Cloud Act en GDPR: kunt u uw gegevens in de cloud bewaren?

Leidt uw gebruik van clouddiensten tot een overtreding van de GDPR? Kunt u uw gegevens opslaan op AWS, Azure, … en toch voldoen aan de GDPR? De American Cloud Act zaait twijfel en schept rechtsonzekerheid, waarover we hebben gesproken met Jérôme Tassi, advocaat bij de balie van Parijs.

Inleiding

Het uitgangspunt voor dit artikel (en de bijbehorende video) is een van een bevriende ondernemer mij gaf. Hij was bezorgd dat de gegevens van zijn bedrijf zouden worden opgeslagen bij Microsoft, Google of Amazon. Door de Cloud Act vreesde hij dat zijn gegevens in handen van zijn concurrenten zouden komen.

De Cloud Act: een zeer opdringerige Amerikaanse wetgeving

De Cloud Act (“Clarifying Lawful Overseas Use of Data Act”) is een federale wet van de VS die in maart 2018 werd aangenomen. Het geeft de Amerikaanse regering toegang tot gegevens die zijn opgeslagen door Amerikaanse bedrijven, ongeacht hun geografische locatie. Zoals mr. Jérôme Tassi het in de video toelicht, is de Cloud Act voortgekomen uit een geschil tussen de Amerikaanse federale overheid en Microsoft. In één geval beriep deze zich op de plaats (in Ierland) waar de gegevens zich bevonden om te weigeren ze aan de Amerikaanse regering te overhandigen.

Zo werd de Cloud Act geboren, uit de wens van de Amerikaanse regering om volledige controle uit te oefenen op basis van de nationaliteit van het bedrijf in plaats van de geografische ligging. Maar in Europa zijn we toch beschermd door de GDPR zou je kunnen zeggen. Dus wat is het verband tussen Cloud en GDPR?

Is de Cloud Act echt onverenigbaar met de GDPR?

Artikel 48 van de GDPR bepaalt dat een internationale overeenkomst noodzakelijk is om gegevens buiten de Europese Unie door te geven. Aangezien er momenteel geen dergelijke overeenkomst tussen de VS en Europa bestaat, is er maar één mogelijkheid: een gerechtelijk bevel. Met andere woorden, een Amerikaanse rechtbank moet overtuigd zijn van het bestaan van een federaal misdrijf om de overdracht te eisen van gegevens die buiten de VS zijn opgeslagen door een Amerikaanse provider. Dit vermindert de risico’s aanzienlijk.
De juridische situatie is echter nog onduidelijk en bij gebrek aan jurisprudentie zijn bepaalde regels noodzakelijk.

Hoe de GDPR naleven zonder bang te zijn voor de Cloud Act?

Mr. Tassi raadt aan voorzichtig te zijn en zoveel mogelijk te vermijden dat gegevens worden gehost bij Google, Amazon of Microsoft. De Franse regering heeft het voortouw genomen via de publicatie van een doctrine, genaamd de Cloud au centre” (Franse site), die de Cloud voorschrijft als de plaats voor het onderbrengen van gegevens voor Franse overheden, maar het gebruik verbiedt van oplossingen die niet de “SecNumCloud”-certificering genieten. Microsoft, Amazon en Google, die 69% van de markt voor cloudopslag in handen hebben, komen niet in aanmerking voor deze certificering en zijn derhalve de facto uitgesloten van de Franse overheid.

Dus als u rustig wilt slapen, wend u dan tot een van de oplossingen met SecNumCloud-certificering (Franse site). Er zijn momenteel slechts 3 vertrouwde providers: Odrive, Outscale en OVH.

De soevereine cloud

Er wordt momenteel veel gesproken over de “soevereine cloud”, de “betrouwbare cloud” en er verschijnt de laatste tijd veel nieuws over dit onderwerp. Langzaam maar zeker wint de belangstelling voor digitale onafhankelijkheid terrein. De Covid-crisis heeft maar al te duidelijk aangetoond hoe afhankelijk wij van China zijn voor elektronische componenten; in de digitale sector is de situatie ten opzichte van de Verenigde Staten niet anders. Deutsche Telekom is de belangrijkste Europese cloud-speler met een marktaandeel van 2%; een peulenschil vergeleken met 32% voor AWS (Amazon), 20% voor Azure (Microsoft) en 9% voor Google.

Om het Europese protest tegen te gaan, organiseren de Amerikaanse spelers zich. Microsoft heeft de lancering van “Bleu” aangekondigd in samenwerking met Orange en Capgemini; Google heeft een overeenkomst gesloten met Thales. Het is dus Amerikaanse technologie die op Europese infrastructuren zal worden toegepast. Men kan zich afvragen of dit de oplossing is, aangezien de afhankelijkheid van Uncle Sam’s technologie er altijd zal zijn. Wat Europa nodig heeft is een volledige soevereiniteit die het in staat zal stellen om zich, net zoals China heeft gedaan, van de Amerikaanse tactiek van pressie en manipulatie.

Door Pierre-Nicolas Schwab Pierre-Nicolas is de directeur van de marketing agentschap IntoTheMinds. Hij heeft speciaal interesse voor e-commerce, retail, HoReCa en supply-chain projecten. Hij is ook een onderzoeker aan de Vrije Universiteit Brussel en werkt ook als coach voor meerde publieke organisaties. Hij verwelkomt Linkedin uitnodigingen : gelieve gewoon een paar woorden toe te voegen en uit te leggen waarom U wilt connecteren.