U.S. CLOUD Act vs GDPR: Catch 22 voor je onderneming?

Het is ondertussen meer dan een jaar geleden dat de Verenigde Staten de U.S. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) hebben aangenomen. Deze wet geeft de Amerikaanse autoriteiten de bevoegdheid om data bij Amerikaanse service providers op te vorderen, waar ook ter wereld deze data zijn opgeslagen.

De CLOUD Act wijzigt de vroegere Stored Communications Act die deze mogelijkheid niet expliciet voorzag.  Dit gaf onder andere aanleiding tot een procedure tegen Microsoft voor data die werden opgeslagen in Ierland. Aangezien de overdracht van persoonsgegevens door Microsoft van de EU naar de VS onder de EU-regels inzake gegevensbescherming zou vallen, beschouwde de Commissie het in het belang van de EU om als amicus curiae ervoor te zorgen dat de EU-regels inzake gegevensbescherming bij internationale doorgiften correct worden begrepen en dat de Amerikaanse Supreme Court hier rekening mee zou houden. Deze procedure is door tussenkomst van de U.S. Cloud Act nooit tot een eindconclusie gekomen.

Het mag meteen duidelijk zijn dat de CLOUD Act de Europese Unie dwingt om gepaste maatregelen te nemen. Datasubjecten worden niet voldoende beschermd door de GDPR en Europese ondernemingen worden momenteel gedwongen tot een onmogelijke spreidstand.

US Cloud Act

Wat voorziet de CLOUD Act?

De bevoegdheden van nationale opsporingsautoriteiten zijn beperkt tot de landsgrenzen, terwijl er een steeds groter belang is om grensoverschrijdende toegang tot elektronisch bewijs te reguleren door de ontwikkeling van de internationale dataopslag in de digitale wereld. De opsporing en bestrijding van cybercrime en de digitalisering van bewijs voor andere criminaliteitsvormen leiden tot meer behoefte aan snelle toegang tot elektronisch bewijs. De huidige regeling onder de klassieke internationale wederzijdse rechtshulp blijkt hiervoor niet efficiënt genoeg te zijn.

De CLOUD Act geeft Amerikaanse Autoriteiten een nieuw kader om gegevens op te vorderen die beheerd worden door Amerikaanse bedrijven die elektronische communicatie diensten of ‘remote computing services’, zoals Cloud services, aanbieden waar ook ter wereld deze data zijn opgeslagen.  Door dit ruim toepassingsgebied kan dit als gevolg hebben dat zowel data van Amerikaanse burgers als die van Europese burgers (moeten) vrijgegeven worden, terwijl deze data zijn opgeslagen op Europees grondgebied. Daarbij komt nog dat het voornamelijk Amerikaanse providers zijn die, ook in Europa, cloud-diensten aanbieden en bijgevolg een behoorlijk aandeel aan data bezitten. Dit betekent dat de Amerikaanse autoriteiten met deze wet de facto toegang hebben tot heel wat persoonsgegevens die principieel onder de bescherming van de GDPR vallen.

De Verenigde Staten verdedigen weliswaar de CLOUD Act en houden voor dat er wel degelijk een beschermingsmechanisme is ingebouwd in deze wet. Indien het Amerikaanse bevel tot vrijgave van gegevens zou conflicteren met de wetgeving van het derde land waar de data zijn opgeslagen, dan kan de bewuste provider zich via een procedure verzetten.

Maar dit verzet blijkt eerder beperkt te zijn. De procedure kan enkel gevoerd worden voor zover het gaat over data van niet-VS onderdanen én voor zover deze personen niet in de VS verblijven. Bovendien staat deze procedure enkel open voor data die zich bevinden op het grondgebied van een qualifying foreign government. Dit is een derde land dat met de Verenigde Staten onder de bepalingen van de CLOUD Act een bilaterale overeenkomst heeft afgesloten om dataoverdracht te faciliteren. Op die manier dwingen de Verenigde Staten derde landen om met hen afzonderlijke overeenkomsten af te sluiten om zo de Verenigde Staten toe te laten op een eenvoudige manier nuttige data te bekomen.

Voor zover de bewuste provider al een verzetsprocedure zou opstarten, dan nog is het voorlopig afwachten hoe een Amerikaanse rechter de belangenafweging zal maken bij conflicterende rechten.

Conflict met de GDPR

De opvordering onder de CLOUD Act van persoonsgegevens op Europese bodem zal een schending uitmaken van de GDPR. In Recital 115 zegt de GDPR letterlijk dat wetgeving van derde landen die een extraterritoriale toepassing maken met rechtstreekse regeling van doorgifte van gegevens in strijd zijn met het internationaal recht en een belemmering vormen voor de in de GDPR gegarandeerde bescherming van personen. De GDPR voorziet wel mogelijkheden van doorgifte aan derde landen, maar deze mogelijkheden kennen een uiterst strikte toepassing.

Amerikaanse providers zullen bijgevolg in vele gevallen niet meer compatibel zijn met de GDPR. De CLOUD Act is immers geen voldoende basis om data wettelijk over te dragen aan de Amerikaanse autoriteiten. Er is geen internationale overeenkomst tussen de VS en de EU, noch met een afzonderlijk Europees land die deze doorgifte toelaat.

