source: www.rg.ru
Est-ce que c’est la fin du transfert transfrontalier des données personnelles?
Début octobre 2015, la Cour de justice de l’Union européenne a pris une décision majeure concernant la protection des données personnelles. Elle a déclaré invalide une décision de la Commission européenne qui constatait que dans le cadre du régime « Safe Harbor » les Etats-Unis assurent un niveau de protection adéquat aux données personnelles transférées (pour plus d’informations, cliquez ici : https://blog.economie-numerique.net/2015/10/24/linvalidation-du-safe-harbor-une-decision-majeure-pour-la-protection-des-donnees-a-caractere-personnel-des-europeens/).
Néanmoins, les autorités de l’Union Européenne ne sont pas les pionniers en ce qui concerne les préoccupations pour le transfert transfrontalier des données personnelles. En Russie la loi sur la protection des données personnelles [1] a été modifiée et dès le 1er septembre 2015 toute entreprise exploitant des données personnelles des internautes russes doit obligatoirement les stocker sur le territoire de la Fédération de Russie.
Toutes les entreprises qui opèrent ou non dans le pays et qui stockent des données personnelles des citoyens russes sont concernées. Ce sont des sociétés de e-commerce, agences de voyage, compagnies d’assurance, réseaux sociaux. Mais les systèmes de réservation de billets d’avion sont autorisés à ne pas stocker les données en Russie. Selon les explications du ministère russe des télécommunications et des médias de masse, le transfert et le traitement des données personnelles des voyageurs sont déjà réglementés par les lois sur la sécurité des transports et différents accords internationaux.
Donc, vers le 1 septembre 2015, toutes les données personnelles sur les citoyens russes stockées en dehors du territoire nationale devraient être transférées dans des centres de traitement des données en Russie.
Le business pour la localisation des données personnelles est-il prêt?
Adapter son activité aux nouvelles exigences de la loi est un processus compliqué, en particulier pour des géants comme Google, Apple, E-bay, Microsoft. Selon les experts, ce transfert prendra beaucoup de temps, par exemple, environ 1 an pour booking.com [2]. Quelques sociétés internationales qui opèrent en Russie disaient au début que c’était impossible techniquement et administrativement de transférer les données personnelles en Russie. Pour cela il faudrait ouvrir de nouveaux bureaux, acheter et installer des serveurs de stockage des données supplémentaires, changer toute la structure des systèmes de stockage des données, recruter des spécialistes IT et également former un groupe de travail composé de consultants juridiques. Toutes ces démarches nécessitent des moyens financiers supplémentaires. De plus, pour effectuer le transfert des données dans un seul endroit il est nécessaire de trouver un centre de traitement des données avec un niveau de sécurité très élevé, ce qui n’est pas toujours le cas en Russie.
Au début de l’été, l’Association des entreprises européennes, a adressé une demande au président Vladimir Poutine visant à reporter à un an l’entrée en vigueur de la loi et permettre aux entreprises étrangères de mieux se préparer aux nouvelles exigences.
Selon le sondage de la Chambre de Commerce et d’Industrie franco-russe conduit en aout 2015 [3] la plupart des sociétés – membres de la Chambre (53%) étaient prêtes à localiser de stockage et le traitement des données personnelles des internautes russes. Parmi les principales difficultés rencontrées dans la mise en œuvre de la loi, ont été mentionné les suivantes: l’aspect financier, les capacités techniques, le caractère imprécis de la loi et les problèmes dans son interprétation.
Sur le point de vue de la loi, on a des questions à éclaircir : quel type de donnée peut-on considérer comme les données personnelles? Peut-on stocker des copies de telles données à l’étranger si l’original est stocké en Russie ? Le ministère a déjà apporté certaines précisions à la nouvelle loi. Pour ce qui est du transfert transfrontalier des données, le ministère a indiqué que ces données peuvent être traitées dans un autre pays, si elles sont stockées en Russie. Par ailleurs, les bases contenant les données personnelles des russes et créées avant le 1er septembre 2015 ne doivent pas être localisées si celles-ci ne sont plus mises à jour après cette date.
Quelles sont les sanctions ?
Si une entreprise déroge à la loi, le régulateur russe – Roskomnadzor – peut couper l’accès au site internet où les données sont stockées, après avoir inscrit ledit site au registre des violateurs de la loi, une « liste noire ». Mais pour ça, Roskomnadzor a besoin d’un acte judiciaire.
Après la demande des entreprises de reporter l’entrée en vigueur des nouvelles exigences de la loi sur les données personnelles au début de l’été, Roskomnadzor a annoncé qu’il n’effectuerait aucun contrôle spontané en 2015. Jusqu’au 2016, le régulateur russe procédera à la vérification de 300 entreprises, dont le contrôle a été déjà prévu en 2014 et dont les noms sont déjà publiés.
En même temps le 9 septembre, Roskomnadzor a bloqué le 1er site internet violant la loi « sur les données personnelles »: le site internet « Tous les abonnés de Russie. Partie 2 » au nom de domaine .pw (république des Palaos). Selon Roskomnadzor le site contenait des données personnelles (noms, prénoms, adresses, téléphones, dates de naissance et lieux de travail) de plus de 1,5 million de Russes.
Donc, la Russie a donné un exemple. Suite à la décision précédemment mentionnée de la Cour de justice de l’Union européenne, une tendance de la re-segmentation du web sur des bases nationales peut apparaître.
[1] La loi fédérale n°152 de 2006 « Sur les données personnelles »
[2] http://www.silicon.fr/stockage-donnees-personnelles-russie-priorite-dsi-124232.html#xKQrqGdxC8RwjTkL.99
[3] http://www.ccifr.ru/index.php?pid=1…
Mots clés : données personnelles, droit, localisation, loi 242.
Elena Yurkina, étudiante en Commerce électronique à l’université de Strasbourg, juriste russe spécialisée en droit privé et droits de l’homme.
