La dimensione geopolitica in cui si muovono oggi le grandi società tecnologiche è sempre più intricata, tanto da trasformare scelte strategiche di business in episodi carichi di significato politico e legale. Un contesto in cui si inseriscono le recenti vicende di Capgemini, che ha annunciato la vendita della sua controllata statunitense, e di OVHcloud, coinvolta in un braccio di ferro giudiziario col Canada che mette in discussione quanto la “sovranità digitale” sia realmente difendibile. Le due situazioni, pur non essendo imparentate nel merito operativo, evidenziano i limiti e le contraddizioni tra normativa nazionale, presenza internazionale e responsabilità di controllo.

L’annuncio da parte di Capgemini della messa in vendita di Capgemini Government Solutions (CGS), la sua unità che lavora con clienti federali negli Stati Uniti, è arrivato come risposta a dure critiche per un contratto siglato con la controversa agenzia federale Immigration and Customs Enforcement (ICE). Stando a quanto dichiarato dalla stessa società francese, vincoli legali specifici del sistema contrattuale statunitense impedirebbero al gruppo di esercitare un controllo adeguato sulle operazioni di CGS, limitando la capacità di allineare questa controllata con la mission aziendale del gruppo. La decisione di vendere questa unità è stata giustificata con la necessità di garantire coerenza strategica, anche se la genesi del problema va oltre la pura operazione finanziaria.

Quel che ha attirato l’attenzione di osservatori, media e istituzioni in Francia è stato il fatto che CGS fosse inserita in contratti che prevedono servizi per l’ICE. Il premier francese e diversi parlamentari hanno sollevato interrogativi sull’opportunità etica e politica di un’impresa francese di fornire tecnologia o supporto a iniziative governative percepite come violente e discriminatorie. Un attivismo politico che ha creato pressione interna e pubblica, spingendo Capgemini a dichiarare che non era adeguatamente informata della natura di alcuni contratti e che intendeva rivedere le procedure di gestione delle controllate federali sotto un quadro di governance più trasparente.

La cessione di CGS evidenzia la difficoltà delle multinazionali di mantenere una visione unificata e controllata delle operazioni quando operano in mercati soggetti a normative fortemente divergenti. La struttura di CGS prevedeva infatti un Special Security Agreement che limitava l’accesso della casa madre francese ai dettagli tecnici e contrattuali dei progetti classificati negli Stati Uniti, creando una sorta di enclave operativa con governance separata. Questo assetto, pensato per soddisfare i requisiti di sicurezza nazionale americani, ha però generato un paradosso: ciò che era costruito per proteggere la compagnia dalla responsabilità legale si è trasformato in un fattore di rischio reputazionale e di controllo operativo.

capgemini ovh

Il caso di OVHcloud racconta invece una storia diversa ma altrettanto significativa sul tema della sovranità digitale. Un tribunale canadese dell’Ontario ha emesso un ordine di produzione (Production Order) nei confronti della società francese e della sua controllata canadese, imponendo la consegna di dati relativi ad account e sottoscrizioni associati a indirizzi IP archiviati su server situati in Francia, Regno Unito e Australia. La motivazione alla base della decisione era legata a un’indagine penale in corso, ma la portata dell’ordine ha immediatamente sollevato questioni profonde sul rapporto tra presenza giuridica, localizzazione dei dati e obblighi legali transnazionali.

L’elemento critico di questo contenzioso risiede nel fatto che OVHcloud, se dovesse obbedire all’ordine canadese, rischierebbe di violare la Loi de blocage francese, una normativa che proibisce alle imprese francesi di fornire dati a autorità straniere senza passare attraverso i canali internazionali ufficiali come le rogatorie internazionali, pena sanzioni pecuniarie e addirittura detentive. Il divario tra l’interpretazione della giurisdizione da parte di un tribunale canadese, che ha ritenuto sufficiente la “presenza virtuale” di OVH per estendere la sua competenza, e il quadro giuridico francese ha posto l’azienda in una situazione in cui qualsiasi scelta di conformità normativa la espone a rischi legali nel Paese opposto.

Questa dinamica ha enormi implicazioni per il concetto di sovranità digitale a livello strategico e normativo. Per anni la promessa di cloud “sovrano” si è basata sull’idea che la semplice localizzazione fisica dei dati in un territorio garantisse protezione contro l’accesso da parte di autorità estere. Il caso OVH dimostra invece che la giurisdizione può seguire strutture legali complesse e interpretazioni estese di presenza economica o commerciale, erodendo così la fiducia degli utenti nelle garanzie offerte dai provider europei. Aziende, governi e legislatori sono ora costretti a ripensare le fondamenta di modelli di compliance e protezione dei dati in un mondo sempre più regolato da norme che si sovrappongono e si contraddicono.

La battaglia legale di OVH è tuttora in corso, con ricorsi e opposizioni che mirano a fermare l’esecuzione dell’ordine canadese o a fornire un quadro di cooperazione internazionale più coerente. La questione tra l’altro non riguarda solo l’azienda in sé, ma investe anche temi centrali per l’industria del cloud, le politiche di data protection e la governance globale dell’infrastruttura digitale. In questo senso, la crisi di OVH può fungere da catalizzatore per discussioni più ampie tra Unione Europea, Paesi partner e provider tecnologici su come bilanciare le esigenze investigative con il rispetto della sovranità e dei diritti alla protezione dei dati.

(Immagine in apertura: Shutterstock)