Loi sur les données personnelles : nouvelles règles du jeu

Les amendements à la loi sur les données personnelles entrés en vigueur le 1er septembre 2015 contraignent les entreprises étrangères à conserver toutes les données personnelles des Russes sur le territoire de la Fédération de Russie. L’adoption de cette loi a fait grand bruit et suscité un vif débat sur un éventuel départ des entreprises étrangères présentes en Russie. L’Économika, le nouveau supplément économique du Courrier de Russie, fait le point sur les nouveaux changements.

Crédits : appleinsider
Crédits : appleinsider

Qu’est-ce qui a changé le 1er septembre ?

La loi fédérale n°242 « Sur la protection des données personnelles » a été adoptée en juillet 2014. Elle apporte des modifications à la loi fédérale n°152 de 2006 « Sur les données personnelles » et oblige les entreprises à stocker sur le territoire russe les données qui y ont été collectées. L’organe de contrôle Roskomnadzor a le droit de vérifier, avec notification préalable ou non, si une entreprise respecte cette exigence.

Toute violation est passible d’une amende pouvant s’élever jusqu’à 300 000 roubles (environ 4 100 euros). En outre, s’il possède un acte judiciaire, Roskomnadzor peut inscrire l’entreprise au registre des violateurs de la loi, une « liste noire », et bloquer l’accès à son site internet.

« À partir du 1er septembre, les sociétés devront être en mesure de prouver que les données personnelles reçues dans le cadre de leur activité se trouvent en Russie. Autrement dit, la société devra montrer à Roskomnadzor les documents relatifs à l’introduction de normes conformes à la nouvelle réglementation et le serveur contenant les données recueillies dans le pays », explique Youri Larine, vice-président du comité IT de la Chambre de commerce et d’industrie franco-russe (CCI France Russie) et directeur des ventes Russie et CEI de l’entreprise Arkadin Collaboration Services.

Adapter son activité aux nouvelles normes est un processus long et compliqué, en particulier pour des géants comme Google, Samsung ou Microsoft, qui gèrent un énorme volume de données à travers le monde. Il faut savoir que créer les conditions nécessaires au stockage de données en Russie exige non seulement de recruter des spécialistes IT mais également de former un groupe de travail composé de consultants juridiques et de faire approuver le transfert des données par le siège de l’entreprise, situé à l’étranger. C’est pour cette raison précisément que les entreprises étrangères ont demandé davantage de temps pour se préparer.

Il était initialement prévu que les amendements entrent en vigueur en janvier 2015, avant que la date ne soit repoussée à septembre. Au début de l’été, la communauté des affaires, en particulier l’Association des entreprises européennes (AEB), a adressé une demande au président Vladimir Poutine pour reporter d’un an l’entrée en vigueur de la loi, de sorte que les entreprises étrangères puissent mieux se préparer aux nouvelles exigences. Les autorités n’ont toutefois pas accédé à cette requête.

Une loi « nébuleuse »

À la même période, Roskomnadzor a annoncé qu’il n’effectuerait aucun contrôle spontané en 2015. D’ici 2016, le service fédéral procédera à la vérification de 300 entreprises seulement, dont les noms ont été publiés en 2014 déjà.

Fin juin, des représentants de Roskomnadzor et du ministère des télécommunications et des médias de masse ont organisé une rencontre avec les représentants des grandes entreprises étrangères et des chambres de commerce et d’industrie pour leur apporter des éclaircissements sur des aspects pratiques de la loi.

Selon Youri Larine, les représentants des organes de contrôle ont tenté de répondre à la majorité des questions posées par les participants mais n’ont pas été à même d’expliquer le déroulement des vérifications. « La procédure ne sera claire que lorsque la loi sera appliquée, ce qui n’était pas encore le cas au moment de la rencontre », précise-t-il. Toutefois, à la demande de la CCI France Russie, Roskomnadzor a promis d’organiser une nouvelle rencontre deux mois après l’entrée en vigueur de la loi en vue de discuter de son application.

Une autre difficulté posée par la nouvelle législation est qu’elle donne une définition très large du concept de « données personnelles ». Celle-ci englobe en effet toute information « relative à une personne physique directement ou indirectement identifiée ou identifiable ». Autrement dit, aussi bien ses prénom, nom, numéro de téléphone et adresse e-mail que ses antécédents médicaux ou ses convictions religieuses.

Et la lumière fut

Par ailleurs, depuis la rencontre organisée en juin, les organes de contrôle ont apporté certaines précisions à la nouvelle loi. Plus précisément, au mois d’août, en réponse à une demande du médiateur internet Dmitri Marinitchev, le ministère des télécommunications et des médias de masse a créé sur son site une rubrique accessible à tous intitulée « Aide en ligne concernant les données personnelles ». Comme le fait remarquer M. Marinitchev lui-même, cette rubrique devrait largement contribuer à régler le problème d’interprétation de la loi fédérale n°242.