Dit betekent dat Amerikaanse providers, maar evengoed ondernemingen op Europese bodem die verbonden zijn aan deze Amerikaanse providers voor een patstelling staan: indien zij enerzijds hun data overmaken aan de Amerikaanse autoriteiten, dan schenden zij de GDPR en stellen zij zich bloot aan monsterboetes. Weigeren zij de data over te maken aan de Amerikaanse autoriteiten, dan stellen zij zich bloot aan sanctionering in Amerika. Vele Europese ondernemingen die hun data opslaan bij zo’n Amerikaanse provider zullen moeten vaststellen dat hun data niet voldoende beschermd zijn volgens de waarborgen van de GDPR.

Zo staat ook het Privacy Shield-akkoord volledig op de helling. Dit akkoord zou in principe voldoende beschermingsmaatregelen moeten bieden bij de verwerking van persoonsgegevens door Amerikaanse bedrijven. Door (onder andere) de tussenkomst van de CLOUD Act zijn deze waarborgen niet meer gegarandeerd. Het Europarlement maakte in juli 2018 reeds een resolutie met de oproep aan de Europese Commissie om het Privacy Shield-akkoord op te schorten, wat zou betekenen dat ondernemingen geen gebruik meer kunnen maken van Dropbox, OneDrive, iCLoud, Office 365, MailChimp, etc.

Europese initiatieven

De CLOUD Act voorziet in een mogelijkheid om een bilateraal verdrag af te sluiten met de Verenigde Staten. Op die manier zou dit derde land als Qualifying Foreign Government verschillende waarborgen kunnen inlassen bij de uitwisseling van persoonsgegevens. Voor Europese landen is dit echter niet mogelijk aangezien de onderhandeling van zo’n internationale overeenkomst een exclusieve bevoegdheid is van de Europese Unie.

Ondertussen heeft de Europese Raad twee aanbevelingen aangenomen om onder andere onderhandelingen op te starten met de Verenigde Staten over grensoverschrijdende toegang tot elektronisch bewijs om zo te helpen bij het oplossen van eventuele tegenstrijdige verplichtingen voor dienstverleners en hen in staat te stellen inhoudsgegevens direct aan rechtshandhavings- en gerechtelijke autoriteiten in de EU of de Verenigde Staten te verstrekken. De European Data Protection Supervisor heeft in haar Opinion 2/2019 van 02/04/2019 reeds haar visie op deze onderhandelingen te kennen gegeven met een duidelijke nadruk op een stevige beschermingsprocedure voor fundamentele rechten, zoals privacy en databescherming.

Voorlopig is het nog afwachten wat het resultaat van deze toekomstige onderhandelingen zal zijn.

Impact voor de burger

Het grote probleem van de CLOUD Act voor elke burger is dat er bij een bevel tot vrijgave van de gegevens geen enkele verplichting bestaat tot transparantie. De burger in kwestie zal niet weten dat zijn of haar gegevens werden overgedragen aan de Amerikaanse autoriteiten.
Evenmin bestaat er voorafgaandelijk een gewaarborgde controle.
Ondernemingen die worden onderworpen aan een bevel tot vrijgave zouden in hun dataopslag een onderscheid kunnen maken tussen gegevens van Amerikaanse burgers en die van andere (vb. Europese) burgers. Maar dit creëert op zijn beurt twee verschillende privacy- en databeschermingsstandaarden die onder Europese regelgeving niet toegelaten kunnen worden. De GDPR blijft toepasselijk op alle persoonsgegevens en het recht op privacy blijft een fundamenteel mensenrecht dat een gelijke bescherming waarborgt zonder enige vorm van discriminatie.

Wat kan je doen als onderneming?

Als onderneming is het van belang om je strategie te bepalen in datalocatie en vennootschapslocatie.
De CLOUD Act is ruim en viseert elke Amerikaanse onderneming die de gegevens bezit, bewaart of controleert. Hieronder vallen enerzijds de verschillende Amerikaanse providers zelf die gegevens bezitten of bewaren, maar ook alle Europese providers die worden gecontroleerd door een Amerikaanse provider. Hierbij zal gekeken worden naar de mate waarin er controle kan uitgeoefend worden, in hoeverre deze ondernemingen handelen als één geheel, of zij gemeenschappelijke policies hebben, of de ene onderneming inzage heeft in de gegevens van de andere bij de normale eonomische activiteit, in hoeverre er een relatie van vertegenwoordiging is, etc.

Het is dus van belang om na te kijken waar je providers gelokaliseerd zijn en op welke manier zij verbonden zijn met Amerikaanse ondernemingen.

Vraag ook steeds met een kritische blik in hoeverre je providers in regel zijn met de GDPR in het kader van de CLOUD Act. Ga daarbij na of er een onderscheid wordt gemaakt tussen databestanden van Amerikaanse burgers en andere burgers en in hoeverre de data van niet-Amerikaanse burgers worden afgeschermd. Ga ook na of je data geëncrypteerd worden, zodat zij buiten het inhoudelijke bereik blijven van de Amerikaanse autoriteiten. Kijk in dat geval na of je de serviceprovider-overeenkomsten niet moet aanpassen.

Zo mogelijk moet je ook bestaande clausules heronderhandelen met voorziening van een schadeclaim in geval van vrijgave van gegevens onder de CLOUD Act. Zo kan de onderneming zich financieel indekken tegen boetes en mogelijke reputatieschade.

Vragen over GDPR of de U.S. Cloud Act?

Contacteer Roeland Lembrechts via mail (roeland@siriuslegal.be) of telefoon (02/721 12 00).