Données personnelles : la Russie durcit sa réglementation, les DSI sur le pont

Dès le 1er septembre, la loi russe impose le stockage des données personnelles sur son territoire. Ce qui oblige les DSI des entreprises opérant en Russie à revoir leurs architectures.

La Russie est en passe de durcir sa réglementation sur la protection des données personnelles de ses citoyens. Au 1er septembre prochain, toute entreprise exploitant des données personnelles devra obligatoirement les stocker sur le territoire national, selon la loi 242-FZ votée en début d’année. « A cette date, toutes les entreprises traitant des données personnelles de citoyens russes dans des bases de données situées hors de Russie doivent rendre leurs systèmes conformes aux nouvelles exigences, confirme Carsten Casper, vice-président chargé des questions de sécurité et de vie privée chez Gartner. […] Ce devrait être une priorité clé pour les responsables des données et les DSI des organisations concernées. »

Toutes les sociétés sont concernées

Sociétés de e-commerce, systèmes de réservation de voyage, compagnies d’assurance, fournisseurs d’accès… Toutes les entreprises stockant des données personnelles d’internautes russes sont concernées, qu’elles opèrent ou non dans le pays. « Cela va avoir un impact majeur sur les organisations Internet ; elles devront changer la façon dont elle stockent les informations des citoyens russes », insiste le cabinet d’études. Un impact qui ne sera pas sans conséquences financières.

Selon un sondage conduit en avril dernier par le cabinet auprès de 357 grandes entreprises dans sept pays (Etats-Unis, Royaume-Uni, Canada, Allemagne, Brésil, Inde et Australie), 37% des responsables espéraient obtenir l’équivalent d’un certificat de conformité (qui n’existait pas à l’époque de l’étude). Un tiers d’entre eux avaient l’intention de désigner un fournisseur local pour gérer les stockages et traitements de données concernés, et 28% entendaient faire une copie des données sur un serveur localisé dans le pays.

Risque de coupure d’accès au site

C’est notamment le choix qu’a opéré Ebay, première entreprise américaine à annoncer vouloir se mettre en conformité avec la nouvelle législation russe. Le site d’enchères en ligne a transféré ses données depuis la Suisse vers la Russie. L’enjeu est de taille, l’entreprise américaine y comptait 3,7 millions de clients en milieu d’année 2014.

Parmi les autres réponses recueillies par Gartner, 19% des sondés envisageaient de quitter la Russie et 18% se disaient prêts à prendre le risque d’ignorer la loi jusqu’à ce qu’ils soient rappelées à l’ordre par les autorités locales. Une analyse également partagée par David Hamner. En avril dernier, le président de DataSpace, société spécialisée dans les services d’analytique et datawarehouse, déclarait à nos confrères de EWDN que les organisations qui ne seront pas prêtes à l’échéance, espèrent obtenir des délais supplémentaires pour se mettre en conformité voire s’acquitter de pénalités financières à des niveaux acceptables. Elles prennent toutefois le risque de se voir couper l’accès à leur site depuis le territoire russe.


Lire également

Adrien Henni, EWDN : « La loi russe sur les données, la fin du Cloud sans frontières »
Le Kremlin impose le stockage des données en Russie aux acteurs US

crédit photo © Victoria P. – Fotolia.com