Cloud Act ja generatiivinen tekoäly: kuka todella päättää, missä datasi sijaitsee?

Liität luottamuksellisen asiakirjan ChatGPT:hen tai Copilotiin. Sopimusluonnos, marginaalitaulukko tai strateginen muistio. Tänä iltana kyseinen asiakirja on amerikkalaisella palvelimella. Ja Yhdysvaltain oikeusjärjestelmällä on siihen pääsy, vaikka se olisi fyysisesti tallennettuna Euroopassa. Sillä on nimi: Cloud Act.

Olen nähnyt johtajien huomaavan tämän todellisuuden neuvottelujen keskellä. Liian myöhäistä ottaa hosting-kysymys esille. Tietojen suvereniteetti ei ole IT-osaston vastuulla; se on johdon päätös, aivan kuten pankin tai vakuutusyhtiön valitseminen. Tässä on syy, ja mikä tärkeintä, mitä tehdä.

Pilvilaki, laki jota kukaan ei lue ennen kuin liittää dokumentin chatbottiin

Nainen istuu tekoälyrobotin vieressä

Keskeiset tiedot

  • Pilvipalvelulaki (2018) sallii Yhdysvaltain viranomaisten vaatia Yhdysvaltain lain alaisten palveluntarjoajien hallussa olevia tietoja ilmoittamatta siitä sinulle, vaikka tiedot olisi tallennettu Euroopassa. Tämä koskee ChatGPT:tä, Copilotia, Geminiä ja Claudea.
  • GDPR:n 48 artikla periaatteessa estää nämä luovutukset, mutta yrityksesi on rekisterinpitäjänä vastuussa laittomista siirroista: jopa 20 miljoonaan euroon tai 4 %:n globaaliin liikevaihtoon asti.
  • Euroopan komissio myönsi 17. huhtikuuta 2026 itsenäisen pilvipalvelusopimuksensa (180 miljoonaa euroa, 6 vuotta) neljälle eurooppalaiselle konsernille – erityisesti OVHcloudille, Scalewaylle ja STACKITille – itsenäisen viitekehyksen (SEAL) pohjalta, jota mikä tahansa yritys voi käyttää uudelleen.
  • Varjotekoäly on valtava: 61 % työntekijöistä käyttää tekoälyä henkilökohtaisten tilien kautta; 54 %:lla ilmoittamattomista työkaluista on käsitelty arkaluonteisia tietoja.
  • Kolme johdon päätöstä: luokittele tiedot arkaluontoisuuden mukaan, varaa itsenäinen tai paikallinen verkko strategisille tiedoille (Mistral, SecNumCloud-hosting, paikallinen käyttöönotto) ja pidä välimiesmenettely johtoryhmälle.

Mitä tekstissä sanotaan, ilman ammattikieltä

Yhdysvaltain kongressi hyväksyi 23. maaliskuuta 2018 lain, joka selventää tietojen laillista ulkomailla käyttöä. Se muuttaa vuoden 1986 tallennettujen tietojen lakia ja ratkaisee FBI:n pitkään jatkuneen ongelman: miten saada amerikkalaisen yrityksen ulkomailla hallussa olevia tietoja ilman kansainvälisen keskinäisen oikeusavun hitaita menettelyjä.

Vastaus voidaan tiivistää yhteen lauseeseen: Yhdysvaltain viranomaiset voivat vaatia Yhdysvaltain lain alaista palveluntarjoajaa luovuttamaan hallussaan tai hallinnoimassaan olevat tiedot riippumatta siitä, missä tiedot on tallennettu. Palvelin Frankfurt am Mainissa, datakeskus Pariisissa, pilvialue "Länsi-Euroopassa": sillä ei ole väliä. Tärkeintä on palveluntarjoajan laillinen kansallisuus, ei koneiden maantieteellinen sijainti.

