Чи сумісний американський Закон про хмари з європейським GDPR; розум ЗМІ
Адвокати Jean-Sébastien Mariez та Nina Gosse, De Gaulle Fleurance & Associés, відповідають на запитання деяких професіоналів Інтернет-реклами, особливо тих, що мають справу з великими обсягами персональних даних. Початок відповіді: дочірня компанія французького постачальника послуг компанії, створеної в США, за певних умов може бути предметом запиту на передачу даних американськими владами.
25 травня набрання чинності GDPR відкрило нову еру у захисті персональних даних, що змусило компанії, особливо ті, що працюють у галузі засобів масової інформації та реклами в Інтернеті, переосмислити свою практику ціною часто значних інвестицій.
Будь то маркетинговий аргумент чи глибоке переконання, захист даних став обов’язковим для багатьох гравців. Але зараз сторони ледве оговтались від своїх зусиль щодо дотримання вимог 25 травня (що ще не здається для більшості гравців через вісім місяців), що виникають нові невизначеності: гарантії, що стосуються даних конфіденційності, що вимагаються від постачальників ІТ-послуг, будуть загрожені Закон про хмари, інакше відомий як Закон про роз'яснення законного закордонного використання даних. Цей закон, прийнятий США в березні 2018 року, дозволяє владі США вимагати від компаній розкриття даних незалежно від їх місцезнаходження.
Чи сумісний цей Американський хмарний закон із європейським GDPR? Хоча висловлені побоювання не є безпідставними, міфи та фантазії не повинні призводити до дезінформації, що шкодить просвіченій довірі компаній, що користуються цими послугами.
Хто актори, на яких поширюється дія Закону про хмари ?
По суті, Закон про хмари не створює нового режиму доступу до даних, але уточнює існуючі рамки. Таким чином, Закон про хмари модифікує Закон про збережені зв’язки (SCA) - розділ Кодексу США (США), еквівалентний французькому кримінальному кодексу та кримінальному процесу. Важливо підкреслити, що режим доступу до даних, передбачений SCA, не передбачає права, яке було б абсолютним і необмеженим.
Перше обмеження - це види операторів та відповідні дані. SCA орієнтована лише на постачальників послуг електронного зв'язку (ECS) - наприклад, на телефонних операторів або постачальників послуг Інтернету (навіть веб-сайт, який пропонував би своїм клієнтам можливість надсилання повідомлень або комунікацій третім сторонам), та на постачальників послуг віддалених обчислень (RCS). - наприклад, постачальник послуг хмарного хостингу. Бізнес, який не входить до цих категорій операторів, не може безпосередньо впливати на позов Cloud Act.
Однак постачальники послуг, якими він користується, - наприклад, його хост даних або постачальник електронної пошти - можуть зі свого боку потрапити до цих категорій, і, отже, дані цієї компанії можуть вплинути на певні умови.
Щодо типів даних, які можуть знадобитися, це дані електронних комунікацій (вміст, метадані та дані користувачів), які зберігаються в електронному вигляді на відміну від даних, що передаються, режим яких встановлюють інші. Тексти, специфічні для перехоплення в режимі реального часу . Ці дані можуть включати важливі для бізнесу дані, а також особисті дані. Закон про хмари не змінює цього суттєвого обсягу тексту, ані застосовних процесуальних гарантій, які становлять другу гарантію (включаючи втручання судді, який у більшості випадків оцінює обґрунтованість та актуальність запиту на доступ до даних з огляду на обставини розслідування).
Щоб охопити претензію Cloud Cloud, постраждалий оператор все ще повинен бути підпорядкований США. Таким чином, тут слід підкреслити, що критерії для визначення того, чи підлягає компанія американській юрисдикції, є широкими, і застосування американського законодавства не обмежується лише компаніями, зареєстрованими в США чи зареєстрованими на території. У зв'язку з цим слід мати на увазі, що оцінка обставин у кожному конкретному випадку, враховуючи, зокрема, характер та ступінь "контакту" зі США, може, залежно від чинних критеріїв, до американської юрисдикції компаній, створених у Франції.
Наприклад, французький постачальник послуг, дочірня компанія компанії, заснованої в США, може бути предметом запиту на передачу даних, якщо органи влади вважають, що материнська компанія здійснює контроль над ними. Все одно доведеться виконувати додаткову умову: влада США може вимагати лише дані, якими володіє та контролює оператор.
Найчастіше ця умова буде виконана, як тільки цільовий оператор отримає доступ до даних під час звичайної діяльності. Останнє важливе роз’яснення: оператори, як очікується, матимуть можливість оскаржувати позови на основі Закону про хмари перед американським суддею.
Які основні зміни спричинив Cloud Act ?
Закон про хмари є, перш за все, як випливає з назви, законом, який має на меті прояснити правову ситуацію, яка до цього часу була невизначеною, відповівши на наступне запитання: чи є влада США в силі вимагати від компаній просити їх передавати дані, які не є розташованих на території США? Підняте в контексті судового провадження, яке з 2014 року протиставляло Microsoft ФБР перед Верховним судом США, це питання нарешті було вирішено американським законодавцем: відповідно до Закону про хмари відповідь так.
