Adrien Henni, EWDN : « La loi russe sur les données, la fin du Cloud sans frontières »

Très au fait des questions liées à l’Europe de l’Est, Adrien Henni, rédacteur en chef d’East West Digital New, a livré un rapport sur l’entrée en vigueur de la prochaine loi Russe donnant obligation aux entreprises de stocker les données de citoyens russes sur le territoire national. Il revient pour nous sur cette mesure radicale.

Silicon.fr : Que prévoit la nouvelle législation russe ? Reprendre le contrôle sur les données numériques de ses ressortissants ?

Adrien Henni : C’est la fin du stockage des données personnelles dans les nuages sans frontières. Toute entreprise détenant des données personnelles de citoyens russes devra les stocker sur des serveurs se trouvant physiquement sur le territoire russe. Elles devront également respecter la législation russe applicable dans le domaine du recueil, de la protection et de l’utilisation des données personnelles. Cette législation est particulièrement exigeante ; par exemple les entreprises doivent obtenir l’accord explicite et écrit, de préférence sur papier, pour tout usage ou transfert des données à des tiers ; elles doivent également établir des procédures techniques et organisationnelles internes strictes pour s’assurer du respect des règles, etc.

Un grand nombre d’entreprises sont concernées : qu’il s’agisse d’un site de e-commerce ou un réseau social russe (par exemple Aeroflot.ru ou Vkontakte.ru), ou étranger avec des utilisateurs russes (Amazon ou Facebook)… Même le petit hôtel de Nice, s’il a des clients russes, est censé stocker leur données personnelles sur un serveur russe ! Les sociétés basées à l’étranger ne doivent pas se croire à l’abri des sanctions : le régulateur russe pourra, en cas de non respect de la loi, couper l’accès à leur site depuis le territoire russe. Précisons néanmoins qu’il ne s’agit que des données personnelles, pas de toutes les données relatives à un utilisateur si celles-ci ne permettent pas de l’identifier. Par exemple, le texte d’un post en tant que tel sans signature, ou encore une adresse e-mail, du type 12345@hotmail.com, ne sont pas considérés comme des données personnelles.

Les entreprises sont elles prêtes ? Que recommandez vous concrètement dans votre rapport ?

Les responsables de centres de stockage de données que nous avons interrogés expliquent que, il y a quelques mois encore, la plupart des sociétés étrangères n’étaient même pas encore précisément conscientes des implications concrètes de cette loi. Aujourd’hui, les acteurs ont commencé à prendre des mesures. Certains seront prêts avant même l’échéance du 1er septembre, tels eBay et PayPal qui viennent de l’annoncer, mais d’autres pas.

La première des recommandations est de s’attaquer au problème sans plus tarder, car il y a des délais de plusieurs mois quasi-incompressibles pour mener à bien l’opération de transfert. Un partenaire local (y compris filiale d’une société international) s’impose, et il faut le sélectionner avec soin. Enfin, il faut anticiper « l’après transfert”, tant d’un point de vue technique et organisationnel que juridique. En effet la gestion des données personnelles en Russie n’est pas une affaire simple comme je l’ai dit.

Pensez vous que cette législation pourrait inspirer d’autres pays d’Europe ? 

Je ne peux me prononcer sur les autres pays que je connais peu ; mais ma conviction est que la législation mise en place par la Russie manifeste une tendance de fond beaucoup plus large : celle de la re-segmentation du web sur des bases nationales. Après le scandale de la NSA, on ne peut pas s’attendre à ce que des Etats soucieux de leur souveraineté comme la Russie, la Chine et beaucoup d’autres laissent les réseaux et les données sous le contrôle des sociétés et des agences gouvernementales américaines. Pour complexe et coûteuse qu’elle puisse être pour certains acteurs, cette législation russe s’avérera finalement utile si elle force les acteurs du web internationaux à revoir en conséquence la conception de leur bases de données et leur politique de gestion des données personnelles.

A lire aussi :