De CLOUD Act en Europese bedrijven: wat is het toepassingsgebied?

Juridische Watch nr. 40 – Oktober 2021

De CLOUD Act en Europese bedrijven: wat is het toepassingsgebied?De dematerialisatie van gegevens en de opslag ervan in de ‘clouds’ hebben fundamentele en complexe gevolgen voor de verplichtingen van bedrijven.

Zelfs als gegevens in Europa zijn opgeslagen, zijn ze niet immuun voor een verzoek tot openbaarmaking door een derde land in een juridische context.

Het steeds actuelere onderwerp van digitale soevereiniteit vindt een weerklank in de ontwikkeling van het recht in de Verenigde Staten, met name in de CLOUD Act en de extraterritoriale reikwijdte daarvan.

Onder welke voorwaarden kan een Europees filiaal van een Amerikaans bedrijf, of omgekeerd, een Amerikaans filiaal van een Europees bedrijf, gedwongen worden om haar gegevens door te geven aan de Amerikaanse autoriteiten?

De CLOUD Act (Clarifying Lawful Overseas Use of Data) werd in maart 2018 in de Verenigde Staten aangenomen. Het doel ervan is om Amerikaanse strafrechtelijke autoriteiten toegang te geven tot gegevens van Amerikaanse cloud serviceproviders, ongeacht waar de gegevens zijn opgeslagen en zonder dat er een procedure via internationale wederzijdse rechtshulp hoeft te worden gestart.

Kort voor de invoering van de CLOUD Act weigerde Microsoft om Amerikaanse autoriteiten gegevens te verstrekken die waren opgeslagen in zijn Ierse cloud. Microsoft verwees daarbij naar het feit dat de Amerikaanse wetgeving niet van toepassing was op gegevens die in Europa waren opgeslagen, hetgeen tot langdurige rechtszaken had geleid.

De CLOUD Act verduidelijkt en breidt de reikwijdte ervan uit om dit soort situaties te voorkomen.

De tekst biedt ook buitenlandse staten de mogelijkheid om toegang te krijgen tot gegevens van aanbieders van clouddiensten die in de VS zijn gevestigd, zonder dat zij een verzoek om wederzijdse rechtshulp hoeven in te dienen in het geval van een bilaterale overeenkomst.

Onlangs werd een dergelijke overeenkomst gesloten tussen de Verenigde Staten en het Verenigd Koninkrijk. Het is de eerste in zijn soort.

De CLOUD Act is van toepassing op elk Amerikaans bedrijf in de zin van de Amerikaanse wetgeving, dat wil zeggen een bedrijf dat is opgericht in de Verenigde Staten en bedrijven die door dat bedrijf worden gecontroleerd.

Een Europese dochteronderneming of een Europese vennootschap die door een Amerikaanse vennootschap wordt gecontroleerd, kan dus onder deze wet vallen. Hierdoor ontstaan onvermijdelijk rechtsconflicten, omdat deze vennootschappen ook onder de AVG vallen.

Houd er rekening mee dat het concept zich ook richt op Europese bedrijven met een 'aanwezigheid' in de Verenigde Staten, wat de reikwijdte ervan aanzienlijk vergroot.

Dit benadrukt het Europees Comité voor gegevensbescherming in een standpunt uit 2019 en het Zwitserse ministerie van Justitie in een zeer recente studie van 17 september 2021 over de CLOUD Act.

Deze onzekerheid over de reikwijdte van de CLOUD Act wordt door het Amerikaanse ministerie van Justitie zelf benadrukt in een witboek van april 2019 over dit onderwerp, waarvan hier een uittreksel is (onofficiële vertaling):

Of een buitenlandse onderneming die buiten de Verenigde Staten is gevestigd maar diensten in de Verenigde Staten levert, voldoende contacten met de Verenigde Staten heeft om onder de Amerikaanse jurisdictie te vallen, is een feitelijk onderzoek dat afhangt van de aard, kwantiteit en kwaliteit van de contacten van de onderneming met de Verenigde Staten.

Hoe bewuster een bedrijf zijn gedrag op de Verenigde Staten richt, hoe waarschijnlijker het is dat een rechtbank oordeelt dat het bedrijf onder de Amerikaanse jurisdictie valt.

Amerikaanse rechtbanken die deze analyse toepassen in civiele zaken over websites, richten zich daarbij op de mate van interactie van een site met klanten in hun rechtsgebied. Daarbij houden ze rekening met factoren als de functie en de werking van de website, eventuele specifieke promoties voor klanten, het werven van klanten via de site en het daadwerkelijke gebruik door klanten. 

Deze interpretatie kan potentieel een zeer groot aantal Europese bedrijven onderwerpen aan Amerikaanse rechtsvorderingen, zelfs wanneer de databases zich in Europa bevinden. Volgens artikel 48 van de AVG kan de wetgeving van een buitenlands land echter geen voldoende rechtsgrondslag vormen voor de doorgifte van persoonsgegevens aan de autoriteiten van dat land.

De tekst van de AVG bepaalt uitdrukkelijk dat dergelijke gegevensoverdrachten enkel kunnen plaatsvinden binnen het kader van een internationale overeenkomst, zoals een overeenkomst inzake wederzijdse rechtshulp.

Dit beginsel is erop gericht om zowel de bescherming van de overgedragen gegevens als een minimum aan rechtszekerheid te garanderen.

Welke oplossingen?

