Stocarea online a datelor este în plină dezvoltare. Liderii pieței sunt, desigur, americani. Cu furnizori precum Google Drive, iCloud și Dropbox, companiile de peste Atlantic sunt în frunte.
Cu toate acestea, deși serviciile lor sunt de înaltă calitate, nu este sigur că nu se fac vinovate de naționalism. Stocarea online a datelor companiei dumneavoastră cu furnizori de servicii americani ar putea fi o greșeală gravă.
Statele Unite sunt în prezent prima putere mondială, atât din punct de vedere militar, cât și economic sau industrial. În acest fel, guvernul său își arogă prerogative pe care are toată puterea să le impună întregii comunități internaționale.
În acest caz, legile americane, precum Patriot Act și Cloud Act, sunt aripa armată a unei politici de guvernare aplicate cetățenilor non-americani. Cu alte cuvinte, în funcție de alegerile dumneavoastră, administrația și sistemul judiciar american au autoritate asupra dumneavoastră și a datelor dumneavoastră.
Ați putea crede că Statele Unite ale Americii, ca vârf de lance al democrației în lume, au cel mai bun sistem politic, în special în teoria și practica constituțională a verificărilor și echilibrelor. Cu alte cuvinte, cea mai desăvârșită separație a puterilor, atât de dragă teoreticienilor statului, precum Montesquieu.
Realitatea nu este chiar la fel. Legile de supraveghere în masă puse în aplicare de Statele Unite începând cu a doua jumătate a secolului XX, culminând cu Cloud Act din 2018, par a fi nu numai contrare constituției lor, ci și viziunii clasice a statului de drept. Cu alte cuvinte, orice alt stat care ar introduce o astfel de legislație ar fi probabil imediat catalogat drept stat polițienesc.
Asta pentru că, pe lângă Patriot Act și Cloud Act, Statele Unite încă își bazează arsenalul juridic pe o lege și un decret prezidențial: Foreign Intelligence Surveillance Act și Executive Order. În lumina acestor texte juridice, vom explica de ce stocarea datelor dumneavoastră într-un Cloud gestionat de o companie americană este o alegere riscantă. Pentru a face acest lucru, vom examina legislația care vi se va aplica odată ce ați decis să faceți pasul cel mare.
Ce este Patriot Act și cum funcționează condițiile sale de extrateritorialitate?
Patriot Act este o lege americană privind securitatea internă adoptată la doar 45 de zile după atacurile din 11 septembrie 2001. Cu alte cuvinte, a fost adoptată în mare grabă de un Congres încă traumatizat de evenimentele din New York.
Rezultatul este un cec în alb acordat autorităților polițienești pentru a efectua investigații. De ce ar trebui să se întâmple acest lucru? Pentru că, deși este necesar un mandat de la un judecător, acesta nu se mai poate opune pe motiv că nu există o „cauză probabilă”.
Prin urmare, toate datele dvs. pot fi confiscate fără ca dvs. să fiți informat sau fără ca un judecător american să se poată opune. Nu credeți că Constituția SUA vă este de mare ajutor, deoarece, potrivit Departamentului de Justiție al SUA, Patriot Act nu face decât să codifice jurisprudența deja recunoscută de Curtea Supremă.
În 1979, de exemplu, aceasta a decis că argumentul că perchezițiile secrete sunt neconstituționale este „frivol”. Cu doisprezece ani mai devreme, Curtea hotărâse deja că polițiștii nu sunt obligați să comunice inculpatului motivul sau motivele unei percheziții.
Cu toate acestea, ceea ce este nou la Patriot Act pentru o companie franceză sau europeană este aplicarea sa extrateritorială. Cu alte cuvinte, din momentul în care întreprinderea dumneavoastră este suspectată că are legături cu un individ sau un grup terorist care amenință teritoriul american sau interesele acestuia, întregul arsenal administrativ poate fi pus în mișcare împotriva dumneavoastră.
Să nu credeți că puteți scăpa nepedepsiți, chiar dacă nu intenționați să stabiliți legături cu grupuri teroriste sau cu un client ale cărui idei radicale v-au scăpat. Vom vedea că Patriot Act este mult mai puțin clar în practică decât pare. Înainte de aceasta, să ne uităm la un alt omolog de securitate: Cloud Act.
