Online gegevensopslag is aan een opmars bezig. De marktleiders zijn natuurlijk Amerikaans. Met aanbieders als Google Drive, iCloud en Dropbox nemen bedrijven van over de Atlantische Oceaan het voortouw.
Maar hoewel hun diensten van hoge kwaliteit zijn, is het niet zeker dat ze zich niet schuldig maken aan nationalisme. Het online opslaan van de gegevens van uw bedrijf bij Amerikaanse serviceproviders kan een ernstige fout zijn.
De Verenigde Staten zijn nu ’s werelds grootste mogendheid, zowel op militair, economisch als industrieel gebied. Daarmee eigent de Amerikaanse regering zichzelf prerogatieven toe die ze met alle macht aan de hele internationale gemeenschap kan opleggen.
In dit geval zijn Amerikaanse wetten zoals de Patriot Act en de Cloud Act de gewapende vleugel van een bestuurspolitiek die wordt toegepast op niet-Amerikaanse burgers. Met andere woorden, afhankelijk van uw keuzes hebben de Amerikaanse overheid en rechterlijke macht gezag over u en uw gegevens.
U zou kunnen denken dat de Verenigde Staten van Amerika, als speerpunt van de democratie in de wereld, het beste politieke systeem heeft, vooral in zijn theorie en grondwettelijke praktijk van checks and balances. Met andere woorden, de best gerealiseerde scheiding der machten, zo geliefd bij de theoretici van de staat zoals Montesquieu.
De realiteit is niet helemaal hetzelfde. De massasurveillancewetten die de Verenigde Staten sinds de tweede helft van de twintigste eeuw hebben ingevoerd, met als hoogtepunt de Cloud Act van 2018, lijken niet alleen in strijd met hun grondwet, maar ook met de klassieke visie van de rechtsstaat. Met andere woorden, elke andere staat die dergelijke wetgeving zou invoeren, zou waarschijnlijk onmiddellijk als politiestaat worden bestempeld.
Dit komt omdat de Verenigde Staten, naast de Patriot Act en de Cloud Act, hun juridisch arsenaal nog steeds baseren op een wet en een presidentieel decreet: de Foreign Intelligence Surveillance Act en de Executive Order. In het licht van deze juridische teksten gaan we uitleggen waarom het opslaan van uw gegevens in een Cloud die wordt beheerd door een Amerikaans bedrijf een riskante keuze is. Om dit te doen, zullen we kijken naar de wetgeving die op u van toepassing is als u eenmaal hebt besloten de sprong te wagen.
Wat is de Patriot Act en hoe werken de extraterritoriale voorwaarden?
De Patriot Act is een Amerikaanse wet op de binnenlandse veiligheid die slechts 45 dagen na de aanslagen van 11 september 2001 werd aangenomen. Met andere woorden, de wet werd in grote haast aangenomen door een Congres dat nog steeds getraumatiseerd was door de gebeurtenissen in New York.
Het resultaat is een blanco cheque die aan de politieautoriteiten wordt gegeven om onderzoeken uit te voeren. Waarom? Omdat, hoewel er een rechterlijk bevel nodig is, de rechter zich er niet langer tegen kan verzetten op grond van het feit dat er geen “waarschijnlijke oorzaak” is.
Als gevolg hiervan kunnen al uw gegevens in beslag worden genomen zonder dat u daarvan op de hoogte wordt gesteld of zonder dat een rechter in de VS bezwaar kan maken. U hoeft niet te denken dat de Amerikaanse grondwet veel helpt, want volgens het Amerikaanse Ministerie van Justitie codificeert de Patriot Act slechts jurisprudentie die al door het Hooggerechtshof erkend is.
In 1979 oordeelde het Hooggerechtshof bijvoorbeeld dat het argument dat geheime huiszoekingen ongrondwettelijk waren “frivool” was. Twaalf jaar eerder had het Hooggerechtshof al beslist dat politieagenten de reden of redenen voor een huiszoeking niet aan de verdachte hoefden te vertellen.
Wat echter nieuw is aan de Patriot Act voor een Frans of Europees bedrijf, is de extraterritoriale toepassing ervan. Met andere woorden, vanaf het moment dat uw bedrijf ervan verdacht wordt banden te hebben met een terroristisch individu of groep die het Amerikaanse grondgebied of de Amerikaanse belangen bedreigt, kan het hele administratieve arsenaal tegen u in stelling worden gebracht.
