La question de l’extraterritorialité des lois n’est pas l’apanage des réglementations américaines (Cloud Act, Fisa,…), d’autres pays s’en servent aussi comme le montre une affaire impliquant le Canada et qui touche OVH. En effet, selon le site allemand Heise, l’hébergeur français a été sommé par un tribunal de l’Ontario de remettra à la police canadienne des données stockées sur des serveurs basés en France, au Royaume-Uni et en Australie. Cette demande s’inscrit dans une enquête criminelle datant de 2024 où les suspects sont clients d’OVH en France et une demande avait été faite d’accéder à leurs données.

L’affaire s’est accélérée en septembre dernier où une juge a pris une « ordonnance de production », qui impose à une tierce partie de remettre à la police des données dans un délai imparti. Dans sa motivation, la magistrate s’est appuyée sur une interprétation large de la notion de « présence virtuelle ». OVH opérant à l'échelle mondiale et offrant des services au Canada, la société est soumise à la juridiction canadienne, indépendamment de l'emplacement physique de ses serveurs. Le problème est que la filiale canadienne d’OVH est une entité juridique indépendante. Elle n’a donc aucun accès technique aux données de la société mère, stockées dans des centres de données européens.

Une négociation politique infructueuse

Face à cette demande, l’hébergeur roubaisien a refusé d’accéder à la demande du tribunal canadien en invoquant la loi dite de blocage (loi n° 68-678) révisée en 2022. Elle interdit aux entreprises et aux citoyens français, sous peine de sanctions, de divulguer des informations ou des données économiquement sensibles à des autorités étrangères, sauf en cas de demande formulée par les voies légales internationales officielles. Les sanctions prévues pour non-respect de cette loi peuvent aller jusqu’à 6 mois de prison et des amendes pouvant atteindre 90 000 euros. En parallèle, OVH s’expose à des sanctions au Canada pour ne pas se conformer à l’injonction.

Ce dilemme a pris une tournure politique. Le ministère de l’Economie - via le Sisse (service de l'information stratégique et de la sécurité économique) - a adopté une position sans équivoque dans deux courriers. Le premier daté de mai 2024 et un second de janvier 2025, indiquant clairement que la communication directe des données à la police canadienne serait illégale. Le ministère de la Justice est aussi intervenu pour dialoguer avec son homologue canadien sur un traitement accéléré, s’il optait pour la voie officielle d’une commission rogatoire. La décision récente du tribunal de l’Ontario montre qu’elle préfère le passage en force sans procédure bureaucratique. OVH à fait appel de cette demande. L’issue de cette affaire est scrutée attentivement par les fournisseurs cloud.