قانون السحابة، قانون باتريوت والتخزين في السحابة: أمريكا لم تعد الأرض الموعودة

تخزين البيانات عبر الإنترنت في ازدياد. بالطبع، القادة في السوق هم أمريكيون. مع مزودين مثل Google Drive وiCloud وDropbox، تتفوق الشركات عبر الأطلسي. 

ومع ذلك، على الرغم من أن خدماتهم عالية الجودة، إلا أنه ليس من المؤكد أنهم لا يخطئون بسبب جنسيتهم. قد يكون تخزين بيانات شركتك عبر الإنترنت من خلال مزودين أمريكيين خطأً فادحًا.

تمثال الحرية مع العلم في الخلفية

الولايات المتحدة هي اليوم القوة العالمية الأولى، سواء من الناحية العسكرية، أو من الناحية الاقتصادية، أو من الناحية الصناعية. ومن خلال ذلك، يتخذ حكومتها امتيازات يمكنها فرضها على المجتمع الدولي بأسره.

في هذه الحالة، القوانين الأمريكية، التي تشمل على وجه الخصوص قانون باتريوت أو قانون السحابة، هي الذراع المسلح لسياسة الحكم المطبقة على المواطنين غير الأمريكيين. بعبارة أخرى، وفقًا لاختياراتك، فإن الإدارة والعدالة الأمريكية لهما السلطة عليك، وكذلك على بياناتك. 

قد يعتقد المرء أن الولايات المتحدة الأمريكية، بوصفها رائدة الديمقراطية في العالم، تمتلك أفضل نظام سياسي، لا سيما في نظريتها وممارستها الدستورية لفكرة الفصل بين السلطات. أي الأكثر نضجًا من حيث فصل السلطات، الذي يقدره نظرية الدولة مثل مونتيسكيو. 

الواقع ليس تمامًا كما هو. تبدو قوانين المراقبة الجماعية التي وضعتها الولايات المتحدة، منذ النصف الثاني من القرن العشرين مع ذروتها في قانون السحابة لعام 2018، غير متوافقة ليس فقط مع دستورهم، ولكن أيضًا مع الرؤية التقليدية لدولة القانون. بعبارة أخرى، من المحتمل أن يتم تصنيف أي دولة أخرى تقوم بإنشاء مثل هذه التدابير التشريعية على أنها دولة بوليسية على الفور. 

لأنه، بالإضافة إلى قانون باتريوت وقانون السحابة، لا تزال الولايات المتحدة تعتمد على ترسانتها القانونية على قانون ومراسيم رئاسية: قانون مراقبة الاستخبارات الأجنبية والأمر التنفيذي. لذلك، سنشرح لكم، في ضوء هذه النصوص القانونية، الأسباب التي تجعل تخزين بياناتك في سحابة تديرها شركة أمريكية خيارًا محفوفًا بالمخاطر. للقيام بذلك، سنقوم بدراسة التشريعات التي ستنطبق عليك بمجرد أن تقرر اتخاذ هذه الخطوة. 

ما هو قانون باتريوت وكيف تعمل شروطه المتعلقة بالاختصاص القضائي خارج الحدود؟

قانون باتريوت هو قانون أمريكي للأمن الداخلي، تم التصويت عليه بعد 45 يومًا فقط من هجمات 11 سبتمبر 2001. يمكن القول، في عجلة من أمرهم، ومن قبل كونغرس لا يزال مصدومًا من الأحداث في نيويورك.

جمع البيانات

النتيجة هي تفويض يُمنح للسلطات الشرطية لإجراء التحقيقات. لماذا؟ لأنه على الرغم من أن تفويض القاضي ضروري، إلا أنه لم يعد بإمكانه معارضته بالاستناد إلى عدم وجود “سبب محتمل” (سبب محتمل).

نتيجة لذلك، يمكن إدخال جميع بياناتك دون أن يتم إبلاغك بذلك أو أن يتمكن قاضٍ أمريكي من الاعتراض. لا تظن أن الدستور الأمريكي سيكون مفيدًا، لأنه وفقًا لوزارة العدل الأمريكية، فإن قانون باتريوت لا يقوم سوى بتدوين الممارسات القضائية المعترف بها بالفعل من قبل المحكمة العليا.

