Le 1er septembre 2015, la disposition sur la localisation du stockage et certains processus de traitement des données personnelles, définie dans la loi fédérale n ° 242 du 21 juillet 2014 «portant modification de certains actes législatifs de la Fédération de Russie en ce qui concerne la clarification du traitement des données personnelles dans réseaux d'information et de télécommunications. "
Le 1er septembre 2017, Roskomnadzor a publié son rapport sur le travail accompli pour se conformer à la loi, nous en avons écrit plus dans notre
article .
Eh bien, c'est la nôtre. Et dans d'autres pays? Les experts de Roskomnadzor ont effectué leur analyse, sur la base de laquelle ils ont posté sur le réseau leur «Revue analytique de l'expérience internationale dans la localisation de bases de données contenant des données personnelles de citoyens», qui souhaitent lire le texte intégral du document, le trouver
ici .
Le document est assez complet et contient à la fois la pratique des pays étrangers et un examen de l'application de la pratique russe. Nous passerons brièvement en revue les pratiques étrangères.
Donc, en participant à la revue du pays:
- Australie
- Vietnam
- Indonésie
- Inde
- Kazakhstan
- Le Canada
- La Chine
- La malaisie
- Nigéria
Australie
En 2012, l'Australie a adopté une loi réglementant l'accès aux dossiers médicaux électroniques à des fins pertinentes (Loi sur les dossiers de santé électroniques contrôlés personnellement 2012 n ° 63), qui, entre autres, a déterminé l'obligation des personnes d'avoir accès aux informations contenues dans des fichiers électroniques. dossiers médicaux des citoyens pour assurer le stockage de ces informations en Australie.
Ainsi, selon la partie 1 de l'art. 77 de la Loi, un opérateur de système, un opérateur de référentiel enregistré, un opérateur de portail enregistré ou un fournisseur de services contractuels enregistré qui stocke des enregistrements aux fins du système PCEHR, indépendamment du fait que les enregistrements soient stockés à d'autres fins) ou aient accès à des informations concernant ces enregistrements, ne devraient pas :
- tenir des registres ou enregistrer des notes en dehors de l'Australie;
- traiter ou traiter les informations relatives aux enregistrements en dehors de l'Australie;
- Autoriser d'autres personnes à conserver des enregistrements ou à utiliser des enregistrements en dehors de l'Australie, à traiter ou traiter des informations relatives aux enregistrements à l'extérieur de l'Australie.
En cas de violation de ces interdictions, une amende de 120 unités d'amende est prévue.
En même temps, partie 2 de l'article 77 de la loi prévoit qu'aux fins de l'exploitation ou de l'administration du système PCEHR, l'opérateur du système a le droit:
- pour stocker et accepter ces documents en dehors de l'Australie, à condition que ces enregistrements ne contiennent pas d'informations personnelles concernant un consommateur ou un membre du système PCEHR ou des informations identifiant une personne physique ou morale;
- traiter ces informations en dehors de l'Australie, à condition que les informations ne soient pas des informations personnelles concernant un consommateur ou un membre du système PCEHR et / ou des informations identifiant une personne physique ou morale.
Les organisations qui traitent des informations liées à la santé devraient créer des centres de données en Australie ou confier le traitement à des entreprises australiennes disposant de tels centres en Australie. Le traitement des informations sur le statut des citoyens à l'extérieur n'est autorisé que sous forme anonyme.Vietnam
En septembre 2013, un décret sur la gestion, la fourniture et l'utilisation des services Internet et des contenus d'information sur Internet est entré en vigueur au Vietnam. Ainsi, toutes les entreprises fournissant des services Internet doivent avoir au moins un serveur avec des bases de données au Vietnam.
En octobre 2013, le Ministère de l'information et des communications a diffusé un projet de circulaire fournissant des données supplémentaires sur la mise en œuvre du décret, y compris l'exigence selon laquelle, s'il existe des exigences pour un système de serveurs situé au Vietnam, l'ensemble du système de serveurs situé hors du Vietnam, doit répondre à ces exigences.
Indonésie
En 2012, le gouvernement indonésien a exigé que les agences gouvernementales, les organisations impliquées dans la fourniture de services publics, assurent la création de centres de données en Indonésie.
La disposition de la clause 82 du fonctionnement du système électronique et des opérations stipule qu'à cette fin, le gestionnaire du système électronique doit également établir un centre de reprise après sinistre sur le territoire indonésien.
En 2014, le ministère des Communications a étendu l'obligation de trouver des centres de données pour la reprise après sinistre pour un plus large éventail d'institutions - toutes les institutions et organisations qui fournissent des services utilisant les technologies de l'information.
