Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

OVHcloud face à un tribunal canadien : la drôle d’affaire

« Tartufferies »

OVHcloud face à un tribunal canadien : la drôle d’affaire

Image by Sang Hyun Cho from Pixabay

OVHcloud serait aux prises avec la justice canadienne, qui ordonne à l’entreprise française de remettre des données dans le cadre d’une décision de justice. Pour l’avocat Alexandre Archambault, il n’y a cependant rien de nouveau dans ce type de procédure, en vertu des accords d’adéquation et du RGPD.

Le 28 novembre à 16h10

Dans un article publié le 26 novembre, le média allemand Heise décrit une situation inextricable : OVHcloud est sommée d’obéir à une décision de justice canadienne dans le cadre d’une enquête criminelle.

18 mois plus tôt

Cette décision a été initialement rendue en avril 2024 par la Cour de justice de l’Ontario. Puisque des données sont présentes sur des serveurs appartenant à OVHcloud sur des serveurs situés en France, au Royaume-Uni et en Australie, demande est faite à la filiale canadienne de transmettre ces informations. Celle-ci étant une entité juridique indépendante, elle répond qu’elle ne peut pas transférer les informations réclamées.

Selon Heise, l’affaire remonte, en France, aux oreilles du SISSE (Service de l’information stratégique et de la sécurité économiques). Un premier courrier aurait été envoyé à OVHcloud en mai 2024 pour rappeler qu’en vertu de la loi de blocage de 1968 (renforcée en 2022), il est interdit aux entreprises françaises de transmettre des informations à une autorité étrangère hors des canaux internationaux.

Le 25 septembre suivant, la juge chargée de l’affaire en Ontario, Heather Perkins-McVey, décide que c’est la maison mère française qui doit envoyer les données. Elle motive sa décision en faisant référence à la « présence virtuelle » : « Puisque OVH opère à l’échelle mondiale et propose des services au Canada, l’entreprise est soumise à la juridiction canadienne, peu importe où se trouvent les serveurs physiques », écrivent nos confrères. Une vision qui se rapprocherait du Cloud Act américain.

Conflit diplomatique ?

La Cour aurait donné jusqu’au 27 octobre 2024 à OVHcloud pour répondre. La société française aurait alors fait appel devant la Cour supérieure de justice de l’Ontario. Janvier 2025, nouveau courrier de la SISSE, décrit comme « plus détaillé », mais enfonçant le clou : tout envoi de données à la Gendarmerie royale du Canada serait illégal.

Le 21 février, toujours selon Heise, le ministère français de la Justice serait intervenu pour assurer à ses homologues canadiens qu’ils bénéficieraient d’un « traitement accéléré » en passant par la voie officielle. Le ministère aurait ainsi montré sa volonté de coopération, indiquant qu’OVHcloud se tenait prête, l’entreprise ayant préparé les données demandées. Mais la Gendarmerie canadienne aurait insisté pour une transmission directe, appuyée par le tribunal en Ontario.

Nos confrères affirment que l’affaire est depuis suivie de près par l’industrie technologique comme illustration des tensions autour du modèle commercial habituel du cloud, et plus généralement de la notion de souveraineté des données.

L’affaire rappelle celle qui avait alimenté la création du Cloud Act américain : Microsoft était sommée par un tribunal de fournir les données d’une personne accusée de trafic de drogue. Problème, ces données étaient situées sur un serveur en Irlande, l’entreprise estimant qu’il fallait passer par la voie classique de coopération. Pour le tribunal américain, Microsoft était une entreprise mondiale dont le siège était aux États-Unis, elle devait donc pouvoir transmettre ces données, où qu’elles soient. L’emplacement physique des serveurs n’avait pas d’importance.

« C'est une tempête dans un verre d'eau ! »

L’avocat Alexandre Archambault, spécialiste des questions numériques, n’est cependant pas d’accord avec le récit que dresse Heise de la situation. Il s’étonne également des réactions émues autour de la question, car il n’y a selon lui rien de nouveau dans cette affaire.

Contacté, il ne cache pas son agacement : « Il faut qu’on arrête vraiment ces tartufferies ! C’est une tempête dans un verre d’eau. Moi ce que je vois, c’est qu’une juridiction s’est prononcée, avec des magistrats indépendants, dans le cadre d’une procédure contradictoire, publique, sur laquelle tout le monde peut faire valoir ses points de vue. On est face à une décision de justice. Et bien sûr, si on n’applique pas cette décision, on s’expose à des sanctions. Et on peut tout à fait contester la décision là-bas, ce qui a été fait ».

L’avocat cite en exemple un arrêt de la cour d'appel de Paris (via le site de la Cour de cassation) dans le cadre d’une affaire où il était exigé de la filiale allemande d’OVHcloud qu’elle applique la loi française. OVHcloud avait contesté, mais la Cour avait confirmé la validité de la demande. « On peut difficilement exiger, à juste titre d’ailleurs, d’acteurs établis hors de France de communiquer des éléments d’identification d’auteurs d’infractions en ligne, tout en s’indignant que d’autres pays fassent la même chose », estime Alexandre Archambault.

Tout est dans le RGPD

Pour l’avocat, OVHcloud « n’est pas coincée entre deux lois » et le média allemand s’est trompé. « Le droit de l’Union, notamment au titre du DSA et du prochain règlement E-evidence, dit que les acteurs du numérique établis sur le sol européen doivent coopérer avec les autorités judiciaires, quelles qu’elles soient. Tout est dans l’article 48 du RGPD ! ».