Ce este Cloud Act?
Cloud Act a fost adoptat în 2018 pentru a oferi autorităților americane un acces mai mare la datele utilizatorilor de soluții de stocare a datelor online.
Oficial, este prezentată de Departamentul de Justiție ca permițând autorităților din țări terțe să solicite orice companie americană care găzduiește date, cu scopul de a avea acces la acestea în cadrul unor proceduri penale.
Mai în detaliu, permite oricărei administrații americane să obțină date despre orice utilizator, atâta timp cât acesta este :
– stocate în Statele Unite
– sau stocate de o companie americană în orice țară din lume,
– totul fără ca nimeni să știe, în afară de compania solicitată și de departamentul guvernamental în cauză.
Acest ultim act legislativ american nu este singurul instrument aflat în slujba guvernului american.
Ce este Legea privind supravegherea serviciilor secrete străine (FISA)?
FISA a fost adoptată în 1978 de un Congres care dorea să reglementeze practicile de supraveghere ale autorităților federale. Ca și Patriot Act, această lege a urmărit să codifice practicile existente.
Secțiunea 702, adăugată în 2008, obligă companiile americane să faciliteze supravegherea țintită a unei persoane în afara teritoriului SUA.
Această lege vizează în mod specific cetățenii non-americani suspectați că dețin, primesc sau comunică informații de interes pentru contraspionaj. Domeniul său de aplicare, la fel ca și Patriot Act, vizează în mod oficial combaterea terorismului internațional.
Ordinul executiv 12333
Ordinul executiv 12333, semnat de Ronald Reagan în 1981, este, după cum subliniază Washington Post, un document care oferă posibilități și mai mari decât cele ale secțiunii 215 din Patriot Act.
Cu toate acestea, decretul prezidențial 12333 se aplică de această dată doar cetățenilor americani care locuiesc în străinătate. Acest lucru va permite în continuare agențiilor de informații americane să se scufunde în datele dumneavoastră dacă sunt interesate de unul dintre clienții dumneavoastră americani.
În temeiul acestui decret, toate datele confiscate de agențiile de informații americane se fac fără niciun mandat și, prin urmare, fără niciun control din partea unui judecător sau chiar a Congresului.
După cum puteți vedea, legea nu este întotdeauna garanția celui mai slab împotriva puterii celui mai puternic. Este departe de a proteja întotdeauna libertățile individuale sau, în sens mai larg, libertățile publice în ansamblu. Mai ales atunci când ajungem să luăm în considerare aplicarea și, prin urmare, interpretarea acesteia.
Legea nu există decât prin interpretarea sa
O înțelegere corectă a legii nu poate fi niciodată obținută prin simpla citire a unei legi. De ce nu? Pentru că este întotdeauna imposibil să aplicăm legea în mod literal. Cu alte cuvinte, pentru a înțelege domeniul de aplicare al unui act legislativ, trebuie să înțelegeți cum se aplică acesta. Aceasta este problema pe care o ridică Patriot Act și Cloud Act.
Când Patriot Act se referă la „activități suspecte”, cum este definită o astfel de activitate? Ce acoperă acest concept? Doar prin interpretare o anumită activitate poate fi descrisă ca fiind suspectă. Problema este că fiecare administrație interpretează această lege în felul său și în secret total.
Acest lucru înseamnă că, odată ce datele dvs. au fost stocate de o companie americană, toate datele dvs. sunt accesibile la discreția unor administrații precum CIA, NSA și Trezoreria, pentru a numi doar câteva dintre ele. Plictisitor, nu-i așa? Și să nu credeți că sunteți imun la investigații doar pentru că nu sunteți un infractor sau un terorist.
Scopul principal al acestui arsenal juridic nu este de a vâna teroriști, ci de a distorsiona libera concurență. Credeați că Statele Unite sunt un model de comerț liber? V-ați înșelat.
