Cloud Act ja genereeriv tehisintellekt: kes tegelikult otsustab, kus teie andmed magavad?

Sa kleebi konfidentsiaalse dokumendi ChatGPT-sse või Copiloti. Lepingu mustand, marginaalitabel, strateegiline memo. Täna õhtul asub see dokument Ameerika serveris. Ja Ameerika õigussüsteem pääseb sellele ligi, isegi kui see on füüsiliselt Euroopas salvestatud. Sellel on nimi: Cloud Act.

Olen näinud, kuidas juhid avastavad selle reaalsuse läbirääkimiste keskel. Liiga hilja, et majutuse küsimust tõstatada. Andmete suveräänsus ei ole IT-osakonna vastutus; see on juhtkonna otsus, täpselt nagu panga või kindlustusseltsi valimine. Siin on põhjus ja mis veelgi olulisem, mida teha.

Pilveseadus, see seadus, mida keegi enne dokumendi vestlusrobotisse kleepimist ei loe

Naine istub tehisintellektiga roboti kõrval

Peamised järeldused

  • Pilveseadus (2018) lubab USA ametivõimudel nõuda mis tahes USA seadustega hõlmatud teenusepakkuja käes olevaid andmeid, isegi kui need on salvestatud Euroopas, ilma teid sellest teavitamata. See mõjutab ChatGPT-d, Copilot'i, Gemini't ja Claude'i.
  • Isikuandmete kaitse üldmääruse artikkel 48 on põhimõtteliselt selliste avalikustamiste vastu, kuid ebaseaduslike ülekannete eest vastutab andmetöötlejana teie ettevõte: kuni 20 miljonit eurot või 4 % ülemaailmset käivet.
  • 17. aprillil 2026 sõlmis Euroopa Komisjon oma suveräänse pilvelepingu (180 miljonit eurot, 6 aastat) nelja Euroopa kontserniga – eelkõige OVH, Scaleway ja STACKIT –, mis põhineb suveräänsuse tugiraamistikul (SEAL), mida iga ettevõte saab uuesti kasutada.
  • Varjupõhine tehisintellekt on tohutu: 61% töötajatest kasutab tehisintellekti isiklike kontode kaudu; 54% deklareerimata tööriistadest on alla neelanud tundlikke andmeid.
  • Kolm juhtimisotsust: andmete liigitamine tundlikkuse järgi, suveräänse või kohaliku võrgu reserveerimine strateegiliste andmete jaoks (Mistral, SecNumCloudi majutus, kohapealne juurutamine) ja vahekohtumenetluse jätmine täitevkomiteele.

Mida tekst ütleb, ilma žargoonita

USA Kongress võttis 23. märtsil 2018 vastu andmete seadusliku välismaise kasutamise seaduse (Clarifying Lawful Overseas Use of Data Act). See muudab 1986. aasta salvestatud side seadust ja lahendab FBI-le pikaajalise probleemi: kuidas saada kätte Ameerika ettevõtte poolt välismaal hoitavaid andmeid ilma rahvusvahelise vastastikuse õigusabi aeglaseid protseduure läbimata.

Vastuse saab kokku võtta ühe lausega: USA ametivõimud võivad nõuda USA seadustele alluvalt teenusepakkujalt tema valduses või kontrolli all olevate andmete üleandmist, olenemata sellest, kus neid andmeid hoitakse. Server Frankfurdis, andmekeskus Pariisis, pilvepiirkond "Lääne-Euroopas": see ei oma tähtsust. Oluline on teenusepakkuja juriidiline kodakondsus, mitte masinate geograafiline asukoht.

Kaks olulist punkti, mis muudavad kõike. Esiteks ei hõlma protseduur kõnealuse ettevõtte teavitamist: te ei saa kunagi teada, et teie andmetele on juurde pääsetud. Teiseks on ulatus lai: Ameerika ettevõtted, nende tütarettevõtted ja potentsiaalselt iga välismaine ettevõte, millel on Ameerika Ühendriikides märkimisväärne äriline kohalolek.

ChatGPT, Copilot, Gemini, Claude: sama süsteem

OpenAI, Microsoft, Google ja Anthropic on USA seaduste alusel asutatud ettevõtted. Nende genereerivad tehisintellekti assistendid – ChatGPT, Copilot, Gemini ja Claude – kuuluvad seega pilveseaduse alla, isegi kui nad pakuvad Euroopa majutust. USA üksuse hallatav Iirimaa andmekeskus jääb USA kohtute jurisdiktsiooni alla. See ongi eksterritoriaalsuse põhimõte: seadus järgib ettevõtet, mitte serverit.

