GDPR. Faut-il l'exécuter en Russie?

Qu'est-ce que le RGPD?

Le 25 mai 2018, le règlement général de l'Union européenne sur la protection des données (RGPD, ci-après dénommé le RGPD, le règlement) est entré en vigueur. De nombreuses personnes pensent que le RGPD ne s'applique qu'aux organisations ou entreprises européennes qui traitent des données personnelles (PD) dans l'Union européenne. Mais en fait, le règlement est extraterritorial et s'applique aux organisations qui ne sont pas situées dans l'Union européenne.

Le Règlement, ainsi que la Loi fédérale n ° 152-No. sur les données personnelles de la Fédération de Russie, utilisent les concepts et approches formulés dans la Convention pour la protection des personnes à l'égard du traitement automatisé des données personnelles.
Le règlement met principalement l'accent sur la protection des droits et libertés des individus dans le traitement de leurs données à caractère personnel.

Les organisations russes entrant dans le champ d'application du RGPD se retrouvent «entre deux incendies»: elles sont tenues de se conformer à la fois à la législation russe et au nouveau règlement européen. Dans cet article, nous allons essayer de révéler qui doit se conformer aux exigences du RGPD en Russie, pourquoi et quelles pourraient être les conséquences de ne pas les respecter.

À qui s'applique le RGPD?

Selon l'article 3 du règlement, le RGPD s'applique:

1. Traitement PD au cours des activités de l'opérateur ou du sous-traitant (la personne à qui l'opérateur a confié le traitement PD) sur le territoire de l'Union européenne (UE), indépendamment du lieu où le traitement est effectué - sur le territoire de l'UE ou en dehors de celui-ci.

2. Traitement PD par un opérateur ou un processeur situé en dehors de l'UE, si le traitement est associé à:

a. offrir des biens ou des services (payants ou gratuits) à des sujets PD situés dans l'UE;

b. surveiller les actions (comportement, activité) des sujets PD dans l'UE.

3. Traitement PD par un opérateur situé en dehors de l'UE, si applicable à la législation d'un État membre conformément au droit public international.

S'il est plus ou moins clair avec les opérateurs qui relèvent évidemment de l'article 1 (vous devez être dans l'UE) et de l'article 3 (missions diplomatiques et consulats des États membres de l'UE), alors l'article 2 soulève de nombreuses questions, car il détermine l'applicabilité du RGPD au russe entreprises.

Afin de trouver des réponses à ces questions, en plus du texte principal du règlement, il convient également de prêter attention au fait que le RGPD a un préambule qui révèle ce que le législateur a guidé lors de la définition des normes décrites dans le RGPD. En particulier, au paragraphe 23 du préambule, il est expliqué comment déterminer que l'opérateur (ou le sous-traitant) offre des biens ou des services à des personnes situées dans l'UE. Les facteurs qui permettent de déterminer la direction de l'activité dans l'UE peuvent être considérés comme l'utilisation dans l'offre et la vente de biens ou de services dans la langue ou la monnaie d'un État membre de l'UE, la mention de clients ou d'utilisateurs situés dans l'UE. Et au paragraphe 24 du préambule, il est dit que surveiller les actions d'un sujet PD signifie suivre les utilisateurs d'Internet, y compris la création ultérieure éventuelle de profils d'individus, en particulier dans le but d'analyser ou de prédire les préférences, le comportement, etc.

De plus, l'article 2 du RGPD stipule que le règlement ne s'applique pas aux activités qui ne sont pas soumises au droit de l'UE.

À partir de ce qui précède, on peut déterminer les critères suivants pour l'applicabilité directe du RGPD à une organisation russe:

1. L'organisation est située dans l'UE (est une succursale ou un bureau de représentation d'une entreprise russe).
2. L'organisation n'est pas située dans l'UE, mais exerce des activités physiques dans l'UE, et cette activité comprend le traitement de données à caractère personnel (par exemple, une entreprise de transport avec la livraison de marchandises de Russie à des particuliers dans l'UE).
3. L'organisation propose systématiquement des marchandises livrées dans l'UE avec possibilité de paiement en euros (PLN, SEK, etc.).
4. L'organisation offre des services aux particuliers dans l'une des langues officielles de l'UE, il existe un site Web dans cette langue. Pour payer des services, vous pouvez utiliser la devise des pays de l'UE ou le paiement n'est pas requis.
5. L'organisation collecte et analyse des informations sur les visiteurs du site Web de l'UE et utilise les résultats de l'analyse de son propre chef ou les vend (transfère) à d'autres personnes.