En outre, l'opérateur du système électronique doit assurer le stockage des données de transaction en Indonésie. L'obligation de stocker les données résultant des transactions électroniques entre les fournisseurs de systèmes électroniques et leurs clients en Indonésie s'applique aux fournisseurs de systèmes électroniques privés et publics en vertu de la RG 82.
Inde
Conformément à la politique nationale d'échange de données et d'accessibilité de l'Inde, toutes les données collectées à l'aide de ressources publiques doivent être stockées en Inde.
En février 2014, le Conseil national de sécurité de l'Inde a proposé d'assurer la localisation de toutes les données personnelles des citoyens indiens en Inde.
Il a été supposé que tous les fournisseurs de services de messagerie pouvaient être chargés d'héberger leurs serveurs collectant des données indiennes en Inde. En outre, l'initiative du Conseil de sécurité nationale interdit la création de miroirs pour ces serveurs si le serveur principal est stocké à l'étranger.
Actuellement, la loi indienne sur les télécommunications prévoit que toutes les informations sur les clients et les informations sur les utilisateurs (à l'exception des informations d'itinérance) doivent être stockées en Inde, et l'accès à distance à ces informations depuis l'extérieur de l'Inde est interdit.
Kazakhstan
Au Kazakhstan, la loi sur les données personnelles de la République du Kazakhstan a été adoptée en 2013, et en 2015, des modifications y ont été apportées. Les changements de 2015 étaient associés à l'introduction de l'obligation de stocker (localiser) les données personnelles au Kazakhstan. L'obligation de stocker des données personnelles au Kazakhstan est entrée en vigueur le 1er janvier 2016.
L'obligation de localiser les données personnelles nécessite uniquement le stockage de bases de données contenant des données personnelles sur le territoire de la République du Kazakhstan.
La loi n'exige pas de stocker d'abord les données personnelles au Kazakhstan, puis de les transférer vers d'autres pays. En conséquence, la collecte, le traitement, l'utilisation et la modification de la base de données peuvent être effectués d'abord à l'étranger, puis sauvegarder la base de données avec des données personnelles sur le territoire de la République du Kazakhstan. Dans ce cas, les entreprises doivent être prêtes à fournir la preuve que la base de données contenant des données personnelles a été ultérieurement stockée au Kazakhstan.
Dans le cas d'un stockage initial de données à l'étranger, il est important d'assurer la synchronisation des bases de données à l'étranger et au Kazakhstan. La fréquence de synchronisation n'est pas définie dans la loi sur les données personnelles.
Les données personnelles au Kazakhstan devraient être stockées à la fois par les propriétaires de bases de données et les opérateurs de bases de données.
Le Canada
Au Canada, la législation fédérale n'exige pas la localisation des bases de données personnelles des citoyens au Canada. Cependant, une telle exigence existe au niveau de deux provinces - la Nouvelle-Écosse et la Colombie-Britannique.
Jusqu'en décembre 2017, la Colombie-Britannique avait une loi sur l'accès à l'information et la protection des renseignements personnels. Selon l'art. 30.1. Selon la loi, l'autorité publique doit s'assurer que le stockage des renseignements personnels détenus par une telle autorité, ainsi que l'accès à ceux-ci, est effectué uniquement au Canada. Dans le même temps, la personne concernée pourrait consentir au stockage ou à l'utilisation d'informations personnelles dans une autre juridiction.
En Nouvelle-Écosse, le stockage des bases de données contenant des données personnelles est réglementé par les dispositions de la Personal Information Protection Act. Les lois de localisation en Nouvelle-Écosse sont identiques à celles de la Colombie-Britannique (art. 5 (1)).
La Chine
En 2011, la Banque populaire de Chine a publié un avis sur la nécessité d'augmenter les niveaux de protection des informations financières personnelles.
Les informations financières personnelles en Chine désignent les informations personnelles (nom, sexe, nationalité, photo), les informations sur les biens personnels, les informations de compte personnelles, les informations de crédit personnelles, les informations de transaction, les autres informations dérivées (informations obtenues en analysant les informations principales), autres informations personnelles, devenues connues de la Banque dans le cadre de la coopération commerciale, des relations contractuelles.
L'avis interdit aux banques de stocker, de traiter ou d'analyser en dehors de la Chine toute information financière personnelle qui a été collectée en Chine, ou de fournir des informations financières personnelles collectées en Chine à une société offshore.
La violation des exigences contenues dans la notification autorise la Banque populaire de Chine à ordonner à la banque concernée de corriger sa non-conformité et d'obliger la banque à sanctionner les responsables.
En outre, à partir du 1er juin 2017, la loi sur la cybersécurité est entrée en vigueur, qui a établi de nouvelles restrictions pour les opérateurs d'infrastructures d'informations clés, les opérateurs de réseau et les fournisseurs de produits et services de réseau.