Arvuti, millel on Copiloti logo ja Excel

Praktikas tähendab iga teie kliendifaile, hinnakujundusteavet, teadus- ja arendustegevuse andmeid või töötajate isikuandmeid sisaldav e-kiri andmeedastust välisriigi õigusele alluvale üksusele. Teie andmed liiguvad kaugemale kui teie ise. Ja selleks ei olnud vaja teie nõusolekut.

GDPR määrab teid andmetöötlejaks, mitte teie tarnijaks.

Artikkel 48, pigem teoreetiline kui praktiline lukk

Euroopa õigus ei ole probleemi ignoreerinud. Isikuandmete kaitse üldmääruse artikkel 48 sätestab, et kolmanda riigi ametiasutuse otsust, mis nõuab isikuandmete avalikustamist, saab tunnustada ainult siis, kui see põhineb rahvusvahelisel lepingul, tavaliselt vastastikuse õigusabi lepingul. Cloud Act on aga ühepoolne USA seadus, mitte leping. Juba 2019. aastal jõudsid Euroopa Andmekaitsenõukogu (EDPB) ja Euroopa Andmekaitseinspektor (EDPS) oma ühises analüüsis järeldusele, et üksnes Cloud Actil põhinev taotlus ei ole andmete edastamise kehtiv alus.

Tühi paberileht, millele on kirjutatud "GDPR".

Seega seisab Ameerika tarnija silmitsi kahe vastuolulise õiguskorraga: kas kuuletuda Ameerika kohtunikule ja rikkuda isikuandmete kaitse üldmäärust (GDPR) või keelduda ja riskida sanktsioonidega Ameerika Ühendriikides. Kuhu poole kaldub ettevõte, mille peakorter, juhtkond ja suurem osa tuludest on pärit Ameerikast?

Schrems II, Meta: teiste eest on arve juba tasutud

See pinge ei piirdunud ainult akadeemilise ringkonnaga. 16. juulil 2020 tunnistas Euroopa Liidu Kohus Schrems II otsusega Privacy Shieldi kehtetuks, kuna Ameerika jälitusprogrammid ei taganud samaväärset kaitset, nagu pakub Euroopa õigus. 2023. aasta mais trahvis Iirimaa andmekaitseamet Metat 1,2 miljardi euroga isikuandmete ebaseadusliku edastamise eest Ameerika Ühendriikidesse. CNIL (Prantsuse andmekaitseamet) saatis samadel põhjustel ametlikud teated ka Google Analyticsi kasutavatele Prantsuse organisatsioonidele.

Portfell, mis sisaldas 500 euro väärtuses rahatähti ja käeraudu

Ja siin on punkt, mida paljud juhid alahindavad: andmetöötlejana vastutab edastuste seaduslikkuse eest teie ettevõte, mitte OpenAI ega Microsoft. Euroopa Andmekaitsenõukogu 2020. aasta jaanuari soovitused nõuavad, et hindaksite oma volitatud töötlejate kokkupuudet ekstraterritoriaalsete seadustega ja dokumenteeriksite lisameetmed, sealhulgas krüpteerimise võtmetega, millele teenusepakkuja ei pääse ligi. Selle tegemata jätmine võib kaasa tuua isikuandmete kaitse üldmääruse artikli 83 kohaseid trahve, mis ulatuvad 20 miljoni euroni või 4%-ni teie ülemaailmsest aastakäibest. Teenusepakkuja kogub teie tellimistasusid; teie kannate riski.

Aprill 2026: Euroopa hääletas oma rahakotiga

See pole enam ekspertide vaheline vaidlus. 17. aprillil 2026 teatas Euroopa Komisjon oma suveräänse pilveteenuste raamlepingu – 180 miljonit eurot kuue aasta jooksul Cloud III algatuse raames – sõlmimisest neljale ainult Euroopa päritolu konsortsiumile: Post Telecom koos OVHcloudi ja CleverCloudiga, Saksa ettevõte STACKIT, Prantsuse ettevõte Scaleway ning Proximus partnerluses S3NS-i, Clarence'i ja Mistraliga. AWS, Microsoft Azure ja Google Cloud, mis varem domineerisid institutsionaalsetes lepingutes, ei kuulu otselepingute saajate hulka.

Avatud rahakott 50-euroste rahatähtedega

Valiku tegemiseks lõi Brüssel ainulaadse tööriista: pilvesuveräänsuse raamistiku, mis hindab suveräänsust SEAL-skaalal 0–4. SEAL-3 tase, mille saavutasid kolm neljast võitnud pakkujast, nõuab, et ühelgi väljaspool Euroopat asuval üksusel ei oleks vetoõigust, andmetele juurdepääsu klauslit ega tehnilist võimekust teenust sulgeda. Teisisõnu, pilveseadusest puutumatusest on saanud mõõdetav ja jõustatav riigihanke kriteerium. See raamistik on avalik – teil on vabadus seda oma pakkumismenetlustes kasutada. Prantsusmaa järgib sama teed: 2026. aasta märtsis läbi vaadatud „riigipilve” doktriin nõuab, et tundlikke valitsuse andmeid majutataks infrastruktuurides, mille on sertifitseerinud Prantsuse riiklik küberturvalisuse agentuur (ANSSI) kui SecNumCloud.