Kaksi keskeistä asiaa, jotka muuttavat kaiken. Ensinnäkin menettely ei edellytä kyseisen yrityksen ilmoittamista: et koskaan tiedä, että tietoihisi on päästy käsiksi. Toiseksi, soveltamisala on laaja: amerikkalaiset yritykset, niiden tytäryhtiöt ja mahdollisesti kaikki ulkomaiset yritykset, joilla on merkittävä kaupallinen läsnäolo Yhdysvalloissa.

ChatGPT, Copilot, Gemini, Claude: sama järjestelmä

OpenAI, Microsoft, Google ja Anthropic ovat Yhdysvaltain lain alaisia yhtiöitä. Niiden generatiiviset tekoälyavustajat – ChatGPT, Copilot, Gemini ja Claude – kuuluvat siksi pilvipalvelulain piiriin, vaikka ne tarjoaisivatkin eurooppalaista hosting-palvelua. Yhdysvaltalaisen tahon ylläpitämä irlantilainen datakeskus pysyy Yhdysvaltain tuomioistuinten lainkäyttöalueella. Tämä on ekstraterritoriaalisuuden periaate: laki seuraa yritystä, ei palvelinta.

Tietokone, jossa on Copilot-logo ja Excel

Käytännössä jokainen sähköpostiviesti, joka sisältää asiakastiedostojasi, hinnoittelutietojasi, tutkimus- ja kehitystyötäsi tai työntekijöiden henkilötietoja, on tiedonsiirtoa ulkomaisen lain alaiselle taholle. Tietosi kulkevat pidemmälle kuin sinä itse. Eikä se edellyttänyt suostumustasi.

GDPR nimeää sinut rekisterinpitäjäksi, et toimittajaksesi.

Artikla 48, enemmän teoreettinen kuin käytännöllinen lukko

Eurooppalainen lainsäädäntö ei ole jättänyt ongelmaa huomiotta. GDPR:n 48 artikla määrää, että kolmannen maan viranomaisen päätös, joka edellyttää henkilötietojen luovuttamista, voidaan tunnustaa vain, jos se perustuu kansainväliseen sopimukseen, tyypillisesti keskinäistä oikeusapua koskevaan sopimukseen. Cloud Act on kuitenkin yksipuolinen Yhdysvaltain laki, ei sopimus. Jo vuonna 2019 Euroopan tietosuojaneuvosto (EDPB) ja Euroopan tietosuojavaltuutettu (EDPS) totesivat yhteisessä analyysissään, että pelkästään Cloud Actiin perustuva pyyntö ei ole pätevä peruste tiedonsiirrolle.

Tyhjä paperiarkki, johon on kirjoitettu "GDPR".

Amerikkalainen toimittaja kohtaa näin ollen kaksi ristiriitaista oikeusmääräystä: joko totella amerikkalaista tuomaria ja rikkoa GDPR:ää tai kieltäytyä ja riskeerata Yhdysvaltojen sanktiot. Arvaa, kumpaan suuntaan kallistuu yritys, jonka pääkonttori, johto ja suurin osa tuloista ovat amerikkalaisia.

Schrems II, Meta: lasku on jo maksettu muiden osalta

Tämä jännite ei rajoittunut pelkästään akateemiseen maailmaan. Euroopan unionin tuomioistuimen Schrems II -tapauksessa 16. heinäkuuta 2020 antama päätös mitätöi Privacy Shield -järjestelyn sillä perusteella, että amerikkalaiset valvontaohjelmat eivät taanneet vastaavaa suojaa kuin eurooppalaisen lainsäädännön tarjoama suoja. Toukokuussa 2023 Irlannin tietosuojaviranomainen sakotti Metaa 1,2 miljardilla eurolla laittomista henkilötietojen siirroista Yhdysvaltoihin. Myös CNIL (Ranskan tietosuojaviranomainen) antoi virallisia ilmoituksia Google Analyticsia käyttäville ranskalaisille organisaatioille samoista syistä.

