Em resumo : A Microsoft França reconheceu que, devido ao Cloud Act, não pode impedir a entrega de dados ao governo americano se houver uma injunção judicial válida.
No dia 10 de junho passado, a Microsoft França foi ouvida pela comissão de inquérito senatorial sobre os custos e modalidades efetivos da encomenda pública. Os representantes da empresa, Anton Carniaux (diretor jurídico) e Pierre Lagarde (diretor técnico setor público), tentaram tranquilizar os senadores quanto à sua política de proteção de dados. No entanto, eles admitiram não poder se opor a uma injunção americana visando dados hospedados em nosso país, uma confirmação que compromete a soberania digital da França.
O Cloud Act, promulgado em 23 de março de 2018 sob a administração Trump, permite que as autoridades americanas exijam acesso aos dados detidos por empresas sob jurisdição americana, mesmo que estejam armazenados fora dos Estados Unidos: a Microsoft, como qualquer empresa americana, deve cumprir.
"Se formos obrigados, entregamos os dados"
Durante a audiência, Anton Carniaux foi questionado pelo relator sobre a garantia de que os dados das administrações públicas francesas, geridos através dos contratos-quadro da UGAP (União dos grupos de compras públicas), nunca seriam transmitidos às autoridades americanas. Ele admitiu que, se for emitida uma injunção judicial americana fundamentada, a Microsoft é legalmente obrigada a entregar esses dados.
No entanto, ele fez questão de enfatizar que nenhuma empresa europeia ou organismo público foi, até hoje, afetado por tal transmissão desde a implementação dos relatórios de transparência. Estes, publicados pela Microsoft desde 2013, relatam os pedidos governamentais e as contestações jurídicas iniciadas pela empresa quando a solicitação é considerada abusiva ou não conforme.
Após os representantes da Microsoft, a comissão ouviu vários responsáveis governamentais, incluindo Clara Chappaz, ministra delegada para o digital, e Agnès Buzyn, ex-ministra da Saúde, sobre o Health Data Hub (HDH), hospedado desde sua criação em 2019 no Microsoft Azure, apesar do compromisso do governo de repatriar os dados para uma plataforma europeia antes do final de 2022. O ministério da Saúde e Prevenção havia considerado que não existiam soluções europeias operacionais alternativas.
A CNIL havia expressado preocupações quanto ao risco de transferência de dados para os Estados Unidos por causa do Cloud Act. Várias associações, profissionais de saúde e pesquisadores recorreram ao Conselho de Estado, estimando que o funcionamento do Health Data Hub no Azure violava o RGPD. Este último, em seu artigo 48, proíbe explicitamente as transferências de dados pessoais para autoridades estrangeiras sem um quadro jurídico claro e consensual. Apesar dessas reservas, a alta jurisdição manteve a plataforma em atividade, devido ao seu papel considerado essencial na gestão da crise sanitária.
Clara Chappaz lembrou que a lei SREN (Segurança e Regulação do Espaço Digital), adotada em 2024, agora exige que os dados sensíveis sejam hospedados em infraestruturas que apresentem garantias de soberania. O HDH deve, portanto, migrar para uma nuvem qualificada SecNumCloud, excluindo assim aquelas sujeitas ao Cloud Act. Uma licitação foi lançada no dia 1º de julho passado para este repatriamento.