Datalagring på nätet är på stark frammarsch. Marknadsledarna är naturligtvis amerikanska. Med leverantörer som Google Drive, iCloud och Dropbox är det företag från andra sidan Atlanten som visar vägen.

Men även om deras tjänster håller hög kvalitet är det inte säkert att de inte gör sig skyldiga till nationalism. Att lagra ditt företags data online hos amerikanska tjänsteleverantörer kan vara ett allvarligt misstag.

Statue de la liberté avec drapeau en arrière plan

USA är idag världens ledande makt, både militärt, ekonomiskt och industriellt. I och med detta tillskansar sig landets regering privilegier som den har all makt att påtvinga hela det internationella samfundet.

I detta fall är amerikanska lagar som Patriot Act och Cloud Act den väpnade delen av en styrningspolitik som tillämpas på icke-amerikanska medborgare. Med andra ord, beroende på dina val har den amerikanska administrationen och rättsväsendet makt över dig och dina uppgifter.

Man skulle kunna tro att USA, som demokratins spjutspets i världen, har det bästa politiska systemet, särskilt när det gäller teorin och den konstitutionella tillämpningen av kontroll och balans. Med andra ord, den mest fulländade maktfördelningen, som var så kär för statsteoretiker som Montesquieu.

Verkligheten är inte riktigt densamma. De lagar om massövervakning som USA har infört sedan andra hälften av 1900-talet, och som kulminerade i Cloud Act 2018, strider inte bara mot landets konstitution, utan även mot den klassiska synen på rättsstatsprincipen. Med andra ord skulle varje annan stat som inför en sådan lagstiftning förmodligen omedelbart stämplas som en polisstat.

Förutom Patriot Act och Cloud Act baserar nämligen USA fortfarande sin rättsliga arsenal på en lag och ett presidentdekret: Foreign Intelligence Surveillance Act och Executive Order. Mot bakgrund av dessa lagtexter ska vi förklara varför det är ett riskabelt val att lagra sina uppgifter i ett moln som hanteras av ett amerikanskt företag. För att göra detta ska vi titta på den lagstiftning som kommer att gälla för dig när du har bestämt dig för att ta steget.

Vad är Patriot Act och hur fungerar dess extraterritorialitetsvillkor?

Patriot Act är en amerikansk lag om inrikes säkerhet som antogs bara 45 dagar efter attackerna den 11 september 2001. Den antogs med andra ord i all hast av en kongress som fortfarande var traumatiserad av händelserna i New York.

Collecte de données

Resultatet är en blankocheck till polismyndigheterna för att genomföra utredningar. Varför skulle det vara så? Därför att även om det krävs ett tillstånd från en domare, kan domaren inte längre motsätta sig det med motiveringen att det inte finns någon ”sannolik orsak”.

Följaktligen kan alla dina uppgifter beslagtas utan att du ens informeras eller utan att en amerikansk domare kan göra invändningar. Tro inte att den amerikanska konstitutionen är till någon större hjälp, för enligt det amerikanska justitiedepartementet kodifierar Patriot Act bara den rättspraxis som redan erkänts av Högsta domstolen.

År 1979 fastslog domstolen till exempel att argumentet att hemliga husrannsakningar stred mot konstitutionen var ”oseriöst”. Tolv år tidigare hade domstolen redan slagit fast att poliser inte behövde berätta för den tilltalade om skälet eller skälen till en husrannsakan.

Det som är nytt med Patriot Act för ett franskt eller europeiskt företag är dock dess extraterritoriella tillämpning. Med andra ord kan hela den administrativa arsenalen sättas in mot er så snart ert företag misstänks för att ha kopplingar till en terrorist eller terroristgrupp som hotar det amerikanska territoriet eller dess intressen.

Tro inte att ni kan komma undan med det, även om ni inte har för avsikt att upprätta förbindelser med terroristgrupper, eller med en kund vars radikala idéer ni kanske har missat. Vi skall se att Patriot Act i praktiken är mycket mindre tydlig än den verkar. Innan dess ska vi titta på en annan säkerhetsmotsvarighet: Cloud Act.