Mai mult, colectarea de date nu se referă doar la datele clienților dumneavoastră. Nu degeaba este interesată și Trezoreria SUA de capturarea datelor. FCPA vă va arăta că stocarea datelor dumneavoastră digitale vă poate costa cu siguranță.
Legea FCPA, sau noua taxă pentru companiile din afara SUA
Legea privind practicile de corupție în străinătate, adoptată în 1977, permite instanțelor americane să oblige companiile să plătească sume considerabile sub formă de penalități. În 2014, Alstom a plătit 772 de milioane de dolari, Siemens 800 de milioane în 2008, Daimler 185 de milioane în 2010 și Alcatel-Lucent 137 de milioane în 2010. Acestea sunt doar câteva dintre cele mai mari sume.
Cum credeți că se produc dovezile? Prin orice mijloace, inclusiv prin datele pe care le aveți în Cloud. Dacă credeți că sunteți în siguranță pentru că nu aveți filiale sau angajați în Statele Unite, trebuie să știți că FCPA se aplică de îndată ce interesele americane sunt în joc. Și în acest caz, noțiunea de „interese americane” poate fi interpretată și nu contează doar ale dumneavoastră.
În lumina tuturor acestor informații privind legislația americană, opțiunea unui Cloud gestionat de o societate franceză sau europeană, pe teritoriul european, pare mai mult decât interesantă. Cu toate acestea, este totuși necesar să se facă un bilanț al faimosului RGPD.
GDPR, în lumina legislației franceze și europene
Regulamentul general privind protecția datelor (RGPD) a fost adoptat de Uniunea Europeană pentru a garanta securitatea datelor pe care utilizatorii le încredințează pe internet companiilor care operează pe teritoriul european.
Este important să analizăm obligațiile impuse societății responsabile de prelucrarea datelor utilizatorilor săi și sancțiunile aferente, înainte de a înțelege rolul acesteia în transferul de date, în special către Statele Unite.
Obligațiile operatorului de date
În special, RGPD asigură protecția drepturilor copiilor în contextul colectării de date. În timp ce colectarea de date referitoare la un copil cu vârsta sub 13 ani este în continuare interzisă, pentru copiii cu vârste cuprinse între 13 și 16 ani, aceasta este permisă numai cu autorizația părinților și dacă se referă la un serviciu destinat direct copiilor.
De asemenea, RGPD impune operatorilor de date să colecteze numai datele strict necesare în scopul pentru care au fost colectate și să se asigure că pot șterge datele la cererea persoanei în cauză.
Respectarea tuturor obligațiilor impuse de RGPD poate duce la acordarea unui certificat de către autoritatea de supraveghere. Acest certificat este valabil pentru o perioadă de trei ani, care poate fi reînnoită.
Pentru mai multe informații privind detaliile RGPD, CNIL (Commission Nationale de l’Informatique et des Libertés) a publicat un ghid online pentru întreprinderile foarte mici (TPE) și întreprinderile mici și mijlocii (IMM). Acest ghid vă va învăța cum să întocmiți o listă a fișierelor dumneavoastră, să vă sortați datele și să le securizați.
Nerespectarea obligațiilor prevăzute în RGPD poate duce la sancțiuni financiare foarte mari.
Sancțiuni aplicabile în caz de nerespectare
În Franța, CNIL se ocupă de un caz în trei moduri:
– în urma unei plângeri din partea utilizatorilor direct pe site-ul CNIL,
– în urma unei inspecții a site-ului web sau a societății,
– în urma unei încălcări a securității datelor.
În acest caz, CNIL are la dispoziție o gamă completă de sancțiuni, de la un anunț public pe Légifrance și pe site-ul CNIL până la o sancțiune financiară de până la 20 000 000 de euro sau 4% din cifra de afaceri la nivel mondial pentru exercițiul financiar precedent.
CNIL a amendat Google cu 150 de milioane de euro pentru politica sa privind cookie-urile de pe Google și Youtube. CNIL a reproșat companiei americane că nu permite utilizatorilor să refuze cookie-urile cu aceeași ușurință cu care le acceptă.
În aceeași zi, 31 decembrie 2021, CNIL a amendat și Facebook cu 60 de milioane de euro pentru aceleași motive ca și Google.
