- The US CLOUD Act (2018) allows US law enforcement to compel any US-headquartered cloud provider to disclose data - even data stored in EU data centres
- هذا يخلق تعارضاً مباشراً مع متطلبات الناتج المحلي الإجمالي لحماية البيانات الكافية
- ومن بين مقدمي الخدمات المؤثرين: Google Workspace, Microsoft 365, AWS, Freshworks, Salesforce, and essentially every major US-headquartered SaaS provider
- The only structural solution is European-sovereign infrastructure: EU-headquartered provider, EU hosting, no US transfer, no CLOUD Act exposure
وعندما تختار شركة أوروبية مورد برمجيات سحابية، تكون الأسئلة الرئيسية عادة بشأن الأداء والأسعار. ونادرا ما ينظر في مسألة مكان مقر الشركة - وما هي الالتزامات القانونية التي تنشأ للمقدم - بنفس الصرامة.
يجب أن يكون وبالنسبة للشركات التي تقوم بتجهيز بيانات العملاء - السجلات المالية للزبائن، والملفات القانونية، وبيانات الرعاية الصحية، ومعلومات AML/KYC - فإن الوضع القضائي لمقدمي برامجياتها هو مسألة امتثال، وليس مجرد مسألة تجارية.
What the CLOUD Act means for European companies
The Clarifying Lawful Overseas Use of Data Act (CLOUD Act), enacted by the US Congress in 2018, authorises US law enforcement agencies to compel US-headquartered companies to produce data stored on their servers - regardless of where those servers are physically located.
وقبل صدور قانون تبادل البيانات، كان من الضروري طلب الولايات المتحدة لإنفاذ القانون للحصول على بيانات مخزنة في مركز بيانات أوروبي أن يمر بعملية معاهدة المساعدة القانونية المتبادلة، وهي عملية بطيئة وتنطوي على تعاون السلطات الأوروبية. The CLOUD Act bypassed this by enabling direct orders to the US-headquartered company, without needing to go through the country where the data is stored.
الأثر العملي: إذا كانت بيانات زبونك مخزنة بمقدم سحاب مقره الولايات المتحدة حتى في مركز بيانات الاتحاد الأوروبي.
The CLOUD Act conflict with GDPR: GDPR Article 48 prohibits the transfer of personal data to a non-EU authority unless that transfer is authorised by an EU-US agreement or an EU member state law. A CLOUD Act order does not meet either of these conditions. وهذا يعني أن مقدماً من الولايات المتحدة يمتثل لأمر قانون (CLOUD) الخاص بالبيانات الشخصية للاتحاد الأوروبي هو، في نظر العديد من السلطات الأوروبية لحماية البيانات، مما يتسبب في انتهاك الناتج المحلي الإجمالي بغض النظر عما يقوله مقدم الخدمات.
الذين يتأثرون
وأي شركة مدمجة في الولايات المتحدة - بغض النظر عن مكان وجود مراكز بياناتها - تخضع لقانون مذكرة التفاهم. ويشمل ذلك ما يلي:
- Google Google Workspace, Google Drive, Gmail — US-headquartered, CLOUD ينطبق القانون حتى عندما تختار بيانات الاتحاد الأوروبي
- Microsoft Microsoft 365, Teams, SharePoint, Azure — US-headquartered, CLOUD ينطبق القانون حتى على عمليات نشر الاتحاد الأوروبي
- Amazon AWS, Amazon WorkMail — US-headquartered, CLOUD ينطبق القانون على جميع مناطق الأسلحة النووية بما في ذلك المناطق الغربية
- Freshworks Freshservice, Freshsales, Freshdesk - US-headquartered (Delaware), CLOUD Act applies
- SalesforceSales Cloud, Service Cloud — US-headquartered, CLOUD Act applies
- HubSpotCRM, Marketing Hub — US-headquartered, CLOUD Act applies
وهذه ليست قائمة شاملة - بل إنها تنطبق أساسا على كل مقدم رئيسي من مقدمي الخدمات في الولايات المتحدة. The EU data centre option, which many providers offer as a "GDPR compliance" feature, does not remove CLOUD Act exposure. إن إقامة البيانات والاختصاص القانوني أمور مختلفة.
سبب عدم كفاية الشروط التعاقدية المعيارية
The standard response from US-headquartered providers to GDPR compliance questions is that they offer EU Standard Contractual Clauses (SCCs) in their data processing agreements. وتعتبر البلدان المساهمة بقوات آلية لإضفاء الشرعية على عمليات نقل البيانات من الاتحاد الأوروبي إلى بلدان ثالثة في إطار الناتج المحلي الإجمالي - ولكنها لا تحل الصراع في قانون مذكرة التفاهم.
The CJEU's Schrems II judgment (2020) made clear that SCCs are only valid when the recipient country's legal framework does not undermine the protection they provide. وبالنسبة إلى الولايات المتحدة، فإن قانون مذكرة التفاهم هو بالضبط هذا النوع من الإطار القانوني الذي يقوّض للخطر: فهو يسمح للمقدّم بأن يُجبر على الكشف عن البيانات بطرق تحظرها صراحة تلك البلدان.
وتشترط هذه البلدان على مقدِّم الخدمات أن يخطر مصدر البيانات بأي أوامر قانونية تتعارض مع تلك البلدان وأن يطعن في هذه الأوامر حيثما أمكن. غير أن الأوامر الصادرة عن قانون الجمارك وحماية الحدود تتضمن في كثير من الأحيان أحكاماً صارمة تمنع مقدم الخدمات من إخطار الزبون - مما يجعل الالتزام بالإخطار الذي يقع على عاتق اللجنة غير قابل للتنفيذ على نحو فعال.
