Une nouvelle ordonnance gouvernementale obligera les réseaux privés virtuels à conserver les données des utilisateurs pendant cinq ans ou plus.
En Inde, les entreprises de réseaux privés virtuels seront tenues de collecter de nombreuses données sur leurs clients – et de les conserver pendant cinq ans ou plus – en vertu d’une nouvelle directive nationale de l’équipe d’intervention en cas d’urgence informatique du pays, connue sous le nom de CERT-in. Cette politique risque de compliquer la vie des sociétés de VPN et des utilisateurs de VPN.
L’organisme, qui dépend du ministère de l’électronique et de l’informatique, a annoncé jeudi que les VPN du pays devront conserver les noms des clients, les adresses physiques et IP validées, les habitudes d’utilisation et d’autres formes d’informations personnelles identifiables. Comme l’a rapporté Entrackr, ceux qui ne se conforment pas à cette directive risquent jusqu’à un an de prison en vertu de la loi applicable citée dans la nouvelle directive.
La directive ne se limite pas aux fournisseurs de VPN. Les centres de données et les fournisseurs de services dans le Cloud sont tous deux visés par la même disposition. Les entreprises devront conserver les informations relatives aux clients, même après que ces derniers ont annulé leur abonnement ou leur compte. Et, dans tous les cas, le CERT-in demandera aux entreprises de signaler « l’accès non autorisé aux comptes de médias sociaux » de leurs utilisateurs.
La plupart des VPN proposent une politique de non-enregistrement, une promesse publique contre l’enregistrement, la collecte ou le partage des données d’utilisation et de navigation des clients. Les principaux services comme ExpressVPN et Surfshark fonctionnent uniquement avec des serveurs à disque RAM et d’autres technologies sans journalisation, ce qui signifie que les VPN seraient théoriquement incapables de surveiller les URL énumérées dans la directive. Si les VPN en Inde sont tenus, en vertu de la nouvelle directive, de conserver les données d’enregistrement des clients – ou de surveiller et de signaler l’utilisation des médias sociaux – beaucoup pourraient potentiellement enfreindre la loi simplement en continuant à fonctionner.
L’Inde a l’habitude d’avoir la main lourde sur les activités en ligne.
En avril, l’Inde a interdit 22 chaînes YouTube. En 2021, Facebook, Google et Twitter ont mis fin à un bras de fer tendu avec le gouvernement indien en se conformant en grande partie au contrôle élargi du gouvernement sur le contenu des médias sociaux dans le pays. En 2020, le pays a interdit plus de 200 applications chinoises, dont TikTok, et a finalement interdit 9 849 URL de médias sociaux.
Le groupe de défense des droits numériques Access Now a indiqué le mois dernier que les fermetures et les perturbations de l’Internet imposées par le gouvernement en Inde représentaient 106 des 182 actions gouvernementales de ce type dans le monde, soit près de 60 %. La directive fait également suite à des pics notables de la demande de VPN en Inde, où le cabinet de recherche indépendant Top10VPN estime que les fermetures ont affecté 59,1 millions d’utilisateurs en 2021.
Le ministère de l’électronique et des technologies de l’information a déclaré dans un communiqué samedi que la nouvelle directive est destinée à l’aider à faire face à « certaines lacunes » qui l’empêchent de répondre à des « cyberincidents et interactions non spécifiés avec la circonscription. »
En vertu de la directive complète du ministère, les entreprises de RPV seront tenues de recueillir et de communiquer les informations suivantes :
- Les noms des clients validés, leur adresse physique, leur adresse électronique et leurs numéros de téléphone.
- La raison pour laquelle chaque client utilise le service, les dates auxquelles il l’utilise et son « modèle de propriété ».
- L’adresse IP et l’adresse électronique utilisées par un client pour s’inscrire au service, ainsi que l’horodatage de l’inscription.
- Toutes les adresses IP attribuées à un client par le VPN, et une liste des adresses IP utilisées par sa clientèle en général.
La directive complète du ministère devrait entrer en vigueur le 27 juin, bien que le gouvernement puisse retarder sa mise en œuvre pour permettre une plus grande conformité.
https://www.cnet.com/news/privacy/india-orders-vpn-companies-to-collect-and-hand-over-user-data/
