American Cloud Act este compatibil cu GDPR european; minte Media

Jean-Sébastien Mariez și Nina Gosse, avocați la De Gaulle Fleurance & Associés, răspund la o întrebare adresată de unii profesioniști din publicitatea online, în special cei care se ocupă cu volume mari de date cu caracter personal. Începutul unui răspuns: un furnizor francez de servicii care este o filială a unei companii stabilite în Statele Unite ar putea, în anumite condiții, să facă obiectul unei cereri de comunicare a datelor de către autoritățile americane.

este

La 25 mai, intrarea în vigoare a GDPR a deschis o nouă eră în protecția datelor cu caracter personal, obligând companiile, în special cele din industria media și publicitatea online, să își regândească practicile, cu prețul investițiilor deseori semnificative.

Fie că este vorba de un argument de marketing sau de o convingere profundă, protecția datelor a devenit un imperativ pentru mulți jucători. Dar acum părțile abia și-au revenit din eforturile lor de conformare din 25 mai (ceea ce nu pare încă cazul majorității jucătorilor opt luni mai târziu) că apar noi incertitudini: garanțiile legate de datele de confidențialitate solicitate de la furnizorii de servicii IT ar fi compromise de Legea Cloud, cunoscută altfel ca Legea clarificării utilizării legale în străinătate a datelor. Această lege, adoptată de Statele Unite în martie 2018, permite autorităților SUA să solicite companiilor să dezvăluie date, indiferent de locația lor.

Este American Cloud Act compatibil cu GDPR european? Deși temerile exprimate nu sunt nefondate, miturile și fanteziile nu trebuie să conducă la dezinformare, în detrimentul încrederii iluminate a companiilor care utilizează aceste servicii.

Cine sunt actorii care fac obiectul Legii Cloud ?

În esență, Legea Cloud nu creează un nou regim de acces la date, ci clarifică cadrul existent. Cloud Act modifică astfel Legea privind comunicațiile stocate (SCA), un capitol din Codul Statelor Unite (U.S.C) echivalent cu codurile penale și procedura penală franceze. Este important să subliniem că regimul de acces la date prevăzut de SCA nu prevede un drept care ar fi absolut și nelimitat.

O primă limitare o reprezintă tipurile de operatori și datele implicate. SCA se adresează numai furnizorilor de servicii de comunicații electronice (ECS) - de exemplu, operatorilor de telefonie sau furnizorilor de servicii Internet (chiar și un site web care ar oferi clienților săi posibilitatea de a trimite mesaje sau comunicații către terți) și furnizorilor de servicii de calcul la distanță (RCS) - de exemplu, un furnizor de servicii de găzduire cloud. O afacere care nu se încadrează în aceste categorii de operatori nu poate fi afectată direct de o revendicare Cloud Act.

Cu toate acestea, furnizorii de servicii la care folosește - de exemplu, gazda sa de date sau furnizorul său de e-mail - pot, din partea lor, să se încadreze în aceste categorii și, prin urmare, datele acestei companii sunt susceptibile de a fi afectate în anumite condiții.

În ceea ce privește tipurile de date care pot fi necesare, acestea sunt date de comunicații electronice (conținut, metadate și date de utilizator) care sunt stocate electronic spre deosebire de datele aflate în tranzit, al căror regim este stabilit de alții. Texte specifice interceptărilor în timp real . Aceste date pot include date critice pentru afaceri, precum și date cu caracter personal. Legea Cloud nu modifică acest domeniu material al textului și nici garanțiile procedurale aplicabile care constituie o a doua garanție (inclusiv intervenția unui judecător care, în majoritatea cazurilor, evaluează temeinicia și relevanța cererii de acces la date, având în vedere circumstanțele anchetei).

Pentru a fi acoperit de o revendicare Cloud Act, operatorul afectat trebuie să fie supus jurisdicției SUA. Ca atare, ar trebui subliniat aici că criteriile pentru a stabili dacă o companie este supusă jurisdicției americane sunt largi, aplicarea legislației americane nefiind limitată doar la societăți constituite în Statele Unite sau care au sediul social pe teritoriu. În această privință, trebuie avut în vedere faptul că o evaluare de la caz la caz a circumstanțelor, ținând seama în special de natura și gradul de „contact” cu Statele Unite, poate, în funcție de criteriile în vigoare, să conducă să fie supus jurisdicției americane a companiilor stabilite în Franța.

De exemplu, un furnizor francez de servicii, o filială a unei companii stabilite în Statele Unite, ar putea face obiectul unei cereri de comunicare a datelor dacă autoritățile consideră că societatea-mamă exercită controlul asupra acestora. O condiție suplimentară va trebui încă îndeplinită: numai datele aflate în posesia și controlul operatorului pot fi solicitate de către autoritățile SUA.