Journal de l'économie

Envoyer à un ami
Version imprimable

Géopolitique de l'hébergement des données et souveraineté numérique dans le cyberespace (5) : Le cas de la Russie





Le 16 Février 2022, par Olivier de Maison Rouge

Nous proposons à travers plusieurs études, dont celle-ci constitue la cinquième contribution, une analyse juridique globale de la souveraineté numérique dans le cyberespace.
Après les USA et la Chine, nous nous intéressons ici à la Russie :


Géopolitique de l'hébergement des données et souveraineté numérique dans le cyberespace (5) : Le cas de la Russie
 Le système juridique russe est basé sur un système de droit civil continental, à l’instar du droit romano-germanique européen.
 
Toutefois, en raison de l’immensité du territoire et des compétences déléguées, comme pour les États-Unis, il existe à la fois un double niveau de législation fédéral et régional ; toutefois, la législation fédérale a la prééminence en cas de conflit de textes, notamment pour des raisons de sécurité nationale.
 
En règle générale, les questions relatives à la confidentialité des données sont régies au niveau fédéral, et les régions de Russie ne publient pas de lois ou de règlements territoriaux dans ce domaine.
 
La loi fédérale russe est d’application stricte, relevant des intérêts fondamentaux du pays, faisant du cyberespace un enjeu cardinal de la puissance et de la géopolitique slave. La localisation des données et leur soumission à la règlementation russe à l’exclusion de toute autre est l’esprit qui a guidé le législateur en la matière.
 
 1° Le principe russe de sécurité nationale en matière numérique (2016)
 
La Russie reconnaît que les technologies de l’information sont transnationales par nature et font partie intégrante des activités des individus, de la société et de l’État. Elle admet également que cette circulation de l’information – mais aussi son instrumentalisation – est de plus en plus utilisée à des fins géopolitiques, militaro-politique pouvant contrevenir aux lois internationales, ou à des fins terroristes, extrémistes, criminelles préjudiciables à la sécurité internationale et la stabilité stratégique.
 
L’adoption des technologies de l’information sans prendre en compte les impacts sur la sécurité de l’information augmente la probabilité de menaces informationnelles. Un des facteurs négatifs impactant l’état de la sécurité de l’information est le fait que nombre d’États étrangers construisent leur technologie de l’information pour influencer les infrastructures d’informations à des fins militaires.
 
Des services de renseignement de certains États utilisent de plus en plus l’information et des outils psychologiques pour déstabiliser la politique interne et les situations sociales dans de nombreuses régions du monde, violant la souveraineté et l’intégrité territoriale d’autres États.
 
La doctrine définit l’intérêt national de la Fédération dans la sphère de l’information comme les besoins des individus, de la société et de l’État à assurer leur sécurité et leur développement dans cette sphère.
 
La menace à la sécurité de l’information est une combinaison d’actions et de facteurs pouvant créer un risque de dommages portés à l’intérêt national. La sécurité de l’information est la protection des individus, de la société et de l’État contre les menaces informationnelles internes et externes, visant à assurer la protection des droits, de la qualité de vie, de la souveraineté, de l’intégrité territoriale et du développement socio-économique de la Fédération, ainsi que la défense et la sécurité de l’État.
 
Les forces de sécurité de l’information sont les agences gouvernementales, ainsi que les unités et les officiels de ces agences, des autorités locales et des organisations chargées de résoudre les problèmes de sécurité de l’information. Les infrastructures d’informations sont une combinaison de systèmes d’informations, de sites internet et de réseaux de communications localisés dans le territoire de la Fédération, dans les territoires sous juridiction de la Fédération ou utilisés d’après des traités internationaux signés par la Fédération.
 
L’intérêt national de la Fédération dans la sphère de l’information y est défini. Il s’agit d’assurer et protéger les droits constitutionnels et la liberté à utiliser et recevoir de l’information; la confidentialité dans l’utilisation des technologies de l’information, fournir un support informationnel aux institutions démocratiques et aux mécanismes d’interactions entre l’État et la société civile; ainsi que d’appliquer les technologies de l’information pour la préservation de la culture, l’histoire, la spiritualité et les valeurs morales du peuple multiethnique de la Fédération.
 
Il faut aussi maintenir la durabilité et l’opérabilité des infrastructures d’informations, principalement les infrastructures d’informations critiques, et les réseaux de télécommunications de la Fédération, en temps de paix, en cas de menace directe ou d’agression et en temps de guerre.
 