Kui Euroopa Komisjon, EKP ja umbes viiskümmend asutust keelduvad usaldamast oma töökoormust USA seadustega kokkupuutuvatele tarnijatele, väärib see küsimus vähemalt teie juhtkomitees tõstatamist.

Samal ajal teie kontorites: varjutehisintellekt

Samal ajal kui Euroopa korraldab oma digitaalset suveräänsust, mis toimub teie riigis? Microsoft France'i jaoks YouGovi uuringu (jaanuar 2026, 657 juhti ja tippjuhti) kohaselt kasutab 80% juhtidest generatiivset tehisintellekti vähemalt kord nädalas – ja 61% töötajatest pääseb sellele juurde isiklike kontode kaudu, väljaspool IT-raamistikku, kusjuures 38% kasutab seda iga päev. Rohkem kui seitse kümnest juhist pole saanud mingit koolitust.

Inimene kõnnib linnas kauguses

Seda nimetatakse varju-tehisintellektiks ja see armastab teie tundlikke andmeid. Netwrix 2026 aruandes hinnatakse, et 54% ettevõtetes tuvastatud deklareerimata tehisintellekti tööriistadest olid alla neelanud tundlikke andmeid: lähtekoodi, kliendifaile ja reguleeritud dokumente. Netskope mõõdab keskmiselt 223 juhtumit kuus, kus tundlikke andmeid saadeti genereerivatele tehisintellekti tööriistadele ettevõtte kohta. Ja EQS Groupi 2026. aasta privaatsusbaromeeter rõhutab seda: 80%-l organisatsioonidest puudub selge arusaam oma tehisintellekti kasutamisest ja ainult 32% tehisintellekti projekte ellu viivatest organisatsioonidest on lõpetanud andmekaitse mõjuhinnangu (DPIA).

Tehke arvutused oma organisatsiooni jaoks. Kui teie meeskonnad on kasvõi natukenegi Prantsusmaa keskmise moodi, on osa teie lepingutest, personaliandmetest ja teadus- ja arendustegevusest juba pilveseadusega hõlmatud serveritesse viidud. Ilma otsuseta. Ilma jälgedeta teie... raviregisterIlma teie andmekaitseametnikku teavitamata.

Kas soovite teada, mis teie ettevõttest tegelikult välja tuleb? Viqtori® eksperdid aitavad teil kaardistada tehisintellekti kasutamist ja andmeedastust.

Kolm otsust, mis tuleb langetada – ja mis jäävad juhtkonna tasemele

Mitmed viidastatud rajad, mis sassi lähevad

1. Sorteeri oma andmed tundlikkuse järgi

Kõik ei ole loodud võrdseks. Tootebrošüüri saab edastada mis tahes tööriista kaudu; teie kliendibaasi, marginaale, müügikanalit ega teadus- ja arendustegevust mitte. Looge lihtne klassifikatsioon – piisab kolmest tasemest: avalik, sisemine, strateegiline/reguleeritud – ja lähtuge sellest reaalsel… andmehaldus Kes mida saata saab, millises tööriistas ja millise valideerimisega? Ilma selle kaardistamiseta jääb iga tehisintellekti poliitika vaid soovmõtlemiseks.

2. Tundlikes küsimustes nõudke suveräänilt või kohalikult omavalitsuselt

Nüüd on olemas usaldusväärsed alternatiivid. Prantsuse ettevõte Mistral AI töötleb andmeid Euroopa serverites, mis jäävad pilveseaduse ulatusest väljapoole, pakkudes ettevõttelahendusi, mis saavad kasutada SecNumCloudi sertifitseeritud infrastruktuure – ja Prantsuse relvajõudude ministeerium usaldas talle 2026. aasta jaanuaris generatiivse tehisintellekti juurutamise Prantsuse relvajõududes. Selle avatud raskusastmega mudeleid saab juurutada isegi teie enda serverites: andmed ei lahku kunagi teie infrastruktuurist. Majutuse osas pakuvad OVHcloud, Scaleway ja Outscale Euroopa majutust, mis on immuunne USA ekstraterritoriaalsuse suhtes. Veidi vähem keerukas suveräänne tehisintellekt on eelistatavam tipptasemel tehisintellektile, mis paljastab teie kõige väärtuslikuma vara. Mittetundliku kasutamise korral jäävad USA tööriistad kasutatavaks – eeldusel, et see on dokumenteeritud valik, mida reguleerib artikliga 28 kooskõlas olev alltöövõtja leping.

