Le gouvernement indien a confirmé le 3 juillet 2026 qu'il élabore un nouveau cadre juridique pour réguler les fournisseurs de VPN, qui devront ouvrir un bureau physique dans le pays, désigner un responsable de la conformité local et conserver les données des abonnés - noms, adresses et adresses IP comprises - pendant cinq ans. Les employés des entreprises non conformes s'exposeraient à des sanctions pénales, pouvant aller jusqu'à l'emprisonnement.
Ce que la nouvelle loi VPN 2026 de l'Inde exigerait
Selon des responsables cités par la presse indienne, le projet reprend le modèle des Information Technology Rules 2021, qui obligent déjà les grandes plateformes de réseaux sociaux à désigner un Chief Compliance Officer et un Nodal Contact Person comme ligne directe avec les forces de l'ordre. Appliqué aux VPN, ce même modèle imposerait aux fournisseurs de :
- Enregistrer une entité locale et maintenir un bureau physique en Inde.
- Désigner un responsable de la conformité servant de point de contact avec les autorités.
- Conserver les données des abonnés pendant cinq ans, y compris nom complet, adresse, coordonnées et adresses IP.
- Transmettre les journaux sur demande, les employés concernés étant personnellement exposés à des poursuites pénales, pouvant aller jusqu'à l'emprisonnement, en cas de non-conformité.
La directive de 2022 que les fournisseurs ont simplement ignorée
Ce n'est pas la première tentative de l'Inde. En 2022, l'agence indienne de cybersécurité (CERT-In) avait déjà publié une directive quasi identique, avec une échéance initiale fixée au 27 juin 2022, repoussée ensuite au 25 septembre 2022. La réaction des plus grands noms du secteur avait été sans détour : Proton VPN, NordVPN, ExpressVPN et Surfshark avaient tous retiré leurs serveurs physiques d'Inde plutôt que de se conformer, redirigeant les utilisateurs indiens vers des serveurs virtuels basés à Singapour et ailleurs. Proton VPN avait qualifié la directive de "loi de surveillance de masse intrusive" et affirmé n'avoir aucune intention de s'y soumettre.
Pourquoi les autorités jugent nécessaire de durcir l'application aux VPN
Les autorités indiennes citent la forte hausse des ordres de blocage de sites comme preuve que le trafic anonymisé devient de plus en plus difficile à contrôler : les agences gouvernementales ont émis plus de 24 000 ordres de blocage en 2025, soit plus du double des 12 000 émis en 2024. Selon les responsables, une part croissante des contenus bloqués reste accessible précisément parce que les fournisseurs de VPN ne conservent aucun journal à transmettre - et, dans de nombreux cas, n'exploitent aucun serveur relevant de la juridiction indienne. Environ la moitié des 800 millions d'internautes indiens utiliseraient un VPN au moins occasionnellement, ce que les autorités présentent comme un facteur qui neutralise les ordres de blocage à l'échelle nationale.
Ce calendrier fait également suite à un véritable test grandeur nature de la demande de VPN en Inde. Lorsque l'Inde a bloqué Telegram en juin 2026 dans le cadre d'une répression plus large de la messagerie chiffrée, une flambée des inscriptions quotidiennes sur des VPN a exposé des millions de nouveaux utilisateurs à des applications VPN gratuites truffées de publicités prédatrices - une envolée que les régulateurs citent désormais comme preuve que l'usage du VPN en Inde est devenu suffisamment répandu pour justifier une supervision formelle.
Ce qui se passerait si les fournisseurs refusaient à nouveau
Si l'histoire se répète, le scénario le plus probable est le même qu'en 2022 : plutôt que d'ouvrir un bureau local, d'exposer un responsable de la conformité à des poursuites potentielles et de journaliser cinq années d'activité des utilisateurs, les grands fournisseurs de VPN sans journaux retireraient simplement à nouveau leur infrastructure physique d'Inde et continueraient de servir les utilisateurs indiens depuis des serveurs hébergés à l'étranger. L'accès au VPN resterait ainsi techniquement disponible, mais le marché basculerait davantage vers des fournisseurs prêts à opérer dans une zone grise juridique - souvent les mêmes applications gratuites de piètre qualité, financées par la publicité agressive dont se plaignaient déjà les utilisateurs indiens pendant le blocage de Telegram.
Le marché indien du VPN n'est pas étranger aux incidents de sécurité qui rendent les outils de confidentialité plus urgents, et non moins. Une attaque par rançongiciel contre le fabricant Bajaj Auto en juin 2026 a montré à quel point l'infrastructure VPN d'entreprise pouvait être exposée, même au sein de grandes sociétés indiennes disposant de ressources importantes - un rappel que le débat sur la régulation des VPN se déroule sur fond de failles bien réelles, et non de risques hypothétiques.