Microsoft a recunoscut că nu poate garanta suveranitatea datelor pentru clienții din Franța sau din alte țări ale Uniunii Europene în conformitate cu US Cloud Act, care permite guvernului american să acceseze datele firmelor de tehnologie cu sediul în SUA, chiar dacă aceste date sunt stocate în străinătate, potrivit The Register.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
În fața unei anchete a Senatului francez, Microsoft a recunoscut că nu poate proteja datele UE de spionajul SUA
În cadrul unei declarații sub jurământ în fața unei anchete a Senatului francez privind rolul achizițiilor publice în promovarea suveranității digitale, Anton Carniaux, directorul de afaceri publice și juridice al Microsoft Franța împreună cu Pierre Lagarde, directorul tehnic al sectorului public, a fost întrebat dacă poate garanta că datele cetățenilor francezi nu vor fi niciodată transmise autorităților americane fără autorizarea explicită a Franței. El a răspuns: „Nu, nu pot garanta acest lucru”.
Microsoft afirmă că „nu poate garanta” suveranitatea datelor clienților din Franța și, implicit, din întreaga Uniune Europeană, în cazul în care administrația Trump ar solicita accesul la informațiile clienților stocate pe serverele sale.
Compania susține că se opune acestor cereri atunci când acestea sunt nefondate
Întrebat despre eventualele mecanisme tehnice sau juridice care ar putea împiedica acest acces în temeiul Cloud Act, Carniaux a răspuns că „s-a angajat contractual față de clienții noștri, inclusiv cei din sectorul public, să se opună acestor cereri atunci când acestea sunt nefondate”.
„Am implementat un sistem foarte riguros, inițiat în era Obama prin acțiuni în justiție împotriva cererilor autorităților, care ne permite să obținem concesii din partea guvernului american. Începem prin a analiza foarte precis validitatea unei solicitări și o respingem dacă este nefondată”.
El a spus că Microsoft cere administrației americane să o redirecționeze către client.
„Când acest lucru se dovedește imposibil, răspundem în cazuri extrem de specifice și limitate. Aș dori să subliniez că guvernul nu poate face solicitări care nu sunt definite cu precizie”.
Carniaux a adăugat: „Dacă trebuie să comunicăm, cerem să putem notifica clientul în cauză”. El a spus că, sub fosta administrație Obama, Microsoft a dus cazuri în fața Curții Supreme a SUA și, astfel, s-a asigurat că cererile sunt „mai concentrate, precise, justificate și legale”.
De subliniat este că ultimul cuvânt referitor la legalitatea, scopul și justificarea acestor cereri îl are Curtea Supremă a Statelor Unite unde Trump a nominalizat trei judecători. În prezent conservatorii și mișcarea MAGA dețin majoritatea și conduc deciziile Curții Supreme.
În acest context este interesant de observat că reprezentanții Microsoft au fost nevoiți să apeleze la exemple din era Obama, un președinte liberal, și când judecătorii democrați încă aveau majoritate în Curtea Supremă.
Ce este Cloud Act și cum influențează activitatea furnizorilor de servicii cloud
Cloud Act a fost promulgat în 2018, în urma provocărilor cu care s-a confruntat FBI-ul atunci când a obținut date prin intermediul furnizorilor de servicii prin mandate conform legii Store Communications Act, care a fost legiferat înainte ca cloud computing-ul să devină realitate. Microsoft a contestat cererile anterioare, inclusiv una referitoare la o anchetă din 2016 privind traficul de droguri, când e-mailurile unui cetățean american erau stocate pe serverele Microsoft din Irlanda, iar Microsoft a susținut că SCA nu acoperea datele stocate în afara SUA.
Proiectul de lege a fost susținut la momentul adoptării sale de AWS, Microsoft și Google (deci nu este o noutate pentru ele) și a fost criticat de grupurile pentru drepturile civile. Furnizorii europeni de servicii cloud implicați în acest domeniu au discutat despre potențiala problemă a suveranității datelor pentru clienții din UE, deși, așa cum a afirmat Microsoft, nu a primit solicitări de date din partea guvernului SUA pentru datele stocate pe serverele Microsoft din Europa.
