Pas de « muraille de Chine » pour les données personnelles en Russie

Crédit : PhotoXPress

Crédit : PhotoXPress

Certains acteurs étrangers ont paniqué la semaine dernière après l'adoption par le parlement russe de lois concernant la collecte et le stockage de données personnelles, dont le stockage ne sera autorisé que sur le territoire russe à partir de septembre 2016. Les inquiétudes ont été alimentées par des comptes rendus médiatiques exagérés, dont un article Google Translate paru sur un blog technique californien influent.

Les représentants occidentaux du réseau social Facebook se sont rendus en Russie la semaine dernière pour conduire des négociations avec le service fédéral de surveillance d’Internet et des médias Roscomnadzor, informe le quotidien Izvestia citant trois différentes sources dans l’administration. Facebook a été représenté par Thomas Myrup Krintensen, directeur de la politique publique de Facebook pour la Scandinavie, l’Europe Centrale et Orientale et la Russie. M. Krintensen a rencontré la direction de Roscomnadzor pour discuter de la réglementation juridique de l’Internet en Russie.

Le groupe est, notamment, préoccupé par la question de l’hébergement sur le sol russe des serveurs contenant des données personnelles des citoyens russes. La délégation de Facebook a demandé de ne pas dévoiler les informations sur sa visite – les résultats de la réunion n’ont pas été rendus publiques.

Alors que le stockage de données personnelles sur des serveurs situés à l'étranger est autorisé par la législation actuelle – avec certaines restrictions – les nouvelles lois demandent que seuls soient utilisés les serveurs présents physiquement sur le territoire russe. Si un site ne respecte pas ces obligations, il pourra se voir bloqué ou restreint par l'autorité régulatrice Roskomnadzor.

Pas de réservations d'hôtel en ligne pour les russes ? 

Les entreprises internationales qui centralisent actuellement les données de tous les pays sur leurs serveurs ou ceux de tiers devront traiter et stocker les données des citoyens russes à part. Cela concerne un nombre énorme de sites web internationaux, d'applications pour smartphones, de compagnies aériennes, de marques, manufactures et même certains petits commerces aux clients ou usagers russes. 

Le fait de séparer les données des utilisateurs russes et de les stocker séparément peut être complexe, selon l'architecture de la plateforme d'hébergement. La tâche pourrait engendrer des coûts significatifs ou, au pire, être complètement infaisable, selon les opposants à la loi. « Le résultat sera qu'il deviendra impossible pour des citoyens russes de réserver un billet d'avion via le site web d'une compagnie étrangère ou de réserver un hôtel grâce à des systèmes de réservation internationaux, vu que les données seront collectées et stockées en dehors de la Russie », a déclaré l'association d'industriels RAEC. 

Cependant, certains acteurs pensent que la loi peut encore être modifiée avant sa mise en application en 2016. Cela pourrait être le cas des réservations de billets d'avion, explique le PDG de Biletix, Alexandre Sizintsev, dans un entretien avec le journal d'affaires russe Vedomosti.

Les acteurs nationaux seront aussi affecté par cette nouvelle loi s'ils stockent leurs données, entièrement ou partiellement, sur des serveurs étrangers. Vedomosti prend l'exemple de MegaFon, un des leaders des opérateurs téléphoniques qui stocke les données de ses clients sur le cloud. Les conditions dictées par la nouvelle loi « créent un cadre strict pour le business et engendrera des coûts additionnels significatifs au niveau des bases de données », explique le journal en citant le représentant d'une compagnie. 

Dans la grande majorité des cas, cependant, le respect des nouveaux impératifs ne devrait pas être hors de portée pour les entreprises. Pour les sociétés n'ayant que des utilisateurs ou clients russes, le rapatriement des données – si nécessaire – sera bien sûr faisable. Le site de vente flash russe KupiVIP.ru l'a fait l'an dernier. « Nous avons rapatrié l'ensemble de nos données depuis l'Allemagne, où nos serveurs étaient initialement situés », explique le président du site, Oskar Hartmann à East-West Digital News. 

Quant aux bases de données internationales, plusieurs exemples montrent que la séparation des données d'utilisateurs en fonction de leur pays d'origine est aussi faisable – bien que beaucoup plus complexe et potentiellement plus couteux. Chez La Redoute Rus, les données personnelles des utilisateurs russes sont stockées sur des serveurs russes depuis le début. « Notre siège à Paris n'a pas vraiment compris cette décision au début, mais on savait que les autorités risquaient, tôt ou tard, d'interdire les transferts de données personnelles d'un pays à l'autre. De plus, nous avons enquêté auprès de nos utilisateurs qui ont exprimé leur préférence pour le stockage de leurs données dans leur pays », a déclaré le manager général de La Redoute Rus, José Metz, à East-West Digital News. 

Selon un développeur occidental d'applications mobile, la séparation des données selon le pays d'origine n'est pas un cas isolé. « Par exemple, pour des raisons de copyright, les propriétaires de contenu vidéo veulent qu'il y ait une exclusivité dans certains pays. Des données déclarées à la géolocalisation ou au survol des données, l'origine géographique des utilisateurs peut être définie de façon précise », explique le PDG de la société à East-West Digital News. 

« Obéir à cette loi russe sera effectivement difficile pour des bases de données complexes qui mélangent les données internationales – sauf si leur architecture prend en compte ce type d'évolutions. Cependant, les « données sans frontières » sont mortes avec le scandale des écoutes de la NSA. Cette loi russe montre quelle peut être la prochaine tendance : la re-segmentation du World Wide Web à une échelle nationale, et les acteurs techniques vont devoir apprendre à gérer les données autrement », conclut le PDG. 

Note de la rédaction :

Les nouvelles conditions légales concernent uniquement les données personnelles, qui ne doivent pas être confondues avec les données relatives à un quelconque utilisateur. Selon la loi russe, le caractère principal des données personnelles est la possibilité d'identifier parmi un grand nombre de personnes un individu spécifique. Si seulement une partie des informations personnelles est stockée – par exemple son prénom et son patronyme mais pas son nom de famille – ce n'est pas considéré comme une donnée personnelle car cela est insuffisant pour identifier la personne.

 

Version abrégée. Article original publié sur le site de East-West Digital News

 

Réagissez à cet article en soumettant votre commentaire ci-dessous ou sur notre page Facebook


Dans le cadre d'une utilisation des contenus de Russia Beyond, la mention des sources est obligatoire.