USA, Kina og Rusland har vi lært at være skeptiske over for i forhold til digital suverænitet. Men listen er måske for kort, viser en retssag fra et land, de fleste betragter som en nær allieret.
Politiet gik uden om traktaten
I september 2025 afsagde en dommer i en canadisk provinsret kendelse til fordel for landets føderale politi. Politiet havde udstedt en ordre mod en stor fransk cloud-udbyder og krævede abonnent- og metadata knyttet til fire IP-adresser.
Data lå på servere i Frankrig, Storbritannien og Australien. Ikke i Canada.
Canada og Frankrig har en traktat om gensidig retshjælp til præcis den slags sager. Politiet valgte den ikke. De gik i stedet via udbyderens canadiske datterselskab og krævede direkte udlevering.
Fransk lov forbyder præcis det
En fransk lov fra 1968, styrket i 2022, straffer udlevering af data til fremmede myndigheder uden for officielle traktatkanaler. Straffen er op til seks måneders fængsel og 90.000 euro per overtrædelse.
Det franske finansministerium sendte to advarende breve. Det franske justitsministerium intervenerede formelt i februar og tilbød accelereret behandling via de officielle kanaler.
Den canadiske ret fulgte alligevel politiets anmodning.
Doktrinen hedder “virtual presence”
Rettens argument var, at fordi udbyderen sælger tjenester i Canada, er koncernen underlagt canadisk jurisdiktion. Uanset hvor serverne fysisk står.
Doktrinen bygger på en sag fra 2018, hvor en anden virksomhed frivilligt accepterede canadisk jurisdiktion. Den franske udbyder gjorde det modsatte. Canadiske privacy-jurister har kaldt retsudvidelsen i strid med folkeretten.
Udbyderen appellerede i oktober. Appellen afventer stadig afgørelse.
Samme ordlyd som amerikansk lovgivning
Kendelsen bygger på, om udbyderen har “possession or control” over data. Det er den samme ordlyd, som amerikansk cloud-lovgivning bruger til at nå data uden for USA.
Det er ikke et tilfælde. Det er et mønster.
Hvad det betyder for danske virksomheder
Jurisdiktionsrisiko er ikke et USA-spørgsmål alene. Enhver ikke-EU-jurisdiktion med en retspraksis, der rækker ud over egne grænser, kan potentielt ramme data lagret i EU.
Canada er en nær allieret. Men det ændrer ikke retsfakta.
Det betyder ikke, at den franske udbyder er kompromitteret. Moderselskabet opererer under EU-jurisdiktion, og det er stadig en solid beskyttelse. Sagen viser, hvor beskyttelsen stopper, ikke at den er illusorisk.
Minimumskravet er EU-jurisdiktion
En schweizisk, britisk eller canadisk udbyder er ikke automatisk sikker. Det er jurisdiktionens retspraksis, ikke landets politiske tilhørsforhold, der afgør risikoen.
Tjek jeres cloud-kontrakter. Har jeres udbyder datterselskaber uden for EU? Spørg ved næste udbud: Hvilke ikke-EU-jurisdiktioner kan nå jeres koncern via datterselskaber?
En uafhængig IT-rådgivning kan hjælpe med at kortlægge jeres leverandørkædes jurisdiktionseksponering og vurdere, hvor I reelt er beskyttet.
Hvornår gennemgik I sidst, hvilke jurisdiktioner der kan nå jeres data via datterselskaber i leverandørkæden?
Har du brug for rådgivning om cloud-kontrakter og jurisdiktionsrisiko?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