Denk niet dat u ermee weg kunt komen, zelfs als u niet van plan bent om banden aan te knopen met terroristische groepen, of met een klant wiens radicale ideeën u misschien ontgaan zijn. We zullen zien dat de Patriot Act in de praktijk veel minder duidelijk is dan het lijkt. Laten we eerst eens kijken naar een andere tegenhanger op het gebied van beveiliging: de Cloud Act.
Wat is de cloudwet?
De Cloud Act werd in 2018 aangenomen om de Amerikaanse autoriteiten meer toegang te geven tot de gegevens van gebruikers van online gegevensopslagoplossingen.
Officieel wordt het door het Ministerie van Justitie voorgesteld als een maatregel die de autoriteiten van derde landen in staat stelt om elk Amerikaans bedrijf dat gegevens host op te vragen, met als doel om er toegang toe te krijgen in het kader van strafrechtelijke procedures.
Meer in detail staat het elke Amerikaanse overheid toe om gegevens van elke gebruiker te verkrijgen, zolang deze :
– opgeslagen zijn in de Verenigde Staten
– of opgeslagen zijn door een Amerikaans bedrijf in een willekeurig land ter wereld,
– en dit alles zonder dat iemand het weet, behalve het aangezochte bedrijf en de betreffende overheidsdienst.
Dit nieuwste stuk Amerikaanse wetgeving is niet het enige instrument dat de Amerikaanse overheid ten dienste staat.
Wat is de Foreign Intelligence Surveillance Act (FISA)?
De FISA werd in 1978 aangenomen door een Congres dat de surveillancepraktijken van de federale overheid wilde reguleren. Net als de Patriot Act probeerde deze wet bestaande praktijken te codificeren.
Sectie 702, toegevoegd in 2008, verplicht Amerikaanse bedrijven om de gerichte surveillance van een persoon buiten Amerikaans grondgebied te vergemakkelijken.
Deze wet richt zich specifiek op niet-Amerikaanse burgers die verdacht worden van het bezitten, ontvangen of doorgeven van informatie die van belang is voor contraspionage. De reikwijdte is, net als de Patriot Act, officieel gericht op het bestrijden van internationaal terrorisme.
Uitvoeringsbevel 12333
Executive Order 12333, ondertekend door Ronald Reagan in 1981, is, zoals de Washington Post opmerkt, een document dat nog meer mogelijkheden biedt dan sectie 215 van de Patriot Act.
Presidentieel Besluit 12333 is dit keer echter alleen van toepassing op Amerikaanse burgers die in het buitenland wonen. Hierdoor kunnen Amerikaanse inlichtingendiensten nog steeds in uw gegevens duiken als ze geïnteresseerd zijn in één van uw Amerikaanse klanten.
Onder dit decreet worden alle gegevens die in beslag worden genomen door Amerikaanse inlichtingendiensten gedaan zonder bevelschrift en dus zonder enige controle door een rechter, of zelfs door het Congres.
Zoals u kunt zien, is de wet niet altijd de garantie van de zwaksten tegen de macht van de sterksten. De wet beschermt lang niet altijd de individuele vrijheden of, in bredere zin, de openbare vrijheden in het algemeen. Vooral als we kijken naar de toepassing en dus de interpretatie ervan.
De wet bestaat alleen door haar interpretatie
Een goed begrip van de wet kan nooit worden bereikt door simpelweg een wet te lezen. Waarom niet? Omdat het altijd onmogelijk is om de wet letterlijk toe te passen. Met andere woorden, om de reikwijdte van een stuk wetgeving te begrijpen, moet u begrijpen hoe het van toepassing is. Dit is het probleem van de Amerikaanse Patriot Act en de Cloud Act.
Wanneer de Patriot Act verwijst naar “verdachte activiteiten”, hoe wordt een dergelijke activiteit dan gedefinieerd? Wat valt er onder dit begrip? Alleen door interpretatie kan een bepaalde activiteit als verdacht worden omschreven. Het probleem is dat elke regering deze wet op haar eigen manier en in het diepste geheim interpreteert.
Dit betekent dat zodra uw gegevens zijn opgeslagen door een Amerikaans bedrijf, al uw gegevens toegankelijk zijn naar goeddunken van overheden zoals de CIA, de NSA en het Ministerie van Financiën, om er maar een paar te noemen. Saai, nietwaar? En denk niet dat u immuun bent voor onderzoek omdat u geen crimineel of terrorist bent.
Het belangrijkste doel van dit juridische arsenaal is niet om op terroristen te jagen, maar om de vrije concurrentie te verstoren. Dacht u dat de Verenigde Staten het toonbeeld van vrije handel waren? Dan had u het mis.