Pour les organisations relevant des clauses 2 à 5, le RGPD est valable dans la mesure où le traitement PD des personnes situées dans l'UE est traité. Par exemple, le traitement des données personnelles dans le cadre des dossiers du personnel, si tous les employés de l'organisation travaillent en Russie, ne relève pas de la réglementation du RGPD, et les processus commerciaux spécifiés dans les critères tombent.
Les organisations qui traitent des données personnelles pour le compte de l'opérateur soumis à la réglementation RGPD sont soumises au RGPD d'un montant qui dépend de la partie du traitement qui est transférée pour le compte. Si l'organisation effectue une partie des processus de traitement (par exemple, collecte de données personnelles, analyse de données personnelles, etc.), elle tombe sous l'influence du RGPD. Si l'organisation fournit des services d'hébergement (DPC), seules les exigences du RGPD que l'opérateur lui présentera lui seront directement applicables.

Nous voulons également noter que les cas suivants, que l'on retrouve souvent dans les documents sur le RGPD, ne sont pas des critères d'applicabilité du règlement:

1. La citoyenneté des sujets PD n'affecte pas l'applicabilité du RGPD (par exemple, la présence de travailleurs citoyens de l'UE ne signifie pas que l'organisation relève du RGPD);
2. La disponibilité du site Web de l'organisation dans l'UE ne signifie pas l'applicabilité automatique du RGPD. Si l'organisation n'effectue pas de profilage et que les statistiques collectées ne sont pas liées à des utilisateurs spécifiques, son activité ne devrait pas relever du RGPD.
3. Si le service est fourni en dehors de l'UE (par exemple, une chambre d'hôtel située en Russie peut être réservée à distance depuis l'UE), l'organisation ne devrait pas être soumise au RGPD, car ses activités ne sont pas exercées dans l'UE et ne sont pas soumises au droit de l'UE.

Si vous avez encore des doutes sur l'applicabilité du règlement à votre organisation, vous pouvez contacter NIP Informzashita CJSC et nous vous aiderons à déterminer comment et quelles exigences RGPD de votre organisation doivent être respectées.

Surveiller la conformité au RGPD en Russie et les conséquences de la non-conformité

Afin de protéger les droits des sujets PD dans chaque pays de l'UE, des organismes publics ont été créés pour protéger les droits des sujets PD (dans le texte du règlement - Autorités de surveillance, dans la pratique générale, ces organes sont appelés autorités de protection des données (DPA)). Entre autres, la DPA est dotée des pouvoirs suivants conformément à la partie 1 de l'article 58 du RGPD:

• demander toute information concernant le traitement PD;
• effectuer des audits de sécurité de PD;
• recevoir de l'opérateur et du processeur l'accès à tous les PD et à toutes les informations nécessaires à l'accomplissement de leurs tâches;
• avoir accès aux locaux de tout opérateur et processeur, y compris tout équipement et installations de traitement de données.

Des procédures de contrôle spécifiques sont établies indépendamment par les pays de l'UE. En cas de violation des dispositions du règlement DPA, notamment, conformément à la partie 2 de l'article 58 du RGPD, ils peuvent

• adresser un avertissement ou un commentaire à l'opérateur ou au sous-traitant selon lequel la procédure actuelle de traitement des DP enfreint les dispositions du règlement;
• rendre une ordonnance sur la nécessité de répondre à la demande du sujet, sur la nécessité d'informer le sujet d'une violation de la sécurité PD;
• exiger que le traitement des données à caractère personnel soit mis en conformité avec le règlement dans un délai déterminé;
• imposer une restriction temporaire ou permanente au traitement , y compris une interdiction de traitement;
• émettre un ordre de suppression ou de clarification de PD;
• infliger une amende administrative conjointement avec d'autres mesures ou à leur place;
• exiger l' arrêt du transfert de PD vers un pays tiers ou vers une organisation internationale.

Le règlement établit la nécessité pour les organisations situées en dehors de l'UE de nommer un représentant dans l'UE par l'intermédiaire duquel la DPA interagira avec l'organisation, mais il est souligné que la responsabilité du traitement des PD n'est pas le représentant, mais l'organisation elle-même.

Le RGPD ne divulgue pas la procédure de contrôle du respect du règlement par les organisations situées en dehors de l'UE et ne nomme pas de représentant, ainsi que la manière dont les organisations situées en dehors de l'UE seront responsables des violations des règles de traitement des données personnelles.

Nous avons mené une série d'entretiens avec le DPA des pays de l'UE sur le contrôle du respect du RGPD en dehors de l'UE. Les réponses étaient différentes, mais dans l'ensemble, il n'y avait pas de clarté. Un représentant de la DPA a émis une réserve que ces cas seraient réglementés en coopération avec la DPA des pays où l'opérateur ou le transformateur est situé. La situation géopolitique actuelle et la position du chef de Roskomnadzor A. Zharov sur la nécessité de la conformité des organisations russes au RGPD font douter que les tentatives d'une telle coopération entre le DPA de l'UE et Roskomnadzor seront productives.

