Канадский суд обязал французского облачного провайдера OVHcloud передать данные клиентов, хранящиеся в Европе, что потенциально подрывает заявления провайдера о защите цифрового суверенитета.
Согласно документам, с которыми ознакомился The Register, Королевская канадская конная полиция (RCMP) в апреле 2024 года издала постановление о предоставлении данных абонентов и учетных записей, связанных с четырьмя IP-адресами на серверах OVH во Франции, Великобритании и Австралии, в рамках уголовного расследования.
У OVH есть канадское подразделение, которое стало отправной точкой для судов, но OVH Group – французская компания, поэтому данные во Франции должны быть защищены от посторонних глаз. Или, возможно, нет.
Вместо использования установленных договоров о взаимной правовой помощи (MLAT) между Канадой и Францией, RCMP запросила прямое раскрытие информации через канадскую дочернюю компанию OVH.
Это ставит OVH в безвыходное положение. Французское законодательство запрещает передачу таких данных за пределы официальных договоров, предусматривая штрафы до 90 000 евро и шесть месяцев тюремного заключения. Но отказ от выполнения канадского постановления чреват обвинениями в неуважении к суду.
- НАТО привлекает Google для создания изолированного суверенного облака
- Пакт Microsoft-SAP направлен на поддержание работы европейского облака в кризисной ситуации
- Расходы Европы на ИТ вырастут на 11% на фоне роста интереса к суверенитету облачных технологий
- Геополитика подталкивает европейских ИТ-директоров к локализации облачных решений
25 сентября было опубликовано решение судьи Хизер Перкинс-Маквей по постановлению о предоставлении информации, отклонившее ходатайство о его отмене. Судья Перкинс-Маквей заявила: “Суд должен сбалансировать интересы государства и ответчика”. В данном случае характер расследования, связанный с национальной безопасностью, перевесил другие соображения.
Неудивительно, что, поскольку судья Перкинс-Маквей установила срок раскрытия данных до 27 октября, была подана апелляция. В ней говорится, что OVH “будет вынуждена выбирать между риском уголовной ответственности в Канаде и/или Франции, включая тюремное заключение и штрафы”, и “срочность вытекает непосредственно из срока соблюдения, установленного Решением об обзоре”.
В эпоху Трампа 2.0 экономические и геополитические отношения между Европой и США становятся все более нестабильными, что Microsoft признала в апреле.
На этом фоне растут опасения по поводу американского закона CLOUD Act. В соответствии с этим законодательством власти США могут запрашивать – на основании ордера или повестки в суд – доступ к данным, размещенным американскими корпорациями, независимо от того, где в мире эти данные хранятся. Гиперскейлеры утверждают, что не получали таких запросов в отношении европейских клиентов, но риск остается, и европейские облачные провайдеры используют это в качестве тактики продаж, настаивая на том, что цифровая информация, которую они хранят, защищена.
В случае с OVH, если канадские власти смогут получить доступ к данным, хранящимся на европейских серверах, вместо того, чтобы использовать официальные каналы (например, международные договоры), последствия могут быть серьезными.
Марк Буст, генеральный директор Civo, сообщил The Register: “Мы очень внимательно следим за этим делом, поскольку оно может создать важный прецедент.
“Если суды решат, что иностранное правительство может получить доступ к данным, хранящимся внутри другой страны, просто потому, что провайдер имеет там коммерческое присутствие, это изменит весь смысл суверенитета. Это вызовет серьезные сомнения в том, достаточно ли локального хранения, или клиентам нужны более сильные гарантии относительно того, кто на самом деле владеет и контролирует инфраструктуру за кулисами.
Он добавил: “Если позиция Канады будет поддержана, это заставит отрасль переосмыслить, как суверенитет защищается на практике. Клиентам, возможно, придется смотреть дальше местоположения данных и начать задавать сложные вопросы о корпоративной структуре, юридическом разделении и о том, как провайдеры защищают пользователей от зарубежных претензий”.
Ранее на этой неделе GrapheneOS объявила, что у нее больше нет активных серверов во Франции и она находится в процессе ухода из OVH.
Ориентированная на конфиденциальность мобильная компания заявила: “Франция – небезопасная страна для проектов с открытым исходным кодом, ориентированных на конфиденциальность. Они ожидают бэкдоров в шифровании и доступа к устройствам. Безопасные устройства и сервисы не будут разрешены. Мы не чувствуем себя в безопасности, используя OVH даже для статического веб-сайта с серверами в Канаде/США через их канадские/американские дочерние компании”.
В августе представитель OVH по юридическим вопросам ликовал по поводу признания Microsoft в том, что она не может гарантировать суверенитет данных.
Было бы глубоко иронично, если бы OVH не смогла гарантировать то же самое, потому что у компании есть дочерняя компания в Канаде.
The Register попросил OVH прокомментировать ситуацию, и представитель компании сообщил нам, что ответ поступит в ближайшее время, но на момент публикации он еще не был получен. ®
Автор – Richard Speed
