Il 15 settembre 2021 il direttore interministeriale del digitale Nadi Bou Hanna ha rilasciato un comunicato stampa ai ministeri per informarli che l’offerta Office 365 di Microsoft su Azure Cloud non soddisfaceva i requisiti della dottrina cloud francese dello stato (Cloud at the Center), e in particolare la sua regola R9.
Prevede che il trattamento dei dati sensibili deve essere possibile solo da hosting provider qualificati e anche immuni a qualsiasi legge extraterritoriale (cloud Act, FISAA, ecc.). A seguito di questo comunicato stampa, le amministrazioni francesi non dovrebbero più utilizzare il servizio ospitato da Microsoft.
In risposta a questo comunicato stampa, otto players francesi si sono riuniti per offrire un gruppo di soluzioni alternative a Office 3655. Atolia, Jalios, Jamespot, Netframe, Talkspirit, Twake, Whaller e WIMI che hanno 3 milioni di utenti e un’offerta sovrana al 100% ospitata da giocatori europei. Il collettivo menziona che tutte queste soluzioni sono idonee per l’integrazione nelle infrastrutture certificate SecNumCloud.
L’Agenzia nazionale per i sistemi informativi (ANSSI) offre un visto di sicurezza chiamato SecNumCloud dal 2016. Questo marchio è destinato ai fornitori di servizi cloud (IaaS, PaaS e SaaS) che desiderano fornire garanzie sulla qualità del servizio fornito e sul livello di fiducia che può essere riposto in essi. È anche una forte risorsa di marketing perché il marchio SecNumCloud è ampiamente riconosciuto in Francia e attesta un livello di sicurezza all’avanguardia attestato da ANSSI. Questo marchio viene assegnato ai fornitori che soddisfano tutti i requisiti di sicurezza definiti da ANSSI e che sono stati oggetto di una valutazione della conformità da parte di un’organizzazione approvata. L’etichetta SecNumCloud consente quindi ai clienti di essere sicuri della sicurezza implementata nell’offerta cloud a cui si abbonano. Alla conferenza sulla sicurezza informatica del 2021, ANSSI ha rilasciato una nuova versione di SecNumCloud. Questa nuova versione fornisce criteri di immunità contro le leggi extracomunitarie, in particolare quelle americane.
Il divieto di utilizzare Office 365 ospitato da Microsoft nelle amministrazioni francesi mette quindi in discussione la legittimità dell’hosting dei dati sanitari dall’Health Data Hub (HDH) nelle infrastrutture Microsoft che non è certificata SecNumCloud ed è soggetta alle leggi statunitensi. L’HDH, creato nel 2019, è un progetto per riunire i dati sanitari di oltre 67 milioni di persone e mira a promuovere lo sviluppo dell’intelligenza artificiale nel campo sanitario fornendo dati ai diversi poli della ricerca medica. Microsoft era stata selezionata per ospitare questi dati, in particolare con la sua certificazione “Health Data Hosts” (HDS). Questa scelta era stata fortemente criticata perché gli Stati Uniti dispongono di strumenti legislativi (FISAA, cloud Act) che potrebbero minare la riservatezza dei dati ospitati da fornitori di cloud soggetti alle leggi statunitensi, anche se si trovano in data center sul territorio europeo. Al fine di regolare i trasferimenti di dati personali negli Stati Uniti, nel 2016 è stato formalizzato un accordo, denominato “Privacy Shield”, con l’Europa.
Il “Privacy Shield” ha fornito garanzie sulla protezione dei dati personali dei cittadini europei memorizzati ed elaborati da società con sede negli Stati Uniti. Il “Privacy Shield” ha quindi permesso, in teoria, di proteggere i dati personali archiviati nelle infrastrutture Microsoft Office 365, ad esempio.