Отже, американські органи можуть отримати доступ до даних електронних комунікацій, що зберігаються компанією на серверах, розташованих за межами США, за умови, що зазначена компанія підпорядковується американському законодавству в силу вищезазначених критеріїв і що шукані дані знаходяться під її контролем. Роблячи це, Закон про хмари скасовує критерій локалізації даних, роблячи неактуальним закріплення критеріїв володіння та контролю, які вже відомі в Будапештській конвенції про кіберзлочинність.
Однак ця розширена влада американської влади поширюється на певні обмеження, зазначені раніше, до яких додається можливість, передбачена для постачальників оскаржувати ці запити з причин "міжнародної спільноти", тобто щодо поваги до законів., судові рішення та установи іншої держави.
Це гарантія у випадках, коли американські судді розробляють широке тлумачення критеріїв застосування Хмарного закону, що ставить постачальників у конфліктну ситуацію із законом. Процедура оскарження відрізняється, якщо запит суперечить законодавству країни, яка уклала виконавчу угоду (EA) відповідно до Хмарного закону. Тут важливо підкреслити, що постачальник може протидіяти запиту на тій підставі, що зацікавлена особа не є американкою та не проживає на американській землі.
Ці двосторонні угоди є другою новинкою, запровадженою Законом про хмари. Якщо до цього часу не було прийнято жодної експертизи, їх метою є прокласти шлях до взаємності пристрою, що випливає із Хмарного закону, шляхом підписання двосторонніх угод між США та Штатами, які хочуть полегшити доступ. і судові органи. Отже, це нові інструменти для прямого міжнародного співробітництва. На даний момент лише Великобританія розпочала переговори.
Чи конфліктує Закон про хмари з GDPR ?
Оскільки Сполучені Штати, як правило, не мають таких захисних норм, як GDPR, перше питання, яке виникає, полягає в законності передачі даних від європейського постачальника до американських органів влади, що стосується статті 48 GDPR. Дійсно, згідно з цим положенням, рішення суду або адміністративного органу країни за межами Європейського Союзу, що вимагає таких передач, є недостатнім і повинно базуватися на міжнародній угоді.
З нагоди розгляду справи між Microsoft та урядом США, можливість того, що ці трансфери за межі ЄС можуть бути законно засновані на "важливих причинах, що становлять суспільний інтерес", відповідно до положень GDPR, зокрема, за винятком, передбаченим у статті 49 (1) (d) був відкритий. Однак на сьогоднішній день позиція європейського наглядача з питань захисту даних не дозволяє підтвердити це рішення, яке все ще чекає підтвердження з боку європейських органів влади.
Як результат, США доведеться вести переговори про двосторонні угоди з країнами Європейського Союзу для забезпечення належної координації американського та європейського правових режимів. Позиція більшості держав-членів Європейського Союзу, скоріше, на цьому етапі полягає у досягненні всеосяжної згоди між Союзом та США. Цей загальний підхід був підтверджений представниками держав-членів на їх останньому засіданні в Раді 7 грудня 2018 року. Швидкий прогрес (хоча і обережний) з цього питання видається важливим, оскільки існування ЕА забезпечить позицію операторів відповідно до Закону про хмари та їх клієнтів.
Основними викликами цих переговорів буде досягнення державами задовільного рівня взаємності та гарантування постачальникам послуг, встановленим на їх територіях, передбачуваної правової бази, здатної забезпечити вирішення потенційних колізій законів та `` забезпечити безпеку, необхідну їх клієнти, які можуть бути приватними особами, але також компаніями, такими як засоби масової інформації та постачальники технологій. Зі свого боку, постачальники послуг повинні забезпечити відповідність договорів, які пов'язують їх зі своїми клієнтами, щоб врегулювати це питання.
Нарешті, слід зазначити, що бажання інституціоналізувати можливість прямої співпраці між органами влади та постачальниками послуг, паралельно традиційним механізмам офіційної співпраці між іноземними органами влади, аж ніяк не є специфічним для США. У квітні 2018 року Європейський Союз представив пакет електронних доказів (директива та положення) з тією ж метою (більше інформації тут).
Як і Закон про хмари, критерій локалізації даних виділяється цими проектами текстів; логіка, яка має тенденцію відображати технічну реальність, коли місця зберігання даних виявляються безліччю, змінюються, і тому іноді важко, а то й неможливо визначити.
Для постачальників послуг це призводить до ситуацій потенційного колізійного законодавства, які можуть, як тільки вони не знаходять рішення в рамках EA з одного боку та майбутніх європейських текстів, з іншого боку, розмістити їх від дверей до дверей. False не тільки по відношенню до CNIL, а також їх клієнтів, для яких конфіденційність даних є важливою.
Щоб не підірвати довіру до цифрових послуг та не створити цінності, яку вони роблять можливою завдяки підтримці цифрового переходу, важливо подолати сьогоднішні труднощі, спричинені Хмарним законом, щоб забезпечити необхідну правову визначеність обома постачальниками. та їх клієнтів.
У зв'язку з цим сильна і зрозуміла позиція державних органів давно назріла. Однак важливо сподіватися на збалансовану домовленість із Сполученими Штатами (яка може виявитися складною, як показує досвід Щита конфіденційності), уникаючи підводних каменів, які полягали б у відкритті шляху до взаємності доступу до країн які не мають високих стандартів захисту основних прав і свобод.