Loi n 147-FZ relative a la conservation obligatoire des donnees pour la verification des soldes de cryptomonnaies par les fournisseurs de services d'analyse de la blockchain

La presente loi federale etablit les bases juridiques et organisationnelles de la conservation obligatoire par les fournisseurs de services d'analyse et d'exploration de la blockchain (ci-apres denommes "fournisseurs de services") des donnees permettant la verification des soldes de cryptomonnaies detenus par les citoyens de la Federation de Russie, les personnes sans nationalite residant en Federation de Russie, ainsi que les organisations russes et etrangeres exercant leurs activites sur le territoire de la Federation de Russie.

La presente loi federale vise a :

• Assurer la transparence des operations avec des cryptomonnaies sur le territoire de la Federation de Russie ;
• Prevenir et reprimer les infractions liees a l'utilisation de cryptomonnaies a des fins illicites ;
• Renforcer la lutte contre le blanchiment des capitaux et le financement du terrorisme ;
• Faciliter l'exercice par les autorites competentes de leurs fonctions de controle et de surveillance ;
• Proteger les interets legitimes des participants au marche des cryptomonnaies.

La presente loi federale s'applique a tous les types de cryptomonnaies, y compris mais sans s'y limiter : le Bitcoin (BTC), l'Ethereum (ETH), le Tether (USDT), ainsi qu'a tout autre actif numerique base sur la technologie blockchain ou des technologies distribuees similaires.

§ 1. Definitions

Aux fins de la presente loi federale, les termes ci-apres signifient :

Cryptomonnaie

Actif numerique decentralise utilise comme moyen d'echange, base sur la technologie blockchain ou des technologies de registre distribue similaires, n'etant pas une monnaie fiduciaire emise par une banque centrale ou une autre autorite monetaire.

Fournisseur de services d'analyse et d'exploration de la blockchain

Entite juridique ou entrepreneur individuel fournissant des services d'analyse, d'exploration, de recherche et de verification des transactions blockchain, des adresses de portefeuilles et des soldes de cryptomonnaies, independamment de la forme juridique ou du lieu d'immatriculation.

Adresse de portefeuille

Identifiant unique dans la blockchain permettant d'envoyer, de recevoir et de stocker des cryptomonnaies.

Solde de cryptomonnaie

Quantite d'unites de cryptomonnaie detenue sur une adresse de portefeuille specifique a un moment donne.

Donnees de verification des soldes

Informations relatives aux adresses de portefeuilles, aux soldes associes, aux historiques de transactions, aux metadonnees et aux donnees d'identification des utilisateurs.

Autorites competentes

Organes etatiques habilites par la legislation de la Federation de Russie a acceder aux donnees conservees conformement a la presente loi federale.

§ 2. Portee territoriale

La presente loi federale s'applique :

• A l'ensemble du territoire de la Federation de Russie ;
• Aux fournisseurs de services etablis en Federation de Russie, quelle que soit la localisation de leurs infrastructures techniques ;
• Aux fournisseurs de services etablis a l'etranger fournissant leurs services aux residents de la Federation de Russie ;
• Aux operations effectuees par les residents de la Federation de Russie utilisant les services des fournisseurs vises par la presente loi.

§ 3. Exclusions

Ne sont pas soumis a la presente loi federale :

• Les banques centrales et les etablissements de credit operant dans le cadre de la legislation bancaire ;
• Les services de paiement agrees operant exclusivement avec des monnaies fiduciaires ;
• Les developpeurs de logiciels ne fournissant pas directement de services d'analyse ou d'exploration ;
• Les utilisateurs finaux des services de cryptomonnaies agissant a titre personnel et non professionnel.

