La première conférence franco-russe dédiée au stockage des données en Russie et la cyber-sécurité a eu lieu à Moscou le 25 février 2015 dans les locaux de l’agence de presse « Rossiya segodnya ». Les experts invités ainsi que les représentants des autorités publiques ont présenté en détail la nouvelle législation et ses conséquences pratiques pour les entreprises.

La conférence organisée par la Chambre de commerce et d’industrie franco-russe (CCI France Russie) avait pour objectif d’aider les entreprises à se préparer à l’entrée en vigueur des amendements à la Loi fédérale sur la protection des données personnelles n° 242-FZ, imposant un stockage obligatoire des données sur des serveurs basés en Russie à partir du 1er septembre 2015.

L’intérêt pour cet événement auquel 150 spécialistes ont participé démontre la pertinence du sujet pour la communauté d’affaires internationale en Russie. Le législateur russe est ouvert au dialogue et à la résolution des problèmes techniques en collaboration avec le monde des affaires. Selon Vadim DENGUINE, premier vice-président du Comité de la Douma sur la politique d’information, les technologies informatiques et les communications « La nouvelle loi est en partie influencée par le contexte général et les sanctions – et cette situation ne contribue pas à un dialogue efficace entre les pays. Au sein du Comité dédié de la Douma d’Etat, nous allons résoudre les questions techniques liées à l’application de la loi. Il est probable que des assouplissements fiscaux seront introduits pour les entreprises créant des data centers – mais cette pratique ne va pas entraîner un effet de masse. Il y a beaucoup de spéculations autour de cette nouvelle loi. Mais les données personnelles des citoyens russes doivent être stockées en Russie, et cette pratique est conforme à celle établie depuis longtemps dans d’autres pays ».

Répondant à une question sur la possibilité d’une utilisation des systèmes de la ville de Moscou par des entreprises privées, Alexandre GORBATKO, directeur adjoint du Département des technologies de l’information de Moscou, a souligné que la ville de Moscou était prête à mettre la plateforme d’infrastructures de la ville à la disposition des startups susceptibles d’élargir la gamme de services offerts par la ville. Le système informatique développé par la ville est selon lui « bien adapté », au sens où celui-ci pourra être utilisé librement et ne sera pas « ultra-fermé » : par conséquent, ce système possèdera plusieurs niveaux d’identification pour différents types d’opérations ».

En abordant la partie juridique, Vadim PEREVALOV, juriste, Baker & McKenzie CEI , a averti les participants : « l’interprétation actuelle de la loi subsistera encore pendant un moment, mais si un changement intervient, l’Organe fédéral de contrôle des communications – Roskomnadzor pourra passer à une interprétation plus large de la notion de données personnelles en l’espace de 24 heures, sans pour autant changer la base légale ». Vadim PEREVALOV a donné un aperçu exhaustif des obligations des entreprises concernant le stockage des données pour être en règle avec la nouvelle loi ; de la répartition des responsabilités entre « l’opérateur des données personnelles » et la personne en charge du traitement de ces dernières ; ainsi que des modes de coopération entre les entités juridiques russes et les sièges des entreprises à l’étranger sur l’échange des données personnelles, leur utilisation et leur actualisation. L’expert a fait également le point sur la situation des boutiques en ligne étrangères, qui doivent se conformer à la loi russe. Un nombre important de questions a été posé au juriste après son intervention et pendant la pause.

La première session était modérée par Karen KAZARYAN, analyste en chef, Association russe des communications électroniques (RAEC), laquelle a également commenté certains aspects des interventions des experts. Il a notamment précisé que « l’actualisation des données personnelles, peu importe le volume réel des données mises à jour, équivaut à la collecte des données ». M. KAZARYAN a insisté sur le fait que les entreprises offrant des services de diffusion par Internet sans prendre connaissance du contenu des messages réexpédiés (par exemple, du fait que la personne envoie son passeport scanné par mail), sont exemptées de la loi en question.

La deuxième partie de la conférence, dédiée à l’état d’avancement et l’adaptation des infrastructures IT, aux services de cloud, à la question de la cyber-sécurité en Russie, ainsi qu’aux nouvelles réalités et exigences de la loi, a accueilli Vladimir KOROVKIN, directeur – innovations et technologies numériques, de l’Institut d’études des marchés émergents, Moscow School of Management SKOLKOVO ; Guy WILLNER, Président, IXcellerate ; Uliana ZININA, conseillère juridique et régulation, Microsoft ; et Kirill KERTSENBAUM, responsable développement, Kaspersky Lab.