Salkku, jossa on 500 euron seteleitä ja käsiraudat

Ja tässä on seikka, jota monet johtajat aliarvioivat: rekisterinpitäjänä yrityksesi on vastuussa siirtojen laillisuudesta, ei OpenAI tai Microsoft. Euroopan tietosuojaneuvoston tammikuun 2020 suositukset edellyttävät, että arvioit käsittelijöidesi altistumista ekstraterritoriaalisille laeille ja dokumentoit lisätoimenpiteet – mukaan lukien salauksen avaimilla, joihin palveluntarjoajalla ei ole pääsyä. Tämän laiminlyönti voi johtaa GDPR:n 83 artiklan mukaisiin sakkoihin, jotka voivat olla jopa 20 miljoonaa euroa tai 4 % yrityksesi maailmanlaajuisesta vuotuisesta liikevaihdosta. Palveluntarjoaja kerää tilausmaksusi; sinä kannat riskin.

Huhtikuu 2026: Eurooppa äänesti lompakolla

Asiantuntijoiden kesken tämä ei ole enää keskustelunaihe. Euroopan komissio ilmoitti 17. huhtikuuta 2026 myöntäneensä Cloud III -aloitteen mukaisen 180 miljoonan euron arvoisen kuuden vuoden puitesopimuksensa neljälle yksinomaan eurooppalaiselle konsortiolle: Post Telecomille OVHcloudin ja CleverCloudin kanssa, saksalaiselle STACKIT-yritykselle, ranskalaiselle Scaleway-yritykselle sekä Proximusille yhteistyössä S3NS:n, Clarencen ja Mistralin kanssa. AWS, Microsoft Azure ja Google Cloud, jotka aiemmin hallitsivat institutionaalisia sopimuksia, eivät ole suorien sopimusten saajien joukossa.

Avoin lompakko 50 euron seteleillä

Valintaansa varten Bryssel loi ainutlaatuisen työkalun: Cloud Sovereignty Frameworkin, joka arvioi itsemääräämisoikeuden SEAL-asteikolla 0–4. SEAL-3-taso, jonka kolme neljästä voittajasta saavutti, edellyttää, että millään Euroopan ulkopuolisella taholla ei ole veto-oikeutta, datan saatavuuslauseketta tai teknistä kykyä sulkea palvelu. Toisin sanoen Cloud Act -lakia koskevasta immuniteetista on tullut mitattava ja täytäntöönpanokelpoinen julkisten hankintojen kriteeri. Tämä kehys on julkinen – sitä voi käyttää vapaasti omissa tarjouskilpailuissaan. Ranska seuraa samaa polkua: maaliskuussa 2026 tarkistettu "State Cloud" -doktriini edellyttää, että arkaluonteisia valtion tietoja on säilytettävä Ranskan kansallisen kyberturvallisuusviraston (ANSSI) SecNumCloud-sertifioimissa infrastruktuureissa.

Kun Euroopan komissio, EKP ja noin viisikymmentä virastoa kieltäytyvät uskomasta työmääräänsä Yhdysvaltain lain alaisille toimittajille, kysymys ansaitsee ainakin nostaa esiin hallintokomiteassanne.

Samaan aikaan toimistoissasi: Varjo-tekoäly

Samalla kun Eurooppa järjestää digitaalista itsemääräämisoikeuttaan, mitä tapahtuu sinun maassasi? YouGovin Microsoft Ranskalle tekemän tutkimuksen (tammikuu 2026, 657 johtajaa ja johtotehtävissä toimivaa henkilöä) mukaan 80 % johtajista käyttää generatiivista tekoälyä vähintään kerran viikossa – ja 61 % työntekijöistä käyttää sitä henkilökohtaisten tilien kautta minkään IT-kehyksen ulkopuolella, ja 38 % käyttää sitä päivittäin. Yli seitsemän kymmenestä johtajasta ei ole saanut minkäänlaista koulutusta.

