TLDR : 微软法国承认无法反对美国的Cloud Act指令,这影响到法国的数字主权。
6月10日,微软法国被参议院调查委员会就公共采购的实际成本和方式进行了听证。公司的代表,法律总监Anton Carniaux和公共部门技术总监Pierre Lagarde,试图向参议员们保证其数据保护政策。然而,他们承认无法反对针对我国家数据的美国指令,此确认动摇了法国的数字主权。
Cloud Act于2018年3月23日在特朗普政府下颁布,允许美国当局要求访问由美国管辖的公司持有的数据,即使这些数据存储在美国境外:微软和任何美国公司一样,必须遵守该法案。
“如果我们被迫,我们会交出数据”
在听证会上,Anton Carniaux被报告员询问,法国公共行政管理的数据通过UGAP(公共采购联合会)的框架合同管理,是否永远不会被传递给美国当局。他承认,如果美国司法指令成立,微软在法律上被迫交出这些数据。
然而,他强调迄今为止没有任何欧洲公司或公共机构因这些透明报告而受到影响。自2013年以来,微软发布这些报告,记录政府请求和公司认为要求滥用或不合规时进行的法律争议。
在微软代表之后,委员会听取了几位政府官员的意见,包括数字部长Clara Chappaz和前卫生部长Agnès Buzyn,关于Health Data Hub(HDH),自2019年创建以来托管在Microsoft Azure上,尽管政府承诺在2022年底前将数据迁移到欧洲平台。卫生和预防部当时认为没有可操作的欧洲替代方案。
CNIL曾表达对Cloud Act可能导致数据转移到美国的担忧。几个协会、卫生专业人士和研究人员则向国务委员会提起诉讼,认为Health Data Hub在Azure上的运作违反了GDPR。GDPR第48条明确禁止在没有明确和共识的法律框架下将个人数据转移给外国当局。尽管有这些保留,高级法院仍保持平台运营,因其在应对卫生危机中被视为至关重要。
Clara Chappaz提醒道,2024年通过的SREN法案(Secure and Regulate the Digital Space),要求将敏感数据托管在具有主权保证的基础设施上。因此,HDH应迁移到SecNumCloud认证的云,排除受Cloud Act影响的云。7月1日已为此迁移启动了一项招标。