Microsoft przyznaje: jeśli Trump poprosi o dane Europejczyków, nie możemy odmówić

Przedstawiciele francuskiego oddziału Microsoftu – Anton Carniaux i Pierre Lagarde – potwierdzili przed francuskim Senatem, że firma jest prawnie zobowiązana do zastosowania się do uzasadnionych żądań rządu amerykańskiego dotyczących dostępu do danych. Choć Microsoft zadeklarował, że będzie analizować i kwestionować bezzasadne wnioski, ostatecznie musi się im podporządkować.

Cloud Act nadal ma moc

Amerykański Cloud Act (Clarifying Lawful Overseas Use of Data Act) z 2018 roku daje rządowi USA prawo do żądania dostępu do danych przechowywanych przez amerykańskie firmy technologiczne – niezależnie od tego, gdzie fizycznie się znajdują. To oznacza, że nawet jeśli dane francuskich czy niemieckich firm są przechowywane na serwerach w Europie, Microsoft musi je udostępnić amerykańskim władzom na prawnie uzasadnione żądanie.

Carniaux przyznał szczerze, że nie może zagwarantować, iż rząd USA nie uzyska dostępu do danych obywateli francuskich bez zgody francuskiego rządu. “Nie, nie mogę tego zagwarantować, ale powtarzam, że to się nigdy wcześniej nie zdarzyło” – powiedział pod przysięgą.

Europejskie starania na marne?

Paradoksalnie, Microsoft niedawno zakończył projekt EU Data Boundary (w lutym 2025), który miał zapewnić, że dane europejskich klientów pozostaną w Europie. Również inni giganci chmury inwestują miliardy w europejską suwerenność danych – AWS planuje wydać 7,8 mld euro na AWS European Sovereign Cloud do 2040 roku, z pierwszym regionem w Brandenburgii już w 2025 roku. Teraz okazuje się, że te kosztowne wysiłki mogą być niewystarczające wobec amerykańskiego prawa.

Jak tłumaczy Mark Boost, CEO firmy Civo: “Brytyjskie czy unijne serwery nie mają znaczenia, gdy jurysdykcja leży gdzie indziej, a lokalne filie czy ‘zaufane’ partnerstwa nie zmieniają tej rzeczywistości.“

Nie tylko Microsoft

Problem dotyczy wszystkich amerykańskich dostawców usług chmurowych. Co ciekawe, AWS, Microsoft i Google popierały Cloud Act podczas jego uchwalania, więc obecna sytuacja nie jest dla nich zaskoczeniem. AWS w swojej odpowiedzi na kontrowersję podkreślił, że Cloud Act dotyczy wszystkich firm z operacjami w USA – łącznie z europejskimi dostawcami, jak francuski OVHcloud.

Francuski Health Data Hub jako symbol problemu

Zeznanie Carniaux nie odbywa się w próżni. Francuska platforma Health Data Hub, która centralizuje dane medyczne obywateli, od lat jest symbolem kontrowersji wokół suwerenności cyfrowej. Utworzona w 2019 roku, od początku była hostowana przez Microsoft Azure, co wywołało ostrą krytykę ekspertów i obywateli.

Francuska CNIL (odpowiednik UODO) już w 2020 roku ostrzegała, że dane zdrowotne powinny być hostowane przez firmy niepodlegające prawu amerykańskiemu. Pomimo obietnic kolejnych ministrów zdrowia o migracji do europejskich rozwiązań, Health Data Hub wciąż działa w infrastrukturze Microsoftu.

Sytuacja ma się zmienić dopiero za sprawą ustawy SREN przyjętej w 2024 roku, która zobowiązuje instytucje przetwarzające wrażliwe dane do korzystania z dostawców gwarantujących suwerenność cyfrową. Microsoft nie spełnia już tych kryteriów, co wymusza migrację platformy.

Europa buduje własne rozwiązania

W odpowiedzi na te wyzwania Europa intensywnie pracuje nad własnymi rozwiązaniami chmury suwerennej. Komisja Europejska planuje potroić unijną zdolność przetwarzania danych do 2030 roku i wprowadzić preferencyjny dostęp dla europejskich dostawców w zamówieniach publicznych.

Kluczowe inicjatywy to projekt Gaia-X oraz EuroStack, które mają stworzyć europejską infrastrukturę chmurową niezależną od amerykańskich gigantów. Inwestycje UE w chmurę i półprzewodniki wzrosły o 40% między 2023 a 2025 rokiem, osiągając 45 mld euro.

Microsoft podkreśla, że zgodnie ze swoimi raportami transparentności nigdy nie otrzymał żądania dostępu do danych przechowywanych w Europie. Jednak w obliczu narastających napięć geopolitycznych europejskie rządy coraz bardziej się tym martwią.

Jedyne wyjście: szyfrowanie i niezależność

Absolutna suwerenność danych jest możliwa tylko w dwóch przypadkach: gdy dostawca usług działa poza amerykańską jurysdykcją lub gdy klient jest jedynym posiadaczem kluczy szyfrujących.

Pozostałe rozwiązania – w tym lokalizacja serwerów w Europie czy europejskie filie amerykańskich firm – nie chronią przed Cloud Act. To oznacza, że europejskie firmy i instytucje muszą poważnie rozważyć alternatywy, jeśli suwerenność danych jest dla nich priorytetem.

Czytaj też: Koniec ery dominacji Microsoftu na horyzoncie. Użytkownicy masowo szukają alternatyw dla Windows

Czy europejskie firmy są gotowe na tego typu kompromisy w imię wygody korzystania z Microsoft 365 czy Azure? To pytanie, na które będą musiały odpowiedzieć sobie same – szczególnie w kontekście rosnących inwestycji w europejską suwerenność cyfrową i coraz bardziej restrykcyjnych przepisów, jak francuska SREN.