Que dit ce dernier ? Que toute « décision d'une juridiction ou d'une autorité administrative d'un pays tiers exigeant d'un responsable du traitement ou d'un sous-traitant qu'il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu'à la condition qu'elle soit fondée sur un accord international, tel qu'un traité d'entraide judiciaire, en vigueur entre le pays tiers demandeur et l'Union ou un État membre, sans préjudice d'autres motifs de transfert en vertu du présent chapitre ».

Or, rappelle l’avocat, il y a non seulement un traité d’entraide entre la France et le Canada, mais également un accord d’adéquation avec le pays. La CNIL pointait ainsi en décembre 2024 que le Canada faisait justement partie d’un groupe de onze pays bénéficiant « d’un niveau de protection adéquat », à la suite d’un examen d’évaluation de ces accords au regard du RGPD.

Les courriers du SISSE ne seraient donc que des rappels de la bonne marche à suivre dans ce contexte, mais il est difficile d’en savoir plus, leur contenu n’étant pas consultable.

Contactée, OVHcloud n’a pas souhaité réagir, indiquant simplement : « Nous ne commentons pas les décisions de justice ».

Commentaires (15)

votre avatar
Gendarmerie royale du Canada
Rien à voir avec le sujet de l'article mais ce passage m'a interpellé. "Royale" au Canada ?
En fait, c'est un roi britannique qui leur a accordé ce titre, parce que le Canada n'a vraiment été considéré indépendant qu'en 1931 (même si ça a l'air étonnamment vague). J'aurais juré que ça datait de bien plus longtemps !
votre avatar
Le canada, comme l'australie d'ailleurs les bahamas, belizes etc... font partie du royaume du commonwealth et ont donc pour roi Charles III.

Les députés prêtent serment d'allegeance au roi du commonwealth. Ca pause d'ailleurs un soucis à certains députés indépendants du québéc.
votre avatar
Ca pause d'ailleurs un soucis à certains députés indépendants du québéc.
Indépendantistes, du Bloc Québecois, mais pas indépendants :)
votre avatar
Et donc ? Conclusion ? Tout le montage juridique d'OVH pour isoler les filiales américaines n'est que poudre de perlimpinpin ?
votre avatar
Pas vraiment.
Les juridictions étrangères doivent demander à la justice française qui joue donc le rôle de filtre.
En particulier, toute demande liée à de l'espionnage d'une société française sera rejetée.

Et pour cela, il faut qu'il y ait un accord entre les deux pays.
votre avatar
Non vu qu'il faut passer par les mécanismes de coopération internationaux.

OVH a isolé ses filiales pour pas que les USA (ou autre) puissent obliger une filiale a récupérer secrètement des données chez la maison mère.
Le juge du Canada essaye de contourner un peu ça, la France demande de faire ça via les accords de coopération internationaux.
votre avatar
C'est quoi le rapport? Le montage en question protège du cloud act états-unien.
Le canada est devenu un état comme Trump le dit?
votre avatar
Peut-être que je me trompe, mais il me semble qu'OVH Inc Montréal est séparé d'OVHCloud exactement de la même façon que la filiale étasunienne. Le hardening étant le même, il est intéressant de voir comment ça fonctionne sur ce qui me semble être la première épreuve du feu pour ce mécanisme.
votre avatar
Hum... à ma connaissance, ce n'est absolument pas le même montage.
votre avatar
Je ne suis pas spécialiste, mais en regardant là https://corporate.ovhcloud.com/sites/default/files/2024-01/2023-11-20-ovh-groupe-deu-fy23-vdef_0.pdf (page 26), la filiale canadienne et la filiale US sont raccrochées au même niveau, différent des filiales des autres pays. Mais en effet, je n'ai pas lu tous les détails.
votre avatar
Nope. ce n'est pas le même niveau. Je n'ai pas tous les détail, mais la séparation EU/CA et EU/US n'est pas du tout la même tant d'un point de vu technique que juridique.
votre avatar
Quelle est la différence entre les deux montages ?
votre avatar
De ce que j'en sais, la structure US est totalement indépendante, tant juridiquement que techniquement (voir les discours d'Octave Klaba sur le sujet), tandis que le canada partage certains éléments techniques. Je crois savoir que les équipes canadienne intervienne sur les infra eu et inversement (Hors SecnuCloud). On peu par exemple avoir le support au Canada, même si on est un client EU et inversement. Ce n'est pas le cas avec les US qui ont leur propre support, leur propres DC...
votre avatar
Ce n'est pas ce que montre la page du pdf indiquée par @alex.d.

Je pensais aussi que la structure US était indépendante, mais elle est filiale de OVH GROUPE comme l'est OVH et la holding canadienne.

Qu'il y ait des différences techniques pour que ça soit plus étanche côté US, c'est possible mais côté juridique, ça semble pareil.

Je pensais que tu avais des informations précises et sourcées, mais ça n'a pas l'air d'être le cas.
votre avatar
Le Canada est en Amérique (mais pas (encore) dans les États-Unis d'Amérique).
Le montage protège de tout pays essayant d'utiliser un « cloud act ».

OVHcloud face à un tribunal canadien : la drôle d’affaire

  • 18 mois plus tôt

  • Conflit diplomatique ?

  • « C'est une tempête dans un verre d'eau ! »

  • Tout est dans le RGPD

Fermer