In kort : Microsoft Frankrijk kan niet voorkomen dat een bevel van een Amerikaanse rechtbank toegang geeft tot gegevens die in Frankrijk worden gehost, volgens de Cloud Act.
Op 10 juni jongstleden werd Microsoft France gehoord door de onderzoekscommissie van de Senaat over de werkelijke kosten en modaliteiten van openbare aanbestedingen. De vertegenwoordigers van het bedrijf, Anton Carniaux (juridisch directeur) en Pierre Lagarde (technisch directeur publieke sector), probeerden de senatoren gerust te stellen over hun beleid inzake gegevensbescherming. Ze gaven echter toe zich niet te kunnen verzetten tegen een Amerikaans bevel dat gericht is op gegevens die in ons land worden gehost, een bevestiging die de digitale soevereiniteit van Frankrijk ondermijnt.
De Cloud Act, op 23 maart 2018 aangenomen onder de regering Trump, stelt de Amerikaanse autoriteiten in staat om toegang te eisen tot gegevens die worden bewaard door bedrijven onder Amerikaanse jurisdictie, zelfs als ze buiten de Verenigde Staten zijn opgeslagen: Microsoft, zoals elk Amerikaans bedrijf, moet zich eraan houden.
"Als we gedwongen worden, geven we de gegevens over"
Tijdens de hoorzitting werd Anton Carniaux gevraagd door de rapporteur om te garanderen dat de gegevens van Franse overheidsinstellingen, beheerd via de raamcontracten van de UGAP (Union des groupements d’achats publics), nooit zouden worden overgedragen aan de Amerikaanse autoriteiten. Hij gaf toe dat als er een gerechtelijk bevel vanuit de VS wordt uitgevaardigd, Microsoft wettelijk verplicht is deze gegevens over te dragen.
Hij benadrukte echter dat tot op heden geen enkel Europees bedrijf of openbare instantie is getroffen door een dergelijke overdracht sinds de oprichting van de transparantierapporten. Deze rapporten, die Microsoft sinds 2013 publiceert, geven inzicht in overheidsverzoeken en juridische geschillen die door het bedrijf worden aangekaart wanneer het verzoek als ongepast of niet conform wordt beschouwd.
Na de vertegenwoordigers van Microsoft heeft de commissie verschillende overheidsfunctionarissen gehoord, waaronder Clara Chappaz, de staatssecretaris voor digitale zaken, en Agnès Buzyn, voormalig minister van Volksgezondheid, over het Health Data Hub (HDH), dat sinds de oprichting in 2019 wordt gehost op Microsoft Azure, ondanks de toezegging van de overheid om de gegevens voor eind 2022 naar een Europees platform te verplaatsen. Het ministerie van Volksgezondheid en Preventie had toen geoordeeld dat er geen operationele alternatieven in Europa bestonden.
De CNIL had zorgen geuit over het risico van gegevensoverdracht naar de Verenigde Staten vanwege de Cloud Act. Verschillende verenigingen, gezondheidsprofessionals en onderzoekers hebben de Raad van State benaderd, omdat zij van mening zijn dat de werking van het Health Data Hub op Azure in strijd is met de AVG. Deze laatste verbiedt in artikel 48 expliciet de overdracht van persoonsgegevens aan buitenlandse autoriteiten zonder een duidelijke en consensuele juridische basis. Ondanks deze bezwaren heeft de hoogste rechtbank het platform actief gehouden vanwege zijn als essentieel beschouwde rol in het beheer van de gezondheidscrisis.
Clara Chappaz herinnerde eraan dat de SREN-wet (Securiseren en Reguleren van de Digitale Ruimte), aangenomen in 2024, nu vereist dat gevoelige gegevens worden gehost op infrastructuren die soevereiniteitsgaranties bieden. Het HDH zou dus moeten migreren naar een cloud gekwalificeerd als SecNumCloud, wat de cloudplatforms die onder de Cloud Act vallen uitsluit. Er is op 1 juli jongstleden een aanbesteding gestart voor deze migratie.