Un tribunal canadiense ha ordenado a OVHcloud entregar datos de clientes almacenados en Europa, un fallo que podría socavar los argumentos de soberanía digital de la empresa.
Según documentos a los que tuvo acceso The Register, la RCMP emitió una Production Order en abril de 2024 exigiendo datos de suscripción y de cuentas asociadas a cuatro direcciones IP situadas en OVH en Francia, Reino Unido y Australia, dentro de una investigación penal.
Aunque OVH tiene una filial canadiense, OVH Group es una empresa francesa, por lo que los datos en Francia deberían estar protegidos por la legislación francesa; sin embargo, la orden canadiense complica esa protección.
En lugar de utilizar tratados de asistencia mutua (MLAT) entre Canadá y Francia, la RCMP buscó la divulgación directa a través de la subsidiaria canadiense de OVH, lo que evita los canales habituales.
La legislación francesa prohíbe compartir datos fuera de tratados oficiales y prevé sanciones de hasta €90,000 y hasta seis meses de prisión; negarse podría acarrear cargos por desacato.
El 25 de septiembre de 2025, la jueza Heather Perkins-McVey publicó una decisión que rechazó la solicitud de revocar la orden, señalando que el interés de seguridad nacional primaba sobre otros considerandos.
También se presentó una revisión judicial alegando que OVH podría verse forzada a elegir entre riesgos de responsabilidad penal en Canadá o Francia, y que la presión de cumplir la fecha límite agrava la urgencia.
Este caso reabre el debate sobre el CLOUD Act de Estados Unidos, que permitiría a autoridades estadounidenses exigir datos de empresas que operan en múltiples países aunque el almacenamiento sea europeo.
Si las autoridades canadienses pueden forzar acceso a datos almacenados en servidores europeos sin vías oficiales como tratados, el concepto de soberanía podría verse modificado, obligando a clientes y proveedores a replantear garantías sobre quién posee y controla la infraestructura.
Entre otros elementos, GrapheneOS anunció que ya no mantiene servidores en Francia y se retiró de OVH, citando preocupaciones de seguridad y de respaldo de datos.
The Register consultó a OVH para un comentario, y hubo una respuesta en camino al momento de la publicación.
En resumen, este caso podría establecer un precedente importante para la soberanía de datos en un ecosistema de nubes y jurisdicciones superpuestas, con implicaciones para proveedores europeos y clientes.
