Il 10 giugno scorso, Microsoft France è stata ascoltata dalla commissione d’inchiesta senatoriale sui costi e le modalità effettive degli ordini pubblici. I rappresentanti dell’azienda, Anton Carniaux (direttore legale) e Pierre Lagarde (direttore tecnico del settore pubblico), hanno cercato di rassicurare i senatori sulla loro politica di protezione dei dati. Hanno tuttavia ammesso di non poter opporsi a un'ingiunzione americana riguardante dati ospitati nel nostro paese, una conferma che mette in discussione la sovranità digitale della Francia.
Il Cloud Act, promulgato il 23 marzo 2018 sotto l’amministrazione Trump, consente alle autorità americane di richiedere l’accesso ai dati detenuti da aziende sotto giurisdizione americana, anche se sono memorizzati fuori dagli Stati Uniti: Microsoft, come tutte le aziende americane, deve conformarsi.
"Se siamo obbligati, consegniamo i dati"
Durante l’audizione, Anton Carniaux è stato interrogato dal relatore sulla garanzia che i dati delle amministrazioni pubbliche francesi, gestiti tramite i contratti quadro dell’UGAP (Unione dei gruppi d’acquisto pubblici), non sarebbero mai stati trasmessi alle autorità americane. Egli ha ammesso che se viene emessa un'ingiunzione giudiziaria americana fondata, Microsoft è legalmente obbligata a consegnare questi dati.
Tuttavia, ha voluto precisare sottolineando che nessuna azienda europea o organismo pubblico è stato, ad oggi, coinvolto in una tale trasmissione da quando sono stati istituiti i rapporti di trasparenza. Questi ultimi, pubblicati da Microsoft dal 2013, rendono conto delle richieste governative e delle contese legali intraprese dall'azienda quando la richiesta è ritenuta abusiva o non conforme.
Dopo i rappresentanti di Microsoft, la commissione ha ascoltato diversi responsabili governativi, tra cui Clara Chappaz, ministro delegato al digitale, e Agnès Buzyn, ex ministro della Salute, riguardo al Health Data Hub (HDH), ospitato dalla sua creazione nel 2019 su Microsoft Azure, nonostante l'impegno del governo a rimpatriare i dati su una piattaforma europea entro la fine del 2022. Il ministero della Salute e della Prevenzione aveva allora considerato che non esistevano soluzioni europee operative alternative.
La CNIL aveva espresso preoccupazioni riguardo al rischio di trasferimento dati verso gli Stati Uniti a causa del Cloud Act. Diverse associazioni, professionisti della salute e ricercatori hanno, dal canto loro, adito il Consiglio di Stato, ritenendo che il funzionamento dell'Health Data Hub su Azure violasse il GDPR. Quest'ultimo, nel suo articolo 48, vieta esplicitamente i trasferimenti di dati personali a autorità straniere senza un quadro giuridico chiaro e consensuale. Nonostante queste riserve, l'alta giurisdizione ha mantenuto la piattaforma in attività, a causa del suo ruolo ritenuto essenziale nella gestione della crisi sanitaria.
Clara Chappaz ha ricordato che la legge SREN (Mettere in Sicurezza e Regolare lo Spazio Digitale), adottata nel 2024, impone ora l’hosting dei dati sensibili su infrastrutture che presentano garanzie di sovranità. L'HDH dovrebbe quindi migrare verso un cloud qualificato SecNumCloud, escludendo di fatto quelli soggetti al Cloud Act. Un bando è stato infatti lanciato il 1° luglio scorso per questo rimpatrio.