In een recente reactie op een vraag van een parlementslid heeft de Franse minister van Onderwijs verduidelijkt dat Franse scholen geen gebruik mogen maken van Microsoft 365 en Google Workspace.
De redenen voor het standpunt van het ministerie zijn tweeledig. Ten eerste maakt het ministerie zich zorgen over de vertrouwelijkheid en de rechtmatigheid van de gegevensoverdracht. Ten tweede is het vertrouwen op Europese providers in overeenstemming met het "cloud in het centrum"-beleid van de regering. Laten we dit allemaal uitpakken.
Opmerking: Sommige van de onderstaande links zijn in het Frans, aangezien het nieuws niet veel internationale media-aandacht kreeg.
De privacyproblemen
De privacyproblemen die het gebruik van Google Workspace oplevert, zijn niets nieuws. Zoals wij hier hebben uitgelegd, kunnen persoonsgegevens van buitenlandse burgers aan indringend overheidstoezicht worden onderworpen wanneer zij naar de VS worden doorgegeven. Deze privacyproblemen hebben het Hof van Justitie van de EU ertoe gebracht twee kaders voor de doorgifte van gegevens tussen de EU en de VS nietig te verklaren in de baanbrekende Schrems I- en II-beschikkingen. Opmerkelijk is dat de minister Schrems II in zijn antwoord expliciet noemde.
Het Schrems II-arrest heeft verstrekkende gevolgen voor Europese bedrijven. In principe kunnen gegevens nog steeds worden doorgegeven aan de VS zonder een kader voor gegevensoverdracht. Het HvJEU heeft echter verduidelijkt dat Europese bedrijven de vertrouwelijkheid van gegevensoverdrachten moeten waarborgen door adequate waarborgen tegen overheidstoezicht in te voeren. In de praktijk is dit moeilijk te doen en helemaal onmogelijk voor bepaalde clouddiensten (we schreven er hier over).
In de nasleep van Schrems II hebben vier Europese gegevensbeschermingsautoriteiten (de Oostenrijkse DSB, de Franse CNIL, de Italiaanse GPDP en, meer recentelijk, de Hongaarse NAIH) zich uitgesproken tegen het gebruik van Google Analytics. De tool vereist gegevensoverdracht tussen Google Ireland Ltd. en Google LLC. In overeenstemming met het Schrems II-arrest achtten de gegevensbeschermingsautoriteiten deze gegevensoverdrachten onwettig omdat zij geen doeltreffende waarborgen boden tegen toezicht door de VS. De gegevensbeschermingsautoriteiten hebben hun aanpak van klachten over gegevensdoorgifte op Europees niveau gecoördineerd, zodat andere gegevensbeschermingsautoriteiten dit voorbeeld waarschijnlijk zullen volgen. Maar het probleem reikt verder dan Google Analytics: andere Amerikaanse diensten kunnen hierna onder vuur komen te liggen.
De CNIL is een van de gegevensbeschermingsautoriteiten die Google Analytics hebben veroordeeld. Door een krachtig standpunt in te nemen over het gebruik van Microsoft 365 en Google Workspace heeft de Franse regering het standpunt van de CNIL over gegevensoverdracht omarmd. Maar het gaat niet alleen om privacy.
Digitale soevereiniteit
Sinds vorig jaar dringt de Franse regering aan op de "cloud in het centrum"-doctrine: een langetermijnplan voor de ontwikkeling van digitale infrastructuur in het streven naar digitale soevereiniteit.
Vorig jaar drong een circulaire van de Interdepartementale Directie Digitale Zaken (DINUM) er bij de overheid op aan om Microsoft 365 te laten vallen en in plaats daarvan de on-premise Office-suite te gebruiken. Privacyoverwegingen speelden een rol, maar de regering wil ook de afhankelijkheid van Frankrijk van Amerikaanse providers op de lange termijn beperken. Het standpunt van het ministerie over Microsoft 365 en Google Workspace valt precies binnen deze digitale strategie.
Opgemerkt zij dat voor Microsoft 365 geen gegevensoverdracht buiten de EU nodig is, aangezien Microsoft alle Europese gegevens in Europese datacentra verwerkt. Volgens het directoraat is dit niet voldoende om de gegevens vertrouwelijk te houden. In feite drong het directoraat er bij de overheden op aan alleen te vertrouwen op gecertificeerde, in de EU gevestigde cloud providers die gegarandeerd gevrijwaard zijn van de toepassing van niet-EU-wetgeving (zoals de controversiële Cloud Act van de VS).
Frankrijk staat niet alleen in zijn streven naar digitale soevereiniteit: de digitale strategie van de EU erkent digitale soevereiniteit als een belangrijke doelstelling. En om de afhankelijkheid van in de VS gevestigde dienstverleners te verminderen heeft de Europese Commissie Gaia-X opgestart. Dit project brengt aanbieders van software en fysieke infrastructuur samen om een veilige omgeving voor gegevensuitwisseling te creëren op basis van interoperabele technische normen. Gaia-X moet de groei van de digitale economie in de hele Unie bevorderen, het delen van gegevens vergemakkelijken en het doel van digitale soevereiniteit dichterbij brengen.
De potentiële implicaties van een beleid inzake gegevenssoevereiniteit mogen niet over het hoofd worden gezien. Door bedrijven concurrerende, in de EU gevestigde alternatieven voor aanbieders in de VS te bieden, kunnen meer gegevens binnen de Unie worden gehouden, waar gegevensbeschermingsrechten gemakkelijker kunnen worden gehandhaafd. En door de afhankelijkheid van diensten uit de VS te verminderen, kan de EU meer invloed uitoefenen bij onderhandelingen over internationale kaders voor gegevensoverdracht.
Slotopmerkingen
De digitale strategie van de EU en Gaia-X zijn een stap in de goede richting, maar de Unie heeft nog een lange weg te gaan. Op dit moment zijn sommige aanbieders in de VS praktisch onvervangbaar.
Gelukkig is Google Analytics vervangbaar. In tegenstelling tot Google gelooft Simple Analytics in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers. Als dit resoneert met u, neem dan gerust een kijkje bij ons.