Online datalagring er på vej frem. Markedslederne er selvfølgelig amerikanske. Med udbydere som Google Drive, iCloud og Dropbox er det virksomheder fra den anden side af Atlanten, der viser vejen.
Men selvom deres tjenester er af høj kvalitet, er det ikke sikkert, at de ikke gør sig skyldige i nationalisme. At opbevare din virksomheds data online hos amerikanske udbydere kan være en alvorlig fejltagelse.
USA er nu verdens førende magt, både militært, økonomisk og industrielt. På den måde tiltager regeringen sig beføjelser, som den har al magt til at påtvinge hele det internationale samfund.
I dette tilfælde er amerikanske love som Patriot Act og Cloud Act den væbnede del af en styringspolitik, der anvendes over for ikke-amerikanske borgere. Med andre ord, afhængigt af dine valg, har den amerikanske administration og retsvæsenet autoritet over dig og dine data.
Man skulle måske tro, at USA, som demokratiets spydspids i verden, har det bedste politiske system, især i sin teori og forfatningsmæssige praksis med checks and balances. Med andre ord den mest gennemførte magtadskillelse, som er så kær for statsteoretikere som Montesquieu.
Virkeligheden er ikke helt den samme. De masseovervågningslove, som USA har indført siden anden halvdel af det 20. århundrede, og som kulminerede med Cloud Act i 2018, synes ikke kun at være i strid med deres forfatning, men også med den klassiske vision om retsstaten. Med andre ord ville enhver anden stat, der indførte en sådan lovgivning, sandsynligvis straks blive stemplet som en politistat.
Det skyldes, at USA ud over Patriot Act og Cloud Act stadig baserer sit juridiske arsenal på en lov og et præsidentielt dekret: Foreign Intelligence Surveillance Act og Executive Order. I lyset af disse lovtekster vil vi forklare, hvorfor det er et risikabelt valg at gemme sine data i en Cloud, der administreres af en amerikansk virksomhed. For at gøre dette vil vi se på den lovgivning, der vil gælde for dig, når du har besluttet dig for at tage springet.
Hvad er Patriot Act, og hvordan fungerer dens ekstraterritorialitetsbetingelser?
Patriot Act er en amerikansk lov om indenlandsk sikkerhed, som blev vedtaget blot 45 dage efter angrebene den 11. september 2001. Med andre ord blev den vedtaget i stor hast af en kongres, der stadig var traumatiseret af begivenhederne i New York.
Resultatet er en blankocheck til politimyndighederne til at foretage efterforskning. Hvorfor skulle det være tilfældet? Fordi selv om der kræves en dommerkendelse, kan dommeren ikke længere modsætte sig den med den begrundelse, at der ikke er nogen “sandsynlig grund”.
Det betyder, at alle dine data kan beslaglægges, uden at du bliver informeret om det, og uden at en amerikansk dommer kan gøre indsigelse. Tro ikke, at den amerikanske forfatning er til megen hjælp, for ifølge det amerikanske justitsministerium kodificerer Patriot Act blot retspraksis, som allerede er anerkendt af højesteret.
I 1979 afgjorde den for eksempel, at argumentet om, at hemmelige ransagninger var forfatningsstridige, var “useriøst”. Tolv år tidligere havde den allerede afgjort, at politibetjente ikke behøvede at fortælle den anklagede grunden eller grundene til en ransagning.
Men det nye ved Patriot Act for en fransk eller europæisk virksomhed er dens ekstraterritoriale anvendelse. Med andre ord, fra det øjeblik din virksomhed mistænkes for at have forbindelser til en terrorist eller gruppe, der truer amerikansk territorium eller amerikanske interesser, kan hele det administrative arsenal sættes i gang mod dig.
Tro ikke, at du kan slippe af sted med det, selv om du ikke har til hensigt at etablere forbindelser med terrorgrupper eller med en kunde, hvis radikale ideer du måske har overset. Vi skal se, at Patriot Act er meget mindre klar i praksis, end den ser ud til. Lad os først se på en anden sikkerhedsmæssig pendant: Cloud Act.