La sécurité de l’information reliée à l’État et la sécurité publique doit contrer l’usage des technologies de l’information pour promouvoir des idéologies extrémistes, la diffusion de la xénophobie et les idées d’exception nationale ayant pour but de miner la souveraineté, la stabilité politique et sociale ; supprimer les activités préjudiciables à la sécurité nationale, menées par des services de renseignements et organisations d’États étrangers, ainsi que par des individus utilisant des moyens techniques et des technologies de l’information.
 
Code criminel de la fédération de Russie (13 juin 1996) Chapitre 28. Délits informatiques (amendé le 1er janvier 1997, en 2002 et 2012) :
 
L’article 272 punit l’accès illégal à des données (informations présentées sous forme de signaux électriques, quels que soient les moyens utilisés pour leurs stockage, traitement ou transmission si cet acte a entraîné la destruction, le blocage, la modification ou la copie d’informations.
 
L’article 273 punit la création, utilisation et diffusion de programmes informatiques ou autres informations sciemment destinées à la destruction, au blocage, à la modification ou la copie non autorisée d’informations informatiques ou la neutralisation de dispositifs de sécurité d’informations informatiques.
 
L’article 274 punit la violation des règles d’exploitation des installations de stockage, de traitement et de transmission de l’information informatique ou des systèmes de télécommunication de l’information et des réseaux de télécommunication de l’information, ayant entraîné la destruction, le blocage, la modification ou la copie d’informations accompagné de la provocation d’un dommage important. Les peines varient en fonction de la gravité de l’atteinte, des fonctions de l’auteur et s’il est commis en groupe : de 100 000 jusqu’à 500 000 roubles, et des peines restrictives ou privatives de liberté de 2 à 5 ans. Si les conséquences sont graves (préjudice supérieur à 1 million de roubles), la peine peut aller jusqu’à 7 ans d’emprisonnement. Infrastructures Critiques
 
Les infrastructures d’informations critiques sont protégées par la Loi fédérale No. 187-FZ du 26 juin 2017. Ils sont dans les secteurs de la défense, la santé, la science, les communications, les transports, la finance, l’énergie, le nucléaire, le spatial, la métallurgie, la chimie, les carburants et les industries minières. Un accès non autorisé aux données protégées stockées dans ces infrastructures est puni d’une peine de prison allant de 2 à 6 ans et d’une amende de 500 milles à 1 million de roubles.
Ces infrastructures ont l’obligation d’informer les autorités en cas d’incident informatique, et d’installer des applications qui détectent, préviennent et éliminent les cyberattaques.
 
2° Protection des données et de la vie privée
 
La dernière Constitution de la Russie, qui prévoit que chaque individu a droit à la vie privée et aux secrets personnels et familiaux, a été adoptée en 1993.
 
En principe, chaque individu a le droit de garder le secret sur ses communications, et la restriction de ce droit n’est autorisée que sur décision judiciaire. La collecte, le stockage, l’utilisation et la diffusion d’informations sur la vie privée d’un individu ne sont autorisés qu’avec le consentement de ce dernier.
 
La loi fédérale n° 152-FZ sur les données personnelles du 27 juillet 2006 couvre presque tous les aspects de la protection des données. Elle stipule que tout individu ou entité travaillant avec des données personnelles est considéré comme un opérateur de données personnelles et tombe sous la réglementation ladite loi. Le 21 juillet 2014, le parlement russe adopte des amendements à cette loi (devenue la loi sur la localisation des données) qui exigent, entre autres, que les opérateurs de données qui collectent les données personnelles des citoyens russes stockent et traitent ces données en utilisant des bases de données situées en Russie ; c’est le principe de localisation sur le territoire de la Fédération de Russie.
 
L’article 3 de la loi sur les données personnelles définit les données personnelles éligibles à la protection comme toute information concernant directement ou indirectement une personne physique identifiée ou identifiable. Par exemple, le nom et le prénom seuls ne peuvent pas prétendre à la protection au titre de la loi susvisée. Lorsque le nom et le prénom se voient ajouter une adresse électronique, un numéro de téléphone ou une adresse postale, leur porteur devient identifiable.
 
