Le cloud act et google: comment cela affecte vos données

The CLOUD Act.pdf) - Expliquer les terribles erreurs - est un ensemble de réglementations traitant de la manière dont les données stockées dans un pays peuvent être consultées par une entité dans un autre pays. Il a été signé le 23 mars 2018 dans le cadre du projet de loi omnibus sur les dépenses.

Il a été salué par les sociétés de technologie et une lettre commune de Apple, Facebook, Google, Microsoft et Oath (Yahoo!) soutenant le projet de loi a été publiée le 6 février 2018. Elle indique notamment:

La nouvelle loi sur la clarification de l'utilisation licite des données à des fins légales (CLOUD) reflète un consensus croissant en faveur de la protection des utilisateurs d'Internet du monde entier et constitue une solution logique pour la gestion de l'accès transfrontalier aux données. La présentation de cette législation bipartite est une étape importante dans l'amélioration et la protection du droit à la vie privée des particuliers, la réduction des conflits internationaux de lois et la sécurité de tous.

Mais les organisations de protection de la vie privée et des droits civils ont une opinion différente de la législation. L'ACLU avait ceci à dire:

La loi CLOUD représente un changement majeur dans la loi - et une menace majeure pour nos libertés. Le Congrès ne devrait pas essayer de le dissimuler au peuple américain en le cachant dans un projet de loi de dépenses gigantesque. Aucune minute n'a été consacrée à l'examen d'amendements à cette proposition. Le Congrès devrait débattre vigoureusement de ce projet de loi et prendre des mesures pour remédier à ses nombreux défauts, au lieu d’essayer d’attaquer rapidement le peuple américain.

Electronic Frontier Foundation a également une liste d'objections:

• Inclut une norme faible en matière d’examen qui ne tient pas compte de la protection requise par le mandat en vertu du 4e amendement.
• Ne demande pas aux forces de l'ordre étrangères de demander un contrôle judiciaire individualisé et préalable.
• Accorde un accès en temps réel et une interception aux forces de l'ordre étrangères sans imposer les normes plus strictes en matière de mandat que la police américaine doit respecter en vertu de la loi Wiretap.
• Ne pas imposer de limites adéquates à la catégorie et à la gravité des crimes pour ce type d'accord.
• Ne demande pas de notification à quelque niveau que ce soit - à la personne ciblée, au pays dans lequel elle réside et au pays dans lequel les données sont stockées. (En vertu d’une disposition distincte relative aux ordonnances extraterritoriales américaines en matière répressive, le projet de loi autorise les sociétés à avertir les pays étrangers dans lesquels les données sont stockées, mais il n’existe pas de disposition parallèle prévoyant une notification entre sociétés lorsque la police étrangère recherche des données stockées aux États.)
• La loi CLOUD crée également un système injuste à deux niveaux. Les pays étrangers opérant en vertu d'accords exécutifs sont soumis à des règles de minimisation et de partage lors du traitement de données appartenant à des citoyens américains, à des résidents permanents légaux et à des sociétés. Mais ces règles de confidentialité ne s’étendent pas aux personnes nées dans un autre pays et vivant aux États-Unis avec un visa temporaire ou sans papiers.

Les deux parties semblent prendre les termes de la loi CLOUD très différemment. Il faut s'y attendre avec presque tous les documents légaux, et la plupart des projets de loi présentés au Congrès sont rédigés dans le même type de langue. Cela laisse délibérément les choses ouvertes à l'interprétation du lecteur et, dans le cas des lois, à l'organe d'exécution. Nous aurons tous notre propre opinion sur le projet de loi et c'est une discussion saine à avoir. Mais il est important de savoir ce que cela signifie pour vos données stockées sur les serveurs de Google.

Pourquoi Google prendrait-il cela en charge?

Il est important de se rappeler que des organisations telles que l'ACLU et l'EFF existent pour examiner le pire des scénarios entourant les règles ou lois régissant nos données personnelles. Ils aident à créer un équilibre permettant aux tribunaux et aux législateurs de prendre des décisions en connaissance de cause. Voir leur objection à la loi CLOUD n’est pas une surprise, car elle apporte des modifications majeures aux lois existantes. Il est très difficile pour un gouvernement étranger d'accéder aux données sauvegardées sur un serveur américain et pour le gouvernement américain d'obtenir des données stockées sur un serveur étranger, car les lois varient d'un pays à l'autre.

