Ley NUBE

La Ley de aclaración del uso legal de datos en el extranjero o Ley CLOUD (HR 4943) es una ley federal de los Estados Unidos adoptada en 2018 sobre el acceso a los datos de comunicación ( datos personales ), en particular operados en la nube . Principalmente modifica la Ley de Comunicaciones Almacenadas  ( SCA) de 1986 al permitir que los tribunales (federales o locales, incluidos los municipales) obliguen a los proveedores de servicios establecidos en el territorio de los Estados Unidos, mediante orden judicial o citación, a proporcionar datos relacionados con las comunicaciones electrónicas, almacenados en servidores , ya sea que se encuentren en los Estados Unidos o en países extranjeros.

Criticada por ciertas asociaciones para la defensa de la privacidad , esta ley permite en particular a los tribunales estadounidenses solicitar a los prestadores de servicios que operan en Estados Unidos, las comunicaciones personales de un individuo sin que éste sea informado, ni que su país de residencia no sea, ni que el país donde se almacenan estos datos es.

Historia

La Ley CLOUD fue adoptada en marzo de 2018, esta ley extraterritorial americana permite a las administraciones de los Estados Unidos, teniendo una orden judicial y la autorización de un juez, acceder a los datos alojados en los servidores informáticos ubicados en d '' otros países, en el nombre de la protección de la seguridad pública en los Estados Unidos y la lucha contra los delitos más graves, incluidos el crimen y el terrorismo

Se estableció para obtener, sin una solicitud internacional, la información buscada, más fácilmente que lo permitido por la Stored Communications Act  (en) de 1986. Esto requiere, en efecto, una solicitud de asistencia legal internacional, basada en tratados. Bilateral ( MLAT ) para obtener documentos en poder de una empresa estadounidense en el extranjero. Fue la Convención de Budapest de 2001 , sobre la ciberdelincuencia , la que sugirió utilizar estos tratados bilaterales para el intercambio de datos personales en un marco judicial o de seguridad nacional.

A finales de la década de 2010, la Oficina Federal de Investigaciones (FBI) se quejó de las dificultades para obtener datos de forma remota a través de proveedores de servicios; este último había argumentado con éxito en el tribunal que el alcance legal de las garantías de la SCA solo se aplicaba a los datos almacenados en servidores alojados en los Estados Unidos, a pesar de que tenían el control total de los datos en forma remota. En el momento en que la administración Trump presentó el proyecto de ley CLOUD Act , una batalla legal desde 2013 entre Microsoft en su negativa a emitir información de una cuenta de Outlook vinculada al tráfico de drogas y almacenada en Irlanda está pendiente ante la Corte Suprema, el gobierno de EE. UU. argumentando que tales restricciones obstaculizan sus investigaciones.

El segundo punto importante de la ley se refiere a la posibilidad de celebrar acuerdos bilaterales entre estados, proporcionando un acceso análogo a las autoridades extranjeras sobre los datos almacenados en los Estados Unidos, y fuera de las reglas relativas a la ley estadounidense de datos personales. Según estos acuerdos que serían implementados, además de los Estados Unidos de los gobiernos extranjeros también podrían tener acceso a los datos almacenados por las empresas estadounidenses fuera de Estados Unidos .

La Ley CLOUD es el resultado de varios intentos del Congreso de enmendar la SCA para permitir a las autoridades obligar a los proveedores de servicios a transmitir datos almacenados en servidores extranjeros bajo su control: el proyecto de "Ley de acceso a datos almacenados en el extranjero" (Ley LEADS) de 2015 y la La Ley de Protección de las Comunicaciones Internacionales (ICPA) en 2017, ambas fuertemente apoyadas por el senador republicano Orrin Hatch , ambas tenían como objetivo modificar la SCA, pero no la adoptaron.

La Ley CLOUD ha recibido el apoyo del Departamento de Justicia de Estados Unidos y de importantes empresas tecnológicas como Microsoft , Apple y Google , que la ven como una fuente de seguridad jurídica. Brad Smith ( en ) (Microsoft) dijo: “Hoy es un día importante para el derecho a la privacidad en todo el mundo [...] La Ley CLOUD crea un marco legal moderno para que los organismos encargados de hacer cumplir la ley accedan a datos a través de las fronteras”.

