Des violations majeures de données se sont produites en Inde alors que le projet de loi sur la protection des données personnelles (PDPB) est suspendu au comité parlementaire ad hoc depuis plus d’un an et demi maintenant.
Le projet de loi sur la protection des données personnelles est un projet de loi qui place l’Inde sur la carte des pays dotés de lois dédiées à la protection des données. Il vise à assurer la protection des données personnelles des individus et institue une Autorité de protection des données à cet effet. Le projet de loi a été présenté à Lok Sabha le 11 décembre 2019 et a été renvoyé à la commission mixte du Parlement. Le comité devait le présenter au parlement après l’avoir examiné et suggéré des changements, mais il a demandé des prolongations depuis la session budgétaire de 2020 jusqu’à la session d’hiver du Parlement 2021.
Alors que ce projet de loi est examiné en commission parlementaire mixte depuis plus d’un an et demi, des violations de données et des incidents de cybersécurité majeurs ont eu lieu en Inde.
La fuite de données de l’IRCTC en octobre 2020 contenait les noms complets d’environ un million d’utilisateurs ainsi que leurs numéros de téléphone portable, leurs identifiants de messagerie, leurs dates de naissance, leurs états matrimoniaux et leurs villes de résidence. Ces données étaient disponibles gratuitement sur dark net. Bien que l’IRCTC ait nié la fuite de données à ce moment-là, il est indéniable que ce n’était pas la première fois qu’un incident de cybersécurité se produisait à l’IRCTC et que l’authenticité des données divulguées a été corroborée par divers experts en cybersécurité.
Les données du fournisseur de services du système de passagers d’Air India, SITA, ont récemment été divulguées, où les données personnelles de 45 passagers Lakh avec des pointeurs de données aussi graves que les informations de passeport et les détails de carte de crédit ont également été divulguées. SITA est basé à Genève en Suisse, ce qui soulève d’autant plus de problèmes de localisation des données que le projet de loi PDP soulève.
À peu près au même moment que l’année dernière de l’IRCTC, le Dr Lal Path Labs a également subi une fuite de données. Selon un rapport des médias, les données personnelles de millions d’utilisateurs étaient stockées sur leur serveur AWS, non protégées par un mot de passe. L’entreprise a précisé qu’il s’agissait d’un problème de mauvaise configuration et qu’il ne concernait que 0,5 % de ses enregistrements. De tels incidents n’ont pas dérangé les entreprises à un niveau cinétique, et encore moins légal, à l’époque, mais certaines attaques de cybersécurité majeures comme celle sur les serveurs du Dr Reddy l’ont forcé à fermer ses opérations dans le monde entier, pendant une journée. Ces deux incidents se sont produits pendant la pandémie. Dr. Reddy’s était, en fait, au milieu de ses essais de vaccins.
Ces attaques malveillantes ont également influencé les entreprises avec les impacts les plus durs. En mars 2021, une fuite de données majeure de 8,2 téraoctets s’est produite à MobiKwick. Les documents KYC d’environ 10 personnes Crore étaient disponibles à la vente sur le dark web. Alors que la société a nié la fuite de données, les photos des passeports des personnes, des cartes aadhar, etc. ainsi que des pointeurs de données personnelles sensibles flottaient sur le dark web, prêtes à être entre les mains du plus offrant.
L’Inde a été témoin de l’une des fuites de données les plus importantes et les plus dangereuses de son histoire lorsque, en mai 2021, des données personnelles de Domino’s India ont été divulguées. Contrairement à d’autres fuites, ces données étaient disponibles sur le Web de surface et présentées dans un format de moteur de recherche convivial.
Les utilisateurs peuvent rechercher des numéros de téléphone portable/identifiants e-mail de leurs cibles et obtenir leurs adresses de commande avec des coordonnées géographiques. Alors que la société a nié la fuite de toute donnée financière, cette information était suffisante pour que quiconque en abuse. « J’ai commencé à recevoir des appels de personnes se plaignant d’avoir commencé à recevoir des messages de spam et des appels aléatoires tout d’un coup, après la fuite de données de Domino », a déclaré Nitin Pandey, cyber-consultant auprès de la police UP et chercheur sur le dark web. Il a ajouté : « Les fuites de données comme celles-ci ont des implications de grande envergure lorsque ces données sont entre les mains d’entités malveillantes. Des petits spammeurs aux tueurs à gages en passant par les organisations terroristes, n’importe qui peut abuser de ces données, en particulier les mégadonnées qui les exposent à de larges sections transversales de notre population.
Le projet de loi sur la protection des données personnelles contenait des dispositions pour classer les données sensibles et imposer des normes de protection des données aux organisations qui les collectent, mais il présentait également ses propres lacunes. Bien qu’il n’y ait aucune trace de la réunion du CPM après le 29 décembre 2020, Meenakshi Lekhi, l’ancien président du comité, a déclaré aux médias en janvier que le comité avait recommandé 89 changements dans le projet initial et que la présentation au parlement prendrait un certain temps. Le nouveau chef du comité, PP Chaudhary, a demandé une nouvelle prolongation jusqu’à la première semaine de la session d’hiver.
Pendant ce temps, les tribunaux étrangers établissent des précédents tout en infligeant des amendes aux géants de la technologie pour mauvaise utilisation des données. Trouvé en violation du règlement général de l’UE sur la protection des données, Amazon a récemment été condamné à une amende de 850,6 millions de dollars. Zoom, quant à lui, vient de régler un procès pour 85 millions de dollars au pays des lois strictes sur la protection des données, les États-Unis. La sécurité des données est plus que ce que l’on voit. Alors que certains événements passent inaperçus, certains sont catégoriquement niés et certains sont suffisamment graves pour faire la lumière sur la nécessité de pratiques solides en matière de protection des données.
Pour un journalisme approfondi, objectif et surtout équilibré, cliquez ici pour vous abonner à Outlook Magazine