Un exemple de cela est en train de se produire, alors que la Cour suprême des États-Unis décide si Microsoft doit restituer les données stockées sur un serveur irlandais que le ministère de la Justice veut comme preuves dans une affaire qui remonte à 2013.

Les entreprises telles que Google préféreraient que les États-Unis et de nombreux autres pays dans lesquels ils font affaire adoptent un ensemble unique de règles qui pourraient permettre d'éviter ce type d'audiences et de procédures coûteuses. Ils estiment que la formulation de la loi CLOUD sert à fournir un accès à nos données lorsqu'un besoin réel se fait sentir, mais protège également notre vie privée contre les demandes qui ne montrent pas un besoin légitime.

Un ensemble de lois universelles protégeant notre vie privée est une excellente idée tant que les lois sont valables et appliquées.

Les organisations de défense des droits civils souhaiteraient également l'adoption d'un ensemble unique de règles dans le monde entier, mais ne pensent pas que la loi CLOUD protège suffisamment nos informations des gouvernements étrangers. Ils contestent la manière dont il modifie le processus de révision judiciaire et les moyens de contourner le 4e amendement à la Constitution des États-Unis, ainsi que la manière dont le projet de loi a été présenté et intégré dans un projet de loi de dépenses plus vaste qui ne fera pas l'objet d'un examen minutieux et de la publicité. changez comme cela mérite avant d’ être écrit en tant que loi.

Pris au pied de la lettre, les deux camps semblent avoir raison. C'est parce que les deux côtés remplissent leurs objectifs. L'équipe juridique et les experts en confidentialité de Google veulent un ensemble de règles simples applicables dans tous les pays dans lesquels il est implanté. Ils pensent qu'il est possible de contourner une audience ou d'obtenir plusieurs mandats individuels de manière à protéger les données personnelles de ses utilisateurs en vertu de la loi CLOUD. L'ACLU et l'EFF s'opposent à tout ce qui peut contourner un processus judiciaire pour chaque demande et ils estiment que le système actuel fournit de meilleures normes de confidentialité. Il est important que les législateurs entendent les deux arguments.

Qu'est-ce que cela signifie pour moi et mes données?

La loi CLOUD ne contient aucune langue qui modifie la façon dont Google stocke vos données ou les données qu’il peut collecter. Rien ne supprime les protections de cryptage et ne vous empêche pas de supprimer vos données des serveurs de Google à tout moment. La seule chose que la loi CLOUD affecte, c'est la manière dont vos données stockées sur un serveur de votre pays peuvent être partagées avec le gouvernement d'un autre pays. Mais c’est une question qui devrait également nous préoccuper, alors examinons certains détails.

Mes libertés civiles sont-elles protégées?

La loi CLOUD exige du secrétaire d'État et du procureur général des États-Unis qu'il certifie que tout pays adhérant à la loi CLOUD "offre de solides protections de fond et de procédure pour la vie privée et les libertés civiles". Certains détails sont mentionnés dans le projet de loi pour protéger nos droits en tant qu'Américains. Ils comprennent:

• Protection contre les ingérences arbitraires et illégales dans la vie privée
• Droit au procès équitable
• Liberté d'expression, d'association et de réunion pacifique
• Interdictions d'arrestation et de détention arbitraires
• Interdiction de la torture et des peines ou traitements cruels, inhumains ou dégradants.

Cela signifie que tout pays participant à la loi CLOUD ne peut pas fouler aux pieds les droits civils fondamentaux qui nous sont accordés en tant que citoyens des États-Unis - et que les droits des citoyens d'autres pays ne peuvent être foulés aux pieds par le gouvernement des États-Unis. La loi sur le CLOUD prévoit également des protections contre un gouvernement étranger exigeant que Google mette une porte dérobée dans Android ou Chrome. Google ne peut être invité par aucun gouvernement à nous surveiller pendant l'utilisation de leurs produits.

