Le système juridique russe est fondé sur un système de droit civil continental, à l’instar du droit romain c’est-à-dire un système de droit écrit dont la source principale est la loi (comme dans le droit français). Toutefois, en raison de l’immensité du territoire et des compétences déléguées aux structures régionales, il existe un double niveau de législation fédéral et régional (comme pour les États-Unis) même si la législation fédérale a la prééminence en cas de conflits de lois, notamment pour des raisons de sécurité nationale. La cybersécurité relève de cette notion supérieure.
Dans ce domaine, la loi fédérale russe est d’application stricte, puisqu’elle relève des intérêts fondamentaux du pays, faisant du cyberespace un enjeu cardinal de la puissance et de la géopolitique slave. La localisation des données et leur soumission à la réglementation russe à l’exclusion de toute autre sont l’esprit qui a guidé le législateur en la matière.
Le principe russe de sécurité nationale en matière numérique (2016)
La Russie reconnaît que les technologies de l’information sont transnationales par nature et font partie intégrante des activités des individus, de la société et de l’État. Elle admet également que cette circulation de l’information – mais aussi son instrumentalisation – est de plus en plus utilisée à des fins géopolitiques, militaro-politiques pouvant contrevenir aux lois internationales, ou à des fins terroristes, extrémistes, criminelles préjudiciables à la sécurité internationale et à la stabilité stratégique.
En Russie, la sécurité de l’information concerne la protection des individus, de la société et de l’État contre les menaces informationnelles internes et externes, visant à assurer la protection des droits, de la qualité de vie, de la souveraineté, de l’intégrité territoriale et du développement socio-économique de la Fédération, ainsi que la défense et la sécurité de l’État.
C’est pourquoi, selon la législation russe, la menace contre la sécurité de l’information est une combinaison d’actions et de facteurs pouvant créer un risque de dommages portés à l’intérêt national. En Russie, la sécurité de l’information concerne la protection des individus, de la société et de l’État contre les menaces informationnelles internes et externes, visant à assurer la protection des droits, de la qualité de vie, de la souveraineté, de l’intégrité territoriale et du développement socio-économique de la Fédération, ainsi que la défense et la sécurité de l’État.
L’article 272 du Code criminel de la fédération de Russie (13 juin 1996) punit l’accès illégal à des données (définies comme des informations présentées sous forme de signaux électriques), quels que soient les moyens utilisés pour leurs stockage, traitement ou transmission si cet acte a entraîné la destruction, le blocage, la modification ou la copie d’informations.
L’article 273 du même code punit la création, l’utilisation et la diffusion de programmes informatiques ou autres informations sciemment destinées à la destruction, au blocage, à la modification ou la copie non autorisée d’informations informatiques ou la neutralisation de dispositifs de sécurité d’informations informatiques.
L’article 274 punit la violation des règles d’exploitation des installations de stockage, de traitement et de transmission de l’information informatique ou des systèmes de télécommunication de l’information et des réseaux de télécommunication de l’information, ayant entraîné la destruction, le blocage, la modification ou la copie d’informations accompagnés de la provocation d’un dommage important. Les peines varient en fonction de la gravité de l’atteinte, des fonctions de l’auteur (de son statut et de ses activités) et si l’atteinte est commise en groupe : de 100 000 jusqu’à 500 000 roubles, et des peines restrictives ou privatives de liberté de deux à cinq ans. Si les conséquences sont graves (préjudice supérieur à un million de roubles), la peine peut aller jusqu’à sept ans d’emprisonnement.
Les infrastructures critiques
Les infrastructures d’informations critiques sont protégées par la loi fédérale n° 187-FZ du 26 juin 2017. Elles relèvent des secteurs de la défense, de la santé, de la science, des communications, des transports, de la finance, de l’énergie, du nucléaire, du spatial, de la métallurgie, de la chimie, des carburants et des industries minières(1)Cette liste est à mettre en relation avec la « liste négative » des 12 secteurs stratégiques chinois dans lesquels les investisseurs étrangers sont soit interdits soit contrôlés : http://www.ciprocess.com/liste-negative-des-investissements-etrangers-en-chine.html..Un accès non autorisé aux données protégées stockées dans ces infrastructures est puni d’une peine de prison allant de 2 à 6 ans et d’une amende de 500 milles à 1 million de roubles.