Henkilö kävelee etäisyyden päässä kaupungissa

Tätä kutsutaan varjotekoälyksi, ja se rakastaa arkaluonteista dataasi. Netwrix 2026 -raportin mukaan 54 % yrityksissä havaituista ilmoittamattomista tekoälytyökaluista oli siepannut arkaluonteista dataa: lähdekoodia, asiakastiedostoja ja säänneltyjä asiakirjoja. Netskope mittaa keskimäärin 223 kuukausittaista tapausta, joissa arkaluonteista dataa lähetetään generatiivisille tekoälytyökaluille yritystä kohden. Ja EQS Groupin vuoden 2026 yksityisyysbarometri korostaa tätä: 80 %:lla organisaatioista ei ole selkeää käsitystä tekoälyn käytöstään, ja vain 32 % tekoälyprojekteja toteuttavista on tehnyt tietosuojan vaikutustenarvioinnin (DPIA).

Laske oma organisaatiosi. Jos tiimisi ovat vähänkin Ranskan keskiarvon kaltaisia, osa sopimuksistasi, HR-tiedoistasi ja tuotekehityksestäsi on jo lähtenyt pilvilain alaisille palvelimille. Ilman päätöstä. Ilman jälkeä organisaatiossasi. hoitorekisteriIlman, että tietosuojavastaavallesi ilmoitetaan.

Haluatko tietää, mitä yrityksestäsi todella tulee ulos? Viqtorin® asiantuntijat auttavat sinua kartoittamaan tekoälyn käyttöä ja tiedonsiirtoja.

Kolme tehtävää päätöstä – ja niiden on pysyttävä johdon tasolla

Useita merkittyjä polkuja, jotka mutkittelevat

1. Lajittele tietosi herkkyyden mukaan

Kaikki ei ole samanlaista. Tuote-esite voidaan välittää millä tahansa työkalulla; asiakastietokanta, katteet, myyntiputki tai tutkimus- ja kehitystyö eivät. Laadi yksinkertainen luokittelu – kolme tasoa riittää: julkinen, sisäinen, strateginen/säännelty – ja pohjaa se todelliseen tilanteeseen. tiedonhallinta Kuka voi lähettää mitä, millä työkalulla ja millä validoinnilla? Ilman tätä kartoitusta kaikki tekoälykäytännöt jäävät toiveajatteluksi.

2. Arkaluontoisissa asioissa vaadi hallitsijalta tai paikalliselta

Uskottavia vaihtoehtoja on nyt olemassa. Ranskalainen Mistral AI -yritys käsittelee dataa eurooppalaisilla palvelimilla, jotka eivät kuulu Cloud Actin piiriin, ja tarjoaa yritysratkaisuja, jotka voivat hyödyntää SecNumCloud-sertifioituja infrastruktuureja. Ranskan asevoimaministeriö antoi sille tammikuussa 2026 tehtäväksi ottaa käyttöön generatiivista tekoälyä Ranskan asevoimissa. Sen avoimen sarjan malleja voidaan jopa ottaa käyttöön omilla palvelimilla: data ei koskaan poistu infrastruktuuristasi. Hosting-palveluiden osalta OVHcloud, Scaleway ja Outscale tarjoavat eurooppalaista hosting-palvelua, joka on immuuni Yhdysvaltojen ekstraterritoriaalisuudelle. Hieman vähemmän kehittynyt itsenäinen tekoäly on parempi kuin huippuluokan tekoäly, joka paljastaa arvokkaimman omaisuutesi. Ei-arkaluonteisissa käyttötarkoituksissa yhdysvaltalaiset työkalut ovat edelleen käyttökelpoisia – edellyttäen, että kyseessä on dokumentoitu valinta, jota säännellään artiklan 28 mukaisella alihankintasopimuksella.

3. Pidä välimiesmenettely johtoryhmän tasolla

Se, minne tietosi menevät, ei ole tekninen kysymys. Tietohallintojohtaja optimoi kustannuksia ja suorituskykyä; palveluntarjoaja myy luetteloaan. Kumpaakaan ei pidetä vastuullisena CNIL:n (Ranskan tietosuojaviranomainen), osakkeenomistajien tai asiakkaiden edessä tietomurron tai laittoman siirron sattuessa. Sinä olet. Päätös työkalujen tehon ja tietovarojen hallinnan tasapainottamisesta kuuluu ylemmälle johdolle, jota tukee… GDPR-tarkastus vakavuus, jatkuva arviointi alihankkijat ja yhteistyökumppanit ja dokumentoidut GDPR-prosessit — Tekoälyn riskialttiita käyttötarkoituksia varten on sisällytetty AIPD.

