Összeegyeztethető-e az amerikai felhőtörvény az európai GDPR-rel; mind Media

Jean-Sébastien Mariez és Nina Gosse, a De Gaulle Fleurance & Associés ügyvédjei megválaszolják az online reklámszakemberek néhány kérdését, különösen azokat, akik nagy mennyiségű személyes adattal foglalkoznak. A válasz kezdete: Az a francia szolgáltató, amely az Egyesült Államokban letelepedett vállalat leányvállalata, bizonyos feltételek mellett az amerikai hatóságok adatkommunikációs kérelmet nyújthatnak be.

gdpr-rel

Május 25-én a GDPR hatálybalépése új korszakot nyitott a személyes adatok védelmében, és arra kényszerítette a vállalatokat, különösen a média és az online reklámiparban tevékenykedőket, hogy gyakran jelentős beruházások árán gondolják át gyakorlatukat.

Legyen szó marketing érvről vagy mély meggyőződésről, az adatvédelem sok szereplő számára elengedhetetlenné vált. De most a felek alig tértek vissza a május 25-i megfelelési erőfeszítéseiktől (ami nyolc hónappal később még nem tűnik a legtöbb játékosnak), hogy új bizonytalanságok jelennek meg: az informatikai szolgáltatóktól elvárt titoktartási adatokkal kapcsolatos garanciákat veszélyeztetnék a felhőtörvény, más néven az adatok tisztázásának törvényes tengerentúli felhasználásáról szóló törvény. Ez a törvény, amelyet az Egyesült Államok 2018. márciusában fogadott el, lehetővé teszi az amerikai hatóságok számára, hogy a cégektől megköveteljék adatok nyilvánosságra hozatalát, függetlenül azok helyétől.

Összeegyeztethető-e ez az amerikai felhőtörvény az európai GDPR-vel? Noha a kifejezett félelmek nem megalapozatlanok, a mítoszok és fantáziák nem vezethetnek dezinformációhoz, ami káros az e szolgáltatásokat igénybe vevő vállalatok felvilágosult bizalmára.

Kik a felhőtörvény hatálya alá tartozó szereplők ?

Lényegében a Cloud Act nem hoz létre új adatelérési rendszert, hanem egyértelművé teszi a meglévő keretet. A felhőtörvény így módosítja a tárolt hírközlési törvény (SCA) az Egyesült Államok kódexének (U.S.C.) a büntető törvénykönyvekkel és a büntetőeljárással egyenértékű fejezetét. Fontos hangsúlyozni, hogy az SCA által előírt adatelérési rendszer nem ír elő abszolút és korlátlan jogot.

Az első korlátozás az érintett operátorok és adatok típusa. Az SCA csak az elektronikus hírközlési szolgáltatások (ECS) szolgáltatóit célozza meg - például telefonszolgáltatókat vagy internetszolgáltatókat (akár egy olyan webhelyet is, amely lehetőséget kínálna ügyfeleinek üzenetküldésre vagy kommunikációra harmadik feleknek), valamint távoli számítástechnikai szolgáltatókat (RCS). - például felhőalapú tárhelyszolgáltató. A Cloud Act-követelés nem érintheti közvetlenül az olyan vállalkozást, amely nem tartozik ebbe a szolgáltatói kategóriába.

Azok a szolgáltatók azonban, amelyekhez igénybe veszik - például az adatgazdája vagy az e-mail szolgáltatója - a maga részéről ebbe a kategóriába tartozhatnak, és ezért a vállalat adatait bizonyos feltételek mellett valószínűleg befolyásolják.

Ami a szükséges adattípusokat illeti, ezek elektronikus kommunikációs adatok (tartalom, metaadatok és felhasználói adatok), amelyeket elektronikus úton tárolnak, szemben az átvitt adatokkal, amelyek rendszerét mások állítják be. . Ezek az adatok tartalmazhatnak üzleti szempontból kritikus adatokat, valamint személyes adatokat. A felhőtörvény nem módosítja a szöveg ezen tárgyi hatályát, sem az alkalmazandó eljárási garanciákat, amelyek egy második biztosítékot jelentenek (ideértve egy olyan bíró beavatkozását is, aki az esetek többségében értékeli a kérelem megalapozottságát és relevanciáját). az adatokhoz való hozzáférés a vizsgálat körülményeinek figyelembevételével).

A Cloud Act követelés hatálya alá tartozik, hogy az érintett üzemeltetőnek továbbra is az Egyesült Államok joghatósága alá kell tartoznia. Mint ilyen, itt ki kell emelni, hogy a kritériumok annak meghatározására, hogy egy vállalat amerikai joghatóság alá tartozik-e, széles körűek, az amerikai törvények alkalmazása nem korlátozódik csak az Egyesült Államokban bejegyzett vagy székhellyel rendelkező társaságokra. E tekintetben szem előtt kell tartani, hogy a körülmények eseti értékelése, figyelembe véve különösen az Egyesült Államokkal való „kapcsolat” jellegét és mértékét, a hatályos kritériumoktól függően vezethet a Franciaországban letelepedett társaságok amerikai joghatósága alá kell benyújtani.

Például egy francia szolgáltatóval, az Egyesült Államokban letelepedett társaság leányvállalatával lehet adatkommunikációs kérelmet benyújtani, ha a hatóságok úgy ítélik meg, hogy az anyavállalat ellenőrzést gyakorol felettük. Egy további feltételnek továbbra is teljesülnie kell: az Egyesült Államok hatóságainak csak az üzemeltető birtokában és ellenőrzése alatt álló adatokra lehet szükség.