§ 1. Donnees a conserver

Les fournisseurs de services sont tenus de conserver les donnees suivantes :

N	Type de donnees	Description	Format
1	Adresses de portefeuilles	Identifiants blockchain complet des portefeuilles analyses ou consultes	Chaine alphanumerique
2	Soldes associes	Montants detenus sur chaque adresse a la date d'analyse	Valeur numerique + unite
3	Historiques de transactions	Liste des transactions entrantes et sortantes avec timestamps	Structure JSON/XML
4	Identifiants des utilisateurs	Donnees permettant d'identifier le demandeur de l'analyse	Conforme RGPD/loi locale
5	Metadonnees techniques	IP source, horodatage, type de requete, hash de verification	Logs systeme
6	Rapports d'analyse	Resultats complets des analyses effectuees	PDF/JSON archive

§ 2. Exigences de qualite des donnees

Les donnees conservees doivent repondre aux criteres suivants :

• Integrite : Les donnees doivent etre completes et non alterees ;
• Exactitude : Les informations doivent refleter fidelement l'etat reel des soldes au moment de l'analyse ;
• Traçabilite : Chaque enregistrement doit pouvoir etre rattache a une requete specifique et a un utilisateur identifie ;
• Accessibilite : Les donnees doivent etre consultables dans les delais fixes par la presente loi ;
• Securite : Les donnees doivent etre protegees contre tout acces non autorise ou toute divulgation.

§ 3. Format de conservation

Les donnees doivent etre conservees dans un format electronique standardise permettant leur extraction et leur consultation efficace. Les formats acceptes incluent :

• JSON (JavaScript Object Notation) ;
• XML (eXtensible Markup Language) ;
• CSV (Comma-Separated Values) pour les donnees tabulaires ;
• Formats de base de donnees relationnelles (SQL) ;
• Archives cryptees conformes aux normes de securite en vigueur.

§ 1. Delai general de conservation

Les fournisseurs de services sont tenus de conserver les donnees visees a l'article 3 pendant une periode minimale de cinq (5) ans a compter de la date de creation de l'enregistrement.

§ 2. Delais specifiques selon les categories de donnees

N	Categorie de donnees	Delai de conservation	Notes
1	Donnees d'identification des utilisateurs	7 ans	Conformement a la legislation sur la lutte contre le blanchiment
2	Historiques complets de transactions	5 ans	A compter de la derniere transaction enregistree
3	Metadonnees techniques (logs)	3 ans	Peuvent etre archives apres 1 an
4	Rapports d'analyse detailles	10 ans	Si lies a une procedure judiciaire ou administrative
5	Donnees de soldes periodiques	5 ans	Snapshots mensuels minimum

§ 3. Suspension du delai

Le delai de conservation est suspendu dans les cas suivants :

• Lorsqu'une procedure judiciaire ou administrative est en cours concernant les donnees concernees ;
• Sur ordre expres d'une autorite competente dans le cadre d'une enquete ;
• Jusqu'a l'expiration du delai de prescription applicable a l'infraction eventuelle.

§ 4. Destruction des donnees

Apres l'expiration des delais de conservation, les donnees doivent etre detruites de maniere securisee garantissant leur irrecuperabilite. La destruction doit faire l'objet d'un proces-verbal etabli par le responsable de la protection des donnees du fournisseur de services.

§ 1. Liste des autorites habilitees

Sont habilitees a acceder aux donnees conservees conformement a la presente loi federale les autorites suivantes :

N	Autorite	Competences	Base legale
1	Ministere de l'Interieur (MVD)	Lutte contre la cybercriminalite, enquetes penales	Art. 13.3 Code de procedure penale
2	Service federal de securite (FSB)	Securite nationale, contre-terrorisme	Loi federale sur le FSB
3	Service federal de police financiere (Rosfinmonitoring)	Lutte contre le blanchiment, controle des operations	Loi federale n 115-FZ
4	Comite d'enquete	Enquetes preliminaires, instruction	Loi federale sur le Comite d'enquete
5	Parquet general	Supervision des enquetes, poursuite	Loi federale sur le Parquet
6	Service des impots federaux (FNS)	Verification fiscale, recouvrement	Code fiscal
7	Banque centrale de Russie	Supervision financiere, stabilite monetaire	Loi federale sur la Banque centrale
8	Courts et tribunaux	Procedure judiciaire, execution des jugements	Code de procedure civile, Code de procedure penale

§ 2. Conditions d'acces

L'acces aux donnees par les autorites competentes est subordonne aux conditions suivantes :

• Emission d'une demande ecrite motivee mentionnant la base legale ;
• Identification claire des donnees sollicitees (adresses, periodes, types d'informations) ;
• Justification de la necessite et de la proportionnalite de la demande ;
• Signature d'un responsable habilite de l'autorite requerante ;
• Cachet officiel de l'autorite, le cas echeant.