Hvad er Cloud Act?
Cloud Act blev vedtaget i 2018 for at give de amerikanske myndigheder større adgang til data fra brugere af online datalagringsløsninger.
Officielt præsenteres den af justitsministeriet som en lov, der giver myndighederne i tredjelande mulighed for at anmode enhver amerikansk virksomhed om at hoste data med det formål at få adgang til dem som en del af en straffesag.
Mere detaljeret giver det enhver amerikansk administration mulighed for at få data om enhver bruger, så længe de er :
– gemt i USA
– eller gemt af en amerikansk virksomhed i et hvilket som helst land i verden,
– alt sammen uden at nogen ved det, bortset fra den virksomhed, der har anmodet om det, og den pågældende regering.
Dette seneste stykke amerikansk lovgivning er ikke det eneste værktøj, den amerikanske regering har til rådighed.
Hvad er Foreign Intelligence Surveillance Act (FISA)?
FISA blev vedtaget i 1978 af en kongres, der ønskede at regulere de føderale myndigheders overvågningspraksis. Ligesom Patriot Act forsøgte denne lov at kodificere eksisterende praksis.
Sektion 702, der blev tilføjet i 2008, forpligter amerikanske virksomheder til at lette den målrettede overvågning af en person uden for amerikansk territorium.
Denne lov er specifikt rettet mod ikke-amerikanske borgere, der mistænkes for at besidde, modtage eller kommunikere information af interesse for kontraspionage. Ligesom Patriot Act har den officielt til formål at bekæmpe international terrorisme.
Bekendtgørelse 12333
Executive Order 12333, underskrevet af Ronald Reagan i 1981, er, som Washington Post påpeger, et dokument, der giver endnu større muligheder end dem i sektion 215 i Patriot Act.
Præsidentdekret 12333 gælder dog denne gang kun for amerikanske statsborgere, der bor i udlandet. Det vil stadig give amerikanske efterretningstjenester mulighed for at dykke ned i dine data, hvis de er interesserede i en af dine amerikanske kunder.
Under dette dekret beslaglægges alle data af amerikanske efterretningstjenester uden nogen dommerkendelse og derfor uden nogen kontrol fra en dommer eller endda fra Kongressen.
Som du kan se, er loven ikke altid den svagestes garanti mod den stærkestes magt. Den beskytter langt fra altid individuelle frihedsrettigheder eller, mere generelt, offentlige frihedsrettigheder som helhed. Især når vi kommer til at overveje dens anvendelse og dermed dens fortolkning.
Loven eksisterer kun gennem sin fortolkning
En korrekt forståelse af loven kan aldrig opnås ved blot at læse en lov. Hvorfor er det sådan? Fordi det altid er umuligt at anvende loven bogstaveligt. Med andre ord, for at forstå rækkevidden af et stykke lovgivning, er man nødt til at forstå, hvordan den finder anvendelse. Det er problemet med den amerikanske Patriot Act og Cloud Act.
Når Patriot Act henviser til “mistænkelig aktivitet”, hvordan defineres en sådan aktivitet så? Hvad dækker dette begreb over? Det er kun gennem fortolkning, at en bestemt aktivitet kan beskrives som mistænkelig. Problemet er, at hver administration fortolker denne lov på sin egen måde og i total hemmelighed.
Det betyder, at når først dine data er blevet opbevaret af en amerikansk virksomhed, er alle dine data tilgængelige for myndigheder som CIA, NSA og finansministeriet, for blot at nævne nogle få. Kedeligt, er det ikke? Og tro ikke, at du er immun over for efterforskning, bare fordi du ikke er kriminel eller terrorist.
Hovedformålet med dette juridiske arsenal er ikke at jage terrorister, men at forvride den frie konkurrence. Troede du, at USA var et forbillede for frihandel? Du tog fejl.
Desuden vedrører dataindsamlingen ikke kun dine kunders data. Det er ikke for ingenting, at det amerikanske finansministerium også er interesseret i datafangst. FCPA vil vise dig, at opbevaring af dine digitale data helt sikkert kan koste dig.
FCPA-loven, eller den nye skat for ikke-amerikanske virksomheder
Foreign Corrupt Practice Act, der blev vedtaget i 1977, giver de amerikanske domstole mulighed for at dømme virksomheder til at betale betydelige summer i bøder. I 2014 betalte Alstom 772 millioner dollars, Siemens 800 millioner i 2008, Daimler 185 millioner i 2010 og Alcatel-Lucent 137 millioner i 2010. Dette er blot nogle få af de større beløb.
Hvordan tror du, at beviser bliver produceret? På enhver måde, også gennem de data, du har i din Cloud. Hvis du tror, at du er sikker, fordi du ikke har nogen datterselskaber eller ansatte i USA, skal du vide, at FCPA gælder, så snart amerikanske interesser er på spil. Også her er begrebet “amerikanske interesser” åbent for fortolkning, og det er ikke dine interesser, der betyder noget.
I lyset af alle disse oplysninger om amerikansk lovgivning virker muligheden for en Cloud, der administreres af en fransk eller europæisk virksomhed på europæisk territorium, mere end interessant. Det er dog stadig nødvendigt at gøre status over den berømte RGPD.
GDPR i lyset af fransk og europæisk lovgivning
Den generelle forordning om databeskyttelse (GDPR) blev vedtaget af EU for at garantere sikkerheden for de data, som brugerne overlader på internettet til virksomheder, der opererer på europæisk jord.
Det er vigtigt at se på de forpligtelser, der påhviler den virksomhed, der er ansvarlig for behandlingen af brugernes data, og de tilhørende sanktioner, før man forstår dens rolle i overførslen af data, især til USA.
Den dataansvarliges forpligtelser
RGPD sikrer især, at børns rettigheder beskyttes i forbindelse med dataindsamling. Mens indsamling af data om et barn under 13 år stadig er forbudt, er det for børn mellem 13 og 16 år kun tilladt med forældrenes tilladelse, og hvis det drejer sig om en tjeneste, der er direkte rettet mod børn.
RGPD kræver også, at dataansvarlige kun indsamler data, der er strengt nødvendige til det formål, de blev indsamlet til, og at de sikrer, at de kan slette data efter anmodning fra den pågældende person.
Overholdelse af alle forpligtelserne i RGPD kan resultere i tildeling af et certifikat fra tilsynsmyndigheden. Dette certifikat er gyldigt i en periode på tre år, der kan fornyes.
For mere information om detaljerne i RGPD har CNIL (Commission Nationale de l’Informatique et des Libertés) udgivet en online guide til meget små virksomheder (VSE’er) og små og mellemstore virksomheder (SMV’er). Denne guide lærer dig, hvordan du udarbejder en liste over dine filer, sorterer dine data og gør dem sikre.
Manglende overholdelse af forpligtelserne i RGPD kan resultere i meget store økonomiske sanktioner.
Sanktioner i tilfælde af manglende overholdelse
I Frankrig tager CNIL en sag op på tre måder:
– efter en klage fra brugere direkte på CNIL’s hjemmeside,
– efter en inspektion af hjemmesiden eller virksomheden,
– efter et brud på datasikkerheden.
CNIL har derefter en bred vifte af sanktioner til rådighed, fra en offentlig meddelelse på Légifrance og CNIL’s hjemmeside til en bøde på op til 20.000.000 euro eller 4 % af den globale omsætning i det foregående regnskabsår.
CNIL idømte Google en bøde på 150 millioner euro for deres cookie-politik på Google og Youtube. CNIL kritiserede den amerikanske virksomhed for ikke at give brugerne mulighed for at afvise cookies lige så let som at acceptere dem.
Samme dag, den 31. december 2021, gav CNIL også Facebook en bøde på 60 millioner euro af samme grund som Google.
Alene disse store bøder understreger vigtigheden af spørgsmålet om databeskyttelse i Europa. Men i en globaliseret verden, hvor alle netværk, især på internettet, gennemtrænger hinanden, gør delingen af data det noget komplekst at tale om databeskyttelse.
Fra Privacy Shield til Shrem II, dommeren bliver vogter af personlige data
Data indsamlet i Europa kan blive overført til tredjelande. Det er især tilfældet mellem Europa og USA, når et moderselskab overfører persondata til et datterselskab eller til en anden server.
Fra 2016 til 2020 var de gældende regler for denne overførsel af data fra EU til USA underlagt Privacy Shield. Det var en bilateral aftale, der gav europæiske brugere garantier for behandlingen af deres personlige data i USA.
Men denne garanti for databeskyttelse var ikke så effektiv på den amerikanske side, som traktaten ville have os til at tro. En østrigsk advokat ved navn Schrem lagde sag an mod Facebook Irland og hævdede, at hans personlige data, som var blevet overført helt eller delvist til USA, ikke var beskyttet på samme måde som alle andre brugere af det sociale netværk.
I en dom kendt som Schrems II gav Den Europæiske Unions Domstol sagsøgeren medhold og satte dermed en stopper for Privacy Shield. Hovedargumenterne i dommen var, at de amerikanske myndigheder og deres efterretningstjenester så let kunne få adgang til de overførte persondata.
I Frankrig selv har foreninger rejst sig mod regeringens dataindsamling. For eksempel måtte Conseil d’Etat tage stilling til partnerskabet mellem regeringen og Doctolib-platformen i forbindelse med vaccinationsaftaler mod Covid 19.
Conseil d’Etat afviste foreningernes anmodning efter at have kontrolleret kvaliteten af datasikkerheden med den begrundelse, at der ikke blev indsamlet medicinske data.
På samme måde har foreninger som La Quadrature du Net indbragt dekretet af 25. februar 2011, der pålægger internetudbydere at opbevare digitale data, for Conseil d’Etat.
De administrative dommere afviste deres argumenter med henvisning til den nationale sikkerhed, forsvaret af nationens grundlæggende interesser og kampen mod kriminalitet.
Det er dog ikke muligt for de europæiske retshåndhævende myndigheder at rekvirere en internetudbyder eller en virksomhed uden forudgående tilladelse fra en dommer. Det er sidstnævnte, der vurderer nytten af en sådan anmodning i forbindelse med de undersøgelser, som efterforskerne rapporterer til ham om.
Konklusion
Som konklusion er situationen i Europa med hensyn til databehandling og adgang til sådanne data for offentlige myndigheder, uanset om de hører under indenrigs- eller justitsministerierne i EU’s medlemsstater, stærkt reguleret. Der findes ingen love i Europa, der kan sammenlignes med dem i USA.
Hvis en virksomhed ønsker at gemme data online ved hjælp af cloud-baserede løsninger, er det derfor vigtigt at vælge en europæisk tjenesteudbyder, der gemmer data på europæisk jord.
I dette tilfælde er det også vigtigt at kontrollere, at virksomheden ikke overfører data til et datterselskab, der er baseret i et land uden for EU, især USA. Det vil være meget vanskeligt for amerikanske ekstraterritoriale love at gælde for en virksomhed uden forbindelse til USA.
Lagring af data via amerikanske virksomheder åbner døren på vid gab for industrispionage og de mest højteknologiske former for unfair konkurrence. Som vi har set med Siemens, Alcatel-Lucent og Alstom, vil den amerikanske regering, støttet af domstolene, gøre alt for at svække konkurrencen for disse virksomheder.
Så lad os ikke gå rundt om den varme grød.