Pour gérer vos consentements :

Russie : les entreprises face au défi des données personnelles

A compter de ce mois-ci, les données personnelles des citoyens russes doivent être stockées sur des serveurs installées physiquement sur le territoire russe. Les sociétés ne respectant pas cette nouvelle loi s’exposent à des amendes, voire à ce que l’accès à leurs services en ligne site soit bloqué par le régulateur Roskomnadzor.

Les entreprises étrangères ne sont pas les dernières à être concernées, qu’il s’agisse de géants du Net comme Amazon ou Facebook, ou simplement – en théorie – du moindre hôtel de la Côte d’Azur comptant des Russes dans son fichier clients (voir les détails dans le livret blanc de East-West Digital News et EY)

Les défis techniques que cette loi implique varient du tout au tout selon le type de business et l’architecture de la base de données : si celle-ci n’a pas été conçue pour séparer les données sur la base de critères d’origine, son adaptation peut exiger des travaux significatifs et coûteux, sans parler du stockage des données dans un data center russes.

Au cours des derniers mois, plusieurs grands acteurs ont annoncé qu’elles seraient prêtes lors de l’échéance du 1er septembre. Il en est ainsi de Apple, Booking.com, eBay, PayPal, AliExpress (filiale B2C d’Alibaba) et de l’opérateur international de paiements PayU.

D’autres sociétés, tels la filiale russe de La Redoute ou le site e-commerce russe KupiVIP, avaient transféré leurs données en Russie il y a plusieurs années, anticipant les changements à venir.

Parmi les acteurs ayant annoncé des travaux en cours et une prochaine mise aux normes, on compte Google, SAP, Samsung, Lenovo et IBM.

Le régulateur a d’ailleurs accordé une sorte période de grâce : jusqu’au 1er janvier 2016, il s’abstiendra d’inspecter et de sanctionner ceux qui sont qui n’ont pas achevé la migration des données.

Le cas de Facebook reste problématique : ne considérant pas les informations sur ses utilisateurs comme des données personnelles, le réseau social fait toujours mystère de ses intentions quant à l’adaptation de sa base à la loi russe.

Certains acteurs internationaux – une petite minorité selon un sondage effectué cet été par la Chambre de Commerce et d’Industrie Franco-Russe (CCIFR) – ne sont pas décidés à appliquer la loi. Ils envisagent même de quitter le pays, découragées par ces nouvelles règles complexes, par la crise économique et par la dégradation des relations entre la Russie et les pays occidentaux.

Enfin, certaines sociétés ne sont pas visées par la loi en vertu de certaines conventions internationales. Tel est le cas des compagnies aériennes et des systèmes de réservation de billets d’avion.

Quatre règles d’or pour la gestion des données personnelles russes

  • Les données personnelles ne peuvent être recueillies, stockées et exploitées qu’avec l’autorisation (de préférence écrite) de l’intéressé.
  • A compter de septembre 2015, les données personnelles doivent être conservées dans des bases de données situées physiquement sur le territoire de la Fédération de Russie.
  • Les entités opérant le stockage des données personnelles sont responsables de leur confidentialité ; ces données ne peuvent être transmises, partagées ou ouvertes à des tiers sans l’autorisation des personnes concernées.
  • Une série de mesures techniques et organisationnelles doit être mise en œuvre pour garantir la protection complète des données personnelles.

Ces règles ne s’appliquent pas à toutes les données utilisateurs, mais aux données personnelles, c’est-à-dire, selon la loi russe, à celles qui permettent d’identifier spécifiquement une personne parmi de nombreux individus.

par Adrien Henni, rédacteur en chef de East-West Digital News, un portail d’informations et d’analyses sur l’économie numérique en Russie.

East-West Digital News et EY, en partenariat avec NetMediaEurope, offrent un guide complet et gratuit sur la gestion des données personnelles en Russie. Pour le télécharger, veuillez cliquer sur ce lien : https://www.ewdn.com/files/personaldatastorage.pdf

Crédit Photo : Victoria-P.-Fotolia.

Recent Posts

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

4 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

7 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

9 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

1 jour ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago