Pour gérer vos consentements :

Adrien Henni, EWDN : « La loi russe sur les données, la fin du Cloud sans frontières »

Très au fait des questions liées à l’Europe de l’Est, Adrien Henni, rédacteur en chef d’East West Digital New, a livré un rapport sur l’entrée en vigueur de la prochaine loi Russe donnant obligation aux entreprises de stocker les données de citoyens russes sur le territoire national. Il revient pour nous sur cette mesure radicale.

Silicon.fr : Que prévoit la nouvelle législation russe ? Reprendre le contrôle sur les données numériques de ses ressortissants ?

Adrien Henni : C’est la fin du stockage des données personnelles dans les nuages sans frontières. Toute entreprise détenant des données personnelles de citoyens russes devra les stocker sur des serveurs se trouvant physiquement sur le territoire russe. Elles devront également respecter la législation russe applicable dans le domaine du recueil, de la protection et de l’utilisation des données personnelles. Cette législation est particulièrement exigeante ; par exemple les entreprises doivent obtenir l’accord explicite et écrit, de préférence sur papier, pour tout usage ou transfert des données à des tiers ; elles doivent également établir des procédures techniques et organisationnelles internes strictes pour s’assurer du respect des règles, etc.

Un grand nombre d’entreprises sont concernées : qu’il s’agisse d’un site de e-commerce ou un réseau social russe (par exemple Aeroflot.ru ou Vkontakte.ru), ou étranger avec des utilisateurs russes (Amazon ou Facebook)… Même le petit hôtel de Nice, s’il a des clients russes, est censé stocker leur données personnelles sur un serveur russe ! Les sociétés basées à l’étranger ne doivent pas se croire à l’abri des sanctions : le régulateur russe pourra, en cas de non respect de la loi, couper l’accès à leur site depuis le territoire russe. Précisons néanmoins qu’il ne s’agit que des données personnelles, pas de toutes les données relatives à un utilisateur si celles-ci ne permettent pas de l’identifier. Par exemple, le texte d’un post en tant que tel sans signature, ou encore une adresse e-mail, du type 12345@hotmail.com, ne sont pas considérés comme des données personnelles.

Les entreprises sont elles prêtes ? Que recommandez vous concrètement dans votre rapport ?

Les responsables de centres de stockage de données que nous avons interrogés expliquent que, il y a quelques mois encore, la plupart des sociétés étrangères n’étaient même pas encore précisément conscientes des implications concrètes de cette loi. Aujourd’hui, les acteurs ont commencé à prendre des mesures. Certains seront prêts avant même l’échéance du 1er septembre, tels eBay et PayPal qui viennent de l’annoncer, mais d’autres pas.

La première des recommandations est de s’attaquer au problème sans plus tarder, car il y a des délais de plusieurs mois quasi-incompressibles pour mener à bien l’opération de transfert. Un partenaire local (y compris filiale d’une société international) s’impose, et il faut le sélectionner avec soin. Enfin, il faut anticiper « l’après transfert”, tant d’un point de vue technique et organisationnel que juridique. En effet la gestion des données personnelles en Russie n’est pas une affaire simple comme je l’ai dit.

Pensez vous que cette législation pourrait inspirer d’autres pays d’Europe ?

Je ne peux me prononcer sur les autres pays que je connais peu ; mais ma conviction est que la législation mise en place par la Russie manifeste une tendance de fond beaucoup plus large : celle de la re-segmentation du web sur des bases nationales. Après le scandale de la NSA, on ne peut pas s’attendre à ce que des Etats soucieux de leur souveraineté comme la Russie, la Chine et beaucoup d’autres laissent les réseaux et les données sous le contrôle des sociétés et des agences gouvernementales américaines. Pour complexe et coûteuse qu’elle puisse être pour certains acteurs, cette législation russe s’avérera finalement utile si elle force les acteurs du web internationaux à revoir en conséquence la conception de leur bases de données et leur politique de gestion des données personnelles.

A lire aussi :

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

11 minutes ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

4 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

8 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

10 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

1 jour ago