La rencontre networking de la CCI France Russie et de la Chambre de Commerce Américaine en Russie (AmCham) a eu lieu à Moscou
Lire le communiqué
Roskomnadzor a apporté des éclaircissements sur les questions du traitement des données personnelles lors d’une réunion avec les membres de la CCI France Russie.
21.06.2021

Le 17 juin, la CCI France Russie, avec le soutien du Comité IT, a rencontré le chef adjoint de Roskomnadzor, Milos Wagner, et le chef de la direction pour la protection des droits des sujets des données personnelles de Roskomnadzor, Youri Kontemirov. L’événement a pour but de développer un dialogue direct entre le régulateur et les entreprises.

Dans le cadre de la rencontre, Y.Kontemirov a présenté la vision du régulateur sur certains articles de la Loi sur les données personnelles et a également répondu aux nombreuses questions des représentants des entreprises russes et internationales.

Parmi les sujets clés, la localisation des données personnelles. Depuis 2015, cette question n’a cessé de préoccuper les entreprises. En particulier, le respect des exigences de localisation des bases de données en cas d’utilisation de solutions cloud. Comme l’a noté l’intervenant, l’opérateur doit vérifier si le fournisseur ou le centre de données peut garantir la localisation des bases de données lors de la collecte de données personnelles en Russie. Dans le même temps, les dispositions sur la localisation n’interdissent pas le transfert transfrontalier de données personnelles soumises en cas de respect des exigences de l’art. 12 de la Loi sur les données personnelles.

Autre sujet de la réunion, l’assignation des données personnelles à d’autres catégories, principalement biométriques. Youri Kontemirov a souligné que souvent, lors de la prise de décision, l’opérateur se fonde sur les explications du service de 2013, où le principal critère de classification des données comme biométriques est la finalité du traitement des données personnelles, à savoir l’identification. Depuis 2016, Roskomnadzor a attiré l’attention à plusieurs reprises sur le fait que les explications de 2013, compte tenu des évolutions de la législation en vigueur, ne peuvent servir à classifier les données personnelles comme biométriques.

La question de la classification des données personnelles comme biométriques doit  être réglée par actes législatifs ou réglementaires. Si, dans un acte réglementaire faisant partie de la législation de la Fédération de Russie, il est mentionné que tel massif ou support matériel dans le cadre de diverses relations juridiques fait partie des données personnelles biométriques, il est considéré comme des données personnelles biométriques. Dans les autres cas, le traitement des données personnelles est effectué dans le cadre des règles établies à l’art. 6 de la Loi sur les données personnelles.

Autre problème d’actualité pour les entreprises est la question de l’obtention du consentement du sujet du traitement des données personnelles. Youri Kontemirov a noté l’importance de respecter les principes de fixation d’objectifs et d’information du sujet des données personnelles, en particulier lors de la modification de la liste des opérateurs pour le traitement des données personnelles et d’autres accords avec le sujet. L’expert a également noté qu’un consentement écrit ne peut pas avoir des finalités différentes pour le traitement des données personnelles.

Le consentement écrit peut être formalisé lors du traitement de catégories spéciales de données personnelles, de catégories biométriques de données personnelles, lors de transferts transfrontaliers vers le territoire de pays qui n’offrent pas une protection adéquate, lors de l’inclusion de données personnelles dans des sources publiques et lors de la prise de décisions de manière automatisée. Le consentement écrit est également prévu par un certain nombre de lois fédérales, notamment le Code du travail.

Le consentement peut être rédigé sous n’importe quelle forme avec plusieurs finalités de traitement des données personnelles sans tenir compte des exigences de la partie 4 de l’art. 9 de la Loi sur les données personnelles, par contre les exigences de la partie 1 de l’art. 9 de la Loi s’y appliquent.

Avant l’entrée en vigueur de l’arrêté n°18 le 1er septembre 2021 « Sur l’approbation des exigences relatives au contenu du consentement au traitement des données à caractère personnel dont la diffusion est autoriséé par le sujet des données personnelles » (http://www.consultant.ru/document/cons_doc_LAW_382687/), les opérateurs peuvent se fonder sur les dispositions de l’arrêté pour l’élaboration des consentements, mais les consentements ne seront valides qu’après l’entrée en vigueur de l’arrêté n° 18. Jusqu’à cette date, lors de la diffusion de données personnelles, les opérateurs devraient être guidés par certaines dispositions de l’art. 10.1 et art. 6 de la Loi sur les données personnelles.

En ce qui concerne la conclusion d’un accord sur la délégation du traitement des données personnelles à un tiers, ses principaux critères sont le consentement du sujet des données personnelles et l’accord de délégation. Dans ce cas, la personne mandataire sera responsable envers l’opérateur, et ce dernier sera responsable devant la loi.

Parmi les participants à la réunion figuraient des représentants des entreprises Total, KPMG, PwC, MTS, etc.

Si vous souhaitez recevoir les invitations aux réunions du Comité, veuillez adresser une demande à comites@ccifr.ru.

Photos
Autorisation
*
*
Réinitialiser votre mot de passe