Par Swann Bigot, juriste en droit international et européen, consultant en affaires internationales, pour Eurasia Network, 6 mai 2019

DSCN2036

Le quartier des affaires “Moskva City”, à l’Ouest de Moscou, Octobre 2017 – Crédits Photo : Swann Bigot

Le président russe Vladimir Poutine a promulgué le 1er mai la nouvelle loi sur l’Internet russe souverain, aussi appelé « RuNet », adoptée par la Douma d’Etat le 16 avril dernier et approuvée par le Conseil de la Fédération le 22 avril suivant.

Le texte de la loi a été publié sur le portail gouvernemental de l’information légale.

Le principal objectif de cette loi n°608767-7 est la sécurisation du fonctionnement du réseau Internet à l’intérieur des frontières russes. L’enjeu qui ressort clairement est la maîtrise des infrastructures de communications numériques alors que le cyberespace est source de nombreuses menaces traversant les frontières grâce au réseau Internet.

Les dispositions de cette nouvelle loi visent à assurer la protection du fonctionnement du segment russe du réseau Internet en cas de déconnexion des infrastructures du réseau Internet globalisé, à définir les règles de routage du trafic de données et à organiser le contrôle de conformité aux normes nationales.

Les informations transitant au sein de l’Internet russe devront être sécurisées par cryptage à l’aide d’outils technologiques nationaux et les opérateurs devront utiliser un registre russe des noms de domaine (DNS).

Enfin, le texte confie au service fédéral de supervision des communications Roskomnadzor la mission de coordonner les activités assurant le fonctionnement sécurisé et durable du segment russe du réseau Internet.

La nouvelle loi entrera en vigueur en novembre 2019.

Les normes relatives à la protection cryptographique de l’information et à l’obligation pour les opérateurs d’utiliser un système national de registre de noms de domaine (DNS) n’entreront en vigueur que le 1er janvier 2021.

D’après la nouvelle loi, en cas de menaces pesant sur le fonctionnement durable, sécurisé et global du réseau Internet sur le territoire russe, Roskomnadzor pourra légalement exercer une “gestion centralisée du réseau de communication public” afin de maintenir les communications et services sur le réseau Internet à l’intérieur du pays.

Lire aussi : Les Etats face à l’espionnage dans le cyberespace

Le Gouvernement fédéral approuvera la procédure de cette gestion centralisée par Roskomnadzor, déterminera les types de menaces et les mesures pour les éliminer.

L’autorité gouvernementale définira également “les cas de gestion des moyens techniques de lutte contre les menaces et le transfert d’instructions obligatoires“.

En outre, la compétence du Cabinet des ministres sera “de définir les conditions et les cas dans lesquels l’opérateur de télécommunication a le droit de ne pas envoyer de trafic de données par des moyens techniques pour contrer les menaces“.

Ces moyens techniques seront fournis gratuitement aux opérateurs de télécommunications par Roskomnadzor, qui déterminera également les conditions techniques pour l’installation de ces systèmes et les exigences applicables aux réseaux de communication lorsqu’ils seront utilisés.

La loi prévoit par ailleurs que les opérateurs de télécommunications et les propriétaires de réseaux de communication, mettant en œuvre un trafic de données franchissant la frontière de la Fédération de Russie, seront soumis à des obligations concernant le délai, la procédure, la composition et le format, déterminés par le service fédéral Roskomnadzor, afin de lui fournir sous forme électronique des informations sur les installations techniques assurant l’interaction de telles lignes de communication.

Cette disposition concerne les nœuds d’entrée du trafic de données sur le territoire russe. Tout le trafic de données sur Internet devra transiter par ces points d’échange inscrits dans un registre spécial tenu par l’autorité administrative. Les exigences visant à assurer le fonctionnement de ces points d’échange seront approuvées par le Ministère fédéral des communications, en coordination avec le Service fédéral de sécurité (FSB).