Vad är Cloud Act?

Cloud Act antogs 2018 för att ge de amerikanska myndigheterna större tillgång till data från användare av onlinelösningar för datalagring.

Officiellt presenteras lagen av justitiedepartementet som en möjlighet för myndigheter i tredjeländer att begära ut uppgifter från amerikanska företag i syfte att få tillgång till dem i samband med straffrättsliga förfaranden.

Mer i detalj innebär det att alla amerikanska myndigheter kan få tillgång till uppgifter om alla användare, så länge de är :

– lagras i Förenta staterna

– eller lagras av ett amerikanskt företag i vilket land som helst i världen,

– allt utan att någon vet om det, bortsett från det tillfrågade företaget och den berörda myndigheten.

Denna senaste del av den amerikanska lagstiftningen är inte det enda verktyg som står till den amerikanska regeringens förfogande.

Vad är Foreign Intelligence Surveillance Act (FISA)?

FISA antogs 1978 av en kongress som ville reglera de federala myndigheternas övervakningspraxis. I likhet med Patriot Act syftade denna lag till att kodifiera befintlig praxis.

Avsnitt 702, som lades till 2008, ålägger amerikanska företag att underlätta riktad övervakning av en person utanför USA:s territorium.

Denna lag riktar sig särskilt till icke-amerikanska medborgare som misstänks för att inneha, ta emot eller förmedla information av intresse för kontraspionage. I likhet med Patriot Act syftar den officiellt till att bekämpa internationell terrorism.

Verkställande order 12333

Executive Order 12333, som undertecknades av Ronald Reagan 1981, är, som Washington Post påpekar, ett dokument som erbjuder ännu större möjligheter än de som ges i avsnitt 215 i Patriot Act.

Presidentdekret 12333 gäller dock denna gång endast amerikanska medborgare som bor utomlands. Detta gör det fortfarande möjligt för amerikanska underrättelsetjänster att ta del av dina uppgifter om de är intresserade av en av dina amerikanska kunder.

Enligt detta dekret ska alla uppgifter som beslagtagits av amerikanska underrättelsetjänster göras utan någon fullmakt och därför utan någon kontroll av en domare eller ens av kongressen.

Som ni kan se är lagen inte alltid den svagares garanti mot den starkares makt. Den skyddar långt ifrån alltid individuella friheter eller, mer allmänt, allmänna friheter som helhet. Särskilt när vi kommer till dess tillämpning, och därmed dess tolkning.

Lagen existerar endast genom sin tolkning

En korrekt förståelse av lagen kan aldrig uppnås enbart genom att läsa en lag. Varför är det så? Därför att det alltid är omöjligt att tillämpa lagen bokstavligt. Med andra ord, för att förstå omfattningen av en lagstiftning måste man förstå hur den tillämpas. Detta är problemet med den amerikanska Patriot Act och Cloud Act.

Constitution américaine

När Patriot Act hänvisar till ”misstänkt aktivitet”, hur definieras då sådan aktivitet? Vad täcker detta begrepp? Det är bara genom tolkning som en viss aktivitet kan beskrivas som misstänkt. Problemet är att varje regering tolkar denna lag på sitt eget sätt, och i total hemlighet.

Det innebär att när dina uppgifter har lagrats av ett amerikanskt företag är alla dina uppgifter tillgängliga för myndigheter som CIA, NSA och finansdepartementet, för att bara nämna några. Tråkigt, eller hur? Och tro inte att du är immun mot utredningar bara för att du inte är en brottsling eller terrorist.

Huvudsyftet med denna juridiska arsenal är inte att jaga terrorister, utan att snedvrida den fria konkurrensen. Trodde ni att Förenta staterna var ett föredöme när det gäller frihandel? Ni hade fel.