§ 3. Acces en cas d'urgence

En cas d'urgence caracterisee (menace imminente pour la securite nationale, prevention d'un acte terroriste, etc.), les autorites peuvent proceder a un acces verbal suivi d'une confirmation ecrite dans un delai de 24 heures.

§ 1. Demande formelle

Les demandes d'acces aux donnees doivent etre formulees par ecrit et adressees au responsable du traitement des donnees du fournisseur de services. La demande doit contenir :

• Identification complete de l'autorite requerante (denomination, adresse, coordonnees) ;
• Identification du fonctionnaire habilite (nom, prenom, grade, numero de carte professionnelle) ;
• Objet precis de la demande avec reference aux dispositions legales applicables ;
• Description detaillee des donnees sollicitees ;
• Periode concernee par la demande ;
• Usage prevu des donnees ;
• Delai de reponse souhaite avec justification.

§ 2. Delai de reponse

Les fournisseurs de services sont tenus de repondre aux demandes d'acces dans les delais suivants :

Type de demande	Delai standard	Delai urgent
Demande standard	10 jours ouvrables	5 jours ouvrables
Demande complexe (grand volume)	20 jours ouvrables	10 jours ouvrables
Demande d'urgence nationale	24 heures	4 heures

§ 3. Modalites de transmission

Les donnees sont transmises aux autorites par l'un des moyens suivants :

• Portail securise gouvernemental (SGS) ;
• Remise en main propre contre recepisse ;
• Transmission electronique securisee avec chiffrement ;
• Consultation sur place dans les locaux du fournisseur.

§ 4. Refus et recours

En cas de refus de communication des donnees, le fournisseur doit motiver sa decision par ecrit. L'autorite requerante peut former un recours devant le tribunal administratif competent dans un delai de 15 jours.

§ 1. Obligation de confidentialite

Les fournisseurs de services et le personnel y travaillant sont tenus au secret professionnel concernant les donnees conservees. Cette obligation subsiste apres la cessation de leurs fonctions.

§ 2. Protection des donnees personnelles

Le traitement des donnees a caractere personnel est effectue conformement :

• A la legislation federale sur les donnees a caractere personnel ;
• Aux principes de licite, loyaute et transparence ;
• Au principe de minimisation des donnees ;
• Aux exigences de securite techniques et organisationnelles ;
• Au droit d'information des personnes concernees.

§ 3. Mesures de securite

Les fournisseurs doivent mettre en place les mesures de securite suivantes :

• Chiffrement des donnees en transit et au repos (AES-256 minimum) ;
• Controles d'acces bases sur le principe du moindre privilege ;
• Authentification forte a facteurs multiples ;
• Journalisation des acces et des operations ;
• Sauvegardes regulieres et tests de restauration ;
• Plans de continuite et de reprise d'activite ;
• Audits de securite annuels par des tiers agrees.

§ 4. Notification des violations

Toute violation de la securite des donnees doit etre notifiee :

• A l'autorite de regulation competente dans les 72 heures ;
• Aux personnes concernees lorsque le risque pour leurs droits est eleve ;
• Documentee dans un registre des incidents.

