérique face à la recrudescence des pirates, des intoxications médiatiques et du blanchiment d’argent. Cependant, cette disposition dénature la fonction principale d’un VPN qui garantit la confidentialité. C’est ce qu’a fait remarquer Prateek Waghre, un activiste dans une organisation de défense des droits numériques des citoyens à Delhi.
« Il est vrai qu'il existe un besoin évident d'une meilleure cybersécurité […] Mais si vous exigez la collecte de données à grande échelle, tout le monde court un risque - et ce dernier augmente encore davantage pour ceux qui sont déjà en danger, tels les activistes, journalistes, dissidents et minorité », explique-t-il.