Je voudrais attirer l'attention sur le fait que les amendes de plusieurs millions de dollars spécifiées dans le RGPD, qui font surtout peur aux opérateurs, sont la barre supérieure. Le RGPD stipule que les amendes (et autres sanctions) imposées doivent être proportionnées à la violation, efficaces et prévenir les violations répétées. Le montant spécifique des amendes sera déterminé individuellement, en tenant compte d'un grand nombre de facteurs. Une amende de plusieurs millions de dollars peut être infligée à une organisation si elle a consciemment et malicieusement violé les droits des sujets, en la cachant soigneusement et en tirant un profit élevé de ce traitement PD.

La conséquence la plus probable (mais pas la seule) et la plus importante du non-respect du RGPD pour les organisations russes qui n'ont pas de bureaux de représentation ou de filiales dans l'UE (ainsi qu'un représentant désigné pour le traitement PD) n'est pas une amende, mais le blocage du site Web de l'organisation dans l'UE ou dans des États individuels Membres de l'UE. Bien que la possibilité de bloquer un site ne soit pas explicitement mentionnée dans le RGPD, cela semble être un moyen naturel de restreindre le traitement PD afin d'éviter des violations répétées, surtout s'il n'y a pas d'autres moyens d'influencer l'opérateur.

Pourquoi les organisations russes devraient-elles se conformer au RGPD?

La mise en œuvre du RGPD présente d'autres avantages pour les organisations, outre l'opportunité évidente d'éviter d'éventuelles sanctions de la part de la DPA de l'UE.

Tout d'abord, il s'agit d'une augmentation du niveau global de sécurité de l'information et de gestion des données dans l'organisation. Souvent, dans le processus de mise en conformité avec les exigences de protection des données personnelles, une organisation crée pour la première fois un registre de ses processus commerciaux existants, comprend les flux de données existants, crée un schéma de réseau, décrit le système de protection des informations existant. Ces actions deviennent le fondement de la protection non seulement de la DP, mais également d'autres types d'informations confidentielles, ainsi que de l'optimisation des processus métier.

Si l'organisation traite les données personnelles qui lui sont transférées par la contrepartie soumise au RGPD, la contrepartie exigera d'elle le respect des exigences du RGPD pour les sous-traitants. Le respect du RGPD permettra au fournisseur de services d'élargir le marché accessible pour la fourniture de services dans l'UE, ainsi que de fournir des services aux organisations russes qui relèvent des exigences du RGPD.

L'exigence de conformité obligatoire au RGPD peut émaner de la société mère lorsque le RGPD est applicable aux organisations d'un groupe de sociétés avec lesquelles l'organisation russe échange des données personnelles. Mais dans ce cas, il convient, d'une part, de préciser si les données à caractère personnel des personnes situées dans l'UE sont effectivement traitées, et d'autre part, si elles sont traitées, d'étendre les exigences du règlement aux processus dans lesquels ces données à caractère personnel sont traitées, et non à l'ensemble organisation.

Le RGPD établit la nécessité de respecter les nombreux droits des sujets PD et d'assurer la transparence du traitement PD des sujets. Par rapport à la loi fédérale sur les données personnelles, le RGPD explique plus en détail comment informer les sujets PD sur le traitement de leur PD, ainsi que sur la manière dont ils peuvent exercer leurs droits en relation avec ce traitement. La prise en compte de ces questions de traitement des données personnelles dans la politique de traitement des données personnelles, ainsi que dans la collecte d'informations sur le traitement des données personnelles, peut accroître la transparence de l'organisation et donner une plus grande confiance de la part de tous les sujets de données personnelles.

Résumé

Si votre organisation est située en Russie, cela ne signifie pas que le RGPD ne lui est pas applicable. Vous pouvez vérifier l'applicabilité des exigences des Règles à votre organisation en utilisant les critères ci-dessus.

Le règlement vient d'entrer en vigueur et, selon Symantec, 80% des organisations de l'UE ne satisfont pas aux exigences du RGPD. La manière dont l'organisation européenne peut être sanctionnée par l'UE en cas de violation du RGPD n'est pas encore claire, mais le règlement doit néanmoins être pris au sérieux.

En conclusion, nous tenons à noter qu'avec une forte probabilité dans un proche avenir d'uniformité avec la législation européenne dans la législation russe sur le traitement PD, une formulation similaire aux exigences du RGPD apparaîtra.

Publié par Alisa Gorinova, consultante principale, département conseil et audit, Informzaschita. Si vous avez encore des questions, nous sommes prêts à discuter avec vous. Nous attendons vos lettres à a.gorinova@infosec.ru.