La audierile din Franța, Microsoft a fost întrebată dacă, în cazul unei solicitări de date bine formulate, corporația ar fi „obligată să transmită datele”.
Carniaux a recunoscut: „Absolut, respectând acest proces. Dar, din nou, acest lucru nu a afectat nicio companie europeană sau organism din sectorul public, deoarece publicăm aceste rapoarte de transparență”.
Rapoartele de transparență ale Microsoft sunt publicații bianuale în care compania dezvăluie modul în care gestionează solicitările de date ale utilizatorilor, eliminarea conținutului și multe altele.
Legrande a intervenit pentru a spune că, în ultimii trei ani, Microsoft a implementat un mediu tehnic pentru a minimiza transferurile de date și a păstra datele clienților în UE, „fie că sunt în repaus, în tranzit sau în curs de procesare, fie că sunt date generate de jurnalele aplicațiilor, inclusiv partea de asistență”.
Carniaux a fost întrebat dacă, în cazul unei ordonanțe judecătorești justificate din punct de vedere legal, el, în calitate de director al departamentului de afaceri publice și juridice al Microsoft, ar putea „garanta comitetului nostru, sub jurământ”, că datele cetățenilor francezi nu ar putea fi transmise guvernului american fără acordul explicit al guvernului francez.
„Nu”, a răspuns Carniaux, „nu pot garanta acest lucru, dar, repet, nu s-a întâmplat niciodată până acum”.
Suveranitatea datelor continentului european este o problemă reală
Mărturia a confirmat că furnizorii americani de servicii hyperscaler nu pot garanta suveranitatea datelor în Europa. Microsoft a recunoscut deschis ceea ce mulți știau de mult timp: în conformitate cu legi precum CLOUD Act, autoritățile americane pot impune accesul la datele deținute de furnizorii americani de servicii cloud, indiferent de locul în care se află fizic aceste date. Serverele din Marea Britanie sau din UE nu fac nicio diferență atunci când jurisdicția se află în altă parte, iar filialele locale sau parteneriatele „de încredere” nu schimbă această realitate.
Este mai mult decât o chestiune tehnică. Este o problemă reală care poate afecta securitatea națională, confidențialitatea personală și competitivitatea în domeniul afacerilor. Mărturia recentă a Microsoft demonstrează cum acest lucru se poate întâmpla acum la cererea autorităților americane.
Senatul francez a creat un precedent cerând răspunsuri, iar Marea Britanie și Europa au ocazia să facă același lucru. Se vede o schimbare către crearea de soluții locale care susțin suveranitatea reală a datelor, mai degrabă decât rezidența datelor. Guvernele europene trebuie acum să ajute industria să accelereze această tendință, reducând dependența excesivă de hyperscaleri.
Legea Cloud Act se aplică și companiilor străine cu activitate în SUA
Important de subliniat este că legea Cloud Act nu se aplică numai companiilor cu sediul în SUA, ci tuturor „furnizorilor de servicii de comunicații electronice sau de servicii de calcul la distanță” care desfășoară activități în Statele Unite.
De exemplu, furnizorii de servicii cloud cu sediul în Europa care desfășoară activități în SUA sunt, de asemenea, supuși cerințelor legii.
Astfel, deși legislația UE adaugă în mod constant piedici și fricțiuni, cu excepția cazului în care un furnizor se află în afara jurisdicției SUA sau un client este singurul deținător al unei chei de criptare, suveranitatea absolută nu poate fi garantată.
În ciuda acestui fapt, neîncrederea față de administrația Trump din partea unor persoane din Europa, înseamnă că persistă îngrijorări cu privire la starea relațiilor dintre cei din blocul comercial al UE și SUA.
Microsoft, la fel ca AWS și Google, a lansat o campanie pentru a asigura clienții îngrijorați din UE că poate oferi suveranitate asupra datelor în contextul noii administrații Trump și al atitudinii puțin prietenoase a președintelui SUA față de națiuni considerate odată aliați apropiați, inclusiv politica tarifară care a afectat previzibilitatea în industriile din întreaga lume.
Cu toate acestea, un raport recent al Parlamentului European a constatat că firmele americane dețin 69% din cota de piață a infrastructurii cloud în Europa, în timp ce furnizorii din UE dețin doar 13%.
