Microsoft France pod przysięgą przed komisją francuskiego Senatu przyznał coś, co wiele działów compliance jeszcze niedawno wolało traktować jak temat akademicki. Nie potrafi zagwarantować, że dane obywateli francuskich z jego usług nie trafią do władz USA bez zgody władz Francji. Powód to amerykański CLOUD Act z 2018 roku, który sięga do Microsoftu niezależnie od tego, gdzie stoją serwery. Słowa padły na oficjalnym przesłuchaniu, są w protokole francuskiego Senatu, nie da się ich już cofnąć. Konsekwencje dotyczą każdej firmy w UE, która trzyma wrażliwe dane w chmurze Microsoftu. W Polsce to tysiące firm w Azure: kancelarie, szpitale, banki, zespoły HR. Co dokładnie się stało i co warto z tym zrobić?
Co dokładnie powiedział Microsoft pod przysięgą
W najprostszej wersji: dyrektor ds. publicznych i prawnych Microsoft France przyznał przed komisją, że firma nie potrafi zagwarantować, iż dane klientów europejskich pozostaną poza zasięgiem amerykańskich organów ścigania. Protokół posiedzenia jest publicznie dostępny na stronie senat.fr i każdy może to sobie przeczytać w oryginale. Mechanizm jest prosty. Microsoft jako firma amerykańska podlega prawu federalnemu USA. Z perspektywy waszyngtońskiego prokuratora europejskie spółki córki to ta sama korporacja, ta sama struktura, ten sam właściciel.
W debacie publicznej Microsoft od lat sprzedaje europejskim klientom “trust boundary” – dane mają zostać w UE, mają być fizycznie hostowane przez europejskich operatorów. Pod przysięgą okazało się, że ta granica nie zatrzymuje CLOUD Act. To jak sejf w europejskim biurze, do którego instrukcję otwarcia nadal ma amerykańska centrala. Jeśli przyjdzie prawnie skuteczne żądanie z USA i nie da się go skutecznie podważyć, Microsoft finalnie je wykona. Może informować klienta. Może próbować zaskarżyć w sądzie. Danych jednak nie ukryje.
Sovereign cloud okazał się nazwą handlową. Nie definicją prawną. To różnica, która do tej pory bywała przykryta marketingiem.
To nie jest pierwsze takie ostrzeżenie. Już w 2021 roku francuska Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) wskazywała na ten sam problem. Standardowe chmury hyperscalerów (Microsoft, Google, Amazon) nie spełniają francuskiego standardu SecNumCloud właśnie dlatego, że nie są niezależne od amerykańskiej jurysdykcji. Nowe stanowisko Microsoftu jest po prostu faktyczną odpowiedzią pod przysięgą na ten sam zarzut. Innymi słowy, państwo francuskie miało rację od lat.
Skąd CLOUD Act sięga do chmury w Europie
CLOUD Act, czyli Clarifying Lawful Overseas Use of Data Act, to ustawa federalna USA podpisana w marcu 2018 roku przez Donalda Trumpa. Powstała po sprawie Microsoft Corp. v. United States, w której rząd USA żądał e-maili przechowywanych przez Microsoft w Dublinie. Sąd Najwyższy USA nie zdążył wydać wyroku, bo Kongres uchwalił właśnie tę ustawę i rozstrzygnął sprawę legislacyjnie.
Co konkretnie zmienia CLOUD Act
Ustawa daje amerykańskim organom ścigania prawo żądania danych przechowywanych przez firmy podlegające jurysdykcji USA – niezależnie od fizycznej lokalizacji serwerów. Mechanizm działa, jeśli firma jest amerykańska albo ma w USA istotną obecność. Microsoft, Google, Amazon, Meta, Apple, Salesforce, Oracle – wszyscy są w tym worku. Spółka córka w Polsce, Irlandii czy we Francji niczego nie zmienia. Decyzja zapada na poziomie spółki matki.