Dessutom gäller datainsamlingen inte bara dina kunders uppgifter. Det är inte för inte som det amerikanska finansdepartementet också är intresserat av datainsamling. FCPA kommer att visa dig att det definitivt kan kosta dig att lagra dina digitala data.

FCPA-lagen, eller den nya skatten för icke-amerikanska företag

Foreign Corrupt Practice Act, som antogs 1977, gör det möjligt för amerikanska domstolar att ålägga företag att betala avsevärda summor i böter. Under 2014 betalade Alstom 772 miljoner dollar, Siemens 800 miljoner under 2008, Daimler 185 miljoner under 2010 och Alcatel-Lucent 137 miljoner under 2010. Detta är bara några av de större beloppen.

Hur tror du att bevis tas fram? På alla sätt, inklusive genom de uppgifter du har i ditt moln. Om du tror att du är säker eftersom du inte har några dotterbolag eller anställda i USA, bör du veta att FCPA gäller så snart amerikanska intressen står på spel. Även här är begreppet ”amerikanska intressen” öppet för tolkning, och det är inte dina intressen som spelar roll.

Mot bakgrund av all denna information om amerikansk lagstiftning verkar alternativet med ett moln som förvaltas av ett franskt eller europeiskt företag, på europeiskt territorium, mer än intressant. Det är dock fortfarande nödvändigt att ta en titt på det berömda RGPD.

GDPR i ljuset av fransk och europeisk lagstiftning

Den allmänna dataskyddsförordningen (GDPR) antogs av Europeiska unionen för att garantera säkerheten för de uppgifter som användarna anförtror på Internet till företag som är verksamma på europeisk mark.

Le Règlement Général sur la Protection des Données (RGPD)

Det är viktigt att se över de skyldigheter som åligger det företag som ansvarar för behandlingen av användarnas uppgifter och de påföljder som är kopplade till detta, innan man förstår dess roll i överföringen av uppgifter, särskilt till USA.

Den personuppgiftsansvariges skyldigheter

RGPD säkerställer i synnerhet att barns rättigheter skyddas i samband med datainsamling. Det är fortfarande förbjudet att samla in uppgifter om barn under 13 år, men för barn mellan 13 och 16 år är det endast tillåtet med föräldrarnas tillstånd, och om det rör en tjänst som är direkt riktad till barn.

RGPD kräver också att registeransvariga endast samlar in uppgifter som är absolut nödvändiga för det ändamål för vilket de samlades in, och att de säkerställer att de kan radera uppgifter på begäran av den berörda personen.

Om alla skyldigheter enligt RGPD uppfylls kan tillsynsmyndigheten utfärda ett certifikat. Detta certifikat är giltigt under en förnybar period på tre år.

För mer information om detaljerna i RGPD har CNIL (Commission Nationale de l’Informatique et des Libertés) publicerat en online-guide för mycket små företag (VSE) och små och medelstora företag (SME). I denna handledning får du lära dig att upprätta en förteckning över dina filer, sortera dina uppgifter och säkra dem.

Underlåtenhet att uppfylla de skyldigheter som anges i RGPD kan leda till mycket tunga ekonomiska påföljder.

Påföljder vid bristande efterlevnad

I Frankrike tar CNIL upp ett ärende på tre sätt:

– efter ett klagomål från användare direkt på CNIL:s webbplats,

– efter en inspektion av webbplatsen eller företaget,

– efter ett dataintrång.

CNIL har då ett komplett utbud av sanktioner till sitt förfogande, från ett offentligt tillkännagivande på Légifrance och CNIL:s webbplats till en ekonomisk sanktion på upp till 20 000 000 euro eller 4 % av den globala omsättningen för det föregående räkenskapsåret.

CNIL bötfällde Google med 150 miljoner euro för dess cookiepolicy på Google och Youtube. CNIL kritiserade det amerikanska företaget för att inte tillåta användare att neka cookies på samma sätt som att acceptera dem.