La loi CLOUD donne-t-elle à la branche exécutive un contrôle total sur nos droits de données?

Non. Même s'il permet au département d'État et au bureau du procureur général de conclure des accords avec des pays étrangers, le Congrès est doté d'un mécanisme de surveillance. Le Congrès aura le pouvoir de:

• Examiner les nouveaux accords bilatéraux pour une période maximale de 180 jours.
• Passez en revue les modifications apportées aux accords existants pendant 90 jours maximum.
• Exiger une certification écrite et une explication de la manière dont les pays réussissent la certification.
• Désapprobation accélérée des accords bilatéraux.

Il indique également qu'une ordonnance de surveillance émise par un pays membre doit avoir une base individuelle et être "sujette à un contrôle ou à un contrôle par un tribunal, un juge, un magistrat ou une autre autorité indépendante", et que ce contrôle doit avoir lieu "avant ou dans une procédure concernant, exécution de l'ordre."

Il serait préférable que ces protections soient en place dans le cadre des accords conclus entre les pays participants, mais elles existent et sont rédigées dans un langage exécutoire si un pays dépasse ses limites.

La loi CLOUD facilite-t-elle l'accès aux données des États-Unis aux pays étrangers?

Oui. La loi CLOUD supprime de nombreux obstacles actuellement rencontrés lorsqu'un autre pays souhaite que vos données soient stockées sur un serveur Google aux États-Unis. C’est là que les organisations de défense des droits civils et Google ne sont pas d’accord sur les mérites de la loi.

En raison de la manière dont les demandes de données doivent passer par le système judiciaire, puis faire l'objet d'un appel ou de l'approbation d'une juridiction supérieure, les pays élaborent leurs propres lois qui forcent les entreprises telles que Google à transmettre des données sans intervention du tribunal si elles le souhaitent. faire des affaires là-bas par frustration avec le processus. Les États-Unis tentent également de faire valoir que la législation américaine impose à une entreprise américaine de transmettre des données même si elles sont hébergées à l'extérieur du pays, comme dans l'affaire Microsoft présentée à la Cour suprême.

Certains pays offrent des libertés civiles égales ou meilleures que celles offertes par la Constitution, d'autres non.

La loi CLOUD est conçue pour empêcher ces lois d'être promulguées et mises en œuvre en mettant en place un processus que tous les pays peuvent accepter et respecter lorsqu'il s'agit de demandes de données à caractère personnel. C’est là que Apple, Google, Microsoft et d’autres sociétés de technologie en voient les avantages. Ils sauront quelles sont les lois et comment les respecter dans tous les pays qui y participent au lieu d'être soumis à des lois individuelles ou de les combattre devant les tribunaux.

Les organisations de défense des droits civils contestent le fait que la loi CLOUD puisse forcer les données hébergées aux États-Unis à être transmises à un autre pays sans être soumises à nos lois en vigueur en matière de protection de la vie privée. Certains pays offrent des libertés civiles égales ou meilleures que celles offertes par la Constitution, d'autres non. Ils estiment que vos données hébergées aux États-Unis devraient être protégées par vos droits en tant que citoyen américain et non soumises aux lois et aux droits qu'un autre pays observe, quel que soit le processus de révision ou d'admission.

La loi CLOUD donne-t-elle davantage de pouvoir aux pays étrangers pour surveiller les citoyens américains et cibler leurs données en vue de leur collecte?

Non et oui. Un pouvoir plus large est accordé pour la collecte de renseignements, mais il existe des restrictions et des règles en place qui couvrent les écoutes téléphoniques ou la surveillance.

• Il est explicitement interdit aux gouvernements étrangers de surveiller directement ou indirectement un ressortissant américain ".
• Les ordres de surveillance doivent être d'une durée déterminée et limitée.
• La surveillance ne peut avoir lieu que s’il a été démontré qu’elle est «raisonnablement nécessaire» et qu’il n’ya pas d’autre moyen d’obtenir les informations.

