Microsoft recunoaște că nu poate garanta suveranitatea datelor pentru clienții din Franța și, implicit, din Uniunea Europeană, în cazul în care administrația Trump ar solicita acces la informațiile stocate pe serverele sale.
Legea Cloud Act, adoptată în Statele Unite, oferă guvernului american autoritatea de a obține date digitale de la companiile tech americane, indiferent dacă acestea sunt stocate pe teritoriul SUA sau în străinătate, obligând aceste companii să se conformeze solicitărilor prin mandate sau citații.
La o audiere din 18 iunie în fața Senatului francez, pe tema achizițiilor publice și a suveranității digitale europene, Anton Carniaux, directorul juridic și de afaceri publice Microsoft Franța, împreună cu Pierre Lagarde, director tehnic pentru sectorul public, au fost întrebați dacă există mecanisme tehnice sau legale care să prevină accesul în baza Cloud Act.
Carniaux a explicat că Microsoft s-a angajat contractual față de clienți, inclusiv cei din sectorul public, să se opună acestor solicitări atunci când sunt nefondate.
Pe vremea lui Obama era mai bine
El a adăugat că în timpul administrației Obama a fost implementat un sistem riguros, bazat pe acțiuni legale împotriva cererilor autorităților, care permite companiei să obțină concesii din partea guvernului american.
Cererile sunt analizate foarte precis, iar cele nefondate sunt respinse.
Carniaux a mai spus că Microsoft solicită autorităților americane să redirecționeze cererea către clientul vizat, iar dacă acest lucru nu este posibil, răspunde doar în cazuri foarte specifice și limitate.
Compania cere de asemenea dreptul de a notifica clientul înainte de a furniza datele.
În trecut, Microsoft a contestat solicitări de date, cum ar fi un caz din 2016 legat de trafic de droguri, în care emailurile unui cetățean american erau stocate pe servere din Irlanda, argumentând că Store Communications Act nu acoperă datele stocate în afara SUA.
Legea Cloud Act a fost adoptată în 2018 și susținută de companii precum AWS, Microsoft și Google, deși a fost criticată de organizațiile pentru drepturile civile.
Europenii s-au temut de acest moment
Furnizorii europeni de cloud au atras atenția în mod constant asupra riscului pierderii suveranității datelor în UE, chiar dacă Microsoft susține că nu a primit cereri de date din partea autorităților americane pentru informații stocate pe servere europene.
Întrebat dacă Microsoft ar fi obligat să transmită date în cazul unei cereri bine întocmite, Carniaux a recunoscut că, respectând procedura, acest lucru este posibil, dar a subliniat că nu s-a întâmplat niciodată pentru companii europene sau entități publice.
Raportul semestrial de transparență al Microsoft arată cum gestionează compania solicitările de date și cererile de eliminare a conținutului.
Pierre Lagarde a subliniat că, în ultimii trei ani, Microsoft a creat un mediu tehnic care limitează transferul de date, păstrându-le în UE, fie că sunt în repaus, în tranzit sau în procesare, inclusiv pentru logurile aplicațiilor și activitățile de suport.
Când a fost întrebat dacă poate garanta sub jurământ că datele cetățenilor francezi nu pot fi transmise guvernului SUA fără acordul explicit al autorităților franceze, Carniaux a spus clar că nu poate oferi o astfel de garanție, dar a precizat că până acum acest lucru nu s-a întâmplat.
Ulterior, Microsoft a refuzat să comenteze situația.
Europenii, lasați fără arme în fața americanilor
Mark Boost, CEO al Civo, a afirmat că această mărturie confirmă că furnizorii americani de cloud nu pot garanta suveranitatea datelor în Europa și că autoritățile americane pot solicita acces la date indiferent unde sunt stocate acestea, iar serverele din Marea Britanie sau UE nu fac nicio diferență dacă jurisdicția este alta.
El a avertizat că această situație poate afecta securitatea națională, confidențialitatea datelor personale și competitivitatea afacerilor, menționând un caz din Scoția în care date sensibile au fost transferate în afara jurisdicției.
În acest context, AWS a publicat o listă de clarificări privind Cloud Act, explicând că legea nu oferă acces automat sau nelimitat guvernului SUA la datele din cloud, solicitările trebuie aprobate de un judecător federal independent, iar companiile nu pot furniza date fără o excepție legală.
AWS a afirmat că nu a transmis niciodată date guvernamentale sau enterprise în baza Cloud Act și că legea se aplică tuturor furnizorilor de servicii electronice cu operațiuni în SUA, inclusiv companiilor europene cu prezență acolo.
De exemplu, OVHcloud, companie franceză, recunoaște în propriul ghid că poate respecta cererile legale ale autorităților americane, inclusiv pentru date stocate în afara SUA.
Cu toate aceste explicații, neîncrederea față de o posibilă administrație Trump rămâne ridicată în Europa, mai ales în contextul tensiunilor comerciale din mandatul anterior.
Microsoft, la fel ca AWS și Google, încearcă să liniștească clienții europeni, dar realitatea juridică este că suveranitatea deplină a datelor nu poate fi garantată atâta timp cât jurisdicția finală aparține unei alte țări.
