UNE ANALYSE Les fournisseurs de réseaux privés virtuels (VPN) sont sur leurs talons, suite à l’introduction d’une nouvelle loi en Inde les obligeant à collecter les données des utilisateurs et à les conserver pendant au moins cinq ans.

Sous un nouvelle directive (PDF) de l’équipe d’intervention d’urgence informatique (CERT-In) du pays, les fournisseurs de VPN du pays devront conserver des enregistrements et des journaux des noms des clients, des adresses physiques et des numéros de contact – qui doivent tous être vérifiés – ainsi que des e-mails et Adresses IP.

Les prestataires de services devront également collecter et conserver la « période de location » (l’horodatage utilisé lors de l’inscription), l’objet du contrat et le « modèle de propriété » du client.

Le règlement entrera en vigueur fin juin, accompagné de sanctions potentielles d’emprisonnement ou d’une amende de 100 000 ₹ (1 300 $) pour les infractions aux règles.

Dans un Compte renduRajeev Chandrasekhar, ministre d’État indien chargé de l’électronique et de l’informatique, a déclaré que les règles n’étaient pas négociables.

« Si vous n’avez pas les journaux, commencez à les maintenir », a-t-il déclaré.

« Si vous êtes un VPN qui veut cacher et rester anonyme à propos de ceux qui utilisent des VPN qui veulent faire des affaires en Inde et que vous ne voulez pas postuler, vous ne voulez pas suivre ces règles, alors si vous voulez se retirer, franchement, c’est la seule opportunité que vous avez. Vous devez vous retirer.

Exode massif ?

En réponse, ExpressVPN fait – physiquement, du moins – exactement cela. Depuis la semaine dernière, il a fermé ses deux serveurs physiques en Inde. Cependant, il dit qu’il continuera à exploiter ses deux emplacements de serveurs virtuels indiens.

Physiquement situés à Singapour et au Royaume-Uni, ils permettent aux utilisateurs de se connecter avec des adresses IP indiennes. Les utilisateurs basés en Inde pourront également continuer à utiliser les applications de l’entreprise comme d’habitude.

« ExpressVPN ne participera absolument pas aux tentatives du gouvernement indien de limiter la liberté sur Internet », déclare Harold Li, vice-président d’ExpressVPN.

« En tant que tel, nous avons pris la décision très simple de supprimer nos serveurs VPN basés en Inde. Nous refusons de mettre en danger les données de nos utilisateurs. »

En tout cas, précise-t-il, les serveurs VPN de l’entreprise ont été spécialement conçus pour éviter de faire des logs, notamment en s’exécutant en mémoire.

« Il est peu probable que les centres de données soient en mesure de s’adapter à cette politique et à notre architecture de serveur dans le cadre de cette nouvelle réglementation, et il n’y a donc pas d’autre voie que de ne plus avoir de serveurs VPN physiques en Inde », a-t-il déclaré.

Les libertés civiles « érodées »

D’autres services VPN qui opèrent en Inde suivent une stratégie différente.

Par exemple, Proton VPN prévoit de continuer normalement malgré ses inquiétudes concernant la nouvelle réglementation indienne.

« La nouvelle réglementation indienne sur les VPN érodera les libertés civiles et rendra plus difficile pour les gens de protéger leurs données en ligne », a déclaré un porte-parole.

« Proton VPN surveille la situation, mais en fin de compte, nous restons attachés à notre politique de non-journalisation et à la préservation de la vie privée de nos utilisateurs. »

Couper à contre-courant

Le fournisseur de VPN Surfshark adopte une position similaire, commentant : « Comme la nouvelle réglementation va à l’encontre de la nature de l’industrie des VPN – qui cherche à protéger la vie privée des clients – nous restons déterminés à fournir des services sans journaux à nos clients, y compris ceux qui vivent dans Inde. »

L’Inde n’est pas étrangère aux controverses sur le contrôle en ligne, avec un récent rapport d’Access Now le décrivant comme le pire contrevenant au monde pour les coupures d’Internet au cours des quatre dernières années consécutives.

Entre-temps, les nouvelles règles introduites l’année dernière incluent des exigences pour que les plateformes de médias sociaux puissent examiner le contenu des communications et pour permettre aux autorités de demander l’interception ou la surveillance des messages.

Udbhav Tiwari, directeur principal, politique publique mondiale chez Mozilla, a déclaré : « Bien que bien intentionnées, les nouvelles règles contiennent des exigences de conservation des données considérablement étendues par rapport aux normes de l’industrie. Forcer les acteurs privés à collecter ces informations sans une loi stricte sur la protection des données place le vie privée de l’utilisateur moyen à risque.

Tiwari a conclu: « Les règles devraient être réévaluées en fonction des principes de nécessité et de proportionnalité pour équilibrer l’intérêt de l’État avec le droit fondamental à la vie privée garanti à chaque Indien. »