Ces infrastructures ont l’obligation d’informer les autorités en cas d’incident informatique, et d’installer des applications qui détectent, préviennent et éliminent les cyberattaques.
Protection des données et de la vie privée
La Constitution de la Fédération de Russie adoptée en 1993 précise que chaque individu a droit à la vie privée et aux secrets personnels et familiaux. En principe, chaque individu a le droit de garder le secret sur ses communications, et la restriction de ce droit n’est autorisée que sur décision judiciaire. La collecte, le stockage, l’utilisation et la diffusion d’informations sur la vie privée d’un individu ne sont autorisés qu’avec le consentement de ce dernier.
La loi fédérale n° 152-FZ sur les données personnelles du 27 juillet 2006 couvre presque tous les aspects de la protection des données. Elle édicte que tout individu ou entité travaillant avec des données personnelles est considéré comme un opérateur de données personnelles et tombe sous la réglementation de ladite loi. Le 21 juillet 2014, le parlement russe a adopté des amendements à cette loi (devenue la loi sur la localisation des données) qui exigent, entre autres, que les opérateurs de données qui collectent les données personnelles des citoyens russes stockent et traitent ces données en utilisant des bases de données situées en Russie ; c’est le principe de localisation sur le territoire de la Fédération de Russie. Nous avons pu voir dans l’article sur les États-Unis que ces derniers avaient dans le Cloud Act de 2018 élargi la possibilité d’accès de leurs services de renseignement aux données personnelles de tout individu, de toute entité dès qu’elle avait recours à des services numériques d’une entreprise américaine et cela quel que soit le territoire de localisation des serveurs. Face à cette nouvelle extraterritorialité du Droit américain, la seule localisation sur le territoire ne suffit plus.
La loi sur les données personnelles exige que la collecte et le traitement des données personnelles éligibles à la protection qu’elle instaure opèrent « sur la base d’un fondement légal » (article 5 de la loi). Parmi les « fondements légaux » autorisés (article 6-5 de la loi) figure notamment la nécessité d’exécution d’un contrat d’obligation réciproque entre l’opérateur des données et le titulaire de la donnée. En revanche, dès la fin du contrat, l’opérateur cesse d’être en droit de conserver ou d’utiliser les données personnelles collectées et doit les détruire ou les « dépersonnaliser ». Si l’opérateur souhaite conserver les données du titulaire, il doit trouver un autre fondement légal et devra obtenir le consentement du titulaire. Pour que le consentement soit valable, il doit être éclairé, donné dans un objectif précis et révocable à tout moment (article 9 de la loi). L’ensemble des données personnelles collectées est couvert par un engagement de confidentialité de droit. Si l’opérateur envisage de divulguer ces données à un tiers, il devra en informer le titulaire et recueillir son consentement à cette fin (articles 6 et 7 de la loi).
Conformément aux articles 14 et 18 de la loi sur les données personnelles, l’opérateur doit être en mesure de fournir à l’individu dont les données personnelles font l’objet d’une collecte ou d’un traitement l’information sur : le fait de collecte et de traitement de ses données personnelles ; le fondement légal de la collecte ou du traitement de ses données personnelles et leurs objectifs ; les méthodes de traitement des données personnelles que l’opérateur utilise ; l’identité (nom et adresse) de l’opérateur, de même que celle des personnes ayant accès aux données (mis à part les employés de l’opérateur) ou susceptibles d’y avoir accès ; les catégories des données personnelles collectées et traitées par l’opérateur et leur source ; les délais de conservation et de traitement des données ; les modalités d’exercice des droits réservés aux titulaires des données ; les informations relatives aux transmissions transfrontalières envisagées des données ; l’identité (dénomination / nom, prénom, patronyme) et l’adresse de la personne qui effectue le traitement des données pour le compte de l’opérateur.
Enfin l’article 22 de la loi édicte que l’opérateur de commerce électronique s’apprêtant à collecter et à traiter des données personnelles sur le territoire fédéral notifie son intention au Roskomnadzor (Роскомнадзор), à moins qu’il ne s’agisse d’une collecte ou d’un traitement à de simples fins de conclusion et d’exécution d’un contrat.