على سبيل المثال، حكمت في عام 1979، أن حجة عدم الدستورية للتفتيشات السرية كانت “تافهة”. قبل اثني عشر عامًا، كانت قد اعتبرت بالفعل أن ضباط الشرطة لم يكن عليهم إبلاغ المتهم بالسبب أو الأسباب وراء التفتيش.

ومع ذلك، ما يجعل قانون باتريوت جديدًا بالنسبة لشركة فرنسية أو أوروبية هو تطبيقه خارج الحدود. بمعنى أنه في اللحظة التي يُشتبه فيها بأن نشاطك له صلات مع فرد أو مجموعة إرهابية تهدد الأراضي الأمريكية أو مصالحها، يمكن أن يبدأ كل الترسانة الإدارية في العمل ضدك. 

لا تظن أنك تستطيع الهروب من ذلك، حتى لو كنت لا تنوي إقامة روابط مع جماعات إرهابية، أو مع عميل قد تكون أفكاره المتطرفة قد أفلتت منك. سنرى أن تطبيق قانون باتريوت أقل وضوحًا بكثير مما يبدو. قبل ذلك، دعونا نلقي نظرة على جانب أمني آخر: قانون السحابة. 

ما هو قانون السحابة؟

تم التصويت على قانون السحابة في عام 2018، بهدف تعزيز الوصول الحر للسلطات الأمريكية إلى بيانات مستخدمي حلول تخزين البيانات عبر الإنترنت. 

رسميًا، يتم تقديمه من قبل وزارة العدل على أنه يسمح للسلطات في الدول الثالثة بطلب أي شركة أمريكية تستضيف بيانات، بهدف الإطلاع عليها في إطار الإجراءات الجنائية.

بشكل أكثر تفصيلًا، فإنه يتيح بشكل خاص لأي إدارة أمريكية الحصول على بيانات حول أي مستخدم، طالما أنها:  

– تكون مخزنة في الولايات المتحدة، 

– يتم تخزينها بواسطة شركة أمريكية في أي بلد في العالم, 

– كل ذلك دون أن يعلم أحد، باستثناء الشركة المطلوبة، والإدارة المعنية. 

هذا المولود الأخير من التشريع الأمريكي ليس الأداة الوحيدة في خدمة الحكومة الأمريكية. 

ما هو قانون مراقبة الاستخبارات الأجنبية (FISA)؟

تم التصويت على FISA في عام 1978، من قبل كونغرس يرغب في تنظيم ممارسات السلطات الفيدرالية في مجال أنشطة المراقبة. مثل قانون باتريوت، كانت هذه القانون تهدف إلى ترميز الممارسات الموجودة بالفعل. 

القسم 702، الذي أضيف في عام 2008، يُلزم الشركات الأمريكية بتسهيل المراقبة المستهدفة لشخص موجود خارج الأراضي الأمريكية. 

تهدف هذه القانون بشكل خاص إلى المواطنين غير الأمريكيين المشتبه في حيازتهم أو تلقيهم أو تبادلهم معلومات تتعلق بمكافحة التجسس. نطاق تطبيقه، تمامًا مثل قانون باتريوت، يهدف رسميًا إلى مكافحة الإرهاب الدولي. 

الأمر التنفيذي، أو المرسوم الرئاسي 12333

المرسوم الرئاسي 12333، الذي وقعه رونالد ريغان في عام 1981، هو، كما يذكر الواشنطن بوست، وثيقة تقدم إمكانيات أكبر بكثير من تلك الموجودة في قانون باتريوت في قسمه 215. 

ومع ذلك، فإن المرسوم الرئاسي 12333 لا ينطبق، هذه المرة، إلا على المواطنين الأمريكيين المقيمين في الخارج. مما سيسمح مع ذلك لوكالات الاستخبارات الأمريكية بالوصول إلى بياناتك طالما أنها تهتم بأحد عملائك الأمريكيين. 

في إطار هذا المرسوم، يتم إدخال جميع البيانات من قبل وكالات الاستخبارات الأمريكية دون أي أمر قضائي وبالتالي دون أي رقابة من القاضي، ولا حتى من الكونغرس. 