Ainsi, l'article 37 de la loi sur la cybersécurité stipule que les opérateurs d'infrastructures d'informations critiques doivent stocker les informations personnelles collectées ou produites par eux en Chine continentale en Chine continentale. Cependant, lorsque, en raison d'exigences commerciales, il est vraiment nécessaire d'assurer le stockage des informations personnelles en dehors du continent, les opérateurs d'infrastructures d'informations critiques doivent suivre les mesures formulées conjointement par les services d'information du réseau d'État et les services compétents du Conseil d'État pour effectuer une évaluation de la sécurité; mais dans les cas où les lois et les règles administratives en disposent autrement, ces dispositions doivent être respectées.
Si les opérateurs d'infrastructures d'informations critiques enfreignent l'article 37 de la loi en stockant des données en dehors du continent ou en fournissant des données de réseau à des individus ou des organisations en dehors du continent sans évaluation de sécurité, le service compétent compétent donne des avertissements, confisque les avantages obtenus illégalement et inflige des amendes pouvant aller jusqu'à 50 000 à 500 000 yuans
(9,74 roubles pour 1 yuan au taux de la Banque centrale au 29 mai 2018) et peut rendre une décision sur la suspension temporaire des opérations, etc. et la suspension des activités pour éliminer les violations, mettre fin à l'exploitation des sites Web et révoquer les permis d'activités correspondants. Ceux qui exercent un contrôle sur le respect des exigences de la loi, les personnes responsables, en cas de violation, sont passibles d'une amende de 10 000 à 100 000 yuans.
En outre, l'exigence de localisation s'applique aux bases de données contenant des informations médicales. Ainsi, les mesures de gestion des informations de santé publique adoptées par le Comité d'État pour la santé et la procréation prévue de la RPC stipulent que les institutions médicales, les organismes de sécurité sociale (services sociaux) et les institutions de planification familiale ne peuvent pas stocker d'informations sur la santé publique sur des serveurs à l'étranger ou autrement héberger ou louer des serveurs étrangers.
En ce qui concerne les activités des entreprises étrangères en Chine, nous notons qu'une notification est périodiquement envoyée à leurs bureaux de représentation en Chine avec une demande de localisation du stockage des données personnelles en Chine. En cas de refus, les services Internet de ces sociétés sont temporairement bloqués sur la base d'une décision de l'organe exécutif autorisé.La malaisie
En 2010, la loi malaisienne sur la protection des données personnelles a interdit le transfert de données personnelles à l'extérieur du pays.
Le transfert transfrontalier de données à caractère personnel n'est possible qu'à certaines conditions et dans un certain nombre de cas exceptionnels. Le consentement du sujet des données personnelles doit être obtenu, s'il est nécessaire de respecter le contrat entre le sujet et l'opérateur, la nécessité de respecter le contrat entre l'opérateur et le tiers, qui a été conclu à la demande ou dans l'intérêt du sujet des données personnelles.
Nigéria
Au Nigéria, en 2013, l'Agence nationale pour le développement des technologies de l'information a publié un guide pour le développement du contenu nigérian dans les technologies de l'information et de la communication. Selon les dispositions du Guide, les organisations impliquées dans l'identification des données et des informations d'un citoyen doivent assurer la localisation de ces bases de données dans le pays.
Au lieu d'une postface
Comme nous le voyons à partir d'exemples de lois d'autres pays, nous ne sommes pas les seuls à être engagés d'une manière ou d'une autre dans la localisation. Mais, comme toujours, nous avons notre propre caractère législatif. Contrairement aux exemples ci-dessus, notre loi prévoit que la loi étend son effet même aux organisations qui n'ont pas de bureaux de représentation en Fédération de Russie. Rappelons ici le commentaire du ministère des Communications:
"... les obligations relatives à la localisation de certains processus de traitement des données personnelles s'appliquent aux opérateurs étrangers, à condition qu'ils exercent des activités dirigées sur le territoire de la Fédération de Russie et qu'il n'y ait aucune exception expressément spécifiée dans la partie 5 de l'article 18 de la loi fédérale" sur les données personnelles "(par exemple, un accord international, pour atteindre les objectifs pour lesquels le traitement est effectué). "
PS Vous pouvez télécharger ici notre livre blanc sur la loi fédérale n ° 152 .Il s'agit d'un livre qui a été publié afin d'aider à éliminer la confusion concernant le traitement des données personnelles et à décrire clairement le processus de mise à disposition des informations personnelles conformément à la loi russe. Le sujet se déroule à partir de zéro. Cela permet de répondre aux besoins d'un large éventail de lecteurs.