Kısa : Microsoft Fransa, Amerikan emrine karşı koyamayacağını ve ülkemizde barındırılan verilere yönelik bir talep durumunda verileri teslim etmek zorunda olduğunu kabul etti.
10 Haziran'da, Microsoft Fransa kamu alımının gerçek maliyetleri ve yöntemleri üzerine yapılan senato soruşturma komisyonu tarafından dinlendi. Şirketin temsilcileri, Anton Carniaux (hukuk direktörü) ve Pierre Lagarde (kamu sektörü teknik direktörü), senatörleri veri koruma politikaları konusunda rahatlatmaya çalıştılar. Ancak, ülkemizde barındırılan verilere yönelik bir Amerikan emrine karşı gelemeyeceklerini kabul ettiler, bu da Fransa'nın dijital egemenliğini zayıflatıyor.
23 Mart 2018'de Trump yönetimi altında yürürlüğe giren Cloud Act, Amerikan yetkililerine, Amerika dışındaki yerlerde saklanan verileri talep etme hakkı tanıyor: Microsoft, diğer tüm Amerikan şirketleri gibi, buna uymak zorundadır.
"Zorlanırsak, verileri teslim ederiz"
Dinleme sırasında, Anton Carniaux, UGAP (Union des groupements d'achats publics) çerçeve sözleşmeleri aracılığıyla yönetilen Fransız kamu idarelerinin verilerinin asla Amerikan yetkililerine teslim edilmeyeceği konusunda garanti verilip verilemeyeceği konusunda soruldu. Kendisi, geçerli bir Amerikan yargı emri olması durumunda, Microsoft'un yasal olarak bu verileri teslim etmek zorunda olduğunu kabul etti.
Bununla birlikte, bugüne kadar, bir Avrupa şirketi veya kamu kuruluşunun, Microsoft'un 2013'ten beri yayınladığı ve hükümet taleplerini ve şirketin talebin kötüye kullanıldığı veya uygun olmadığı durumlarda başlattığı hukuki itirazları bildiren şeffaflık raporları sayesinde böyle bir aktarım nedeniyle etkilenmediğini vurguladı.
Microsoft temsilcilerinden sonra, komisyon, 2019'dan beri Microsoft Azure üzerinde barındırılan Health Data Hub (HDH) hakkında, verilerin 2022 sonuna kadar bir Avrupa platformuna geri çekme taahhüdüne rağmen, Clara Chappaz, dijital işlerden sorumlu bakan ve eski Sağlık Bakanı Agnès Buzyn de dahil olmak üzere birkaç hükümet yetkilisini dinledi. Sağlık ve Önleme Bakanlığı, o zamanlar operasyonel alternatif Avrupa çözümlerinin bulunmadığını belirtti.
CNIL, Cloud Act nedeniyle verilerin Amerika Birleşik Devletleri'ne aktarılması riski konusunda endişelerini dile getirmişti. Birkaç dernek, sağlık profesyoneli ve araştırmacı, Azure üzerinde çalışan Health Data Hub'ın GDPR'yi ihlal ettiğini düşünerek Devlet Konseyi'ne başvurdu. GDPR'nin 48. maddesi, açık ve uzlaşılmış bir yasal çerçeve olmadan kişisel verilerin yabancı otoritelere aktarılmasını açıkça yasaklar. Bu çekincelere rağmen, yüksek mahkeme, kriz yönetiminde önemli bir rol oynadığı için platformun faaliyetini sürdürmesine karar verdi.
Clara Chappaz, 2024 yılında kabul edilen SREN yasasının (Securiser et Reguler l’Espace Numerique), artık hassas verilerin egemenlik garantisi sunan altyapılarda barındırılmasını zorunlu kıldığını hatırlattı. HDH, bu nedenle, Cloud Act'e tabi olanları dışlayarak SecNumCloud kalifikasyonuna sahip bir buluta taşınmalıdır. Bu rapatriasyon için 1 Temmuz'da bir ihale çağrısı başlatıldı.