El pasado 10 de junio, Microsoft Francia fue escuchado por la comisión de investigación del Senado sobre los costos y modalidades efectivas de la contratación pública. Los representantes de la empresa, Anton Carniaux (director jurídico) y Pierre Lagarde (director técnico del sector público), intentaron tranquilizar a los senadores sobre su política de protección de datos. Sin embargo, admitieron no poder oponerse a una orden estadounidense que afecte a datos alojados en nuestro país, una confirmación que pone en entredicho la soberanía digital de Francia.
El Cloud Act, promulgado el 23 de marzo de 2018 bajo la administración Trump, permite a las autoridades estadounidenses exigir acceso a los datos en poder de empresas bajo jurisdicción estadounidense, incluso si están almacenados fuera de Estados Unidos: Microsoft, como cualquier empresa estadounidense, debe cumplirlo.
"Si estamos obligados, entregamos los datos"
Durante la audiencia, Anton Carniaux fue interrogado por el ponente sobre la garantía de que los datos de las administraciones públicas francesas, gestionados a través de los contratos marco de la UGAP (Unión de grupos de compras públicas), nunca serían transmitidos a las autoridades estadounidenses. Este admitió que si se emite una orden judicial estadounidense fundada, Microsoft está legalmente obligado a entregar estos datos.
No obstante, quiso matizar señalando que ninguna empresa europea u organismo público ha sido, hasta la fecha, afectado por tal transmisión desde la implementación de los informes de transparencia. Estos últimos, publicados por Microsoft desde 2013, informan sobre las solicitudes gubernamentales y las impugnaciones legales emprendidas por la empresa cuando la solicitud se considera abusiva o no conforme.
Después de los representantes de Microsoft, la comisión escuchó a varios responsables gubernamentales, incluyendo a Clara Chappaz, ministra delegada para lo digital, y Agnès Buzyn, exministra de Sanidad, sobre el Health Data Hub (HDH), alojado desde su creación en 2019 en Microsoft Azure, a pesar del compromiso del gobierno de repatriar los datos a una plataforma europea antes de finales de 2022. El ministerio de Salud y Prevención había considerado entonces que no existían soluciones operativas alternativas europeas.
La CNIL había expresado preocupaciones sobre el riesgo de transferencia de datos a Estados Unidos debido al Cloud Act. Varias asociaciones, profesionales de la salud e investigadores han llevado el asunto al Consejo de Estado, considerando que el funcionamiento del Health Data Hub en Azure violaba el RGPD. Este último, en su artículo 48, prohíbe explícitamente las transferencias de datos personales a autoridades extranjeras sin un marco jurídico claro y consensuado. A pesar de estas reservas, el alto tribunal mantuvo la plataforma en funcionamiento, debido a su papel considerado esencial en la gestión de la crisis sanitaria.
Clara Chappaz recordó que la ley SREN (Seguridad y Regulación del Espacio Digital), adoptada en 2024, ahora impone el alojamiento de datos sensibles en infraestructuras que garanticen la soberanía. El HDH debería, por tanto, migrar a una nube calificada SecNumCloud, excluyendo de hecho a aquellas sujetas al Cloud Act. Un llamado a licitación se lanzó el pasado 1 de julio para esta repatriación.