Een Canadese rechtbank heeft OVHcloud verplicht klantgegevens uit Europa te leveren. Dit gebeurde ondanks dat de Franse cloudprovider zich positioneert als beschermer van Europese datasoevereiniteit.
Dat schetst The Register op basis van ingeziene documenten. In april 2024 gaf de Royal Canadian Mounted Police (RCMP) een productieorder af die abonnee- en accountgegevens van vier IP-adressen op OVH-servers in Frankrijk, het Verenigd Koninkrijk en Australië eiste. Dit gebeurde in het kader van een strafrechtelijk onderzoek. De order richtte zich op de Canadese dochteronderneming van OVHcloud, terwijl OVH Group een Frans bedrijf is.
In plaats van gebruik te maken van gevestigde verdragen voor wederzijdse juridische bijstand (MLAT) tussen Canada en Frankrijk, zocht de RCMP directe onthulling via de Canadese dochteronderneming. Dit plaatste OVHcloud in een onmogelijke positie. Franse wetgeving verbiedt namelijk het delen van data buiten officiële verdragen, met straffen tot 90.000 euro en zes maanden gevangenisstraf. Maar weigeren van de Canadese order bracht het risico van minachting van de rechtbank met zich mee.
Rechter wijst bezwaar af
Op 25 september werd een beslissing over de productieorder gepubliceerd. Rechter Heather Perkins-McVey verwierp een aanvraag om deze in te trekken. “De rechtbank moet een evenwicht vinden tussen de belangen van de staat en de respondent”, aldus de rechter. De nationale veiligheidsaard van het onderzoek woog zwaarder dan andere zorgen.
Tegen 27 oktober moest OVHcloud de gegevens uitleveren. Er werd daarom een aanvraag voor gerechtelijke herziening ingediend. Daarin staat dat OVHcloud “gedwongen wordt te kiezen tussen de risico’s van strafrechtelijke aansprakelijkheid in Canada en/of Frankrijk, inclusief gevangenisstraf en boetes”.
Bredere implicaties
De zorgen over de Amerikaanse CLOUD Act nemen toe. Door deze wetgeving kunnen Amerikaanse autoriteiten via een bevel of dagvaarding toegang eisen tot data van Amerikaanse bedrijven, ongeacht waar die data is opgeslagen. Hyperscalers claimen geen dergelijke verzoeken te hebben ontvangen met betrekking tot Europese klanten. Het risico blijft echter bestaan.
Europese cloudaanbieders hebben dit als verkoopargument gebruikt door te benadrukken dat digitale informatie die zij bewaren beschermd is. In de OVH-zaak kunnen de gevolgen ernstig zijn als Canadese autoriteiten toegang kunnen forceren tot data op Europese servers zonder officiële kanalen te gebruiken.