Enfin, l’obligation de bloquer les contenus contraire à la loi sera transférée des opérateurs de télécommunications à Roskomnadzor.

Un texte déposé en décembre 2018

L’initiative du texte a été lancée en décembre 2018 avec le dépôt du projet de loi à la Douma d’Etat par le sénateur et professeur en droit public Andreï Klischas, président du comité du Conseil de la Fédération chargé des lois constitutionnelles et de la construction de l’État, par la sénatrice Lyudmila Bokova et par le député à la Douma d’Etat Andreï Lugovoi.

D’après le professeur Andreï Klischas, l’objectif de cette loi est de protéger le fonctionnement du segment russe d’Internet, qui dépend actuellement de « serveurs et d’infrastructures relevant du droit américain. »

Lire aussi : L’Allemagne négocierait avec la Chine un traité sur la cybersécurité

Les députés de la Douma d’Etat russe ont adopté le texte en première lecture le 16 février. Ils ont ensuite voté le projet de loi en troisième et dernière lecture le 16 avril dernier. Un ensemble de 307 députés ont voté pour le projet et 68 députés contre.

Les sénateurs russes ont approuvé le projet de loi le 22 avril. Il a reçu le soutien de 151 membres du Conseil de la Fédération, quatre ont voté contre et un s’est abstenu.

Roskomnadzor, gardien de l’Internet russe ?

La nouvelle loi désigne le Service fédéral de supervision des communications Roskomnadzor comme l’entité compétente pour déterminer les règles de routage du trafic pour les opérateurs de télécommunications russes. Pour ce faire, les opérateurs devront installer sur leurs réseaux certains “moyens techniques de lutte contre les menaces” que leur fournira gratuitement Roskomnadzor.

La législation élimine toute responsabilité des opérateurs en cas de défaillance du service si elle survient pendant le fonctionnement de l’équipement technique fourni.

Le texte promulgué le 1er mai prévoit également la création d’un centre spécial de surveillance au sein de Roskomnadzor, chargé notamment de surveiller le service de radiofréquence du service fédéral, devant gérer les réseaux dans les situations critiques. Ce centre devra disposer d’informations sur l’ensemble de l’infrastructure de communication russe.

Le Gouvernement fédéral déterminera l’ordre de gestion centralisée du réseau, les types de menaces et les besoins en équipements du centre spécial de surveillance.

Une situation d’urgence peut également être constituée par un blocage des services organisateurs de diffusion d’informations (ORI), tels que les messageries instantanées, a déclaré Alexander Zharov, chef de Roskomnadzor, lors d’une réunion du comité de la politique de l’information de la Douma d’Etat, le 9 avril dernier.

 «Selon le projet de loi, le Gouvernement déterminera la liste des menaces face auxquelles la gestion du réseau de télécommunications sera activée: il s’agit de situations d’urgence (…). Le blocage des services de diffusion d’informations est une situation d’urgence. Il est évident qu’en cas de violation de la loi par un organisateur de la diffusion d’informations, l’Etat dispose d’un instrument pour le contraindre de se conformer à la loi. Si le service de diffusion d’informations aide (les utilisateurs) à communiquer avec des terroristes, il s’agit d’une situation d’urgence, ce qui signifie que nous devons prendre toutes les mesures nécessaires pour qu’ils n’utilisent pas ces services », a déclaré Alexander Zharov, qui a promis de mettre en place le centre spécial de surveillance d’ici fin 2019.

Roskomnadzor sera également en mesure de refuser l’accès au réseau « aux fournisseurs et organisateurs d’informations » s’ils ne respectent pas les exigences légales.

Un registre national de noms de domaine ?

La nouvelle loi prévoit également la création d’un système national de noms de domaine. Roskomnadzor déterminera les règles relatives à ce système, ses standards, sa procédure de création, ses règles d’utilisation et établira une liste des groupes de noms de domaine constituant la zone de domaine national.