Toute violation de cette loi fait l’objet d’une amende pouvant s’élever jusqu’à 300 000 roubles (environ 4 100 euros). En outre, « s’il possède un acte judiciaire, le Roskomnadzor (Роскомнадзор) peut inscrire l’entreprise au registre des violateurs de la loi sur une «liste noire», et bloquer l’accès à son site Internet ».
À noter que la loi fédérale du 6 juillet 2016 n° 374-FZ sur l’établissement de mesures supplémentaires pour lutter contre le terrorisme et assurer la sécurité publique a aussi un impact sur les données des utilisateurs. Ainsi, à partir du 1er juillet 2018, les opérateurs de télécommunications et les organisateurs de la diffusion d’information sont tenus de stocker les messages texte des utilisateurs de services de communication, des informations vocales, des images, des sons, des vidéos et d’autres messages d’utilisateurs sur le territoire de la Fédération de Russie.
La période d’un tel stockage peut aller jusqu’à six mois à compter de la fin de leur acceptation, transfert, livraison ou traitement, et une procédure, des conditions et un volume de stockage plus spécifiques peuvent être établis par le gouvernement de la Fédération de Russie. En outre, les opérateurs sont tenus de transmettre aux autorités compétentes les informations nécessaires pour décoder les messages électroniques, dans les cas où les utilisateurs ont la possibilité d’un chiffrement supplémentaire des messages.
Désinformation et lutte contre les « fake news »
Deux lois ont été approuvées par le parlement russe en mars 2019. L’une concerne le fait d’« insulter » en ligne l’État, ses symboles et ses institutions, l’autre la désinformation et les fake news.
Ce dernier texte vise en l’espèce à interdire la diffusion publique, sous couvert de messages fiables, d’informations sciemment fausses sur des circonstances qui constituent une menace pour la vie et la sécurité des citoyens, et (ou) sur les mesures prises pour assurer la sécurité de la population et des territoires, les techniques et méthodes de protection contre les circonstances susmentionnées ; tout article en ligne contenant un « manque flagrant de respect » pour le gouvernement ou la « moralité publique » devra être supprimé dans les 24 heures. Vous remplacez « manque flagrant de respect » par « haine » et vous retrouvez un contenu qui ressemble fort au projet de loi dit « loi Avia » qui avait été promulguée le 24 juin 2020, mais dont heureusement les articles les plus attentatoires aux libertés publiques, car trop « flous » ont été censurés par le Conseil constitutionnel.
Pour un « manque de respect », les personnes qui commettent une première infraction s’exposent à une amende pouvant aller jusqu’à 100 000 roubles (1 500 $). En cas de récidive, les amendes peuvent doubler, voire tripler, ou être assorties d’une peine d’emprisonnement de quinze jours.
Les sanctions pour la publication de « fake news » sont variables. Les particuliers, les fonctionnaires et les entreprises s’exposent à des amendes allant jusqu’à un million de roubles respectivement si les informations diffusées affectent le fonctionnement des infrastructures critiques telles que les transports ou les communications. Les médias traditionnels enregistrés auprès du ministère de la Justice s’exposent à des amendes en vertu du projet de loi sur les « fake news », alors qu’à l’origine, ils avaient été menacés de perdre leur licence. Les sites d’information dépourvus de licence pourront être bloqués sans avertissement par l’autorité publique de régulation des médias.
Le cas particulier du cryptage des données :
L’article 12 de la loi fédérale n° 128-FZ « sur l’octroi de licences pour des types d’activités spécifiques » prévoit qu’une licence est nécessaire pour distribuer des installations de chiffrement, entretenir des installations de chiffrement, fournir des services de chiffrement et développer et fabriquer des systèmes d’information protégés par des moyens de chiffrement.