§ 1. Infrastructure technique

Les fournisseurs de services doivent maintenir une infrastructure technique conforme aux specifications suivantes :

§ 2. Normes de connectivite

Les systemes doivent etre compatibles avec les protocoles et standards suivants :

N	Protocole/Standard	Application	Version minimum
1	TLS/SSL	Chiffrement des communications	1.3
2	OAuth 2.0	Authentification API	RFC 6749
3	JSON Web Token	Transmission securisee d'assertions	RFC 7519
4	REST API	Interfaces de programmation	OpenAPI 3.0
5	XML Signature	Signatures electroniques avancees	W3C Recommendation
6	SFTP/SCP	Transferts de fichiers securises	Protocole SSH2

§ 3. Integration avec les systemes gouvernementaux

Les fournisseurs doivent permettre l'integration avec :

• Le Systeme d'Information Interministeriel de l'Etat (SIIE) ;
• Le Portail des donnees ouvertes du gouvernement ;
• Les systemes d'information des autorites habilitees a l'article 5 ;
• Les registres nationaux d'identite electronique.

§ 4. Interoperabilite

Les formats de donnees echanges doivent respecter les standards d'interoperabilite technique definis par l'Agence nationale de la securite des systemes d'information (ANSSI) et le ministere competent.

§ 1. Classification des donnees

Les donnees conservees sont classees selon trois niveaux de sensibilite :

Niveau	Designation	Types de donnees	Mesures requises
1	Standard	Metadonnees techniques, logs generaux	Chiffrement, authentification standard
2	Sensible	Adresses de portefeuilles, historiques de transactions	Chiffrement renforce, audit continu, MFA
3	Tres sensible	Donnees d'identification personnelle, cles privees (si conservees)	Chiffrement maximal, HSM, acces restreint

§ 2. Chiffrement

Toutes les donnees doivent etre chiffrees conformement aux specifications suivantes :

• Au repos : Algorithme AES-256 en mode GCM ou equivalent approuve par l'ANSSI ;
• En transit : TLS 1.3 avec suites cryptographiques PFS (Perfect Forward Secrecy) ;
• Cles de chiffrement : Gestiones dans des modules de securite materiels (HSM) certifies FIPS 140-2 niveau 3 minimum ;
• Rotation des cles : Tous les 12 mois ou en cas de compromission suspectee.

§ 3. Controle d'acces

Les mecanismes de controle d'acces doivent inclure :

• Gestion des identites et des habilitations centralisee ;
• Authentification multi-facteurs obligatoire pour tout acces aux donnees ;
• Principe du moindre privilege applique strictement ;
• Segregation des fonctions entre administrateurs et utilisateurs ;
• Revue trimestrielle des habilitations ;
• Desactivation automatique des comptes inactifs apres 30 jours.

§ 4. Journalisation et audit

Un systeme de journalisation complet doit enregistrer :

• Toutes les tentatives d'authentification (reussies et echouees) ;
• Toutes les consultations de donnees (utilisateur, horodatage, donnees accedees) ;
• Toutes les modifications apportees aux donnees ;
• Toutes les operations d'export ou de transfert ;
• Les modifications de configuration systeme.

Les journaux d'audit doivent etre conserves pendant 5 ans dans un systeme inalterable (WORM - Write Once Read Many).

§ 5. Tests de securite

Les fournisseurs doivent realiser :

• Des audits de securite internes trimestriels ;
• Des tests d'intrusion annuels par des prestataires agrees ;
• Des analyses de vulnerabilites automatisees mensuelles ;
• Des exercices de gestion de crise semestriels.

§ 1. Obligations generales

Tout fournisseur de services soumis a la presente loi federale est tenu de :

• Etablir et maintenir a jour un registre des traitements de donnees ;
• Designer un delegue a la protection des donnees (DPD) ;
• Mettre en place une politique de securite des systemes d'information ;
• Former le personnel aux obligations de la presente loi ;
• Effectuer une evaluation d'impact relative a la protection des donnees (EIPD) ;
• Souscrire une assurance responsabilite civile professionnelle adequate ;
• Communiquer les coordonnees du DPD aux autorites competentes.

§ 2. Declaration d'activite

Avant de commencer leurs activites, les fournisseurs doivent declarer leur activite aupres du Rosfinmonitoring en fournissant :

• Les informations d'identification de l'entite ;
• La description des services proposes ;
• L'architecture technique de la solution ;
• Les mesures de securite mises en place ;
• L'attestation de conformite delivree par un auditeur tiers.

