Relocalisation des données
L'ensemble des serveurs sur lesquels sont stockées les données personnelles des citoyens russes devrait être transféré en Russie
Les débats et lois les plus controversés impliquent le secteur privé. Le contexte de l'après-Snowden est venu à point nommé pour les responsables politiques qui, pour justifier de nouvelles législations, avancent que les politiques en matière de respect de la vie privée adoptées par les géants du Net (Google, Facebook, Twitter, etc.) menacent la souveraineté numérique ? et donc nationale ? de la Russie. Dans la foulée des révélations de l'ancien contractuel de la NSA (National Security Agency), des parlementaires ont alors suggéré que l'ensemble des serveurs sur lesquels sont stockées les données personnelles des citoyens russes devrait être transféré en Russie. Les mêmes ont entamé une campagne médiatique dans le but de placer les grandes plateformes numériques sous juridiction russe ? soit en exigeant d'être accessible en Russie sous l'extension .ru, soit en les obligeant à être hébergées sur le territoire russe.
Les débats parlementaires ont continué pendant plus d'un an jusqu'à l'adoption, à l'automne 2014, de la loi fédérale amendant les précédents textes sur le traitement des données personnelles au sein des réseaux d'information et de télécommunications. La loi vise à limiter l'utilisation de serveurs étrangers pour la collecte, la rétention, le traitement et le stockage des données personnelles des citoyens russes, et à faciliter les activités de surveillance de l'État via Roskomnadzor.
Censée entrer en application le 1er septembre 2014, la loi fit polémique parmi l’industrie, qui a réalisé qu'elle ne pourrait se conformer aux nouvelles dispositions à temps. Les réactions négatives de nombreux acteurs privés russes et internationaux ont contraint la Douma à reprogrammer la date effective. La loi est entrée en application le 1er septembre 2015, bien qu'elle ait introduit des nuances dans sa portée. Roskomnadzor a admis qu'il ne vérifierait pas la conformité des services « grand public » avec la loi sur les données personnelles avant 2016, mais a fait une exception pour les données des passagers aériens, lesquelles, selon les conventions internationales, doivent être conservées internationalement. Selon certains
observateurs, la principale cible des autorités russes est le marché du numérique russe : « les compagnies qui achètent et vendent des produits ou services en Russie aux Russes, mais qui peuvent héberger les données des consommateurs dans des serveurs
offshore ».
La relocalisation sert aussi à contenir toute dissidence et à susciter des sentiments anti-américains à des fins politiques
À l’évidence, la Russie n'est pas le premier pays à légiférer sur la relocalisation des données : la Chine, l'Inde ou l'Indonésie ont mis en place des lois similaires et le Brésil ainsi que l'Allemagne ont cherché à promulguer des politiques de relocalisation. En réalité,
le mouvement de la relocalisation des données est un phénomène complexe et varié : selon le pays dans lequel elle est avancée, la relocalisation sert aussi à imposer des mesures protectionnistes aux acteurs étrangers, à accroître les capacités de surveillance des agences de renseignement russes, à contenir toute dissidence et à susciter des sentiments anti-américains à des fins politiques.
La Russie combine toutes ces motivations – au détriment de ses performances économiques. La moitié du
PIB russe provient du secteur tertiaire, qui recourt massivement aux données. Il est à craindre que cette loi n'entraîne des conséquences inattendues pour l'économie russe et à la capacité de celle-ci à attirer des investissements et à créer des emplois. Sous un angle sécuritaire, la loi sur la relocalisation des données peut être interprétée comme la volonté des autorités russes de lutter contre le protocole https, utilisé en particulier par Gmail, Facebook et Wikipedia. Les systèmes de surveillance de l’internet des services russes ne peuvent « manier » le https en raison du chiffrement utilisé, les standards de celui-ci ayant été fortement renforcés par les grands acteurs du Net après les révélations de Snowden. La Russie n'est pas un cas isolé : des
pays européens comme la Grande-Bretagne ou la France ont cherché à placer les acteurs du numérique sous pression de sorte que leurs services de sécurité puissent surveiller les activités extrémistes en ligne.