La ley se adjuntó al proyecto de ley sobre el presupuesto federal (la Ley de Asignaciones Consolidadas, 2018,  (en) ). Es un apéndice legislativo , deslizado en el texto del presupuesto por la Administración y aprobado, sin examen específico (es decir, votado ipso facto por la votación de la ley de finanzas), por las dos cámaras, antes siendo promulgado en23 de marzo de 2018. Poco después de su aprobación, el Departamento de Justicia solicitó a la Corte Suprema que devolviera el caso de Microsoft Corp. contra Estados Unidos  (en) en los tribunales inferiores: debido a la Ley CLOUD, esta de hecho pierde gran parte de su importancia legal (ya que ya no concierne a la ley actual - ver mootness  (in) ).

Reseñas

El proyecto de ley (y la propia ley) ha sido criticado por varios grupos de derechos civiles, incluida la Electronic Frontier Foundation , la American Civil Liberties Union , Amnistía Internacional y Human Rights Watch . Estos grupos argumentan que la ley viola la Cuarta Enmienda contra registros e incautaciones irrazonables , ya que el gobierno puede obtener datos almacenados en el extranjero sin pasar por tribunales (estadounidenses o extranjeros) y sin notificar a los usuarios afectados. Algunos de estos grupos de derechos civiles temen que el gobierno de los EE. UU. No esté considerando con suficiente detalle las solicitudes de países extranjeros para los datos de sus ciudadanos, almacenados en servidores en los Estados Unidos. Esto podría permitir que estos datos se utilicen en esos países para fines que son ilegales según la ley de EE. UU.

David Ruiz, de la Electronic Frontier Foundation, indica sobre este tema que "las fuerzas policiales estadounidenses y extranjeras tendrán acceso a nuevas formas de ingresar datos en todo el mundo".

La Ley CLOUD entra en conflicto con un reglamento de la legislación europea, el Reglamento General de Protección de Datos (GDPR), que entró en vigor el 25 de mayo de 2018. El GDPR se ocupa de la protección de las personas con respecto al procesamiento de datos personales, datos personales y la libre circulación de dichos datos. Su territorio de aplicación son los Estados miembros de la Unión Europea (UE) para todas las empresas europeas o no europeas que se dirigen a los residentes de la UE mediante la elaboración de perfiles u ofrecen bienes y servicios a los residentes europeos.

Según Nathalie Devillier, profesora de derecho digital en la Grenoble School of Management, “La Ley Cloud proporciona un marco legal para la incautación de documentos, correos electrónicos, en definitiva todas las comunicaciones recibidas en el extranjero por los servidores de la empresa estadounidense” .

Según Emmanuelle Mignon , actual abogada asociada de August Debouzy especializada en derecho público, “no es la Cloud Act la que es peligrosa para las empresas europeas. Esta es la forma en que reaccionará la Unión Europea y los riesgos que conlleva la lentitud de su proceso de toma de decisiones, si no su parálisis. "

La Ley de la Nube podría permitir el espionaje industrial e incluso el robo de propiedad intelectual . Se aplica a los GAFAM ( por ejemplo, los datos de salud franceses están alojados por Microsoft en Irlanda) así como a las empresas extranjeras ( por ejemplo: Orange , Altice ) que operan en los Estados Unidos.

En 2020, surge un nuevo problema en Francia con el alojamiento, en los servidores de Amazon, de certificados de Préstamos Garantizados por el Estado (PGE) a empresas durante la pandemia Covid-19, cuestionando así la noción de soberanía digital de Francia y suscitando preocupaciones sobre el acceso a esta informacion. Según Nathalie Goulet , senadora de Orne, este contrato fue adjudicado a Amazon sin una licitación de Bpifrance . Una afirmación refutada por Bpifrance, que aseguró a la prensa que se habían realizado muchas licitaciones para determinar el anfitrión.

Las autoridades francesas están trabajando en el desarrollo de un dispositivo que permitiría notificar a las empresas francesas si la justicia estadounidense busca acceder a algunos de sus datos estratégicos almacenados en los servidores de los operadores estadounidenses.