Guy WILLNER, président d’IXcellerate – une entreprise à l’origine de la construction de leur propre data center en Russie, – a partagé avec les participants un cas réel dans la pratique de l’entreprise dans lequel un client avec une « approche internationale stratégique » effectue non seulement le transfert des bases de données vers la Russie, mais aussi envisage de faire de la Russie un centre desservant les pays eurasiens et asiatiques comme Singapour.

Uliana ZININA, conseillère juridique et régulation, Microsoft, a présenté une analyse de la nouvelle loi du point de vue de son application au services de cloud, en faisant également le point sur les exceptions à la loi dont une concerne les bases de la gestion des ressources humaines.

Kirill KERTSENBAUM, responsable développement, Kaspersky Lab, a présenté les résultats d’une enquête anonyme effectuée auprès des entreprises ayant subi des attaques de pirates informatiques : suite à l’incident, 28% des sociétés ont perdu les données personnelles des employés, et autant de sociétés – leurs données clients. « La loi américaine requiert une publication obligatoire des informations sur une fuite éventuelle des données, et des amendes importantes sont prévues en cas de non-exécution – tandis que la loi russe ne prévoit pas de telles amendes », – a rappelé l’expert du Laboratoire Kaspersky.

Les questions des participants de la salle ont porté par ailleurs sur la preuve de confirmation de la localisation de bases de données en Russie, sur l’acceptation ou non de la conclusion d’un contrat avec un data center certifié dans le cadre de l’application de la loi, etc.

En troisième partie sont intervenus Yuri LARIN, directeur ventes Russie et CEI, Arkadin Collaboration Services ; Vasily DIAGHILEV, directeur général, CheckPoint Russie et CEI ; Emin ALIEV, directeur exécutif Russie, Criteo ; Polina DOBRIYAN, directrice commerciale, PayU ; et Oleg GURIN, directeur cyber sécurité, Huawei technologies.

Polina DOBRIYAN a ainsi partagé l’expérience de PayU sur l’obtention des permis requis pour un data center russe et a invité les entreprises à se dépêcher car la procédure prend plusieurs mois. Mme DOBRIYAN a également souligné que des contrôles plus stricts sont appliqués aux entreprises souhaitant obtenir les services de PayU, suite aux événements des derniers mois.

Vasily DIAGHILEV, directeur général de CheckPoint Russie et CEI, a présenté un cas pratique concernant la situation dans laquelle s’était trouvé le quotidien français Le Monde, que Checkpoint a conseillé sur les outils de protection et de sécurisation. Selon l’opinion de M. DIAGHILEV, partagée par l’ensemble de l’auditoire, ces situations de « tests de vulnérabilité » aux attaques informatiques potentielles, permettent de repérer les erreurs et de réagir de manière préventive.
Oleg GURIN, directeur cyber sécurité, Huawei technologies, a parlé des équipements contenant des éléments intégrés de protection des données et des tests actuellement mis en place par la société chinoise.

Emin ALIEV, directeur exécutif de la société Criteo qui s’occupe de collecte et de traitement des données comportementales des personnes à travers le monde pour mener des campagnes individuelles de bannières publicitaires, a expliqué pourquoi sa société ne tombe pas sous le coup de la loi. En effet, Criteo obtient des données sous forme impersonnelle de « cookies » et travaille ainsi avec des données comportementales qui ne sont pas considérées comme « personnelles ». Par conséquent, c’est le client – par exemple, une boutique en ligne pour laquelle Criteo lance des campagnes individuelles, – qui est l’opérateur des données personnelles et en tant que tel doit se conformer à la lettre de la loi.

En conclusion de la conférence, les participants à la discussion ont souligné l’intérêt pratique de l’événement et la nécessité d’un suivi permanent des évolutions dans la législation et dans l’application pratique de la loi sur le stockage des données.

Nous remercions le sponsor de la conférence – la société IXcellerate – ainsi que nos partenaires Arkadin Collaboration Services et Eventicious.

Les présentations de tous les intervenants, ainsi que – en exclusivité ! – deux analyses sur les IT et les données personnelles – seront disponibles uniquement pour les participants à la conférence dans l’Espace membres, de même que la vidéo complète de l’événement. Plus d’informations : Lidia SOUTORMINA, responsable des comités professionnels, lidia.soutormina@ccifr.ru.

NOUVEAU ! Vous pouvez nous commander la vidéo de la conférence, même si vous n’avez pas pu y assister : moncontact@ccifr.ru.