La loi sur les données personnelles exige que la collecte et le traitement des données personnelles éligibles à la protection qu’elle instaure opère « sur la base d’un fondement légal » (article 5 de la loi). Parmi les « fondements légaux » autorisés (article 6-5 de la loi) figure notamment la nécessité d’exécution d’un contrat d’obligation réciproque entre l’opérateur des données et le titulaire de la donnée. En revanche, dès la conclusion du contrat, l’opérateur cesse d’être en droit de conserver ou d’utiliser les données personnelles collectées et doit les détruire ou les « dépersonnaliser ». Si l’opérateur souhaite conserver les données du titulaire, il doit trouver un autre fondement légal et devra obtenir le consentement du titulaire. Pour que le consentement soit valable, il doit être éclairé, donné dans un objectif précis et révocable à tout moment (article 9 de la loi). L’ensemble des données personnelles collectées est couvert par un engagement de confidentialité de droit. Si l’opérateur envisage de divulguer ces données à un tiers, il devra en informer le titulaire et recueillir son consentement à cette fin (articles 6 et 7 de la loi).
 
Conformément aux articles 14 et 18 de la loi sur les données personnelles, l’opérateur doit être en mesure de fournir à l’individu dont les données personnelles font l’objet d’une collecte ou d’un traitement l’information sur : le fait de collecte et de traitement de ses données personnelles ; le fondement légal de la collecte ou du traitement de ses données personnelles et leurs objectifs ; les méthodes de traitement des données personnelles que l’opérateur utilise ; l’identité (nom et adresse) de l’opérateur, de même que celle des personnes ayant accès aux données (mis à part les employés de l’opérateur) ou susceptibles d’y avoir accès ; les catégories des données personnelles collectées et traitées par l’opérateur et leur source ; les délais de conservation et de traitement des données ; les modalités d’exercice des droits réservés aux titulaires des données ; les informations relatives aux transmissions transfrontalières envisagées des données ; l’identité (dénomination / nom, prénom, patronyme) et l’adresse de la personne qui effectue le traitement des données pour le compte de l’opérateur.
 
Les articles 18.1 et 19 de la loi sur les données personnelles exigent que chaque opérateur de commerce électronique prenne des mesures techniques et organisationnelles visant à garantir la protection des données personnelles collectées. Une liste indicative de ces mesures est dressée par l’article 18.1 de la loi que les opérateurs sont libres d’adapter à leurs activités respectives tout en respectant les niveaux de protection minimum imposés par l’article 19 de la même loi.
 
Enfin l’article 22 de la loi stipule que l’opérateur de commerce électronique s’apprêtant à collecter et à traiter des données personnelles sur le territoire fédéral notifie son intention au Roskomnadzor (Роскомнадзор), à moins qu’il ne s’agisse d’une collecte ou d’un traitement à de simples fins de conclusion et d’exécution d’un contrat.
 
Toute violation de cette loi fait l’objet d’une amende pouvant s’élever jusqu’à 300 000 roubles (environ 4 100 euros). En outre, « s’il possède un acte judiciaire, le Roskomnadzor (Роскомнадзор) peut inscrire l’entreprise au registre des violateurs de la loi sur une « liste noire », et bloquer l’accès à son site internet ».
 
À noter que la loi fédérale du 6 juillet 2016 n ° 374-FZ sur l’établissement de mesures supplémentaires pour lutter contre le terrorisme et assurer la sécurité publique a aussi un impact sur les données des utilisateurs : “Ainsi, à partir du 1er juillet 2018, les opérateurs de télécommunications et les organisateurs de la diffusion d’information sont tenus de stocker les messages texte des utilisateurs de services de communication, des informations vocales, des images, des sons, des vidéos et d’autres messages d’utilisateurs sur le territoire de la Fédération de Russie.

La période d’un tel stockage peut aller jusqu’à six mois à compter de la fin de leur acceptation, transfert, livraison ou traitement, et une procédure, des conditions et un volume de stockage plus spécifiques peuvent être établis par le gouvernement de la Fédération de Russie. En outre, les opérateurs sont tenus de transmettre aux autorités compétentes les informations nécessaires pour décoder les messages électroniques, dans les cas où les utilisateurs ont la possibilité d’un chiffrement supplémentaire des messages.
 
3° Désinformation & Anti-“fake news”
 
Deux lois ont été approuvées par le parlement russe en mars 2019.
 
L’une concernait le fait d’« insulter » en ligne l’État, ses symboles et ses institutions, l’autre la désinformation et les fake news.
 
Ce dernier texte vise en l’espèce à interdire : La diffusion publique, sous couvert de messages fiables, d’informations sciemment fausses sur des circonstances qui constituent une menace pour la vie et la sécurité des citoyens, et (ou) sur les mesures prises pour assurer la sécurité de la population et des territoires, les techniques et méthodes de protection contre les circonstances susmentionnées ; tout article en ligne contenant un "manque flagrant de respect" pour le gouvernement ou la "moralité publique" devra être supprimé dans les 24 heures.
 