Par exemple, dans sa version initiale, la loi n’offrait pas de définition précise du concept de « base de données », ce qui aurait pu signifier que les entreprises avaient pour obligation d’installer un nouveau logiciel. Cependant, après la publication des explications, il est devenu clair qu’il leur suffit d’importer en Russie la base de données sous n’importe quel format et sur n’importe quel support, même sous la forme d’un tableau Excel.

Le ministère des télécommunications a également précisé que le transfert ne concerne que les données personnelles directement recueillies auprès de leurs propriétaires et non auprès d’opérateurs tiers. Aussi l’entreprise ne doit-elle pas faire de dépenses pour rassembler toutes les données personnelles qu’elle utilise.

Pour ce qui est du transfert transfrontalier des données, le ministère indique que ces dernières doivent être collectées sur le territoire russe mais peuvent être traitées dans un autre pays. Il précise en outre qu’il n’est pas nécessaire de transférer les bases contenant les données personnelles de Russes créées avant le 1er septembre 2015 si celles-ci ne sont plus mises à jour après cette date.

Risques pour les investisseurs ?

Par ailleurs, Dmitri Marinitchev et Youri Larine sont tous les deux convaincus que cette loi ne provoquera pas le départ des entreprises étrangères. « Une seule loi ne rebutera pas les investisseurs. Chaque pays a ses spécificités législatives. Ce n’est qu’une exigence ordinaire, comparable aux normes de sécurité incendie », affirme M. Larine.

C’est également l’avis de Mikhaïl Liadov, vice-président d’Atos chargé des ventes en Europe centrale et orientale. « Une seule loi ne fera pas renoncer les sociétés à investir en Russie. Une telle décision est toujours motivée par un ensemble de facteurs. Désormais, les entreprises qui s’implanteront en Russie devront simplement respecter de nouvelles règles, plus précises, sur la façon d’y mener des affaires », assure-t-il.

Les experts soulignent que les sanctions sectorielles imposées à la Russie par l’UE, le Canada et les États-Unis ont bien plus d’impact sur les entreprises étrangères. Ces mesures limitent en effet le travail de ces dernières avec une série de sociétés russes et leur occasionnent des pertes considérables.

« Chaque pays a ses propres lois sur la conservation des données et tout fonctionne bien », ajoute M. Liadov, convaincu que n’importe quel changement législatif est avant tout un signe que le pays « se développe et s’adapte aux nouvelles réalités, et défend ses intérêts nationaux ».

Paradoxalement, cette loi pourrait même attirer des entreprises étrangères, selon M. Liadov. « Les dépenses des sociétés étrangères se font principalement en dollars et en euros. Avec la dévaluation du rouble, conserver ses données sur des serveurs russes coûte désormais moins cher et est, par conséquent, plus rentable », conclut-il.

FAQ

La loi sur les données personnelles n’empêche pas de réserver des chambres d’hôtel à l’étranger

La nouvelle loi sur les données personnelles n’empêche pas les Russes de louer des chambres d’hôtel sur les sites internet étrangers non adaptés aux visiteurs russes. « Nous avons réussi à faire en sorte que la loi ne vise plus les services internet qui ne sont pas spécialement destinés aux internautes russes », a expliqué le médiateur internet Dmitri Marinitchev à L’Économika.

Les systèmes de réservation de billets d’avion sont autorisés à ne pas stocker leurs données en Russie

Le ministère russe des télécommunications et des médias de masse autorise les systèmes étrangers de réservation de billets d’avion à ne pas transférer en Russie les serveurs contenant les données personnelles de Russes. Selon les explications publiées sur le site du ministère, le transfert et le traitement des données personnelles des voyageurs sont déjà réglementés par les lois sur la sécurité des transports et différents accords internationaux.

Roskomnadzor bloque le 1er site internet violant la loi « sur les données personnelles »

Le 9 septembre, Roskomnadzor a inscrit au registre des violateurs de la loi « Sur les données personnelles » la page internet « Tous les abonnés de Russie. Partie 2 » au nom de domaine .pw (république des Palaos). Selon le service fédéral, le site contenait des données personnelles (noms, prénoms, patronymes, adresses, téléphones, dates de naissance et lieux de travail) de plus de 1,5 million de Russes.

Les entreprises françaises sont prêtes à appliquer la loi sur les données personnelles

Peu avant l’entrée en vigueur des amendements à la loi fédérale n°152 « Sur les données personnelles », la Chambre de commerce et d’industrie franco-russe (CCI France Russie) a mené sur son site un sondage anonyme destiné à ses entreprises membres pour savoir si elles étaient prêtes à respecter la nouvelle législation russe. Plus de 50 entreprises présentes en Russie ont participé au sondage. Plus de 53 % ont répondu être prêtes à exécuter les nouvelles exigences relatives au stockage des données personnelles. Près de 39 % ont déclaré être prêtes à le faire, mais avec du retard. Les 8 % restantes ont indiqué qu’elles n’étaient pas prêtes à appliquer la nouvelle loi.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *