L'équipe indienne d'intervention en cas d'urgence informatique a publié une directive en avril demandant aux entreprises technologiques de signaler les violations de données dans les six heures suivant la "constatation de tels incidents" et de conserver les journaux informatiques et de communication pendant six mois.

Elle a également demandé aux fournisseurs de services en nuage tels qu'Amazon et aux entreprises de réseaux privés virtuels (VPN) de conserver les noms de leurs clients et leurs adresses IP pendant au moins cinq ans, même après qu'ils aient cessé d'utiliser les services de l'entreprise.

Ces mesures ont suscité des inquiétudes au sein de l'industrie quant au fardeau croissant de la conformité et à l'augmentation des coûts.

Le ministre indien junior de l'informatique, Rajeev Chandrasekhar, a déclaré qu'il n'y aurait aucun changement malgré les inquiétudes, affirmant que les entreprises technologiques ont l'obligation de savoir qui utilise leurs services.

Ces dernières années, l'Inde a renforcé la réglementation des grandes entreprises technologiques, suscitant des réactions de la part de l'industrie et, dans certains cas, mettant même à mal les relations commerciales entre New Delhi et Washington.

New Delhi a déclaré que les nouvelles règles étaient nécessaires car des incidents de cybersécurité étaient régulièrement signalés, mais les informations requises pour enquêter sur ces incidents n'étaient pas toujours facilement accessibles auprès des fournisseurs de services.

Mais les règles ont suscité un mécontentement généralisé. Lors d'une réunion à huis clos cette semaine, de nombreux dirigeants de médias sociaux et d'entreprises technologiques ont discuté de stratégies pour inciter New Delhi à mettre les règles en attente, selon une source ayant une connaissance directe.

La source a déclaré que les autorités européennes exigent que les violations de données soient signalées dans un délai d'environ 72 heures, ajoutant qu'il était difficile de signaler les incidents en six heures.

Chandrasekhar, cependant, a déclaré que l'Inde était généreuse, car certains pays exigent un rapport immédiat.

Les règles devraient être appliquées à partir de la fin du mois de juin. Après leur annonce, NordVPN, l'un des plus grands fournisseurs de VPN au monde, a déclaré qu'il pourrait retirer ses serveurs d'Inde.

Les défenseurs de la vie privée ont déclaré que les règles contredisent l'idée du VPN, qui est de protéger l'identité des individus tels que les dénonciateurs de la surveillance.

"Si vous ne voulez pas respecter ces règles, et si vous voulez vous retirer, alors franchement ... vous devez vous retirer", a déclaré Chandrasekhar aux journalistes.