Dlaczego nawet “european trust boundary” nie pomaga
Microsoft, Google i inni próbowali łagodzić ryzyko architekturą “trust boundary”, czyli granicą zaufania. Pomysł był taki: dane w UE, klucze szyfrowania w rękach klienta, infrastruktura operowana przez europejskich partnerów. Problem techniczny jest jednak prosty. Jeśli dostawca chmury zarządza warstwą maszyn wirtualnych, kopiami zapasowymi i backupem kluczy, fizycznie ma drogę do tych danych. Klient może je zaszyfrować, jednak klucze zarządzane przez tego samego dostawcę nie są realną przeszkodą. Architektura wymaga niezależnego operatora prawnie odciętego od USA. Właśnie w tym kierunku idą projekty Bleu (Capgemini i Orange) we Francji oraz S3NS (Thales i Google). S3NS uzyskał już kwalifikację SecNumCloud dla wariantu PREMI3NS, Bleu pracuje nad własną wersją. To pokazuje, że realna suwerenność wymaga osobnego modelu prawnego i operacyjnego, a nie samej etykiety “sovereign cloud”.
Kurs n8n 2.0 · Kodożercy
Automatyzacja to dziś jedna z najbardziej poszukiwanych umiejętności
Firmy szukają ludzi, którzy łączą procesy z narzędziami. Kurs n8n 2.0 na Kodożercach da Ci praktyczne umiejętności – webhooki, API, automatyczne przepływy danych – które możesz pokazać już jutro.
Zobacz program kursu →
Co to znaczy dla polskich firm w Azure
Krótka odpowiedź: dla większości polskich firm zmienia się dokładnie zero – dopóki nie zaczną przetwarzać w chmurze danych, które są twardo regulowane. Wtedy nagle zmienia się wszystko.
Sektor regulowany: banki, ubezpieczenia, zdrowie
Tu zmiana jest najbardziej dotkliwa. KNF, NFZ i inne instytucje nadzorujące sektory regulowane od lat patrzą na chmurę z rosnącym dystansem. Komunikat chmurowy KNF ze stycznia 2020 roku jasno mówi, że bank musi mieć pełną kontrolę nad lokalizacją danych i dostępem stron trzecich. Po francuskim przesłuchaniu uzasadnienie “ale Microsoft hostuje to we Frankfurcie” przestaje wystarczać. Zespoły compliance dostaną od audytorów pytanie o CLOUD Act, na które będą musiały mieć przemyślaną odpowiedź.
Pozostałe firmy: SaaS, e-commerce, scaleupy
Dla większości polskich scaleupów i SaaS-ów to news raczej polityczny niż operacyjny. Faktyczne ryzyko jest niskie, ponieważ polskie zespoły programistyczne nie znajdą się w centrum śledztwa amerykańskiego prokuratora. Mimo to warto mieć przygotowane stanowisko dla działu compliance klienta. Coraz częściej duże firmy europejskie, zwłaszcza francuskie i niemieckie, pytają o to wprost w procesie zakupowym. W efekcie brak odpowiedzi zaczyna kosztować kontrakty.
Co realnie można teraz zrobić
Najprostsze ruchy są dwa. Po pierwsze, audyt danych w Azure pod kątem realnej wrażliwości. Większość firm trzyma w chmurze rzeczy, które mogłyby spokojnie pozostać on-premise albo na europejskim operatorze niezależnym (OVHcloud, Scaleway, Hetzner). Po drugie, dla danych naprawdę wrażliwych warto przyjrzeć się ścieżce lokalnego AI i lokalnej infrastruktury, którą opisaliśmy w manifeście local-first. Jeśli Twoja firma zastanawiała się nad natywną platformą Claude w AWS, francuskie przesłuchanie Microsoftu daje Ci dodatkowy mocny argument do tej rozmowy.
Podsumowanie
Microsoft pod przysięgą domknął rozdział o “europejskiej chmurze suwerennej” w wersji marketingowej. Suwerenność w chmurze hyperscalera zostaje warunkowa – dopóki istnieje CLOUD Act i dopóki Microsoft jest firmą amerykańską, jurysdykcja USA sięga do Frankfurtu, Dublina i Warszawy jednakowo. Dla większości polskich firm nic się nie zmienia w codziennej operacji. Dla firm z sektora regulowanego i tych z klientami wrażliwymi na zgodność otwiera się natomiast okno na uczciwą rozmowę o tym, gdzie naprawdę powinny mieszkać dane. Czasem odpowiedź to nadal Azure – świadomie i z udokumentowanym ryzykiem. Czasem to OVHcloud albo serwer w serwerowni przy ulicy. Ważne, że teraz wszyscy gramy w tę samą grę z jednakowymi zasadami.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.