Lors de la collecte de données pour les cas approuvés, il existe des règles visant à protéger nos droits individuels:

• Le ciblage direct des données d'un citoyen américain par des gouvernements non américains est interdit.
• Il est interdit de demander à un pays certifié CLOUD Act de cibler les données de personnes des États-Unis.
• Le ciblage de données de personnes non américaines aux fins de la collecte de données de personnes américaines est interdit. (Un pays ne peut pas me cibler pour voir les conversations que vous et moi avons dans Facebook Messenger, par exemple.)
• La "diffusion de données relatives à des personnes aux États-Unis" est interdite sauf preuve d'un crime grave présenté.

Il existe beaucoup de marge de manœuvre juridique dans ces réglementations, ce qui nous amène à la plus grande question: comment cela sera-t-il appliqué? Qui sera là pour s’assurer que la France (par exemple) respecte les lois et règlements en vigueur concernant la collecte de mes données aux États-Unis? C'est inquiétant. D'autant plus lorsque vous remplacez la France par l'Afghanistan, ou si vous habitez en Europe et que vous remplacez la France par les États-Unis. Les lois actuelles sont en place pour protéger nos données et nous nous sommes habitués à les avoir. La loi CLOUD remplacerait nombre de ces protections.

Dois-je m'inquiéter et dois-je supprimer toutes mes données et passer à l'obscurité?

Je ne suis pas un juriste, je ne peux donc pas me faire une opinion sur la légalité de la loi CLOUD. C'est ce que nous élisons des fonctionnaires à faire. Mais je peux exprimer quelques réflexions sur tout cela. Je suis d'avis que mes données stockées aux États-Unis sont protégées par les lois américaines et protégées par mes droits en tant que citoyen américain, indépendamment de ce que la France (ou l'Afghanistan) pense de ces protections.

Les libertés garanties telles que le quatrième amendement (la protection contre les fouilles, les perquisitions et les saisies abusives définies comme un droit individuel de chaque citoyen américain) ou son équivalent dans d'autres pays devraient toujours s'appliquer et remplacer tout type d'acte unilatéral entre gouvernements. Chaque fois que ma vie privée doit être violée, elle doit être examinée par les tribunaux américains, surtout si ma culpabilité n’est pas prouvée.

Mes données méritent un processus de révision chaque fois qu'une personne ou un pays en demande l'accès. Ainsi est le tien.

Mais je vois aussi la valeur que Google voit dans la loi CLOUD. Un ensemble de règles légitimes s'appliquant à tous les pays membres pourrait être une excellente chose. non seulement pour économiser de l'argent et du temps devant les tribunaux, mais aussi pour que je sache d'avance comment mes données sont protégées à l'intérieur et à l'extérieur des États-Unis.

Nous devrions pouvoir faire confiance à nos élus pour faire les bons choix. Si vous le faites, vous n’aurez pas à vous inquiéter ici. Il semble que Google se fie au "bon" moyen de garantir la confidentialité de nos données, comme le font Apple et Microsoft. Ces trois sociétés peuvent avoir des offres très différentes à nous présenter, mais un point commun à toutes est la volonté de se battre pour protéger nos données. C'est une bonne raison de supposer que le ciel ne tombe pas.

L’ACLU et l’EFF, ainsi que d’autres groupes de défense de la vie privée et des droits civils, ont également fait un excellent travail en veillant à ce que nous sachions quand nos droits pourraient faire l’objet d’abus. Nous devrions prêter attention à leurs avertissements même si nous pensons qu'ils parviennent à la pire des conclusions. C'est une bonne raison d'être contre l'acte CLOUD sous quelque forme que ce soit.

Pour le moment, tout ce que nous pouvons faire, c'est regarder le processus en action et espérer que toutes les personnes concernées réfléchissent à nos droits individuels lorsqu'elles prennent leur décision. Une fois cette décision prise, nous pouvons décider comment réagir. Le plus important, c’est que nous sachions et comprenons à quel moment les lois relatives à nos données personnelles vont être modifiées et quelles en peuvent être les conséquences.

Nous pouvons gagner une commission pour les achats en utilisant nos liens. Apprendre encore plus.