La coordination de la formation cette zone devrait être assurée par une organisation spéciale à but non lucratif créée dans ce but et qui deviendra “le propriétaire enregistré des bases de données de cette zone devant les organisations internationales pour la distribution des adresses réseau et des noms de domaine” indique le texte promulgué le 1er mai.

Lire aussi : L’Union eurasienne s’intéresse à la cybersécurité des banques

Pour les opérateurs de systèmes d’information appartenant à des entités publiques et à des entreprises réalisant des achats conformément à la loi fédérale sur les marchés publics, la loi introduit une « interdiction d’utilisation dans le cadre de l’exploitation de tels systèmes d’information de bases de données et d’équipements techniques situés en dehors de la Fédération de Russie et non inclus dans de tels systèmes d’information.»

Cette disposition sur l’interdiction de l’utilisation de bases de données et les moyens techniques situés à l’étranger apparaît comme ambitieuse. Il sera utile de suivre sa mise en œuvre dans les faits.

En outre, les institutions de l’Etat, les administrations locales et les entreprises publiques, lorsqu’elles interagissent sous forme électronique, y compris avec les citoyens et les organisations de droit privé, seront tenues « de veiller à ce que cette interaction soit conforme aux règles et principes établis par les standards nationaux de la Fédération de Russie dans le domaine de la protection cryptographique de l’information. »

La loi entrera en vigueur en novembre 2019, à l’exception des dispositions sur la protection cryptographique de l’information et du système national de noms de domaine, qui entreront en application le 1er janvier 2021.

Des moyens financiers importants

La mise en œuvre de la loi devrait nécessiter un financement budgétaire d’un montant de 30 milliards de roubles (411 millions EUR), dont 20,8 milliards (285 millions EUR) seront consacrés aux achats d’équipement techniques devant garantir la sécurité du segment russe d’Internet.

Ces 30 milliards de roubles seraient issus de fonds supplémentaires du programme fédéral « Sécurité de l’information ».

Toutefois, le financement total d’un Internet souverain sécurisé devrait dépasser largement ces prévisions.

En effet, d’après le rapport d’un Conseil d’experts relevant du Gouvernement de la Fédération de Russie et consulté par le journal Kommersant en décembre 2018, le montant minimum de dépenses serait 25 milliards de roubles (342,5 millions EUR). Ces fonds seraient destinés aux travaux de recherche et de développement, à la création et à la maintenance d’un registre centralisé des points d’échange de trafic, à l’extension des structures subordonnées à Roskomnadzor et à la conduite d’exercices spécifiques.

En outre, une indemnisation pourrait être nécessaire pour les opérateurs de télécommunications en cas de perturbation du réseau due aux moyens techniques installés pour sécuriser le trafic de données. La vitesse du trafic de données pourrait aussi baisser, diminuant le confort des utilisateurs finaux. D’après le journal Kommersant, les experts auraient recommandé de fixer le montant des dépenses dans le budget fédéral à hauteur de 10% du volume du marché, soit 134 milliards de roubles (1,837 milliards EUR) par an.

Un projet de loi critiqué

Le projet de loi a été critiqué tant par des parlementaires que par des experts des technologies de l’information, des activistes et membres de l’opposition.

Lors de la discussion du texte en troisième lecture, la faction LDPR, le parti Russie juste et le Parti communiste de la Fédération de Russie ont exprimé leur désaccord.

Le député communiste Alexeï Kurinniy a rappelé les tentatives infructueuses pour forcer la messagerie Telegram à transférer les clés de chiffrement aux autorités, puis à bloquer la messagerie instantanée. Ce dernier a qualifié le projet de loi d’offensive sur la liberté d’expression, susceptible de poser de nombreux problèmes aux électeurs. Ainsi, les citoyens devraient supporter le coût financier des opérateurs pour la mise en conformité des infrastructures.

La Chambre des comptes a déclaré que la mise en œuvre du projet de loi nécessiterait des dépenses budgétaires supplémentaires et “conduirait à une augmentation du coût des biens et services sur le marché russe“.