Vanuit politiek perspectief moeten we allereerst vaststellen dat de Europese Commissie momenteel met de Verenigde Staten onderhandelt over een overeenkomst die gericht is op het vergemakkelijken van de toegang tot elektronisch bewijsmateriaal in strafrechtelijke onderzoeken, terwijl de Raad van Europa bezig is met de ontwikkeling van een tweede protocol bij het Verdrag van Boedapest inzake cybercriminaliteit... twee teksten die het juridisch kader voor deze gegevensoverdrachten moeten verduidelijken in overeenstemming met het Europees recht.

Meer specifiek bepaalt de Cloud Act dat een bedrijf dat te maken krijgt met een rechtsconflict, zich kan beroepen op het recht waaraan het onderworpen is, in dit geval de AVG, om het Amerikaanse verzoek aan te vechten ("wezenlijk risico op schending van buitenlandse wetten").

Dit brengt echter procedures met zich mee die lang en kostbaar kunnen zijn, terwijl er geen zekerheid bestaat over de uitkomst ervan.

In de praktijk kunnen technische maatregelen worden genomen om gegevens te beschermen, geïnspireerd door de aanbevelingen van het Europees Comité voor gegevensbescherming.

Gegevensopslag in Europa, geen bewaring van gegevens "in onversleutelde vorm", specifieke versleutelingsmaatregelen zoals beschreven door de EDPS in zijn advies van juni 2021 betreffende hulpmiddelen voor gegevensoverdracht buiten de Europese Unie (p. 30) en de bewaring van versleutelingssleutels in de Europese Unie.

De CLOUD Act verbiedt encryptie niet (hoewel de Verenigde Staten van bedrijven verlangt dat ze op dit gebied samenwerken met overheidsinstanties) en neemt geen standpunt in over de regels voor decryptie in derde landen.

Tot slot willen we nog vermelden dat de eerste Europese clouds onlangs zijn goedgekeurd door de Europese gegevensbeschermingsautoriteiten: afgelopen voorjaar keurde de CNIL de eerste Europese gedragscode voor aanbieders van cloudinfrastructuurdiensten goed.

Ook heeft het onlangs het Nationaal Metrologisch en Testlaboratorium (LNE) en Bureau Veritas Italia Spa toestemming gegeven om controles uit te voeren op de naleving van deze gedragscode.

Zonder dat we "alle lokale" wolken als het absolute wondermiddel beschouwen, bieden Europese clouds wel de mogelijkheid om meer rechtszekerheid te bieden, zolang er geen internationale overeenkomst is die de situatie heeft opgehelderd.

En ook

Frankrijk:

De CNIL heeft het bedrijf formeel op de hoogte gesteld Frankrijktest om de gezondheidsgegevens (screeningtests) die het namens apotheken verzamelt, te beveiligen. Het heeft ook meer dan 300 apotheken benaderd om hun naleving van de AVG te verifiëren.

De autoriteit publiceerde begin oktober ook een whitepaper over data en betaalmethodenen een openbare raadpleging over een concept-wervingsgids.

Ten slotte onderzoekt de CNIL de mogelijkheid van Gebruik van gezichtsherkenning voor de Olympische Spelen vanaf 2024.

Europa

De Autoriteit Persoonsgegevens Op 21 oktober heeft het Verenigd Koninkrijk een verzoek afgewezen om vermoedelijke fraude in de telecommunicatie en online betalingen op een zwarte lijst te zetten.

Spaanse autoriteit legde de verantwoordelijke voor de invoering van een biometrisch identificatiesysteem op de werkplek zonder voorafgaande effectbeoordeling een boete op van 16.000 euro.

Na een inbreuk op de beveiliging in het kader van het gebruik van het gezichtsherkenningssysteem Clearview AI,Finse Autoriteit voor gegevensbescherming was van oordeel dat de politie deze software zonder wettelijke basis had gebruikt en heeft haar opgedragen zich aan de wet te houden en de betrokkenen te informeren.

De provinciale administratieve rechtbank van Warschau achtte het onrechtmatig dat een bank persoonsgegevens verwerkte op basis van artikel 6(1)(f) van de AVG (belangenafweging), enkel en alleen vanwege hun mogelijke toekomstige bruikbaarheid. Bron van de nationale beslissingen: gdprhub

Amazon heeft een contract gesloten met de Britse geheime dienst (GCHQ, MI5, MI6), waarmee het bedrijf kunstmatige intelligentie-analyses op gevoelige gegevens van inlichtingendiensten zal hosten en uitvoeren. 

In ZwitserlandProton, de beveiligde berichten- en VPN-service, won op 22 oktober een beroep tegen de verplichting die het had gekregen om de gegevens van zijn gebruikers te controleren en op te slaan.

Het Europees Parlement Op 6 oktober nam de Amerikaanse Senaat een resolutie aan waarin gezichtsherkenning en op kunstmatige intelligentie gebaseerde voorspellende analyses bij de politie werden afgewezen.

Internationaal :

De 43e Internationale Conferentie van Gegevensbeschermingsautoriteiten vonden plaats in Mexico-Stad en via videoconferentie van 18 tot 21 oktober.

Tijdens de conferentie werden verschillende resoluties aangenomen, waaronder één over de digitale rechten van kinderen en een andere over de toegang van wetshandhavingsinstanties tot gegevens uit de particuliere sector.

De Gegevensbeschermingsautoriteit van Zuid-Korea adviseert een schadevergoeding van $ 257 te betalen aan elke gebruiker van wie de gegevens op onrechtmatige wijze aan derden zijn overgedragen, na een beveiligingsinbreuk op Facebook (Meta).

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.