Tuttavia, il 16 luglio 2020, la Corte di giustizia dell’Unione europea ha invalidato il “Privacy Shield”, ritenendolo non conforme al regolamento generale sulla protezione dei dati (GDPR) e rendendo così illegale trasferire dati personali negli Stati Uniti in assenza di misure aggiuntive. A seguito dell’invalidazione del “Privacy Shield” e per paura di trasferire dati sanitari negli Stati Uniti, associazioni e sindacati hanno fatto appello al Consiglio di Stato affinché richieda una sospensione di emergenza della piattaforma HDH. Il 14 ottobre 2021, il Consiglio di Stato ha indicato che nessun dato personale ospitato nel data center di Microsoft potrebbe essere trasferito al di fuori dell’Unione europea ai sensi del contratto con Microsoft. Tuttavia, il giudice ha dimostrato che non è stato escluso che le autorità americane, nell’ambito dei programmi di monitoraggio e intelligence, potessero chiedere a Microsoft e alla sua filiale irlandese l’accesso a determinati dati.
Per rispondere a questo problema a breve termine il Consiglio di Stato ha chiesto alla CNIL di lavorare con Microsoft per rafforzare le misure di sicurezza relative all’HDH. Tuttavia, ha ritenuto che il rischio identificato non giustificasse una sospensione a breve termine dell’HDH. Per quanto riguarda il futuro dell’HDH, il Ministro della Salute ha menzionato nel novembre 2020 il desiderio di trovare una “nuova soluzione tecnica” per proteggere l’HH da “possibili divulgazioni illegali alle autorità americane (…) entro un periodo il più possibile compreso tra 12 e 18 mesi e, in ogni caso, non superiore a due anni”. L’obiettivo è dare agli attori francesi ed europei il tempo di essere pronti ad ospitare l’HDH.
In particolare, gli Stati Uniti hanno due armi legislative che consentono alle autorità federali di accedere ai dati dei clienti dei fornitori di servizi cloud.
Il primo, il Cloud Act, consente ai tribunali statunitensi di sollecitare dai fornitori di servizi che operano negli Stati Uniti le comunicazioni personali di un individuo senza che l’individuo sia informato, né le autorità del suo paese di residenza né quelle del paese in cui questi dati sono archiviati. Il Cloud Act si applica anche alle società straniere attive sul suolo americano.
Il secondo, chiamato FISAA (FISA Amendments Act), è un emendamento alla FISA (Foreign Intelligence Surveillance Act) del 1978 che descrive le procedure di sorveglianza fisica ed elettronica e consente la raccolta di informazioni sui poteri stranieri. FISAA consente il monitoraggio di massa e si estende a tutti i dati presenti nel cloud. L’obiettivo, in particolare della NSA (Agenzia per la sicurezza nazionale), è quello di avere l’opportunità di intercettare, decifrare, copiare, analizzare e archiviare tutte le comunicazioni globali che attraversano da satelliti, cavi… È stata in particolare questa legge che ha autorizzato l’uso di strumenti di sorveglianza utilizzati dalla NSA e dall’FBI come parte del progetto PRISM rivelato da Edward Snowden nel 2013.
Queste due leggi consentono quindi alle autorità federali di costringere i giocatori del cloud americano a fornire dati su richiesta, anche su server situati in Europa e senza informare le persone o le organizzazioni mirate. Da qui è nato il progetto Gaia-X che è un’iniziativa tedesco-francese lanciata a giugno 2020 che mira a offrire una risposta europea all’ascesa di GAM (Google, Amazon, Microsoft) e Alibaba cloud (fornitore di cloud cinese) attraverso la condivisione di dati tecnologici e industriali tra i suoi membri. L’idea non è quella di creare un’unica società, ma piuttosto di fare affidamento sul principio del decentramento per creare una “infrastruttura dati europea”. Ad esempio, per le attività di ricerca autonome, Gaia-X potrebbe fornire un volume molto elevato di dati grazie a tutti i suoi membri attivi in questo segmento. Il progetto Gaia-X è stato tuttavia recentemente criticato quando nuovi membri di Google, Microsoft, Amazon, Alibaba, Palantir, Huawei… sono apparsi all’interno dell’associazione. Per i difensori della sovranità digitale, il sostegno di questi membri contraddice l’obiettivo iniziale del progetto e scredita gli obiettivi perseguiti.
Da parte sua, Gaia-X risponde che non si è mai trattato di creare un ecosistema di cloud e dati sovrano e sicuro supportato da attori europei al 100%, ma di invitare i fornitori americani e cinesi al tavolo per collaborare.