3. Hoidke vahekohtumenetlus täitevkomitee tasandil

See, kuhu teie andmed lähevad, ei ole tehniline küsimus. CIO optimeerib kulusid ja jõudlust; teenusepakkuja müüb oma kataloogi. Kumbki ei vastuta CNIL-i (Prantsuse andmekaitseamet), teie aktsionäride ega klientide ees andmete rikkumise või ebaseadusliku edastamise korral. Teie vastutate. Otsus tööriistade võimsuse ja teabevarade kontrolli tasakaalustamise kohta langeb tippjuhtkonnale, keda toetab... GDPR-i audit tõsidus, teie pidev hindamine alltöövõtjad ja partnerid ja dokumenteeritud GDPR-i protsessid — Riskantsete tehisintellekti kasutusviiside jaoks on lisatud tehisintellekti juhtimisdokument (AIPD).

Kõige võimsam tehisintellekt on väärtusetu, kui see paneb sind kaotama kontrolli selle üle, mis sind väärtuslikuks teeb: sinu andmed. Tänase õhtu tegelik küsimus on lihtne: kas sinu kõige tundlikumad andmed on sinu enda käes või kellegi teise käes?

Viqtor® aitab teil kontrolli tagasi saada: töötlemistegevuste kaardistamine, tehisintellekti pakkujate hindamine, isikuandmete kaitse üldmääruse (GDPR) nõuetele vastavuse tagamine suveräänse 100 % platvormi kaudu.

KKK – Teie küsimused GDPR-i auditi kohta

Jah. Cloud Acti kriteeriumiks on teenusepakkuja seaduslik kodakondsus, mitte serverite asukoht. Ameerika ettevõtte või selle tütarettevõtte hallatav Pariisi andmekeskus jääb Ameerika eeskirjade alla. Ainult seaduslikult Euroopa teenusepakkuja, kellel puudub Ameerika kontroll, pääseb struktuuriliselt sellest eksterritoriaalsusest.

Ei, mitte iseenesest. Kuid isikuandmete töötlemine nõuab artiklile 28 vastavat andmetöötleja lepingut, andmeedastuse riskihindamist (pärast Schrems II), vajadusel lisameetmeid ja kõrge riskiga kasutusviiside puhul andmekaitsealast mõjuhinnangut (DPIA). Rikkumise loob reguleerimata kasutus – varitehisintellekt –, mitte tööriist ise.

Teie ettevõte kui andmetöötleja vastutab oma alltöövõtjate valimise ja andmeedastuse seaduslikkuse tagamise eest CNIL-i (Prantsuse andmekaitseamet) ees. Tarnijal on oma kohustused, kuid need ei vabasta teid vastutusest: GDPR-i artikli 83 kohased karistused on suunatud peamiselt sellele osapoolele, kes määrab töötlemise eesmärgid ja vahendid.

Tehisintellekt, mille pakkujat, majutamist ja haldamist reguleerib ainult Euroopa õigus: Euroopa ettevõte, serverid asuvad ELis ja ühelgi väljaspool Euroopat asuval üksusel pole andmetele juurdepääsu. Mistral AI on selle edukaim näide Prantsusmaalt. Järgmine tase hõlmab avatud kaaluga mudeli juurutamist teie enda taristul: andmed ei lahku seejärel kunagi teie ruumidest.

See aitab, aga ainult ühel rangel tingimusel: krüpteerimisvõtmed jäävad pakkujale kättesaamatuks. See on peamine tehniline meede, mida tunnustavad Euroopa Andmekaitsenõukogu 2020. aasta jaanuari soovitused. Generatiivse tehisintellekti puhul see kaitse aga ei toimi: teie päringu töötlemiseks peab mudel lugema teie andmeid lihttekstina. Krüpteerimine kaitseb salvestust, mitte järeldusi.

Protsess algab esialgse hindamisega: milliseid tööriistu tegelikult kasutatakse, kes neid kasutab ja milliste andmetega. Sellele järgneb tundlikkusel põhinev klassifitseerimine, kasutusjuhend, valideeritud tööriistade (tundlike andmete jaoks suveräänsete tööriistade) valik, töötlemisregistri ajakohastamine ja kõrge riskiga juhtumite puhul andmekaitse mõjuhinnang (DPIA). Platvormil nagu Viqtor® teostatav GDPR-audit hõlmab neid samme ilma kuude kaupa sisemisi ressursse nõudmata.

etET