Le « Data Nationalism », l’exemple de la Russie

Dans le cadre de mon MBA, j’ai été amené à faire un exposé sur une loi régissant les données numériques d’un pays. Nous avions le choix du pays. Sur suggestion de mon binôme qui est de nationalité Kazakh, nous avons fait le choix de la loi Fédérale russe du 21 Juillet 2014 N 242-FZ, qui est entrée en vigueur le 1er septembre 2015.

En effet depuis le 1er Septembre, cette loi qui précise les modalités de traitement des données personnelles sur les réseaux informatiques et de télécommunications, oblige toutes les entreprises qui stockent des données personnelles de citoyens russes qu’elles opèrent ou non en Russie, de les héberger sur des serveurs installés physiquement sur le territoire national russe.

Cette loi concerne toutes les sociétés de e-commerce, de réservation de voyages, les banques, les assurances, les opérateurs télécoms, les fournisseurs d’accès, les prestataires de réseaux sociaux, etc.

Cette loi n’est-elle pas un paradoxe par rapport à l’esprit d’Internet qui est un réseau ouvert et distribué ? N’est-ce pas une tentative d’instaurer des frontières au sein du cyber espace ?

 

  1. Pourquoi cette loi ?

La Russie indique que cette loi a été votée pour les raisons suivantes :

  • Prévenir les services de sécurité de pays étrangers d’accumuler des données personnelles des citoyens russes.
  • Empêcher les entreprises étrangères de transmettre des données des citoyens russes aux organismes d’application de la loi ou des services de sécurité de pays étrangers.
  • Empêcher les données personnelles des citoyens russes d’être stockées à l’étranger.

Dans tous les cas, la Russie ne semble pas être le seul pays qui se soit engagé sur cette logique qui consisterait à reproduire leurs frontières étatiques dans le cyberespace. Au vu de l’architecture d’Internet, est-ce vraiment possible ? J’en doute…

  1. La sanction

La sanction pour ceux qui ne respecteront la loi, ira d’une amende, à une coupure d’accès à Internet pour les sociétés basées en Russie, pour les entreprises étrangères leur site Internet deviendra inaccessible depuis le territoire russe.

 Les entreprises ayant déjà déplacées leurs données

Cette loi a fait naitre un nouveau business, de nouvelles entreprises se sont créées pour assister les entreprises à se mettre en conformité avec cette loi. Des Datacenters sont en train d’être créés ou développés.

Les entreprises ci-dessous auraient déjà déplacé leurs données :

  • Alibaba Group
  • com
  • Samsung Electronics
  • Lenovo
  • PayPal
  • eBay
  • Uber
  • Citibank
  • Google

 

  1. Les lois similaires dans les autres pays

La Russie n’est pas la seule à avoir ce type de loi. Un petit tour d’horizon :

Union européenne

La Directive Européenne de 1995 sur la protection des données reconnait que la libre circulation des données à travers les frontières est nécessaire pour le commerce. Dans le même temps, il vise à protéger les données sur les Européens quand elles sont distribuées à travers le monde. Dans ce cadre les données peuvent être transférées avec une dizaine de pays pour lesquels l’Union Européenne estime que les données sont protégées : Suisse, Canada, Israël, Andorre, Uruguay, Argentine, etc…

Avec les Etats-Unis, il existe le protocole « Safe Harbor » qui a été invalidé le 6 octobre 2015 dernier par la Cour de justice de l’Union européenne. La cour considère que les États-Unis n’offrent pas un niveau de protection adéquat aux données personnelles transférées. Sans doute la suite du scandale Snowden

 Australie

L’article 77 du « Personnaly Controlled Electronic Health Records (PCEHR)», interdit sauf exception le transfert des dossiers de santé en dehors de l’Australie.

Canada 

Au niveau fédéral le PIPEDA (Personal Information Protection and Electronic Documents Act) n’interdit pas le transfert des données à l’extérieur du Canada, mais par contre 02 provinces British Columbia et Nova Scotia exigent que toutes les informations personnelles gérées par les organismes Publics doivent être hébergées au Canada et accédées uniquement à partir du Canada sauf pour certaines exceptions

Chine

Dans le secteur bancaire depuis 2011, les banques ou services financiers qui opèrent en Chine sont obligés d’opérer leur données uniquement à partir du territoire chinois

En 2013, le gouvernement chinois a publié les lignes directrices sur la sécurité des technologies de l’information. Les données personnelles ne peuvent être transférées que sauf accord express de la personne concernée ou si en accord avec une régulation en vigueur.

Indonésie

La régulation 82 «Electronic System and Transaction Operation», exige pour toutes les entreprises qui opèrent avec le Service Public, d’avoir leur Datacenter sur le territoire indonésien pour des questions de souveraineté nationale.

Malaisie 

En 2010, la loi PDPA (Personal Data Protection Act) a été promulguée et exige que toutes les données concernant les malaysiens doivent être hébergées en local.

Nigeria

Pour essayer d’équilibrer la balance commerciale dans le secteur de l’IT, le NITDA (National Information Technology Development Agency) a en 2013, établit les guidelines pour atteindre l’objectif de 50% de fournisseurs locaux.

Il est prescrit que les données du gouvernement doivent être absolument hébergées au Nigeria

Et d’autres pays encore : Kazakhstan, Vietnam, Corée du Sud, …

  1. Et pour finir

Bien que les gouvernements ont le droit et la responsabilité de protéger la vie privée et la sécurité des données de leurs citoyens, la mise en place des normes et standards de protection internationaux, des accords internationaux entre Etats, seront plus efficaces que la tentative d’imposer de nouvelles frontières numériques qui ne peuvent pas être efficaces au vue de l’architecture d’Internet. Les entreprises ou les individus trouveront toujours des moyens de les contourner.

Gartner considère dans une récente étude  que « Le data nationalisme » est l’un des quatre facteurs perturbateurs qui forcera des changements dramatiques dans le marché des Datacenters d’ici fin d’année 2016.

Vu dans un sens de développement des infrastructures informatiques locales, pourquoi pas …

Microsoft a annoncé pour fin 2016 l’ouverture de 2 nouveaux datacenters en Europe, plus précisément à Frankfort et  à Magdebourg. Ceux-ci seront opérés par un tiers, T-Systems, filiale de l’allemand Deutsche Telekom. “Microsoft ne pourra pas accéder aux données sans avoir la permission de ses clients ou de ce tiers, et si cette permission venait à être donnée, l’accès serait fait sous la supervision de Deutsche Telekom”, souligne bien Microsoft. Ce qui signifie que ces Datacenters ne seront pas soumis au Patriot Act. IBM, Amazon sont également en train d’emboiter le pas.

 

Source :

http://law.emory.edu/elj/content/volume-64/issue-3/articles/data-nationalism.html

http://www.techweekeurope.co.uk/workspace/gartner-nationalism-will-change-data-centre-market-dramatically-2016-152252

http://www.software-russia.com/business/cities

http://blog.navexglobal.com/2015/09/30/new-russian-data-protection-law-five-important-things-know

http://www.software-russia.com/news/industry_news/the-biggest-data-center-in-russia-will-be-nuclear-powered

http://geektimes.ru/post/261348

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s