Aceste sancțiuni grele evidențiază de la sine importanța problemei protecției datelor în Europa. Cu toate acestea, într-o lume globalizată în care, în special pe internet, toate rețelele se pătrund reciproc, schimbul de date face ca articularea protecției datelor să fie oarecum complexă.
De la Privacy Shield la Shrem II, judecătorul devine gardianul datelor personale
Datele colectate în Europa pot fi transferate în țări terțe. Acesta este în special cazul între Europa și Statele Unite, atunci când o societate-mamă transferă date cu caracter personal către o filială sau către un alt server.
Din 2016 până în 2020, reglementările aplicabile acestui transfer de date din Uniunea Europeană către Statele Unite au fost reglementate de Scutul de confidențialitate. Acesta era un tratat bilateral care oferea garanții utilizatorilor europeni în ceea ce privește prelucrarea datelor lor personale în Statele Unite.
Cu toate acestea, această garanție de protecție a datelor nu a fost atât de eficientă de partea americană pe cât ne-ar fi făcut să credem tratatul. Un avocat austriac, pe nume Schrem, a dat în judecată Facebook Irlanda, susținând că datele sale personale, care fuseseră transferate integral sau parțial în Statele Unite, nu erau protejate în același mod ca și cele ale tuturor utilizatorilor rețelei de socializare.
Curtea de Justiție a Uniunii Europene, într-o hotărâre cunoscută sub numele de Schrems II, a dat dreptate reclamantului și a pus astfel capăt Scutului de confidențialitate. Principalele argumente ale hotărârii se refereau la ușurința cu care autoritățile publice americane și serviciile lor de informații puteau avea acces la datele cu caracter personal transferate.
În Franța însăși, asociațiile s-au ridicat împotriva colectării de date de către guvern. De exemplu, Conseil d’Etat a trebuit să se pronunțe cu privire la parteneriatul dintre guvern și platforma Doctolib în legătură cu programările pentru vaccinarea împotriva Covid 19.
Conseil d’Etat a respins cererea asociațiilor, după ce a verificat calitatea securității datelor, pe motiv că nu au fost colectate date medicale.
În mod similar, asociații precum La Quadrature du Net au contestat în fața Conseil d’Etat decretul din 25 februarie 2011 care impune furnizorilor de servicii de internet păstrarea datelor digitale.
Judecătorii administrativi au respins argumentele acestora din motive legate de securitatea națională, de apărarea intereselor fundamentale ale națiunii și de lupta împotriva criminalității.
Cu toate acestea, agențiile europene de aplicare a legii nu au posibilitatea de a rechiziționa un furnizor de servicii de internet sau o societate fără autorizația prealabilă a unui magistrat. Acesta din urmă este cel care evaluează utilitatea unei astfel de solicitări în contextul investigațiilor despre care îi raportează anchetatorii.
Concluzie
În concluzie, situația în Europa în ceea ce privește prelucrarea datelor și accesul la aceste date de către autoritățile publice, indiferent dacă acestea intră în atribuțiile ministerelor de interne sau de justiție din statele membre ale Uniunii Europene, este foarte reglementată. În Europa nu există legi comparabile cu cele din Statele Unite.
Prin urmare, dacă o companie dorește să stocheze date online folosind soluții bazate pe cloud, este important să selecteze un furnizor de servicii european care să stocheze datele pe teritoriul european.
În acest caz, este de asemenea important să se verifice dacă societatea nu transferă datele către o filială cu sediul într-o țară din afara Uniunii Europene, în special în Statele Unite. Va fi foarte dificil ca legile extrateritoriale americane să se aplice unei companii care nu are legături cu Statele Unite.
Stocarea datelor prin intermediul companiilor americane deschide larg ușa pentru spionajul industrial și pentru cele mai înalte practici de concurență neloială de înaltă tehnologie. După cum am văzut în cazul Siemens, Alcatel-Lucent și Alstom, guvernul american, susținut de tribunale, nu se va opri în fața a nimic pentru a slăbi concurența cu care se confruntă aceste companii.
Așadar, să nu ne învârtim în jurul cozii.