Russie : les entreprises face au défi des données personnelles

A compter de ce mois-ci, les données personnelles des citoyens russes doivent être stockées sur des serveurs installées physiquement sur le territoire russe. Les sociétés ne respectant pas cette nouvelle loi s’exposent à des amendes, voire à ce que l’accès à leurs services en ligne site soit bloqué par le régulateur Roskomnadzor.

Les entreprises étrangères ne sont pas les dernières à être concernées, qu’il s’agisse de géants du Net comme Amazon ou Facebook, ou simplement – en théorie – du moindre hôtel de la Côte d’Azur comptant des Russes dans son fichier clients (voir les détails dans le livret blanc de East-West Digital News et EY)

Les défis techniques que cette loi implique varient du tout au tout selon le type de business et l’architecture de la base de données : si celle-ci n’a pas été conçue pour séparer les données sur la base de critères d’origine, son adaptation peut exiger des travaux significatifs et coûteux, sans parler du stockage des données dans un data center russes.

Au cours des derniers mois, plusieurs grands acteurs ont annoncé qu’elles seraient prêtes lors de l’échéance du 1er septembre. Il en est ainsi de Apple, Booking.com, eBay, PayPal, AliExpress (filiale B2C d’Alibaba) et de l’opérateur international de paiements PayU.

D’autres sociétés, tels la filiale russe de La Redoute ou le site e-commerce russe KupiVIP, avaient transféré leurs données en Russie il y a plusieurs années, anticipant les changements à venir.

Parmi les acteurs ayant annoncé des travaux en cours et une prochaine mise aux normes, on compte Google, SAP, Samsung, Lenovo et IBM.

Le régulateur a d’ailleurs accordé une sorte période de grâce : jusqu’au 1er janvier 2016, il s’abstiendra d’inspecter et de sanctionner ceux qui sont qui n’ont pas achevé la migration des données.

Le cas de Facebook reste problématique : ne considérant pas les informations sur ses utilisateurs comme des données personnelles, le réseau social fait toujours mystère de ses intentions quant à l’adaptation de sa base à la loi russe.

Certains acteurs internationaux – une petite minorité selon un sondage effectué cet été par la Chambre de Commerce et d’Industrie Franco-Russe (CCIFR) – ne sont pas décidés à appliquer la loi. Ils envisagent même de quitter le pays, découragées par ces nouvelles règles complexes, par la crise économique et par la dégradation des relations entre la Russie et les pays occidentaux.

Enfin, certaines sociétés ne sont pas visées par la loi en vertu de certaines conventions internationales. Tel est le cas des compagnies aériennes et des systèmes de réservation de billets d’avion.

Quatre règles d’or pour la gestion des données personnelles russes

• Les données personnelles ne peuvent être recueillies, stockées et exploitées qu’avec l’autorisation (de préférence écrite) de l’intéressé.
• A compter de septembre 2015, les données personnelles doivent être conservées dans des bases de données situées physiquement sur le territoire de la Fédération de Russie.
• Les entités opérant le stockage des données personnelles sont responsables de leur confidentialité ; ces données ne peuvent être transmises, partagées ou ouvertes à des tiers sans l’autorisation des personnes concernées.
• Une série de mesures techniques et organisationnelles doit être mise en œuvre pour garantir la protection complète des données personnelles.

Ces règles ne s’appliquent pas à toutes les données utilisateurs, mais aux données personnelles, c’est-à-dire, selon la loi russe, à celles qui permettent d’identifier spécifiquement une personne parmi de nombreux individus.

par Adrien Henni, rédacteur en chef de East-West Digital News, un portail d’informations et d’analyses sur l’économie numérique en Russie.

East-West Digital News et EY, en partenariat avec NetMediaEurope, offrent un guide complet et gratuit sur la gestion des données personnelles en Russie. Pour le télécharger, veuillez cliquer sur ce lien : https://www.ewdn.com/files/personaldatastorage.pdf

Crédit Photo : Victoria-P.-Fotolia.