6月10日、Microsoft Franceは公共調達の実際のコストと条件に関する上院調査委員会で聴聞を受けました。同社の代表であるAnton Carniaux(法務部長)とPierre Lagarde(公共部門技術部長)は、データ保護方針について上院議員を安心させようとしました。しかし、我が国でホストされているデータを対象としたアメリカの訴訟命令に抵抗できないことを認め、このことはフランスのデジタル主権を損なうことになります。
2018年3月23日にトランプ政権下で制定されたCloud Actは、アメリカの権限がアメリカの管轄下にある企業が保持するデータへのアクセスを要求することを可能にします。たとえそれがアメリカ国外に保存されている場合でも、Microsoftを含むすべてのアメリカ企業はこれに従わなければなりません。
「もし命令された場合、我々はデータを提供します」
聴聞会では、Anton Carniauxは、公共調達団体連合(UGAP)の枠組み契約を通じて管理されているフランスの公共機関のデータがアメリカ当局に決して提供されないという保証について報告者から質問を受けました。彼は、法的に正当なアメリカの訴訟命令が発行された場合、Microsoftはこれらのデータを提供する法的義務があることを認めました。
しかし、彼は、報告書によると、透明性報告が導入されて以来、いかなるヨーロッパ企業や公共機関もそのようなデータ移転によって影響を受けたことはないと強調しました。これらの報告は、2013年からMicrosoftが発行しており、政府の要求や企業が不当または不適切と判断した要求に対して起こした法的挑戦を報告しています。
Microsoftの代表者の後、委員会はデジタル担当副大臣のClara Chappazや元保健大臣のAgnès Buzynを含む複数の政府関係者から、2019年の設立以来Microsoft AzureにホストされているHealth Data Hub(HDH)について聞き取りを行いました。政府は2022年末までにデータをヨーロッパのプラットフォームに移行することを約束していましたが、保健・予防省は、運用可能なヨーロッパの代替ソリューションが存在しないと判断しました。
CNILは、Cloud Actによるアメリカへのデータ移転のリスクについて懸念を表明していました。複数の団体、医療専門家、研究者は、Azure上のHealth Data Hubの運営がGDPRに違反していると考え、国務院に訴えました。GDPR第48条は、明確かつ合意された法的枠組みなしに外国当局への個人データの移転を明確に禁止しています。これらの懸念にもかかわらず、最高裁判所は、そのプラットフォームが公衆衛生危機の管理において重要な役割を果たしていると判断し、運営を継続しました。
Clara Chappazは、2024年に採択されたSREN法(デジタル空間の安全と規制)が、機密データを主権保証を持つインフラストラクチャにホストすることを義務付けていることを思い出させました。HDHは、Cloud Actの対象外となるSecNumCloud認定のクラウドに移行する必要があります。この移行のための入札が7月1日に開始されました。