La protection des données en Russie : un droit à la dérive

A partir du 21 novembre, si ce n’est plus tôt, LinkedIn, en passe d’être racheté par le groupe Microsoft, sera rendu définitivement inaccessible aux 146,5 millions d’habitants de la Russie. A l’origine de ce blocage d’une ampleur remarquable, une décision de justice s’appuyant sur le droit de la protection des données russe, à la requête du Roskamnadzor (Роскомнадзор), l’homologue de la CNIL. L’occasion de se pencher sur l’état du droit russe en la matière, et le rôle particulier que joue la protection des données pour cet État.

La décision rendue par le tribunal moscovite s’appuie sur la loi fédérale 242-FZ de 2014, dernière évolution en date du corpus législatif qui constitue, en Russie, le droit positif de la protection des données à caractère personnel. Constitué par trois lois successives depuis 2006, ce corpus est directement dérivé de la Convention 108 du Conseil de l’Europe « pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel », ouverte à la signature depuis le 28 janvier 1981, et à laquelle la Russie, tout comme la France, est partie.
Premier instrument international contraignant relatif à la protection des données, la Convention 108 a fortement inspiré la directive de 1995, ces deux textes puisant eux-mêmes très largement dans la loi française du 6 janvier 1978, précurseur visionnaire dont la pertinence s’est maintenue presque quarante ans grâce à sa formulation claire et abstraite. Dès lors, on peut considérer que le droit russe est, en la matière, très largement similaire au droit européen.

Notons à titre liminaire que le droit russe de la protection des données s’appuie sur ce socle que constituent les articles 23 et 24 de la Constitution de 1993, lesquels énoncent :

Article 23

1. Chacun a droit à l’inviolabilité de la vie privée, au secret personnel et familial, à la défense de son honneur et de sa réputation.

2. Chacun a droit au secret de la correspondance, des entretiens téléphoniques, des communications postales, télégraphiques et autres. La limitation de ce droit n’est permise que sur la base d’une décision judiciaire.

Article 24

1. La collecte, la conservation, l’utilisation et la diffusion d’informations relatives à la vie privée d’une personne sans son accord sont interdites.

La protection des données a donc, en Russie, un fondement constitutionnel direct, tandis qu’en France, le droit à la protection de ses données n’est constitutionnalisé qu’à travers le droit au respect de la vie privée. Mais comme le souligne très justement Roseline Letteron sur son blog : « la protection des données, c’est un combat quotidien, pas une disposition gravée dans le marbre devant laquelle il convient de faire quelques génuflexions ». Et la Russie a su montrer que l’on peut disposer de textes très bavards sur les libertés fondamentales, et en faire une interprétation et une application douteuse dans la réalité1.

Dans les textes, cependant, chacun pourra constater les similarités avec notre droit national2. La donnée personnelle est ainsi définie comme « toute information directement ou indirectement reliée à une personne physique identifiée ou identifiable », le traitement comme « toute opération portant sur ces données ». La loi énonce les grands principes de la protection des données dans des termes familiers : consentement préalable, finalité définie, proportionnalité, sécurité,… La nomination d’un DPO est même obligatoire pour toute personne morale depuis 2006 !

La construction de ce bel édifice, parfois en avance sur le droit européen, a toutefois pris un tournant en 2014, avec l’adoption de la loi 242. En insérant de nouvelles dispositions dans les lois de 2006 et 2008 de protection des données, issues d’un arbitrage « à la russe » entre liberté et sécurité, ces dernières se sont faites l’instrument du nationalisme russe, des outils au service de la politique étrangère du gouvernement.

D’abord, la loi 242 crée une liste noire des sites « contraires au droit de la protection des données ». Nouvelle manifestation juridique de l’appareil de censure conçu par le gouvernement, ce registre a vocation à recenser tous les sites dont l’accès doit être intégralement bloqués, parce qu’ils ne respectent pas le droit de la protection des données. Ce registre, qui incarne une conception toute particulière de la répression des manquements et de la non-conformité, est géré par le Roskamnadzor, qui s’apparente aujourd’hui à une sorte de fusion de la CNIL, de l’ARCEP et du CSA, mais sans aucune forme d’indépendance à l’égard du pouvoir3. Au passif de cette agence, on compte le blocage des pages relatives aux narcotiques de Wikipédia, de Github, mais également des services Amazon. La loi fédérale 398 permettait déjà au Roskamnador de censurer les sites, sans passer par un juge, qui inciteraient à la violence, aux émeutes, à l’extrémismes, et aux rassemblements illégaux, ce à quoi il a été promptement procédé afin de faire taire des dizaines de sites tenus par des opposants4. En somme, l’autorité de protection des données russe est devenue la main de l’État dans l’entreprise de censure de l’internet.

Seconde disposition majeure, la loi 242 impose à tous les responsables de traitement de données personnelles relatives à des citoyens russes de stocker ces données sur le territoire national. Sans naïveté aucune, cette obligation nouvelle entrée en vigueur le 1er septembre 2016 a autant vocation à prémunir les personnes concernées des conséquences d’un transfert de données – comme le Privacy Shield pouvait le faire dans l’Union, que de permettre l’intrusion des services de renseignement, sur le même modèle que les États-Unis5.

C’est sur ce fondement que LinkedIn a été définitivement banni de Russie.

En définitive, il est intéressant d’observer comment, progressivement, le droit russe de la protection des données à caractère personnel est devenu le support de la politique du gouvernement consistant à censurer l’opposition et réduire le soft-power américain. L’exemple peut en effet tenir lieu d’avertissement, et montre à quel point il est indispensable de garantir l’indépendance d’autorités aussi essentielles que la CNIL et de rester vigilants face aux mesures liberticides, qui avancent toujours masquées.

  1. Anna Politkovskaïa pourrait trouver une ou deux choses à redire sur le « droit à la vie » que garantit l’article 20 de la Constitution…
  2. Pour une synthèse, voir cette adresse http://uk.practicallaw.com/2-502-2227#, le mieux restant de consulter directement la loi, en anglais : https://pd.rkn.gov.ru/authority/p146/p164/.
  3. Voir, sur le sujet, le site officiel de cette autorité : http://eng.rkn.gov.ru/about/.
  4. Pour un résumé, voir la page wikipédia realtive à la censure de l’internet en Russie : https://en.wikipedia.org/wiki/Internet_censorship_in_Russia.
  5. En effet, toutes les données physiquement situées dans ce pays sont soumises à l’entièreté du dispositif de renseignement américain, qui autorise notamment les agences telles que la NSA à y accéder.

Comments are closed, but trackbacks and pingbacks are open.