The bill, originally created to amend a 1986 bill, The Stored Communication Act, allows the United States to force US-based service providers to transfer their customers’ data hosted overseas much more rapidly. It currently takes an average of ten months to obtain the data, rendering investigations conducted from within the US highly unproductive. The bill aims to allow US authorities (from sheriffs to the CIA) to access the data hosted by US companies, without the authorization of a judge. Large technology companies, who have supported the bill in the Senate, will be able to oppose a request if:

• The customer or subscriber is not a U.S. citizen or resident (section 3.2.b.h.2.i), and
• The transfer would require the provider to contravene the regulations of the country hosting the data (section 3.2.b.h.2.ii)

Such a request would then be brought before a US court which would be able to quash (or uphold) the request for the data transfer. Its decision will be based, among other things, on the validity of the information provided, the US’s interest in the request, the scope of the violation, and the chances of it being deemed to contravene the law in the foreign country. The public nature of the appeal is not specified, especially regarding the capacity of companies to communicate about contested requests. Today, it seems likely that the major US players are using such appeals to maintain the trust of their customers.

In order to avoid contravening the regulations of the countries concerned, the US can enter into bilateral agreements with them, which, in return for their goodwill, will be able to access data from the United States.

In the US, the CLOUD Act remains contested due to the risks introduced by the potential agreements with foreign countries. The fact that an executive power can put in place mutual agreements worries the American people, who fear that foreign powers are using the CLOUD Act to access their data without any safeguards.

What are the consequences for customers in Europe?

While tech giants (like Facebook, Google, Microsoft, and Apple) have supported the bill (with the US authorities refraining from approaching them for back-door access and providing a clear framework for data transfer), these regulations raise concerns about customer privacy for the targeted businesses. The act could leave customers without a right to consult, or any information about access to their data by US authorities.

However, European customers whose data is processed in Europe are now protected by the General Data Protection Regulation (GDPR). Articles 45 and 48 of the regulation, which is now in force, lay down a clear set of rules for allowing data to be transferred to third-party countries. According to Frank Jennings (a renowned lawyer on cloud matters), the European Data Protection Board, which oversees the implementation of the GDPR, will be responsible for deciding whether data appropriation under the CLOUD Act constitutes a necessary measure for the safeguarding of US national security, or whether a request does not comply with the new regulation. This could force the United States to negotiate with the EU or its Member States on the conditions for such data transmission, thus protecting their citizens against illegitimate transfers. US customers, however, would remain within the scope of the CLOUD Act.

Negotiations are due to begin between the European Commission and the US. EU leaders have already criticized the US bill as being hastily adopted, something that may complicate negotiations. In the meantime, some 100 civil society organizations have urged transparency from the European Council about the negotiations of the CLOUD Act as set out by the “Convention on Cybercrime” (or “Budapest Convention”).

Privacy laws: an asset for companies?

While the GDPR has preoccupied a good number of companies with respect to the changes it involves for their information systems, and that the ePrivacy Directive is in preparation, it is instructive to consider the connections between regulatory developments and the world of business. Data privacy laws could, whether in the near or distant future, be considered as an aid to protecting business’ data and to maintaining customers’ trust.

In a world where data-privacy issues are becoming increasingly important (think of Cambridge Analytica and Google Home Mini ), protection of customer data can be a decisive factor when choosing between competing offers. The position US providers will take on privacy and data protection issues is therefore eagerly awaited.

What can you do today?

To conclude, the new regulations on privacy remain somewhat ambiguous and may even clash in certain areas. The main conclusion remains that, as a result of the GDPR, Europeans should be better protected against the CLOUD Act, provided US suppliers reject inappropriate requests, and the courts with responsibility for arbitrating them play their roles correctly. Meanwhile, non-European customers will not gain greater protection by choosing to host their data in Europe.

While awaiting the implementation of new laws dealing with confidentiality and possible data appropriation, there are steps you can take to protect your personal and business data against it being inappropriately accessed while overseas, and other potential threats:

1. Clarify with your provider under what conditions it may be required to give access to your data, without forgetting to consider any mutual legal assistance treaties.
2. Define or review your hosting strategy according to the type of data held, your provider’s nationality, and the hosting site’s location.
3. Favor data hosting in European data centers, or in countries with well-established data privacy frameworks.
4. Choosing a French or European supplier enables you to avoid the risks associated with the CLOUD Act. You must, however, stipulate contractually that it does not use US subcontractors (either directly or indirectly)!

Cet article The Cloud Act: does it mean your data is better protected? est apparu en premier sur RiskInsight.

Que dit véritablement ce nouveau règlement ? Comment risque-t-il d’impacter les entreprises ? Faut-il vraiment s’en inquiéter ? Autant de questions que nous nous proposons d’aborder dans cet article

Une date d’application encore floue

Les objectifs du texte sont clairs :

• Compléter le GDPR sur le sujet de la confidentialité des communications électroniques
• Renforcer le contrôle des utilisateurs sur leurs données à caractère personnel traitées par les fournisseurs de communications électroniques

Si le texte contient ainsi différentes dispositions qui visent les communications électroniques ils visent également la gestion des cookies, le marketing non sollicité, etc. De cette façon, la commission européenne souhaite adapter la règlementation aux nouveaux types de communication, en particulier aux nouveaux acteurs, les fournisseurs de service Over-The-Top (OTT) tels que Messenger ou What’s App qui passent par Internet pour proposer leurs services. Cependant par voie de conséquences le périmètre d’application est beaucoup plus large d’application : presse en ligne, site de e-commerce, opérateur télécom traditionnel, … sont soumis à ce règlement.