لذا ستفهمون أن القانون ليس دائمًا ضمانًا للضعيف ضد قوة الأقوى. إنه بعيد عن كونه دائمًا حاميًا للحريات الفردية أو، بشكل أوسع، للحريات العامة بشكل عام. خاصة عندما نبدأ في الاهتمام بتطبيقه، وبالتالي بتفسيره. 

الحق لا exists إلا من خلال التفسير الذي نقدمه له

فهم القانون بشكل جيد لا يمكن أن يتم من خلال القراءة البسيطة لقانون ما. لماذا؟ لأن تطبيقه الحرفي دائمًا ما يكون مستحيلًا. بعبارة أخرى، لفهم نطاق نص قانوني، من الضروري أن نفهم جيدًا كيفية تطبيقه. هنا تكمن المشكلة التي تطرحها القوانين الأمريكية لقانون باتريوت وقانون السحابة. 

الدستور الأمريكي

عندما يتحدث قانون باتريوت عن مصطلح “نشاط مشبوه”، كيف يتم تعريف مثل هذا النشاط؟ ماذا يهدف هذا المفهوم؟ لا يوجد سوى التفسير الذي يسمح بتصنيف نشاط معين على أنه مشبوه. المشكلة هي أن كل إدارة تقوم بتفسيرها الخاص لهذا القانون، وبشكل سري تمامًا.

هذا يعني أنه بمجرد تخزين بياناتك من خلال شركة أمريكية، فإن جميع بياناتك متاحة لتقدير إدارات مثل وكالة الاستخبارات المركزية، NSA، وزارة الخزانة، على سبيل المثال لا الحصر. مزعج، أليس كذلك؟ ولا تظن أنك في مأمن من أي تحقيق لأنك لست مجرمًا ولا إرهابيًا. 

الغرض الرئيسي من هذا الترسانة القانونية ليس مطاردة الإرهابيين، بل هو خلق تشوهات في المنافسة الحرة. هل كنت تعتقد أن الولايات المتحدة هي نموذج التجارة الحرة؟ كنت مخطئاً تماماً. 

علاوة على ذلك، فإن جمع البيانات لا يتعلق فقط ببيانات عملائك. ليس من دون سبب أن إدارة الخزانة الأمريكية مهتمة أيضًا بجمع البيانات. سيظهر لك قانون الممارسات الفاسدة الأجنبية أن تخزين بياناتك الرقمية يمكن أن يكلفك كثيرًا. 

قانون FCPA، أو الضريبة الجديدة على الشركات غير الأمريكية

قانون مكافحة الفساد الدولي للموظفين العموميين (قانون الممارسات الفاسدة الأجنبية)، الذي تم التصويت عليه في عام 1977، يسمح للعدالة الأمريكية بإدانة الشركات لدفع مبالغ كبيرة كغرامات. وبالتالي، في عام 2014، دفعت شركة ألستوم 772 مليون دولار، وسيمينز 800 مليون في عام 2008، ودايملر 185 مليون في عام 2010، وألكاتيل-لوسنت 137 مليون في عام 2010. هذه ليست سوى جزء صغير من أكبر المبالغ. 

كيف تعتقد أن الأدلة يتم الإبلاغ عنها؟ بأي وسيلة، بما في ذلك من خلال البيانات التي لديك في السحابة الخاصة بك. إذا كنت تعتقد أنك في مأمن لأن لديك لا فروع ولا موظفين في الولايات المتحدة، فاعلم أن قانون مكافحة الفساد الأمريكي ينطبق بمجرد أن تكون المصالح الأمريكية في اللعب. مرة أخرى، فإن مفهوم “المصالح الأمريكية” قابل للتفسير، وليس تفسيرك هو المهم. 

في ضوء كل هذه المعلومات حول التشريع الأمريكي، يبدو أن خيار السحابة المدارة من قبل شركة فرنسية أو أوروبية، على الأراضي الأوروبية، أكثر من مثير للاهتمام. ومع ذلك، لا يزال من الضروري إجراء نقطة حول اللائحة العامة لحماية البيانات الشهيرة (RGPD).

اللائحة العامة لحماية البيانات، في ضوء القانون الفرنسي والقانون الأوروبي

اللائحة العامة لحماية البيانات (GDPR) تم اعتمادها من قبل الاتحاد الأوروبي لضمان أمان البيانات التي يثق بها المستخدمون على الإنترنت للشركات التي تعمل على الأراضي الأوروبية. 