Notas y referencias

  1. C. Fischer, La Ley NUBE: una expansión peligrosa de Policía snooping en transfronterizo de datos , Electronic Frontier Foundation 8 de febrero, 2018
  2. Charles de Laubier, "  Europa teme que la ley de datos de América  " , Le Monde ,11 de octubre de 2020(consultado el 2 de noviembre de 2020 ) .
  3. Cédric Joly, "  " Cloud Act ", una controversia trompe l'oeil  " , en Infoguerre ,28 de enero de 2020
  4. Elodie Lamer, "  Why the American Cloud Act preocupa a la Unión Europea  ", Le Soir Plus ,27 de marzo de 2018( leer en línea , consultado el 3 de abril de 2018 )
  5. (en) Lawrence Hurley y Dustin Volz, "  La Corte Suprema de Estados Unidos lucha con la lucha por la privacidad de los datos de Microsoft  " , The Globe and Mail ,27 de febrero de 2018( leer en línea , consultado el 3 de abril de 2018 )
  6. (de) Bernd Mewes , “  NUBE Ley - US-Gesetz für internationalen Datenzugriff und -schutz verabschiedet  ” , en Heise en línea ,24 de marzo de 2018
  7. (en) Patrick Maines , "  La ley LEADS y la computación en la nube  " , TheHill ,30 de marzo de 2015( leer en línea , consultado el 3 de abril de 2018 )
  8. (en-US) "  Declaración de Microsoft sobre la inclusión de la Ley CLOUD en el proyecto de ley de financiación Ómnibus  " , sobre Microsoft sobre los problemas ,22 de marzo de 2018
  9. Dominique Filippone, "  Cloud Act: Trump firma la ley para incautar correos electrónicos y datos en el extranjero - Le Monde Informatique  ", LeMondeInformatique ,27 de marzo de 2018( leer en línea , consultado el 3 de abril de 2018 )
  10. (in) Neema Singh Giuliani y Naureen Shah, "  La ley CLOUD no ayuda a la privacidad ni a los derechos humanos: les duele  " , lawfare ,16 de marzo de 2018( leer en línea , consultado el 3 de abril de 2018 )
  11. (in) Camille Fischer , "  The CLOUD Act: A Dangerous Expansion of Police Snooping on Cross-Border Data  " , Electronic Frontier Foundation ,8 de febrero de 2018( leer en línea , consultado el 3 de abril de 2018 )
  12. "  En los Estados Unidos, una ley tiene como objetivo regular la incautación de correos electrónicos en el extranjero  " , en Le Monde.fr ,24 de marzo de 2018
  13. "  EE. UU.: Una ley para regular la incautación de correos electrónicos en el extranjero  " , en www.agefi.com ,24 de marzo de 2018
  14. Leila Ackerman, "  Cloud Act, la ofensiva estadounidense para contrarrestar el GDPR  " , en portal-ie.fr ,22 junio 2018(consultado el 1 st de noviembre de 2.020 )
  15. Alexandra Saviana, "  Cloud Act": a pesar del RGPD, Estados Unidos ataca sus datos personales  " , Marianne ,19 de junio de 2018(consultado el 1 st de noviembre de 2.020 )
  16. Emmanuelle Mignon , "  ¿Deberíamos tener miedo de la Ley de la Nube?  » , Sobre los abogados de August Debouzy ,25 de junio de 2018(consultado el 21 de enero de 2021 )
  17. Alexandre Piquard, "  Las asociaciones entre Bpifrance y Amazon señalaron  " , Le Monde ,5 de febrero de 2021(consultado el 5 de febrero de 2021 )
  18. Frédérique Garrouste, "  Bpifrance refuta las críticas sobre sus vínculos con Amazon  " , en agefi.fr ,8 de febrero de 2021(consultado el 12 de febrero de 2021 )
  19. "  París busca proteger los datos estratégicos de la Ley de Nube de EE. UU.  " , Le Figaro ,16 de enero de 2019(consultado el 1 st de noviembre de 2.020 )

Ver también

Artículos relacionados

enlaces externos