L'Internet and Mobile Association of India (IAMAI), qui représente des entreprises telles que Facebook, Google et Reliance, a écrit cette semaine au ministère indien des technologies de l'information pour critiquer une directive sur la cybersécurité établie en avril.

Entre autres changements, la directive de l'équipe indienne d'intervention en cas d'urgence informatique (CERT) exige des entreprises technologiques qu'elles signalent les violations de données dans les six heures suivant la constatation de l'incident et qu'elles conservent les registres informatiques et de communication pendant six mois.

Dans la lettre consultée par Reuters, l'IAMAI a proposé d'étendre le délai de six heures, notant que la norme mondiale pour signaler les incidents de cybersécurité est généralement de 72 heures.

Le CERT, qui dépend du ministère des technologies de l'information, a également demandé aux fournisseurs de services en nuage tels qu'Amazon et aux sociétés de réseaux privés virtuels (VPN) de conserver les noms de leurs clients et les adresses IP pendant au moins cinq ans, même après qu'ils ont cessé d'utiliser les services de l'entreprise.

Le coût de la mise en conformité avec ces directives pourrait être "énorme", et les sanctions proposées en cas de violation, y compris la prison, conduiraient "les entités à cesser leurs activités en Inde de peur de se mettre en porte-à-faux", selon la lettre de l'IAMAI.

Jeudi, le fournisseur de services VPN ExpressVPN a retiré ses serveurs de l'Inde, déclarant qu'il "refuse de participer aux tentatives du gouvernement indien de limiter la liberté de l'internet".

La lettre de l'IAMAI fait suite à celle de 11 associations industrielles importantes du secteur des technologies, envoyée plus tôt cette semaine, qui déclaraient que les nouvelles exigences rendaient difficile l'exercice d'une activité commerciale en Inde.

Ces dernières années, l'Inde a renforcé la réglementation applicable aux grandes entreprises technologiques, ce qui a suscité des réactions négatives de la part du secteur et, dans certains cas, a même mis à rude épreuve les relations commerciales entre New Delhi et Washington.

New Delhi a déclaré que les nouvelles règles étaient nécessaires car des incidents de cybersécurité étaient régulièrement signalés, mais que les informations requises pour enquêter sur ces incidents n'étaient pas toujours facilement accessibles auprès des fournisseurs de services.