Les règles strictes de confidentialité de l'Inde pour les fournisseurs de VPN reportées de 3 mois

L’équipe d’intervention d’urgence informatique de l’Inde (CERT-In) a décidé lundi de reporter ses nouvelles règles de confidentialité pour les centres de données, les fournisseurs de réseaux privés virtuels (VPN), les fournisseurs de serveurs privés virtuels (VPS) et les fournisseurs de services cloud, pour trois mois supplémentaires.

La date limite pour se conformer aux nouvelles règles de confidentialité en Inde devait entrer en vigueur le 27 juin 2022, mais a maintenant été prolongée jusqu’au 25 septembre 2022.

« L’extension des délais pour la mise en œuvre de ces directives de cybersécurité du 28 avril 2022 a été demandée en ce qui concerne les micro, petites et moyennes entreprises (MPME) afin de fournir un temps raisonnable pour générer les capacités nécessaires à la mise en œuvre de ces directives », a souligné CERT-In dans sa nouvelle notification lundi.

« De plus, un temps supplémentaire a également été demandé pour la mise en œuvre d’un mécanisme de validation des abonnés/client par les centres de données, les fournisseurs de serveurs privés virtuels (VPS), les fournisseurs de services cloud et les fournisseurs de services de réseaux privés virtuels (VPN). »

Pour ceux qui ne sont pas au courant, le 28 avril 2022, le Cert-In a émis des directives de cybersécurité pour les centres de données, les fournisseurs de VPS, les fournisseurs de services cloud et les fournisseurs de services de réseaux privés virtuels (VPN), qui exigent qu’ils collectent/storent les informations des utilisateurs pendant au moins cinq ans – même après que les utilisateurs aient cessé d’utiliser le service – et les remettent à l’agence. Ceux qui refusent de se conformer peuvent faire face à une peine d’un an de prison.

Les nouvelles règles exigeaient qu’ils collectent les informations suivantes :

2. Noms validés des abonnés/client utilisant les services

3. Période de location incluant les dates

4. IP attribuées à / utilisées par les membres

5. Adresse e-mail et adresse IP et horodatage utilisés au moment de l’enregistrement / de l’intégration

6. Objectif de la location des services

7. Adresse validée et numéros de contact

8. Modèle de propriété des abonnés / clients utilisant les services

Justement, les nouvelles règles ont été largement critiquées par les fournisseurs de VPN, les experts en cybersécurité et les technologues, affirmant qu’elles affaibliraient gravement la confidentialité et la sécurité pour le marché indien.

Des experts en cybersécurité locaux d’Inde et du monde entier ont appelé à un report de la conformité avec les directives émises en avril. Ils ont envoyé une lettre conjointe à CERT et au ministère de l’Électronique et des Technologies de l’information (MeiTY) lundi, les avertissant de l’impact négatif que les directives auraient sur la cybersécurité et la confidentialité.

« Les directives dans leur forme actuelle auront la conséquence involontaire de saper la cybersécurité et son composant clé de la confidentialité en ligne. Nous sommes conscients de la nécessité de créer un cadre pour le signalement des incidents cybernétiques, mais les délais de signalement et les ordres de conservation excessive des données énoncés dans les directives auront des conséquences négatives en pratique et entraveront l’efficacité, tout en menaçant la confidentialité et la sécurité en ligne », ont-ils écrit.

Pendant ce temps, des fournisseurs de VPN comme NordVPN, Surfshark, ExpressVPN et PureVPN ont déjà fermé leurs serveurs VPN physiques en Inde, car ils estiment que les nouvelles règles VPN violent le droit à la protection de la vie privée.

Quant à elle, le gouvernement indien a clairement indiqué qu’il n’avait aucune intention de assouplir les nouvelles règles et ne tiendrait pas de discussions publiques sur le sujet non plus.