اللائحة العامة لحماية البيانات (GDPR)

من المهم الاهتمام بالالتزامات المفروضة على الشركة المسؤولة عن معالجة بيانات مستخدميها وكذلك بالعقوبات المرتبطة بها، قبل فهم كيفية تنظيمها في نقل البيانات، لا سيما إلى الولايات المتحدة. 

التزامات مسؤول معالجة البيانات

يضمن اللائحة العامة لحماية البيانات (RGPD) بشكل خاص الدفاع عن حقوق الأطفال في إطار جمع البيانات. إذا كانت جمع البيانات المتعلقة بطفل يقل عمره عن 13 عامًا محظورًا دائمًا، فإنها مسموح بها للأطفال الذين تتراوح أعمارهم بين 13 و16 عامًا فقط بموافقة الوالدين، وإذا كانت تتعلق بخدمة موجهة مباشرة للأطفال. 

يُلزم اللائحة العامة لحماية البيانات (RGPD) مسؤول معالجة البيانات بجمع البيانات الضرورية فقط للغرض من الجمع والتأكد من أنه يمكنه حذف البيانات بناءً على طلب الشخص المعني.

يمكن أن يؤدي الامتثال لجميع الالتزامات المفروضة بموجب اللائحة العامة لحماية البيانات (RGPD) إلى منح شهادة من قبل السلطة الرقابية. هذه الشهادة صالحة لمدة ثلاث سنوات قابلة للتجديد. 

لمزيد من المعلومات حول تفاصيل اللائحة العامة لحماية البيانات (RGPD)، قامت CNIL (الهيئة الوطنية لحماية البيانات والحرية) بنشر دليل موجه للشركات الصغيرة جداً (TPE) والشركات الصغيرة والمتوسطة (PME). سيساعدك هذا الدليل بشكل خاص على إعداد قائمة بملفاتك، وتصنيف بياناتك، أو حتى تأمينها. 

في حالة عدم الامتثال للالتزامات المنصوص عليها في اللائحة العامة لحماية البيانات، فإن الشركة المخالفة تواجه عقوبات مالية شديدة.

العقوبات المطبقة في حالة الإخفاق

فيما يتعلق بفرنسا، تتولى CNIL ملفًا بثلاث طرق: 

– بناءً على شكوى من المستخدمين مباشرةً على موقع CNIL، 

– نتيجة لعملية تدقيق لموقع الإنترنت أو الشركة, 

– نتيجة لانتهاك البيانات.

تتمتع CNIL بكل مجموعة العقوبات التي تتراوح بين البيان العام على ليفرانس وموقع CNIL إلى عقوبة مالية قد تصل إلى 20,000,000 يورو أو 4% من إجمالي الإيرادات العالمية المحققة في السنة المالية السابقة.

Ainsi, قامت CNIL بإدانة جوجل بدفع غرامة قدرها 150 مليون يورو بسبب سياسة الكوكيز التي تمارسها على جوجل وكذلك على يوتيوب. كانت CNIL تتهم الشركة الأمريكية بعدم السماح للمستخدمين برفض الكوكيز بنفس سهولة قبولها. 

في نفس اليوم، أي 31 ديسمبر 2021، فرضت CNIL أيضًا غرامة على فيسبوك بقيمة 60 مليون يورو لأسباب مشابهة لتلك التي أدت إلى فرض غرامة على جوجل. 

تسلط هذه العقوبات الشديدة الضوء وحدها على أهمية مسألة حماية البيانات في أوروبا. ومع ذلك، في عالم معولم حيث تتداخل الشبكات، وخاصة على الإنترنت، يجعل تبادل البيانات تنظيم حماية البيانات معقدًا بعض الشيء. 

من درع الخصوصية إلى شريم II، القاضي يتولى دور حارس البيانات الشخصية

يمكن أن تخضع البيانات المجمعة في أوروبا لنقل البيانات إلى دول ثالثة. وهذا ينطبق بشكل خاص على العلاقة بين أوروبا والولايات المتحدة، عندما تقوم شركة أم بنقل البيانات الشخصية إلى فرع أو إلى خادم آخر. 

