Un tribunal de l’Ontario demande à OVH de fournir des données hébergées en Europe et en Australie, relançant les inquiétudes européennes sur l’extraterritorialité des lois étrangères. L’entreprise et les autorités françaises contestent cette décision qui pourrait créer un précédent pour les acteurs du cloud européen.
Preuve que les inquiétudes des Européens quant à la souveraineté de leurs données et à l’extraterritorialité des lois sont fondées. Si les lanceurs d’alerte voyaient plutôt les menaces venir des États-Unis ou de la Chine, elles viennent finalement du Canada.
Un tribunal de l’Ontario a émis un « Production Order » exigeant de l’hébergeur français OVH qu’il fournisse un accès à des données stockées en Europe et en Australie, a révélé le média allemand Heise. La Gendarmerie royale du Canada (GRC) aurait demandé l’accès aux données d’abonnement et aux métadonnées liées à plusieurs adresses IP dans le cadre d’une enquête.
Or, ces informations sont stockées sur des serveurs en France, en Grande-Bretagne et en Australie. La filiale canadienne d’OVH, basée à Montréal, n’a pas accès à ces données. La Cour de justice de l’Ontario a tout de même statué que la maison mère, basée à Roubaix, devait remettre ces informations aux autorités. La décision repose sur une notion dite de « présence virtuelle », selon laquelle OVH, proposant des services au Canada, serait soumise aux lois locales indépendamment de l’emplacement des serveurs.
OVH pris entre deux feux
Toujours selon le média allemand, OVH a invoqué de son côté la loi de blocage de 1968, qui interdit aux entreprises françaises de transmettre des informations sensibles à des autorités étrangères sauf si cette demande passe par des canaux juridiques internationaux officiels. Mais OVH pourrait dans le même temps être poursuivie par le tribunal d’Ontario.
En France, les autorités n’ont pas manqué de réagir. Le Service de l’information stratégique et de la sécurité économiques a indiqué que la transmission directe de ces données était illégale, et que contourner les traités internationaux constituait une atteinte à la souveraineté française. Le ministère français de la Justice s’est dit prêt à coopérer, mais dans le respect des règles. Les données sont prêtes, mais la GRC, soutenue par le tribunal ontarien, s’entête et exige une transmission directe. De son côté, OVH a fait appel de la décision devant la Cour supérieure de justice de l’Ontario fin octobre.
Une décision en faveur des autorités canadiennes pourrait faire vaciller le modèle des acteurs du cloud européens qui, pour se différencier des hyperscalers, mettent en avant la protection des données contre l’extraterritorialité de certaines lois étrangères, comme le Cloud Act aux États-Unis.