Bovendien heeft het verzamelen van gegevens niet alleen betrekking op de gegevens van uw klanten. Het is niet voor niets dat het Amerikaanse ministerie van Financiën ook geïnteresseerd is in het vastleggen van gegevens. De FCPA zal u laten zien dat het opslaan van uw digitale gegevens u wel degelijk geld kan kosten.
De FCPA-wet, of de nieuwe belasting voor niet-Amerikaanse bedrijven
De Foreign Corrupt Practice Act, aangenomen in 1977, stelt Amerikaanse rechtbanken in staat om bedrijven te veroordelen tot het betalen van aanzienlijke boetes. In 2014 betaalde Alstom 772 miljoen dollar, Siemens 800 miljoen in 2008, Daimler 185 miljoen in 2010 en Alcatel-Lucent 137 miljoen in 2010. Dit zijn slechts enkele van de grotere bedragen.
Hoe denkt u dat bewijs wordt geproduceerd? Op welke manier dan ook, inclusief via de gegevens in uw Cloud. Als u denkt dat u veilig bent omdat u geen dochterondernemingen of werknemers in de Verenigde Staten hebt, moet u weten dat de FCPA van toepassing is zodra er Amerikaanse belangen op het spel staan. Ook hier is het begrip “Amerikaanse belangen” voor interpretatie vatbaar, en het is niet het uwe dat telt.
In het licht van al deze informatie over de Amerikaanse wetgeving lijkt de optie van een Cloud die wordt beheerd door een Frans of Europees bedrijf, op Europees grondgebied, meer dan interessant. Het is echter nog steeds noodzakelijk om de balans op te maken van de beroemde RGPD.
De GDPR, in het licht van de Franse en Europese wetgeving
De General Data Protection Regulation (GDPR) werd door de Europese Unie aangenomen om de veiligheid te garanderen van de gegevens die gebruikers op het internet toevertrouwen aan bedrijven die op Europees grondgebied opereren.
Het is belangrijk om te kijken naar de verplichtingen van het bedrijf dat verantwoordelijk is voor de verwerking van de gegevens van zijn gebruikers en de bijbehorende sancties, voordat we de rol van het bedrijf bij de overdracht van gegevens, met name naar de Verenigde Staten, begrijpen.
De verplichtingen van de voor de verwerking verantwoordelijke
De RGPD zorgt er in het bijzonder voor dat de rechten van kinderen worden beschermd in de context van gegevensverzameling. Terwijl het verzamelen van gegevens van een kind jonger dan 13 jaar nog steeds verboden is, is dit voor kinderen tussen 13 en 16 jaar alleen toegestaan met toestemming van de ouders, en als het een dienst betreft die direct op kinderen gericht is.
De RGPD vereist ook dat voor de verwerking verantwoordelijken alleen gegevens verzamelen die strikt noodzakelijk zijn voor het doel waarvoor ze zijn verzameld, en dat ze ervoor zorgen dat ze gegevens op verzoek van de betrokkene kunnen wissen.
Als aan alle verplichtingen van de RGPD wordt voldaan, kan de toezichthoudende autoriteit een certificaat uitreiken. Dit certificaat is geldig voor een verlengbare periode van drie jaar.
Voor meer informatie over de details van de RGPD heeft de CNIL (Commission Nationale de l’Informatique et des Libertés) een online gids gepubliceerd voor zeer kleine bedrijven (VSE’s) en kleine en middelgrote ondernemingen (KMO’s). Deze gids leert u hoe u een lijst van uw bestanden opstelt, uw gegevens sorteert en ze beveiligt.
Het niet naleven van de verplichtingen in de RGPD kan leiden tot zeer zware financiële sancties.
Sancties bij niet-naleving
In Frankrijk neemt de CNIL een zaak op drie manieren in behandeling:
– na een klacht van gebruikers rechtstreeks op de CNIL website,
– na een inspectie van de website of het bedrijf,
– na een datalek.
De CNIL heeft dan een heel scala aan sancties tot haar beschikking, van een openbare aankondiging op Légifrance en de CNIL-website tot een financiële boete van maximaal €20.000.000 of 4% van de wereldwijde omzet van het voorgaande boekjaar.
De CNIL heeft Google een boete opgelegd van €150 miljoen voor zijn cookiebeleid op Google en Youtube. De CNIL bekritiseerde het Amerikaanse bedrijf omdat het gebruikers niet even gemakkelijk toestond om cookies te weigeren als om ze te accepteren.
Op dezelfde dag, 31 december 2021, legde de CNIL ook Facebook een boete op van €60 miljoen om dezelfde redenen als Google.