SANCTIONS PRÉVUES
Pour un "manque de respect", les personnes qui commettent une première infraction s’exposent à une amende pouvant aller jusqu’à 100 000 roubles (1 500 $). En cas de récidive, les amendes peuvent doubler, voire tripler, ou être assorties d’une peine d’emprisonnement de 15 jours.

Les sanctions pour la publication de "fake news" seront variables. Les particuliers, les fonctionnaires et les entreprises s’exposent à des amendes allant jusqu’à 1 million de roubles respectivement si les informations diffusées affectent le fonctionnement des infrastructures critiques telles que les transports ou les communications. Les médias traditionnels enregistrés auprès du ministère de la justice s’exposent à des amendes en vertu du projet de loi sur les "fake news", alors qu’à l’origine, ils avaient été menacés de perdre leur licence. Les sites d’information dépourvus de licence pourront être bloqués sans avertissement par l’autorité publique de régulation des médias.
 
4° Cryptographie :
 
L’article 12 de la loi fédérale n° 128-FZ "sur l’octroi de licences pour des types d’activités spécifiques" prévoit qu’une licence est nécessaire pour distribuer des installations de chiffrement, entretenir des installations de chiffrement, fournir des services de chiffrement et développer et fabriquer des systèmes d’information protégés par des moyens de chiffrement.

Loi fédérale du 27 juillet 2006 n ° 152-FZ sur les données personnelles impacte aussi les activités de cryptographie en Russie. Toutes les activités de chiffrement commercial sont ainsi régies par le règlement sur le développement, la production, la vente et le fonctionnement des outils de chiffrement (Règlement PKZ-2005) qui restreint ses activités en imposant par exemple des standards de chiffrement russe (GOST) ou encore le partage des clés de chiffrement aux autorités compétentes. À noter qu’un amendement de la loi sur les technologies de l’information rend illégale l’utilisation de protocoles de chiffrement qui masquent totalement la destination du trafic tel que TLS 1.3, DoH, DoT ou encore ESNI.
 
La Loi sur l’Internet souverain du 1er novembre 2019 (loi fédérale de Russie N90-FZ), portant « sur l’introduction de modifications à la loi fédérale ‘sur les communications’ et à la loi fédérale ‘sur les informations, les technologies de l’information et la protection des informations’, davantage connue sous le nom de « loi sur la création d’un Internet souverain » s’articule autour de plusieurs points de contrôles de l’Internet sur l’ensemble du territoire russe :

(1) en imposant aux fournisseurs d’accès à Internet (FAI) de procéder à l’installation d’équipements techniques sur les réseaux afin de faire face aux menaces à la stabilité, à la sécurité et au bon fonctionnement de l’Internet ;
(2) en désignant l’instance gouvernementale chargée de coordonner les fonctions énoncées au point (1) ;
(3) en accordant à cette instance le pouvoir de surveiller « l’Internet et les réseaux de communication publics » afin « d’identifier des menaces » à la « stabilité, à la sécurité et [...] au bon fonctionnement » de ces réseaux ;
(4) en faisant de cette instance le gestionnaire centralisé des « réseaux de communication publics » en cas de menace ;
(5) en prévoyant la création d’un « système de noms de domaine national » . Dispositions relatives au DNS de la loi sur la création d’un Internet souverain Le DNS, ou Domain Name System, est compris dans cette fameuse loi portant sur la création d’un Internet souverain. Rappelons que le DNS est d’un point de vue technique, la répartition des noms de domaines sur Internet, permettant à un ordinateur de traduire le nom de domaine (www.exemple.com) avec l’adresse IP d’un serveur, dans le but de pouvoir accéder à son contenu (voir schéma explicatif en annexe). Cette affiliation est universelle (afin d’être comprise par tous), et la distribution des noms de domaine est gérée par l’ICANN, une association à but non lucratif, mais considéré comme un think tank au service des intérêts américains.
 
Cela montre donc la volonté de la Fédération russe d’agir dans ce domaine stratégique, afin d’asseoir sa volonté d’un Internet souverain. L’article 14.2., portant sur « la garantie de l’utilisation durable et sans risque des noms de domaine en Fédération de Russie », appuie cette même volonté.
 