Samma dag, den 31 december 2021, bötfällde CNIL även Facebook med 60 miljoner euro av samma skäl som Google.

Enbart dessa höga bötesbelopp visar hur viktig frågan om dataskydd är i Europa. Men i en globaliserad värld där alla nätverk, särskilt på internet, penetrerar varandra, gör delningen av data att formuleringen av dataskydd blir något komplicerad.

Från Privacy Shield till Shrem II – domaren blir väktare av personuppgifter

Uppgifter som samlas in i Europa kan överföras till tredje land. Detta är särskilt fallet mellan Europa och USA, när ett moderbolag överför personuppgifter till ett dotterbolag eller till en annan server.

Mellan 2016 och 2020 reglerades denna överföring av uppgifter från EU till USA av Privacy Shield. Detta var ett bilateralt avtal som gav europeiska användare garantier för behandlingen av deras personuppgifter i USA.

Denna garanti för dataskydd var dock inte så effektiv på den amerikanska sidan som fördraget skulle få oss att tro. En österrikisk advokat vid namn Schrem drog Facebook Ireland inför rätta och hävdade att hans personuppgifter, som helt eller delvis hade överförts till Förenta staterna, inte skyddades på samma sätt som för alla användare av det sociala nätverket.

Europeiska unionens domstol dömde i en dom som kallas Schrems II till förmån för käranden och satte därmed stopp för Privacy Shield. Huvudargumenten i domen handlade om hur lätt de amerikanska myndigheterna och deras underrättelsetjänster kunde få tillgång till de överförda personuppgifterna.

Även i Frankrike har organisationer protesterat mot regeringens datainsamling. Till exempel var Conseil d’Etat tvungen att uttala sig om partnerskapet mellan regeringen och Doctolib-plattformen i samband med vaccinationsmöten mot Covid 19.

Efter att ha kontrollerat datasäkerhetens kvalitet avslog Conseil d’Etat föreningarnas begäran med motiveringen att inga medicinska uppgifter samlades in.

På samma sätt har föreningar som La Quadrature du Net överklagat dekretet av den 25 februari 2011 om att internetleverantörer ska lagra digitala uppgifter till Conseil d’Etat.

Förvaltningsdomstolarna avvisade deras argument med hänvisning till den nationella säkerheten, försvaret av nationens grundläggande intressen och kampen mot brottslighet.

Det är dock inte möjligt för europeiska brottsbekämpande myndigheter att rekvirera en Internetleverantör eller ett företag utan förhandstillstånd från en domare. Det är den senare som bedömer nyttan av en sådan begäran inom ramen för de utredningar som utredarna rapporterar till honom om.

Slutsats

Sammanfattningsvis är situationen i Europa när det gäller behandling av uppgifter och tillgång till sådana uppgifter för offentliga myndigheter, oavsett om de faller under inrikes- eller justitieministeriernas ansvarsområde i Europeiska unionens medlemsstater, mycket reglerad. Det finns inga lagar i Europa som är jämförbara med dem i USA.

Protection des données

Om ett företag vill lagra data online med hjälp av molnbaserade lösningar är det därför viktigt att välja en europeisk tjänsteleverantör som lagrar sina data på europeisk mark.

I detta fall är det också viktigt att kontrollera att företaget inte överför uppgifterna till ett dotterbolag som är baserat i ett land utanför Europeiska unionen, särskilt USA. Det kommer att bli mycket svårt för amerikanska extraterritoriella lagar att tillämpas på ett företag utan kopplingar till USA.

Att lagra data via amerikanska företag öppnar dörren på vid gavel för industrispionage och de mest högteknologiska metoderna för illojal konkurrens. Som vi har sett med Siemens, Alcatel-Lucent och Alstom kommer den amerikanska regeringen, med stöd av domstolarna, att göra allt för att försvaga konkurrensen för dessa företag.

Så låt oss inte gå som katten kring het gröt.