من 2016 إلى 2020، كانت اللوائح المعمول بها لنقل البيانات من الاتحاد الأوروبي إلى الولايات المتحدة محكومة بـ Privacy Shield. كان هذا معاهدة ثنائية تقدم ضمانات للمستخدمين الأوروبيين بشأن معالجة بياناتهم الشخصية في الولايات المتحدة. 

ومع ذلك، لم تكن هذه الضمانة لحماية البيانات فعالة بنفس القدر في الجانب الأمريكي كما كان الاتفاق يرغب في الإيحاء بذلك. وهكذا، قام محامٍ نمساوي يُدعى شريم بمقاضاة شركة فيسبوك أيرلندا بحجة عدم حماية بياناته الشخصية، التي تم نقلها كليًا أو جزئيًا إلى الولايات المتحدة، على غرار بيانات جميع مستخدمي هذه الشبكة الاجتماعية. 

محكمة العدل التابعة للاتحاد الأوروبي، في حكم معروف باسم شريمز II، أنصفت المدعي وأنهت بذلك درع الخصوصية. ترتكز الحجج الرئيسية للقرار على سهولة وصول السلطات العامة الأمريكية، وكذلك خدمات الاستخبارات الخاصة بها، إلى البيانات الشخصية المنقولة.  

داخل فرنسا نفسها، قامت جمعيات بالتصدي لجمع البيانات من قبل الحكومة. وبالتالي، مجلس الدولة كان عليه أن يعبر عن رأيه بشأن الشراكة بين الدولة ومنصة دوكتوليب في إطار مواعيد التطعيم ضد كوفيد 19.

رفض مجلس الدولة طلب الجمعيات بعد التحقق من جودة تأمين البيانات، على أساس أنه لم يتم جمع أي بيانات طبية. 

في نفس السياق، كانت جمعيات مثل La Quadrature du Net، تتحدى أمام مجلس الدولة المرسوم الصادر في 25 فبراير 2011، الذي يفرض الاحتفاظ بالبيانات الرقمية على مزودي خدمة الإنترنت. 

رفض القضاة الإداريون حججهم لأسباب تتعلق بالأمن القومي، والدفاع عن المصالح الأساسية للأمة، فضلاً عن مكافحة الجريمة. 

ومع ذلك، لا يمكن لقوات إنفاذ القانون الأوروبية أن تطلب من مزود خدمة الإنترنت أو شركة ما دون الحصول على إذن مسبق من قاضي. إنه الأخير الذي يقدر فائدة مثل هذا الطلب في إطار التحقيقات التي يقدم لها المحققون تقاريرهم. 

الخاتمة

في الختام، فإن الوضع الأوروبي فيما يتعلق بمعالجة البيانات وإمكانية الوصول إلى هذه البيانات من قبل الإدارات، سواء كانت تتبع اختصاص وزارات الداخلية أو العدالة في الدول الأعضاء في الاتحاد الأوروبي، محاط بإطار قوي. لا توجد في أوروبا قوانين مقارنة بالتشريعات الأمريكية في هذا المجال.

حماية البيانات

وبالتالي، إذا كانت شركة ترغب في تخزين البيانات عبر الإنترنت من خلال حلول من نوع السحابة، فمن المهم اختيار مزود أوروبي يخزن بياناته على الأراضي الأوروبية. 

في هذه الحالة، من المناسب أيضًا التحقق من أن هذه الشركة لا تقوم بنقل هذه البيانات إلى فرع يقع في دولة ثالثة خارج الاتحاد الأوروبي، وعلى رأسها الولايات المتحدة. وبالتالي، فإن القوانين الأمريكية خارج الحدود ستكون صعبة التطبيق للغاية على شركة ليس لها أي صلة بهذا الإقليم. 

تخزين بياناتك عبر شركات أمريكية، هو فتح الباب على مصراعيه للتجسس الصناعي وممارسات المنافسة غير العادلة الأكثر تطورًا. لقد رأينا، سواء كان ذلك مع سيمنز، ألكاتيل-لوسنت، أو حتى ألسطوم، أن الحكومة الأمريكية، مدعومة من قبل القضاء، لا تتردد في فعل أي شيء لإضعاف المنافسة الموجهة ضد هذه الشركات. 

لا نعطِ العصا لأنفسنا لنُضرب بها.