Il est donc pertinent de voir quatre mesures au sein de cet article, permettant de voir comment la Russie souhaite sécuriser les DNS sur son territoire, tout en évitant des pénétrations de système, voire même des tentatives d’ingérences et de cyberattaques venant de l’étranger :

1. Afin de garantir l’utilisation durable et sans risque des noms de domaine en Fédération de Russie, un système de noms de domaine national est en cours de création ; il s’agit d’une combinaison de logiciels et d’équipements interconnectés conçus pour stocker et récupérer des informations sur les adresses de réseau et les noms de domaine.
2. La réglementation définissant le système de noms de domaine national, les obligations y afférentes, son processus de création, le processus de génération des informations qu’il contient et leurs règles d’utilisation, ainsi que les conditions et les procédures d’accès aux informations, est déterminée par l’instance gouvernementale fédérale chargée de la supervision et du contrôle des médias de masse, des communications de masse, des technologies de l’information et des communications.
3. L’instance gouvernementale fédérale chargée de la supervision et du contrôle des médias de masse, des communications de masse, des technologies de l’information et des communications établit la liste des groupes de noms de domaine qui constituent le domaine de premier niveau national de la Russie.
4. La création des noms de domaine qui font partie du domaine de premier niveau national russe est coordonnée par une organisation à but non lucratif, dont la Fédération de Russie est l’un des membres fondateurs, responsable de la distribution des adresses de réseau et des noms de domaine, et déclarée auprès des organisations internationales comme étant propriétaire des bases de données contenant les informations sur ce domaine de premier niveau.

Les fonctions et les pouvoirs du fondateur sont exercés au nom de la Fédération de Russie par l’instance gouvernementale fédérale chargée de la supervision et du contrôle des médias de masse, des communications de masse, des technologies de l’information et des communications. Cette loi, portant en partie sur les dispositions relatives au DNS, a donné lieu à deux nouvelles lois fédérales : la loi fédérale ‘sur les communications’ et la loi fédérale ‘sur les informations, les technologies de l’information et la protection des informations’, et qui est pleinement entrer en vigueur le 1er janvier 2021.
 
Les principaux FAI (Fournisseurs d’Accès à Internet) de la Fédération de Russie sont donc dorénavant tenus d’utiliser le DNS national, et les autorités gouvernementales, à tous les niveaux, devront avoir recours à la cryptographie russe dans leurs communications électroniques. Les dispositions de cette loi en vigueur, au même stade que les réglementations et ordonnances adoptées nomment le ministère russe du Développement numérique, des Communications et des Médias de masse (le MoC), ainsi que l’agence placée sous sa supervision, le Service fédéral de supervision des communications, des technologies de l’information et des médias de masse (Roskomnadzor), comme principaux organes de supervision et de contrôle de la loi N90-FZ. Cette dernière stipule également que le gouvernement doit dispenser aux FAI une formation aux compétences pratiques, alors que le Roskomnadzor se doit de coordonner « l’Internet et les réseaux de communication publics » et en cas de menace majeur pouvant porter atteinte à la SSI, aura un rôle « d’autorité centralisée » vis-à-vis des réseaux publics.
 
Conclusion :
 
Les lois liées au cyberespace russe prennent deux directions stratégiques importantes :
  • Sur la couche logique, est observé un renforcement constant de l’appareil juridique visant à préserver la souveraineté du cyberespace russe, notamment concernant les protocoles Internet et la localisation des données sur le territoire national.
  • Sur la couche informationnelle, le gouvernement russe s’emploie depuis près de 20 ans à protéger les données de ses citoyens d’acteurs privés ou étranger mais œuvre aussi au renforcement de ses capacités de surveillance et de censure.
     
  À suivre …
 


Par Olivier de MAISON ROUGE
Avocat – Docteur en droit
Auteur du « Cyberisques. La gestion des risques juridiques à l’ère numérique » (LexisNexis, 2018)
À paraître (mars 2022) : « Gagner la guerre économique » VA éditions


France | Mémoire des familles, généalogie, héraldique | International | Entreprises | Management | Lifestyle | Blogs de la rédaction | Divers | Native Advertising | Juris | Art & Culture | Prospective | Immobilier, Achats et Ethique des affaires | Intelligence et sécurité économique - "Les carnets de Vauban"



Les entretiens du JDE

Les Arpents du Soleil: un vignoble normand dans la cour des grands

Tarek El Kahodi, président de l'ONG LIFE : "Il faut savoir prendre de la hauteur pour être réellement efficace dans des situations d’urgence"

Jean-Marie Baron : "Le fils du Gouverneur"

Les irrégularisables

Les régularisables

Aude de Kerros : "L'Art caché enfin dévoilé"

Robert Salmon : « Voyages insolites en contrées spirituelles »

Antoine Arjakovsky : "Pour sortir de la guerre"











Rss
Twitter
Facebook