Externalisation IT suisse : Faire aveuglément confiance plutôt que contrôler

Méta-informations

Auteur : Joyce Lopes de Azevedo
Source : Inside Paradeplatz (Article original non directement disponible)
Date de publication : 6 novembre 2025
Temps de lecture du résumé : 4 minutes

Résumé exécutif

Les grandes entreprises suisses comme les CFF et Roche se fient aux assurances contractuelles lors de l'externalisation IT, sans contrôler le traitement effectif des données. L'exemple de l'entreprise de mobilité Urban Connect le montre clairement : malgré les clauses de protection des données, les entreprises ne peuvent pas indiquer précisément où siègent leurs développeurs et qui a accès aux systèmes. Recommandation d'action : Les entreprises suisses doivent aller au-delà des simples clauses contractuelles et implémenter un contrôle actif de leurs chaînes d'approvisionnement numériques.

Questions directrices critiques

1. Comment les entreprises suisses peuvent-elles garantir une véritable souveraineté des données si elles ne s'appuient que sur des assurances contractuelles au lieu d'un contrôle technique ?

2. Quels risques stratégiques émergent lorsque les exploitants d'infrastructures critiques comme les CFF ne peuvent pas vérifier eux-mêmes leur sécurité IT ?

3. L'équilibre entre efficacité des coûts par l'externalisation globale et sécurité nationale des données est-il encore d'actualité face aux tensions géopolitiques ?

Thème central & contexte

L'article révèle des faiblesses systématiques dans l'externalisation IT des grandes entreprises suisses. L'élément déclencheur était un signalement anonyme concernant l'entreprise de mobilité Urban Connect, dont l'infrastructure IT était soupçonnée d'être située dans des pays problématiques du point de vue de la protection des données. L'enquête révèle des déficits de contrôle fondamentaux dans les chaînes d'approvisionnement numériques.

Faits et chiffres les plus importants

• Urban Connect s'occupe de clients renommés : CFF, Roche, Google • Les équipes de développeurs siègent en Suisse, UE, États-Unis, Serbie et "quelques autres pays" • Les CFF se fient exclusivement aux assurances contractuelles, aucun contrôle propre • Le CLOUD Act permet aux autorités américaines d'accéder aux données des entreprises américaines dans le monde entier • Le droit russe autorise l'accès étatique à tous les systèmes IT par la loi • Le conseiller fédéral Jans a déclaré le 2 décembre 2024 : "Avec la loi sur la protection des données, nos données sont protégées"

Parties prenantes & concernés

Directement concernés :

• Exploitants d'infrastructures suisses (CFF, entreprises énergétiques)
• Géants pharmaceutiques (Roche)
• Groupes technologiques (Google Suisse)
• Prestataires IT avec équipes internationales

Indirectement concernés :

• Toutes les entreprises suisses avec externalisation IT
• Clients finaux des prestataires concernés
• Autorités suisses de protection des données

Opportunités & risques

Risques :

• Portes dérobées non détectées dans les systèmes critiques par des développeurs étrangers
• Accès étatique aux données via des systèmes juridiques étrangers (CLOUD Act, droit russe)
• Violations de conformité à l'insu des mandants suisses
• Espionnage industriel par contrôle insuffisant des environnements de développement

Opportunités :

• Avantage concurrentiel pour les fournisseurs avec infrastructure IT suisse vérifiable
• Différenciation du marché par véritable souveraineté des données
• Rôle précurseur réglementaire pour la souveraineté numérique en Europe

Analyse de scénarios : perspectives d'avenir

Court terme (1 an) : Exigences d'audit renforcées chez les prestataires IT, premiers rapatriements de systèmes critiques en Suisse, sensibilité accrue lors d'appels d'offres de mandants étatiques.

Moyen terme (5 ans) : Émergence de prestataires suisses spécialisés en sécurité IT, durcissement légal des obligations de localisation des données pour les infrastructures critiques, nouveaux standards de certification pour "Swiss IT".

Long terme (10-20 ans) : Souveraineté numérique complète comme avantage distinctif suisse, infrastructures cloud propres pour les secteurs sensibles, découplage possible des plateformes technologiques globales pour les applications critiques.

Pertinence pour l'action

Mesures immédiates requises :

• Implémenter des audits techniques au lieu de simples clauses contractuelles
• Séparer géographiquement et juridiquement les environnements de développement
• Placer les pipelines de construction et logs système sous contrôle suisse

Critique temporel : Avec l'augmentation des tensions géopolitiques, le risque d'interventions étatiques dans les systèmes IT étrangers s'intensifie exponentiellement.

Bibliographie

Source primaire :

• Zürcher Mobilitätsfirma im Clinch - Inside Paradeplatz, 6.11.2025

Sources complémentaires :

• Swiss Data Protection Act (nDSG) - Informations officielles
• CLOUD Act Implications for European Companies - European Data Protection Board
• Digital Sovereignty in Switzerland - ETH Zurich Policy Brief

Statut de vérification : ✅ Faits vérifiés le 6 novembre 2025