Deze zware boetes alleen al benadrukken het belang van gegevensbescherming in Europa. Maar in een geglobaliseerde wereld waar, vooral op het internet, alle netwerken elkaar binnendringen, maakt het delen van gegevens de articulatie van gegevensbescherming enigszins complex.
Van Privacy Shield tot Shrem II, de rechter wordt de hoeder van persoonlijke gegevens
Gegevens die in Europa zijn verzameld, kunnen worden doorgegeven aan derde landen. Dit is met name het geval tussen Europa en de Verenigde Staten, wanneer een moederbedrijf persoonlijke gegevens doorgeeft aan een dochteronderneming of een andere server.
Van 2016 tot 2020 werden de regels die van toepassing waren op deze doorgifte van gegevens van de Europese Unie naar de Verenigde Staten geregeld door het Privacy Shield. Dit was een bilateraal verdrag dat garanties bood aan Europese gebruikers met betrekking tot de verwerking van hun persoonsgegevens in de Verenigde Staten.
Deze garantie van gegevensbescherming was aan Amerikaanse zijde echter niet zo effectief als het verdrag ons wil doen geloven. Een Oostenrijkse advocaat met de naam Schrem daagde Facebook Ierland voor de rechter met het argument dat zijn persoonlijke gegevens, die geheel of gedeeltelijk waren doorgegeven aan de Verenigde Staten, niet op dezelfde manier beschermd waren als die van alle gebruikers van het sociale netwerk.
Het Hof van Justitie van de Europese Unie heeft in een uitspraak die bekend staat als Schrems II de eiser in het gelijk gesteld en zo een einde gemaakt aan het Privacy Shield. De belangrijkste argumenten in de uitspraak hadden betrekking op het gemak waarmee de Amerikaanse overheidsinstanties en hun inlichtingendiensten toegang konden krijgen tot de overgedragen persoonlijke gegevens.
In Frankrijk zelf zijn verenigingen in opstand gekomen tegen het verzamelen van gegevens door de overheid. De Conseil d’Etat moest zich bijvoorbeeld uitspreken over de samenwerking tussen de overheid en het Doctolib-platform in verband met vaccinatieafspraken tegen Covid 19.
De Raad van State verwierp het verzoek van de verenigingen, na de kwaliteit van de gegevensbeveiliging te hebben gecontroleerd, omdat er geen medische gegevens werden verzameld.
Op dezelfde manier hebben verenigingen zoals La Quadrature du Net het decreet van 25 februari 2011 dat internetproviders verplicht om digitale gegevens te bewaren, aangevochten bij de Raad van State.
De administratieve rechters verwierpen hun argumenten op grond van de nationale veiligheid, de verdediging van de fundamentele belangen van de natie en de misdaadbestrijding.
Europese rechtshandhavingsinstanties kunnen echter geen beslag leggen op een ISP of een bedrijf zonder voorafgaande toestemming van een magistraat. Het is deze laatste die het nut van een dergelijk verzoek beoordeelt in het kader van de onderzoeken waarover de onderzoekers aan hem rapporteren.
Conclusie
Concluderend kan worden gesteld dat de situatie in Europa met betrekking tot gegevensverwerking en de toegang tot dergelijke gegevens door overheidsinstanties, of deze nu onder de ministeries van Binnenlandse Zaken of Justitie van de lidstaten van de Europese Unie vallen, sterk gereguleerd is. Er zijn geen wetten in Europa die vergelijkbaar zijn met die in de Verenigde Staten.
Als een bedrijf gegevens online wil opslaan met behulp van cloud-gebaseerde oplossingen, is het daarom belangrijk om een Europese serviceprovider te kiezen die de gegevens op Europees grondgebied opslaat.
In dit geval is het ook belangrijk om te controleren of het bedrijf de gegevens niet doorgeeft aan een dochteronderneming die gevestigd is in een land buiten de Europese Unie, met name de Verenigde Staten. Het zal erg moeilijk zijn voor Amerikaanse extraterritoriale wetten om van toepassing te zijn op een bedrijf zonder banden met de Verenigde Staten.
Het opslaan van gegevens via Amerikaanse bedrijven zet de deur wijd open voor industriële spionage en de meest hightech oneerlijke concurrentiepraktijken. Zoals we hebben gezien met Siemens, Alcatel-Lucent en Alstom, zal de Amerikaanse overheid, gesteund door de rechtbanken, nergens voor terugdeinzen om de concurrentie van deze bedrijven te verzwakken.
Laten we er dus niet omheen draaien.
