У короткому : Microsoft France визнає, що не може протистояти американському наказу щодо даних, розміщених у Франції, через Cloud Act, що підриває цифровий суверенітет Франції. Нова законодавча ініціатива вимагає переміщення конфіденційних даних на суверенні платформи.
10 червня Microsoft France було заслухано комісією Сенату з розслідування фактичних витрат і умов державних закупівель. Представники компанії, Антон Карно (юридичний директор) та П'єр Лагард (технічний директор державного сектору), намагалися заспокоїти сенаторів щодо своєї політики захисту даних. Проте вони визнали, що не можуть протистояти американському наказу, що стосується даних, розміщених у нашій країні, підтвердження, яке підриває цифровий суверенітет Франції.
Cloud Act, підписаний 23 березня 2018 року адміністрацією Трампа, дозволяє американським органам вимагати доступ до даних, що зберігаються компаніями під американською юрисдикцією, навіть якщо вони зберігаються за межами США: Microsoft, як і будь-яка американська компанія, зобов'язаний підкорятися цьому.
"Якщо нас змушують, ми передаємо дані"
Під час слухання Антона Карно було запитано доповідачем про гарантії, що дані французьких державних адміністрацій, керовані через рамкові контракти UGAP (Союз державних закупівельних груп), ніколи не будуть передані американським органам. Він визнав, що якщо буде видано обґрунтований американський судовий наказ, Microsoft юридично зобов'язаний передати ці дані.
Однак він прагнув уточнити, що жодна європейська компанія або державний орган досі не постраждали від такої передачі з моменту впровадження звітів про прозорість. Ці звіти, опубліковані Microsoft з 2013 року, відображають урядові запити та юридичні оскарження, які ініціює компанія, коли запит вважається зловживанням або не відповідає вимогам.
Після представників Microsoft комісія заслухала кількох урядовців, включаючи Клару Шаппаз, заступника міністра з цифрових технологій, та Аньєс Бузін, колишнього міністра охорони здоров'я, щодо Health Data Hub (HDH), розміщеного з моменту його створення у 2019 році на Microsoft Azure, незважаючи на зобов'язання уряду повернути дані на європейську платформу до кінця 2022 року. Міністерство охорони здоров'я та профілактики тоді вважало, що не існує функціональних європейських альтернативних рішень.
CNIL висловила занепокоєння щодо ризику передачі даних до США через Cloud Act. Кілька асоціацій, медичних фахівців та дослідників звернулися до Державної ради, вважаючи, що робота Health Data Hub на Azure порушує GDPR. Останній, у своїй статті 48, прямо забороняє передачу персональних даних іноземним органам без чіткої та узгодженої правової основи. Незважаючи на ці застереження, вищий суд залишив платформу в робочому стані, враховуючи її визнану важливу роль у врегулюванні кризової ситуації в охороні здоров'я.
Клара Шаппаз нагадала, що закон SREN (Забезпечення безпеки та регулювання цифрового простору), прийнятий у 2024 році, тепер вимагає розміщення конфіденційних даних на інфраструктурі, що забезпечує суверенітет. HDH повинен буде мігрувати на хмару, що відповідає стандартам SecNumCloud, виключаючи таким чином ті, що підпадають під Cloud Act. Тендер на це повернення вже було оголошено 1 липня.