L’Union des industriels et des entrepreneurs de Russie et le médiateur d’Internet, Dmitri Marinichev, ont aussi formulé des réserves sur la faisabilité de la mise en œuvre du projet de loi.

En outre, le quotidien Kommersant révélait le 29 avril dernier que d’après des experts du Centre de recherche sur l’opinion publique panrusse (VTsIOM) et du Centre d’analyse gouvernemental, 52% des Russes seraient convaincus qu’Internet devrait continuer à se développer en tant que réseau «unifiant le monde entier», tandis que seulement 23% des citoyens soutiendraient l’idée de créer un «Internet russe souverain».

Plusieurs voix de la société civile se sont aussi élevées pour dénoncer une loi qui est perçue comme pouvant limiter la liberté d’expression sur Internet et renforcer la surveillance du réseau. L’organisation RosKomSvoboda et le Parti libertarien de Russie se sont ainsi mobilisés et ont organisé un rassemblement sur l’avenue Akademik Sakharov à Moscou en mars 2019 contre le projet de loi sur l’Internet souverain. Selon des activistes, 15 000 personnes ont participé à la manifestation. Le ministère de l’Intérieur a compté quant à lui 6 500 participants à l’événement.

Face aux critiques et inquiétudes, le Premier Ministre Dmitry Medvedev avait jugé utile de préciser le 29 mars que la Russie ne s’inspirerait pas du modèle chinois de régulation d’Internet. Aucun pare-feu national ne filtrerait le contenu étranger.

Le texte a reçu le soutien du Ministère fédéral des communications, de Roskomnadzor ainsi que des géants russes des télécommunications Yandex et Mail.ru Group.

Une réponse aux menaces extérieures

Sur fond de débats nourris sur l’opportunité du texte, le secrétaire du Conseil de sécurité fédéral, Nikolaï Patrouchev, avait déclaré dans un entretien accordé aux journalistes d’Izvestia le 25 mars 2019 que la Russie ne se déconnecterait pas de l’Internet mondial et que le projet de loi était une mesure nécessaire en raison de l’existence de la menace de déconnexion depuis l’étranger des infrastructures russes du réseau :

 «Il ne s’agit pas d’isoler la Russie du réseau mondial. En même temps, la Russie risque de ne plus être connectée à Internet. Il est nécessaire de créer une infrastructure nous permettant de garantir l’opérabilité des ressources Internet russes, afin que nos citoyens et nos entreprises puissent utiliser le réseau, même si les opérateurs de télécommunications nationaux rencontrent des difficultés pour se connecter à des serveurs étrangers ou sous une influence externe de grande envergure. J’insiste sur le fait qu’il ne s’agit pas d’isolement, mais d’une mesure forcée par les conditions du principe de «préservation de la paix par la force» énoncé dans la stratégie nationale de cybersécurité des États-Unis (…). Nous partons du fait que dans le monde numérique moderne, la nature universelle et ouverte d’Internet ne devrait pas entrer en conflit avec le droit souverain de chaque État de gérer l’espace national d’information et de protéger les intérêts de ses citoyens. (…) »

Cette nouvelle loi se présente donc comme étant une réponse structurelle de la Russie aux cybermenaces. Afin de protéger le fonctionnement de ses principaux systèmes d’informations, tels ceux des institutions publiques, des grandes entreprises, des fournisseurs d’énergie, des services de soins contre des menaces extérieures en cas de conflit majeur, la loi sur l’Internet russe souverain entend mettre en place les outils permettant d’isoler quand nécessaire le réseau russe de l’infrastructure globale et maintenir son fonctionnement même en cas de déconnexion du réseau global.

Le 29 mars, le Premier Ministre Dmitri Medvedev, déclarant que la Russie ne suivrait pas le modèle chinois, mais souhaitant soutenir le projet de loi, précisait que « la majorité absolue des clés de la réglementation se trouve sur le territoire d’un seul pays, les États-Unis d’Amérique ».