Dans sa version initiale, le règlement E-privacy devait s’appliquer comme le RGPD (Règlement Général sur la Protection des Données), le 25 mai 2018. Pourtant, le Parlement européen vient tout juste de lancer les négociations avec le Conseil de l’Union européenne en adoptant une première version du règlement. La date de mise en application initiale ne sera donc pas tenue et devrait être repoussée de plusieurs mois. Si, de fait, cela laisse un peu de temps avant de se mettre en conformité, certains éléments du texte peuvent et doivent d’ores et déjà être anticipés.

Un texte aux forts impacts techniques

Le texte n’a pas encore été adopté dans sa version finale mais on peut d’ores et déjà visualiser les grandes orientations de ce texte. La première est la suppression des bandeaux d’acceptation des cookies à finalité commerciale présents actuellement sur la quasi-totalité des sites web. A la place, la Commission souhaite que le consentement de l’utilisateur soit recueilli directement dans les paramètres du navigateur web.

Concrètement, cela signifie pour les navigateurs le développement de solutions de centralisation du consentement et pour les entreprises l’obligation de s’équiper de moyens permettant de capter l’information auprès du navigateur. L’enjeu pour l’entreprise sera donc de réussir à s’interfacer avec les différentes versions de navigateurs pour accéder au consentement de l’utilisateur. Au-delà des aspects techniques, une telle disposition crée un intermédiaire entre le service et son client ; difficilement tolérable pour les fournisseurs de services.

On peut dès maintenant noter l’ambiguïté que pose cette nouvelle répartition des rôles au profit des navigateurs. En effet, centraliser le consentement dans leurs paramètres pourrait permettre aux navigateurs de privilégier certains éditeurs de sites web notamment dans la présentation des choix aux utilisateurs et ainsi rendre possible l’éviction de certains acteurs. Plus globalement, il est risqué de laisser la gestion des données personnelles à quelques acteurs dominants comme les GAFA souvent visées par ailleurs pour certains de leurs traitements de données. Cette problématique est transposable sur les smartphones.

Il s’agit d’ailleurs d’un des nouveaux enjeux liés à cette règlementation : la capacité des entreprises à adapter leurs services et leurs traçages en fonction du consentement de l’utilisateur. Cela signifiera parfois de repenser le parcours client pour permettre à l’utilisateur refusant les cookies d’accéder aux services.

Ces premiers impacts laissent présager une implémentation technique compliquée pour les entreprises qui vont se mettre en conformité E-privacy et représente même un véritable danger pour certains business. En effet, en remaniant en profondeur l’utilisation des cookies webs, le secteur de la presse, comme indiquée dans l’introduction, dont les revenus reposent en partie sur la publicité ciblée, va devoir revoir une partie de sa démarche commerciale en ligne. Plus globalement, l’E-privacy risque de freiner les élans d’investissement et d’innovation de nombreuses entreprises qui se lancent dans des programmes de digitalisation.

Un message : la base légale du profiling est le consentement

Le règlement tel qu’écrit aujourd’hui possède encore de nombreuses zones de flou : Où devra se faire la gestion des consentements spécifiques : au niveau du navigateur ou du site web ? Comment déterminer, selon leur finalité, quels sont les cookies impactés par la demande de consentement ? …

Par ailleurs, le règlement ne semble pas prendre en compte les réalités technologiques des terminaux mobiles et des écosystèmes d’application qui diffèrent techniquement de celles liées à l’internet fixe. Aujourd’hui, il existe peu de solutions permettant aux acteurs qui dépendent des systèmes d’exploitation de se conformer aux exigences du règlement E-privacy

Enfin, les discussions et les premiers éclaircissements sur ce règlement, écartent le recours à l’intérêt légitime pour les traitements de profiling. Cette précision n’est pas un détail. Si le règlement E-privacy le confirme, les entreprises qui ne l’ont pas fait seront obligées d’intégrer le consentement dans leur parcours client pour pouvoir les cibler, les données collectées dans le cadre de ce traitement deviendront portables… Autant d’impacts qui doivent être anticiper dès aujourd’hui.

Se préparer dès aujourd’hui à l’arrivée de l’E-privacy

La question est d’autant plus importante lorsqu’on sait que les sanctions sont les mêmes que pour le GDPR (20M€ et 4% du CA). Deux éléments semblent indispensables à ce stade :

• Mettre en place une veille: a l’instar du GDPR un programme de mise en conformité sera nécessaire. Avoir identifier en amont les impacts ne pourra être qu’un accélérateur
• Anticiper certains impacts: Intégrer d’ores et déjà la philosophie du texte dans ces traitements réduira l’effort de mise en conformité à terme

Cet article E-privacy, il est urgent d’attendre est apparu en premier sur RiskInsight.