§ 3. Rapportage

Les fournisseurs doivent etablir des rapports periodiques comprenant :

Type de rapport	Periodicite	Destinataire	Contenu
Rapport d'activite	Trimestrielle	Rosfinmonitoring	Volume de donnees traitees, statistiques d'acces
Rapport de securite	Annuelle	ANSSI, Rosfinmonitoring	Audits, incidents, mesures de securite
Declaration d'incident	Immediate	Autorites competentes	Violations de securite suspectees ou averees
Etat des stocks	Annuelle	Rosfinmonitoring	Inventaire des donnees conservees

§ 4. Conservation des preuves

Les fournisseurs doivent conserver les elements probatoires suivants :

• Les demandes d'acces des autorites et les reponses apportees ;
• Les logs complets des acces aux donnees ;
• Les rapports d'audit et de securite ;
• Les attestations de conformite ;
• La documentation technique des systemes.

§ 1. Autorites de controle

Le controle du respect de la presente loi federale est assure par :

• Le Service federal de police financiere (Rosfinmonitoring) pour la coordination generale ;
• L'Agence nationale de la securite des systemes d'information (ANSSI) pour les aspects techniques ;
• Le Service federal de surveillance dans le domaine des technologies de l'information et des communications (Roskomnadzor) pour la conformite reseau ;
• Les services du Procureur pour la supervision legale.

§ 2. Pouvoirs des agents de controle

Les agents habilites disposent des pouvoirs suivants :

• Acceder aux locaux professionnels pendant les heures d'ouverture ;
• Examiner tout document ou support informatique pertinent ;
• Prelever des copies ou des extraits de documents ;
• Interroger le personnel du fournisseur ;
• Demander la communication de tout element de preuve ;
• Effectuer des tests techniques de verification.

§ 3. Inspections

Les inspections peuvent etre :

• Programmees : Avec preavis de 15 jours, realisees au moins une fois par an ;
• Inopinees : Sans preavis en cas de suspicion d'infraction ou suite a un incident ;
• A la demande : Sur demande motivee d'une autorite competente.

§ 4. Mesures correctives

En cas de non-conformite, les autorites peuvent :

• Emettre une mise en demeure avec delai de regularisation ;
• Ordonner la suspension temporaire de l'activite ;
• Imposer des mesures de renforcement de la securite ;
• Proceder a la publication de la non-conformite ;
• Saisir le tribunal pour mesures conservatoires.

§ 1. Sanctions administratives

Les manquements aux obligations de la presente loi federale sont sanctionnes par des amendes administratives selon le barème suivant :

Nature de l'infraction	Personnes physiques	Entites juridiques
Defaut de conservation des donnees	100 000 - 500 000 RUB	500 000 - 2 000 000 RUB
Retard de communication des donnees	50 000 - 200 000 RUB	300 000 - 1 000 000 RUB
Manquement aux exigences de securite	75 000 - 300 000 RUB	400 000 - 1 500 000 RUB
Refus injustifie d'acces	150 000 - 500 000 RUB	800 000 - 3 000 000 RUB
Destruction illegale de donnees	200 000 - 1 000 000 RUB	1 000 000 - 5 000 000 RUB
Declaration inexacte ou incomplete	30 000 - 100 000 RUB	200 000 - 700 000 RUB

§ 2. Sanctions penales

Sont constitutives d'infractions penales :

• La destruction volontaire ou la falsification de donnees soumises a conservation, punie d'une peine d'emprisonnement pouvant aller jusqu'a 3 ans et/ou d'une amende pouvant atteindre 1 000 000 RUB ;
• L'obstruction aux fonctions des agents de controle, punie d'une peine d'emprisonnement pouvant aller jusqu'a 2 ans ;
• La divulgation non autorisee de donnees confidentielles, punie conformement a la legislation sur la protection des donnees ;
• La complicite dans des operations de blanchiment de capitaux, punie conformement au Code penal.