The EDPB position: The European Data Protection Board has repeatedly stated that the existence of US surveillance laws, including the CLOUD Act, means that SCCs alone are not sufficient to legitimise transfers to US-headquartered providers without supplementary measures. The supplementary measures that adequately address CLOUD Act exposure are technically demanding and rarely implemented in practice.
البديل: البنية التحتية الأوروبية - السيادية
The structural solution to the CLOUD Act problem is to use a provider that is not subject to US jurisdiction. This means: headquartered in the EU (or EEA), operating infrastructure located entirely within the EU, with no US-based parent company, and no US-based subprocessors with access to unencrypted client data.
وهذا يختلف عن " إقامة بيانات الاتحاد الأوروبي " كما عرضه مقدمو الخدمات في الولايات المتحدة. بيانات الاتحاد الأوروبي عن أماكن الإقامة حيث تخزن البيانات. وتعالج السيادة الأوروبية الولاية القانونية للكيان الذي يتحكم في تلك البيانات - وهي الولاية القضائية التي تحدد الجهة التي يمكن أن تجبر على الكشف عنها.
EU data residency (US provider)
وتخزن البيانات في مراكز بيانات الاتحاد الأوروبي. ولكن الشركة الأم في الولايات المتحدة تحتفظ بالمراقبة وتظل خاضعة لأوامر قانون مكافحة المخدرات. ولا يحدد موقع التخزين الولاية القضائية القانونية.
السيادة الأوروبية (مقدم الاتحاد الأوروبي)
Data is stored in EU data centres operated by an EU-headquartered company with no US parent. لا تعرّض للقانون US law enforcement must use MLAT process, which requires EU authority cooperation.
How HubSecure handles data residency
ويعمل نظام " السلامة " على الهياكل الأساسية التي يستضيفها الاتحاد الأوروبي دون نقل البيانات إلى نظم الولايات المتحدة. ولا تتدفق بيانات العملاء المجهزة من خلال نظام الأمن عن طريق النظم التي تسيطر عليها الولايات المتحدة ولا تخضع لأوامر قانون مكافحة غسل الأموال. تصميم المنصّة مصمّم لسيادة البيانات الأوروبية من الأرض، غير مكيّف لها بعد الحقيقة.
التزامات سيادة البيانات المحددة في اتفاق تجهيز بيانات (هوبسكر) تغطي:
- استضافة الاتحاد الأوروبي لجميع البيانات المتعلقة بالعملاء دون نقلها إلى جهات فرعية غير تابعة للاتحاد الأوروبي
- القائمة الفرعية مقصورة على مقدمي الخدمات في مقر الاتحاد الأوروبي
- No US-based parent company with control over the data
- قابلية نقل البيانات: التصدير الكامل لجميع بيانات العملاء في أشكال منظمة عند الطلب
- الحق في التقادم: حذف كامل لجميع بيانات العملاء عن إنهاء الحساب، مع شهادة حذف
التكوين التنافسي: بالنسبة للأعمال التجارية الأوروبية المنظمة، تزداد سيادة البيانات الأوروبية توقعا للعملاء، وليس مجرد شرط امتثال داخلي. عملاء الخدمات المالية، ومقدمو الرعاية الصحية، والزبائن القانونيون الذين يفهمون مسألة قانون (CLOUD) يسألون مقدمو خدماتهم - وبائعي برامجهم لمقدمي الخدمات - عن تعرضهم للقانون القدرة على الإجابة عن "وحيد" هي ميزة تنافسية حقيقية في محادثات الشراء.
ما يجب أن تسأله عن مقدميك الحاليين
إذا كنت تُقيّمُ تعرّضُ قانونِ CLOUD لأدوتكَ الحالية، هذه الأسئلةِ التي تَهْمُّ:
- أين هذه الشركة المدمجة؟ If the answer is the United States, CLOUD Act applies regardless of other factors.
- هل الشركة لديها شركة أبوة مقرها الولايات المتحدة؟ ويمكن أيضاً أن تخضع فروع آباء الولايات المتحدة لأوامر القانون رقم CLOUD الموجهة إلى الوالدين.
- هل يمكن للشركة أن تقدم تأكيداً مكتوباً بأنه لا يوجد كيان في مقر الولايات المتحدة يمكنه الوصول إلى بيانات زبائني الغير مشفرة؟ وهذا هو الاختبار التقني - إذا تمكن كيان أمريكي من الوصول إلى البيانات، فإنه يمكن إجباره على إنتاجها.
- What supplementary technical measures does the company implement to mitigate CLOUD Act exposure for EU clientss? وتشمل الإجابات المقبولة تشفير جانب العملاء بالمفاتيح التي يحتفظ بها الزبون - ليس فقط TLS في العبور.
تعلم عن الإقامة في البيانات في منطقة الأمن
Review our data residency commitments, subprocessor list, and data processing agreement - and talk to us about migrating from US-based tools.
تفاصيل إقامة البياناتالوظائف ذات الصلة
Post-Quantum Encryption: Why Your Business Data Needs it now 'middot; NIS2 Compliance checklist: How HubSecure Covers Every Requirement & Why Regulated Companies Needned AI, not just AI & HubSecure vs Freshworks: Service Tickets vs Governed Operations