W skrócie : Microsoft France przyznaje, że nie może sprzeciwić się amerykańskiemu nakazowi sądowemu dotyczącymi danych w chmurze, co budzi obawy o suwerenność danych we Francji.
10 czerwca Microsoft France został przesłuchany przez senacką komisję śledczą ds. kosztów i rzeczywistych warunków zamówień publicznych. Przedstawiciele firmy, Anton Carniaux (dyrektor prawny) i Pierre Lagarde (dyrektor techniczny sektora publicznego), próbowali uspokoić senatorów co do ich polityki ochrony danych. Przyznali jednak, że nie mogą sprzeciwić się amerykańskiemu nakazowi dotyczącymi danych przechowywanych w naszym kraju, co podważa cyfrową suwerenność Francji.
Cloud Act, wprowadzony 23 marca 2018 roku za administracji Trumpa, pozwala amerykańskim władzom żądać dostępu do danych posiadanych przez firmy pod jurysdykcją USA, nawet jeśli są one przechowywane poza Stanami Zjednoczonymi: Microsoft, jak każda amerykańska firma, musi się do tego dostosować.
"Jeśli jesteśmy zmuszeni, przekazujemy dane"
Podczas przesłuchania Anton Carniaux został zapytany przez sprawozdawcę o gwarancję, że dane francuskich administracji publicznych, zarządzane przez umowy ramowe UGAP (Union des groupements d’achats publics), nigdy nie zostaną przekazane amerykańskim władzom. Przyznał, że jeśli zostanie wydany uzasadniony amerykański nakaz sądowy, Microsoft jest prawnie zobowiązany do przekazania tych danych.
Niemniej jednak zaznaczył, że żadna europejska firma ani organ publiczny nie zostały dotychczas dotknięte takim przekazaniem od momentu wprowadzenia raportów przejrzystości. Raporty te, publikowane przez Microsoft od 2013 roku, przedstawiają rządowe wnioski oraz prawne wyzwania podejmowane przez firmę, gdy wniosek jest uznany za nadużycie lub niezgodny z prawem.
Po przedstawicielach Microsoft komisja wysłuchała kilku przedstawicieli rządowych, w tym Clary Chappaz, minister delegowanej ds. cyfryzacji, oraz Agnès Buzyn, byłej minister zdrowia, w sprawie Health Data Hub (HDH), przechowywanego od jego utworzenia w 2019 roku na platformie Microsoft Azure, mimo zobowiązania rządu do sprowadzenia danych na europejską platformę przed końcem 2022 roku. Ministerstwo Zdrowia i Prewencji uznało wówczas, że nie istnieją alternatywne operacyjne rozwiązania europejskie.
CNIL wyraziła obawy dotyczące ryzyka transferu danych do USA z powodu Cloud Act. Kilka stowarzyszeń, profesjonalistów zdrowia i naukowców zwróciło się do Rady Stanu, uważając, że działanie Health Data Hub na platformie Azure narusza RODO. Artykuł 48 tego rozporządzenia wyraźnie zabrania transferu danych osobowych do obcych władz bez jasnych i uzgodnionych ram prawnych. Mimo tych zastrzeżeń, najwyższy sąd utrzymał platformę w działaniu, ze względu na jej kluczową rolę w zarządzaniu kryzysem zdrowotnym.
Clara Chappaz przypomniała, że ustawa SREN (Securiser et Réguler l’Espace Numérique), przyjęta w 2024 roku, teraz wymaga przechowywania danych wrażliwych na infrastrukturach zapewniających suwerenność. HDH powinien zatem migrować do chmury certyfikowanej SecNumCloud, wykluczając w ten sposób te podlegające Cloud Act. Przetarg na to przeniesienie został ogłoszony 1 lipca.