Le service VPN basé à Pune, SnTHostings, a intenté une action en justice pour contester la légalité de la nouvelle loi indienne sur les données devant les tribunaux.
Après son entrée en vigueur le 25 septembre, les nouvelles directives CERT-In obligent tous les fournisseurs de VPN basés dans le pays à conserver les données personnelles des utilisateurs jusqu’à cinq ans. Les entreprises seront également obligées de remettre ces informations aux autorités sur demande. Ceux qui ne respectent pas les nouvelles règles peuvent encourir jusqu’à un an de prison.
C’est pourquoi certains des meilleurs services VPN du moment ont déjà annoncé leur décision de fermer leurs serveurs indiens pour protéger la confidentialité de leurs clients.
La sortie d’ExpressVPN de l’Inde en juin a donné le coup d’envoi à l’exode. Ensuite, il y a eu l’engagement de Surfshark de supprimer ses serveurs physiques, l’annonce de Hide.me de débrancher la prise et le départ de NordVPN invoquant des craintes concernant la liberté d’expression. Proton VPN a été le dernier à rejoindre le groupe sortant, affirmant que la nouvelle loi est contraire à tout ce qu’elle représente.
SnTHostings a contacté les défenseurs de la vie privée de l’Internet Freedom Foundation (IFF) en avril, juste après l’annonce des nouvelles règles. Après un engagement non concluant envers CERT-In de retirer ces instructions, l’organisation basée à New Delhi assiste désormais légalement le fournisseur.
SnTHostings a déposé une requête à Delhi HC contestant les instructions au motif qu’elles violent le droit au commerce, le droit à la vie privée des utilisateurs et qu’elles vont au-delà des pouvoirs conférés par la loi informatique de 2000 (5 / n)28 septembre 2022
Une action en justice
« Les entités mentionnées ci-dessus pourraient quitter l’Inde car ce sont des sociétés internationales qui peuvent se permettre de continuer à fournir leurs services dans d’autres juridictions. Cependant, pour le pétitionnaire, déménager dans un autre pays serait extrêmement coûteux et compromettrait considérablement la viabilité de son entreprise », lire la pétition légale (s’ouvre dans un nouvel onglet).
Outre les logiciels de réseau privé virtuel, SnTHosting fournit également des services VPS, Remote Desktop Protocol et Dedicated Root Services à plus de 15 000 clients depuis 2013.
Comme l’IFF l’a expliqué dans un article de blog, la pétition vise à « protéger l’innovation, les fournisseurs de services VPN et la confidentialité des internautes en Inde ».
Ils ont particulièrement souligné le fait que les nouvelles directives du CERT-In sont contre tout ce que représentent les services VPN sécurisés, violant à la fois le droit à la vie privée des citoyens et le droit de commercer pour l’entreprise.
« En plus de ce qui précède, la conservation des données de chaque activité de chaque client est incroyablement coûteuse et une telle direction conduit effectivement les petites ou moyennes entreprises telles que SnTHostings à fermer leurs portes », a écrit IFF.
L’audience doit commencer le 9 décembre, avec l’avocat Samar Bansal comparaissant au nom de SnTHostings.
Pourquoi la nouvelle loi indienne sur la conservation des données est-elle controversée ?
Bien que la nouvelle loi indienne sur la conservation des données soit un effort pour lutter contre la cybercriminalité, ses réglementations ont suscité de nombreuses inquiétudes dans le secteur de la technologie et les groupes de défense de la vie privée.
Selon SnTHosting, la création « inutile » de nouvelles bases de données avec des informations privées uniques et auparavant indisponibles sur des personnes peut « augmenter les cibles possibles pour les éléments voyous à exploiter ».
De plus, la liberté des médias en recul en Inde et l’infamie d’enregistrer plus de coupures d’Internet que tout autre pays au monde amplifient encore plus les craintes que des réglementations intrusives puissent être utilisées à mauvais escient pour favoriser la surveillance de masse.
Les fournisseurs de VPN ne sont que quelques-unes des entreprises soumises aux nouvelles directives CERT-In. Les autres services incluent les centres de données, les services de stockage en nuage, les serveurs privés virtuels et les échanges de crypto-monnaie.
La quantité d’informations privées stockées pourrait être énorme, dans des milliers d’entreprises différentes. Cela soulève quelques doutes quant à la faisabilité d’une nouvelle réglementation.
Et ce ne sont pas seulement des soucis de confidentialité. Comme l’a souligné l’IFF, la nouvelle loi indienne sur les données pourrait entraîner la faillite de nombreuses petites et moyennes entreprises. Cela aura également un impact négatif sur son secteur informatique à croissance rapide, se traduisant peut-être par des frais plus élevés pour les utilisateurs de VPN indiens dans leur ensemble.
