Sites internationaux : attention aux mesures de souveraineté numérique
Ecrit par Marc Grosvalet
le
La justice Russe vient d’ordonner la fermeture des accès au réseau Linkedin en Russie. Le motif invoqué est le non respect par la société américaine d’une loi de 2014 qui impose que les données personnelles des internautes russes soient conservées en Russie.
Est-ce une mesure de censure? Une décision protectionniste ? En fait c’est avant tout l’application d’une loi destinée à tirer les conséquences de l’affaire Snowden. Et les Russes n’ont pas été les seuls à édicter de nouvelles règles destinées à restituer aux Etats leur souveraineté sur l’internet. Les sites internationaux doivent prendre conscience de cette situation et respecter ces nouvelles règles…
Qu’en est-il exactement ?
Le cas de la Russie : les données privées des citoyens russes doivent être hébergées en Russie
La loi Russe entrée en vigueur le 1er septembre 2015, est claire : si dans le cadre de vos activités numériques, vous collectez et conservez des données personnelles sur des citoyens russes, ces données doivent être hébergées en russie. Dans la pratique, cela signifie qu’il est difficile d’avoir une activité sur internet en Russie sans que le site soit hébergé là bas. Ebay l’a compris, et a déjà transféré ses serveurs de Suisse en Russie.
Mais la loi s’étend également théoriquement aux sites étrangers utilisés par des Russes : ainsi un site de réservations d’hôtels sur la côte d’azur s’adressant à des oligarques russes ne doit pas non plus stocker leurs données personnelles en dehors du territoire russe. La sanction est la coupure de l’accès à ce site étranger depuis la Russie à la demande de l’institution russe de régulation des télecoms : Roskomnadzor !
L’avenir nous dira comment sera appliquée cette loi aux sites étrangers. Mais elle vise d’ores et déjà les GAFA (Google, Apple, Facebook, Amazon) ainsi que Twitter et Linkedin, soupçonnés de servir de collecteurs de données pour les services de renseignement américains. L’objectif est clairement de compliquer le travail de la NSA dans la surveillance de l’internet russe : le « Runet ».
Est-ce excessif ? Trop radical ? Une mesure de censure liberticide ? Une atteinte aux principes de liberté sur Internet ?
La Chine a également pris des mesures similaires, mais également : les instances européennes. Beaucoup l’ignorent et enfreignent la loi Européenne sans le savoir…
La souveraineté numérique en Europe : le « Privacy Shield »
En Europe, les révélations du lanceur d’alerte Edward Snowden ont conduit la Cour de Justice Européenne à retoquer l’accord dit « Safe Harbour » qui permettait de considérer que les données personnelles des Européens pouvaient être légalement hébergées (ou transférées) aux Etats Unis sans enfreindre de règles européennes. Il s’agissait d’une exception : depuis plusieurs années une directive européenne interdit le transfert hors UE de données personnelles dès lors que les droits des citoyens européens ne sont plus garantis. Cette directive fixe en fait une règle similaire à la loi Russe.
L’accord « Safe Harbour » a donc été remplacé par le « Privacy Shield », entré en vigueur le 1er août 2016. Le « bouclier de protection des données personnelles » (c’est le nom du dispositif en français) ne part plus du principe que le transfert des données aux USA est autorisé, mais au contraire interdit par défaut. Il prévoit néanmoins une « liste blanche » de prestataires américains autorisés en toute légalité à héberger aux USA des données personnelles d’internautes européens.
Notons qu’en Allemagne, une législation plus dure existe depuis des années, obligeant les propriétaires de sites à démontrer sous peine d’amende que les éditeurs de sites et leurs sous traitants respectent bien la directive européenne sur les données personnelles.
S’agissant de sites publics, ce durcissement conduit de plus en plus d’acteurs à ne pas recourir à des services en ligne de sociétés américaines, qu’ils traitent ou non des données personnelles.
Donc si vous avez un site international, et/ou si vous faites appel des services en ligne de sociétés étrangères, ne vous mettez pas hors la loi !
Voici quelques liens pour en savoir plus :
Le site du dispositif Privacy Shield
https://www.privacyshield.gov/
Le Guide de la commission européenne sur le Privacy Shield
http://ec.europa.eu/justice/data-protection/files/eu-us_privacy_shield_guide_fr.pdf
La dernière directive européenne sur la protection des données personnelles
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Le site d’information russe sur la loi de protection des données personnelles des citoyens russes
http://pd-info.ru/
et des infos en français de la Chambre de Commerce Franco Russe sur cette loi
http://www.ccifr.ru/ru/public/Pages_from_Pages_IT_FR.pdf