La capacité d’action d’un Etat étranger sur le fonctionnement de l’infrastructure Internet en Russie préoccupe en effet les dirigeants russes.

Le Premier Ministre russe avait alors suggéré de recourir à une convention internationale régissant l’enregistrement et l’adressage des noms de domaine, éléments essentiels à l’utilisation d’Internet.

Cette matière relève actuellement de l’ICANN, entité à but non lucratif enregistrée à Los Angeles, en Californie et chargée depuis 1998 de la mission essentielle d’attribution de noms de domaine de premier niveau et d’adresses Internet Protocol (IP).

La menace de blocage depuis l’étranger du fonctionnement de sites Internet d’institutions russes est réelle. En effet, la Chambre civique de la Fédération de Russie avait affirmé dans un communiqué de presse du 19 juin 2018 que l’entreprise américaine GeoTrust aurait bloqué le 4 juin 2018 son certificat SSL, en invoquant le fondement suivant :

«Malheureusement, les sanctions imposées par les États-Unis nous obligent à révoquer votre certificat pour *.oprf.ru car votre organisation est affiliée à la « République populaire de Donetsk » placée sous sanctions de l’Office de contrôle des avoirs étrangers (OFAC) ».

Créée en 2005, la Chambre civique de la Fédération de Russie est un organe consultatif ayant pour principale mission de garantir la coordination entre les autorités nationales et locales russes et les organisations de la société civile, dans des domaines liés au développement économique et social, à la sécurité nationale ainsi qu’aux droits et libertés des citoyens russes.

Le sénateur et professeur en droit public Andreï Klischas, s’exprimant devant le Conseil de la Fédération, a cité cet exemple pour justifier l’adoption du projet de loi dont l’objectif principal est d’assurer le fonctionnement sécurisé et durable du segment russe de l’Internet, même en cas de déconnexion opérée depuis l’étranger :

« Existe-t-il de tels exemples de déconnexion sur le territoire de la Fédération de Russie? Chers collègues, ils existent. Le fonctionnement du site internet officiel de la Chambre civique de la Fédération de Russie a été limité temporairement car une personne morale de droit américain, disposant d’outils conditionnant le fonctionnement dudit site, a considéré que la Chambre civique était liée à la République populaire de Donetsk, placée sous sanctions de l’OFAC (…). »

Cette nouvelle loi serait une réponse à la stratégie nationale américaine en matière de cybersécurité, publiée en septembre 2018. La Russie y est citée comme une menace qui organise des cyberattaques. Washington affirme alors dans le texte sa volonté de répondre « agressivement aux menaces ».

Les mois à venir vont révéler le potentiel de réalisation du régime fixé par la loi sur l’Internet russe souverain. Alors que le cyberespace est marqué par la compétition géopolitique entre les Etats et les activités criminelles, malgré les avancées sociales, économiques et scientifiques qu’il porte, il n’est pas illégitime pour un Etat de vouloir sécuriser et stabiliser le fonctionnement des infrastructures de son réseau « national », dans l’hypothèse d’une déconnexion du réseau global, opérée depuis l’étranger. De telles mesures relèvent de la souveraineté numérique de chaque Etat. Néanmoins, les questions se posent quant aux modalités de sécurisation et comment celles-ci s’articulent avec les droits et libertés des utilisateurs du réseau.

Merci d’être un lecteur d’Eurasia Network !

Notre communauté compte déjà près de 20 000 lecteurs mensuels !

Inscrivez-vous pour recevoir nos dernières analyses

Suivez-nous sur Facebook et Twitter

© Copyright 2019  – Swann Bigot, juriste en droit international et européen et consultant en affaires internationales. Auteur du livre : « Les Etats face à l’espionnage dans le cyberespace », Juin 2019. Disponible sur Amazon.