Tehokkain tekoäly on arvoton, jos se saa sinut menettämään hallinnan siitä, mikä tekee sinusta arvokkaan: datastasi. Tämän illan todellinen kysymys on yksinkertainen: Ovatko arkaluontoisimmat datasi omalla vai jonkun toisen hallussa?

Viqtor® auttaa sinua saamaan hallinnan takaisin: käsittelytoimintojen kartoitus, tekoälypalveluntarjoajien arviointi, GDPR-vaatimustenmukaisuus hallittuna itsenäiseltä 100 %-alustalta.

Usein kysytyt kysymykset — Kysymyksesi GDPR-auditoinnista

Kyllä. Cloud Act -kriteerinä on palveluntarjoajan laillinen kansallisuus, ei palvelimien sijainti. Pariisilainen datakeskus, jota ylläpitää yhdysvaltalainen yritys tai sen tytäryhtiö, pysyy amerikkalaisten määräysten alaisena. Vain laillisesti eurooppalainen palveluntarjoaja, jolla ei ole amerikkalaista määräysvaltaa, pääsee rakenteellisesti kiertämään tämän ekstraterritoriaalisuuden.

Ei, ei sinänsä. Mutta henkilötietojen käsittely edellyttää artiklan 28 mukaista tietojenkäsittelysopimusta, tiedonsiirtojen riskinarviointia (Schrems II:n jälkeinen), tarvittaessa lisätoimenpiteitä ja tietosuojaa koskevaa vaikutustenarviointia (DPIA) korkean riskin käyttötarkoituksissa. Rikkomuksen aiheuttaa sääntelemätön käyttö – varjotekoäly – eikä itse työkalu.

Yrityksesi on rekisterinpitäjänä vastuussa alihankkijoidensa valinnasta ja tiedonsiirtojen laillisuuden varmistamisesta CNIL:lle (Ranskan tietosuojaviranomainen). Toimittajalla on omat velvoitteensa, mutta ne eivät vapauta sinua vastuusta: GDPR:n 83 artiklan mukaiset seuraamukset kohdistuvat ensisijaisesti siihen osapuoleen, joka määrittää käsittelyn tarkoitukset ja keinot.

Tekoäly, jonka tarjoajaa, ylläpitoa ja hallintoa säännellään yksinomaan eurooppalaisella lainsäädännöllä: eurooppalainen yritys, palvelimet sijaitsevat EU:ssa, eikä millään Euroopan ulkopuolisella taholla ole pääsyä dataan. Mistral AI on tästä menestynein esimerkki ranskalaisesta. Seuraava taso sisältää avoimen painotuksen mallin käyttöönoton omassa infrastruktuurissasi: data ei koskaan poistu tiloistasi.

Se auttaa, mutta vain yhdellä tiukalla ehdolla: salausavaimet pysyvät palveluntarjoajan ulottumattomissa. Tämä on tärkein tekninen toimenpide, jonka Euroopan tietosuojaneuvoston tammikuun 2020 suositukset tunnustavat. Generatiivisen tekoälyn kanssa tämä suojaus kuitenkin pettää: mallin on luettava tietosi selkokielisenä voidakseen käsitellä kehotteesi. Salaus suojaa tallennusta, ei päättelyä.

Prosessi alkaa alustavalla arvioinnilla: mitä työkaluja todellisuudessa käytetään, kuka niitä käyttää ja millä tiedoilla. Tätä seuraa arkaluontoisuuteen perustuva luokittelu, käyttöohje, validoitujen työkalujen valinta (suvereenit työkalut arkaluonteisille tiedoille), käsittelyrekisterin päivittäminen ja tietosuojan vaikutustenarviointi (DPIA) korkean riskin tapauksissa. Viqtor®-alustan kaltaisen GDPR-auditointi kattaa nämä vaiheet ilman kuukausien sisäisiä resursseja.

fiFI