TLDR : مايكروسوفت فرنسا تعترف بعدم قدرتها على معارضة أوامر قضائية أمريكية بموجب قانون Cloud Act، مما يثير مخاوف حول السيادة الرقمية لفرنسا.
في 10 يونيو الماضي، تم الاستماع إلى مايكروسوفت فرنسا من قبل لجنة التحقيق البرلمانية حول التكاليف والشروط الفعلية للطلبات العامة. حاول ممثلو الشركة، أنطون كارنيي (مدير قانوني) وبيير لاغارد (مدير تقني للقطاع العام)، طمأنة أعضاء البرلمان حول سياساتهم لحماية البيانات. ومع ذلك، اعترفوا بعدم قدرتهم على معارضة أمر قضائي أمريكي يستهدف البيانات المخزنة في بلدنا، تأكيد يضع السيادة الرقمية لفرنسا في خطر.
تم سن قانون Cloud Act في 23 مارس 2018 تحت إدارة ترامب، ويسمح للسلطات الأمريكية بطلب الوصول إلى البيانات التي تحتفظ بها شركات تحت الولاية القضائية الأمريكية، حتى وإن كانت مخزنة خارج الولايات المتحدة: مايكروسوفت، مثل أي شركة أمريكية، يجب أن تلتزم بذلك.
"إذا كنا مضطرين، فإننا نقدم البيانات"
خلال الاستماع، سأل المقرر أنطون كارنيي عن الضمانات بأن بيانات الإدارات العامة الفرنسية، التي تُدار عبر العقود الإطارية لـUGAP (اتحاد مجموعات المشتريات العامة)، لن تُنقل أبدًا إلى السلطات الأمريكية. اعترف أنطون كارنيي أنه إذا صدر أمر قضائي أمريكي مؤسس، فإن مايكروسوفت ملزمة قانونيًا بتسليم هذه البيانات.
ومع ذلك، أكد أنه حتى الآن، لم تتأثر أي شركة أوروبية أو هيئة عامة بمثل هذا النقل منذ بدء نشر تقارير الشفافية. تُنشر هذه التقارير من قبل مايكروسوفت منذ عام 2013، وتعرض الطلبات الحكومية والنزاعات القانونية التي تخوضها الشركة عندما تُعتبر الطلبات تعسفية أو غير متوافقة.
بعد ممثلي مايكروسوفت، استمعت اللجنة إلى عدة مسؤولين حكوميين، بما في ذلك كلارا شاباز، وزيرة الدولة لشؤون الرقمية، وأغنيس بوزين، وزيرة الصحة السابقة، بشأن Health Data Hub (HDH)، الذي يستضاف على Microsoft Azure منذ إنشائه في عام 2019، رغم التزام الحكومة بنقل البيانات إلى منصة أوروبية قبل نهاية 2022. اعتبر وزارة الصحة والوقاية حينها أنه لا توجد حلول أوروبية بديلة وفعالة.
أعربت CNIL عن مخاوفها بشأن مخاطر نقل البيانات إلى الولايات المتحدة بسبب قانون Cloud Act. وقد لجأ العديد من الجمعيات، والمهنيين الصحيين، والباحثين إلى مجلس الدولة، معتبرين أن تشغيل Health Data Hub على Azure ينتهك اللائحة العامة لحماية البيانات (RGPD). تحظر المادة 48 من هذه اللائحة صراحة نقل البيانات الشخصية إلى السلطات الأجنبية بدون إطار قانوني واضح وتوافقي. ومع ذلك، أبقت المحكمة العليا المنصة نشطة، نظرًا لدورها الذي يعتبر حيويًا في إدارة الأزمة الصحية.
ذكرت كلارا شاباز أن قانون SREN (حماية وتنظيم الفضاء الرقمي)، الذي اعتمد في عام 2024، يفرض الآن استضافة البيانات الحساسة على بنى تحتية تقدم ضمانات السيادة. وبالتالي، يجب على HDH الانتقال إلى cloud مؤهل SecNumCloud، مما يستبعد فعليًا تلك الخاضعة لقانون Cloud Act. تم إطلاق دعوة لتقديم العروض في 1 يوليو الماضي لهذا النقل.