La Loi sur l’Internet Souverain du 1er novembre 2019 (loi fédérale de Russie N90-FZ), portant « sur l’introduction de modifications à la loi fédérale sur les communications et à la loi fédérale sur les informations, les technologies de l’information et la protection des informations », davantage connue sous le nom de « loi sur la création d’un Internet souverain » s’articule autour de plusieurs points de contrôles de l’Internet sur l’ensemble du territoire russe :
1) en imposant aux fournisseurs d’accès à Internet (FAI) de procéder à l’installation d’équipements techniques sur les réseaux afin de faire face aux menaces à la stabilité, à la sécurité et au bon fonctionnement de l’Internet ;
2) en désignant l’instance gouvernementale chargée de coordonner les fonctions énoncées au point (1) ;
3) en accordant à cette instance le pouvoir de surveiller « l’Internet et les réseaux de communication publics » afin « d’identifier des menaces » à la « stabilité, à la sécurité et […] au bon fonctionnement » de ces réseaux ;
4) en faisant de cette instance le gestionnaire centralisé des « réseaux de communication publics » en cas de menace ;
5) en prévoyant la création d’un « système de noms de domaine national ». Rappelons que le DNS (Domain Name System) est d’un point de vue technique, la répartition des noms de domaines sur Internet, permettant à un ordinateur de traduire le nom de domaine (www.exemple.com) avec l’adresse IP d’un serveur, dans le but de pouvoir accéder à son contenu. Cette affiliation est universelle (afin d’être comprise par tous), et la distribution des noms de domaine est gérée par l’ICANN, une association à but non lucratif, mais considérée comme un think tank au service des intérêts américains(2)Voir cet article pour de plus amples précisions sur l’ICANN : https://www.gaucherepublicaine.org/respublica-culture/respublica-arts-et-sciences-respublica-culture/geostrategie-des-donnees-les-etats-unis-et-la-chine/7435001..
Cela démontre la volonté de la Fédération russe d’agir dans ce domaine stratégique, afin d’asseoir sa volonté d’un Internet souverain. L’article 14.2., portant sur « la garantie de l’utilisation durable et sans risque des noms de domaine en Fédération de Russie », appuie cette même volonté.
Les principaux FAI (Fournisseurs d’Accès à Internet) de la Fédération de Russie sont donc dorénavant tenus d’utiliser le DNS national, et les autorités gouvernementales, à tous les niveaux, devront avoir recours à la cryptographie russe dans leurs communications électroniques. Les dispositions de cette loi en vigueur, au même stade que les réglementations et ordonnances adoptées nomment le ministère russe du Développement numérique, des Communications et des Médias de masse (le MoC), ainsi que l’agence placée sous sa supervision, le Service fédéral de supervision des communications, des technologies de l’information et des médias de masse (Roskomnadzor), comme principaux organes de supervision et de contrôle de la loi N90-FZ.
Cette dernière stipule également que le gouvernement doit dispenser aux FAI une formation aux compétences pratiques, alors que le Roskomnadzor se doit de coordonner « l’Internet et les réseaux de communication publics » et en cas de menace majeure pouvant porter atteinte à la SSI (sécurité des systèmes d’information), aura un rôle « d’autorité centralisée » vis-à-vis des réseaux publics.
En conclusion, les lois liées au cyberespace russe prennent deux orientations stratégiques importantes :
- Sur la couche logique, est observé un renforcement constant de l’appareil juridique visant à préserver la souveraineté du cyberespace russe, notamment concernant les protocoles Internet et la localisation des données sur le territoire national.
- Sur la couche informationnelle, le gouvernement russe s’emploie depuis près de vingt ans à protéger les données de ses citoyens d’acteurs privés ou étrangers, mais œuvre aussi au renforcement de ses capacités de surveillance et de censure.
Et cela traduit également un autoritarisme patent renforcé depuis les « opérations spéciales » contre l’Ukraine depuis février 2022 (comprendre l’invasion de l’Ukraine par la Russie).
Notes de bas de page
| ↑1 | Cette liste est à mettre en relation avec la « liste négative » des 12 secteurs stratégiques chinois dans lesquels les investisseurs étrangers sont soit interdits soit contrôlés : http://www.ciprocess.com/liste-negative-des-investissements-etrangers-en-chine.html. |
|---|---|
| ↑2 | Voir cet article pour de plus amples précisions sur l’ICANN : https://www.gaucherepublicaine.org/respublica-culture/respublica-arts-et-sciences-respublica-culture/geostrategie-des-donnees-les-etats-unis-et-la-chine/7435001. |