§ 3. Responsabilite civile

Les fournisseurs engagent leur responsabilite civile pour :

• Les dommages causes par la perte ou la compromission des donnees ;
• Les atteintes a la vie privee resultant d'une securite inadequate ;
• Les prejuges subis par les utilisateurs du fait de defaillances techniques.

§ 4. Sanctions complementaires

Outre les sanctions principales, le tribunal peut ordonner :

• L'interdiction temporaire ou definitive d'exercer l'activite ;
• La confiscation des supports contenant les donnees illegalement detruites ;
• La publication integrale ou partielle de la decision de condamnation ;
• La reparation des dommages causes aux victimes.

§ 1. Delai de conformite

Les fournisseurs de services exercant leur activite avant l'entree en vigueur de la presente loi federale disposent d'un delai de six (6) mois a compter de la date d'entree en vigueur pour se mettre en conformite avec l'ensemble des dispositions.

§ 2. Plan de transition

Dans un delai de 30 jours suivant l'entree en vigueur, les fournisseurs concernes doivent soumettre au Rosfinmonitoring un plan de transition comprenant :

• L'etat actuel de conformite par rapport aux exigences de la loi ;
• Les ecarts identifies et leur evaluation ;
• Les mesures prevues pour atteindre la conformite ;
• Le calendrier de mise en oeuvre avec des jalons mensuels ;
• Les ressources necessaires et le budget associe.

§ 3. Retroactivite limitee

Pendant la periode transitoire, les fournisseurs ne sont pas tenus de conserver retroactivement les donnees anterieures a l'entree en vigueur, sauf si elles font l'objet d'une demande formelle d'une autorite competente dans le cadre d'une procedure en cours.

§ 4. Accompagnement

Les autorites de regulation mettent en place des mecanismes d'accompagnement comprenant :

• Des guides methodologiques de mise en conformite ;
• Des cellules d'assistance telephonique et electronique ;
• Des sessions de formation et d'information ;
• Un espace dedie sur le portail institutionnel.

§ 1. Date d'entree en vigueur

La presente loi federale entre en vigueur le 1er octobre 2024, a l'exception des dispositions suivantes :

• Les articles 10 et 11 entrent en vigueur le 1er septembre 2024 ;
• L'article 13 entre en vigueur a la date de promulgation.

§ 2. Publication

La presente loi federale est publiee dans la Rossiiskaia Gazeta et sur le portail juridique officiel de la Federation de Russie. Elle fait l'objet d'une traduction officielle dans les langues des republiques constituant la Federation de Russie.

§ 3. Application aux collectivites territoriales

Les sujets de la Federation de Russie adaptent leur legislation dans un delai de 12 mois pour assurer la coherence avec la presente loi federale. Les collectivites territoriales peuvent adopter des mesures d'application plus strictes dans le respect des competences respectives.

§ 1. Abrogations

Sont abroges a compter de l'entree en vigueur de la presente loi federale :

• L'ordonnance gouvernementale n 1215 du 6 octobre 2021 "Sur les mesures provisoires de regulation des operations avec des actifs numeriques" dans ses dispositions contraires ;
• Les instructions du Rosfinmonitoring n 215 du 15 mars 2022 "Sur la procedure de communication des donnees relatives aux operations avec des monnaies virtuelles" ;
• Toutes les dispositions des actes legislatifs et reglementaires contraires a la presente loi federale.

§ 2. Sauvegarde des actes anterieurs

Les decisions administratives et judiciaires rendues sur le fondement des textes abroges restent valables dans la mesure ou elles ne sont pas contraires a la presente loi federale. Les procedures en cours sont poursuivies selon les regles anterieures jusqu'a leur terme.

§ 3. Interpretation

En cas de doute sur l'interpretation de la presente loi federale, il est fait reference aux principes generaux du droit, aux conventions internationales ratifiees par la Federation de Russie, et aux decisions du Tribunal constitutionnel.