L'IA dans l'État : La liste des défaillances allemandes et le modèle d'excellence suisse

clarus.news | Analyse | 11 mai 2026

Deux cours des comptes, deux rapports, deux mondes. La Cour fédérale des comptes allemande démonte en avril 2025 le système d'information BPAvis de l'Office fédéral de presse dans ses composantes techniques de sécurité et budgétaires – aucun concept de sécurité informatique deux ans après la mise en service, urgence cloud dans Microsoft Azure, aucune analyse d'efficacité économique. Le Contrôle fédéral des finances (CDF) félicite en janvier 2026 le Tribunal fédéral pour son utilisation responsable de l'IA – charte éthique, serveurs propres, stratégie open source. La comparaison révèle plus que deux cultures administratives différentes. Elle montre à quel point Berlin et Lausanne interprètent différemment la question de la souveraineté numérique même lorsqu'ils ne la posent pas officiellement.

Deux rapports, une question

Le 7 avril 2025, la Cour fédérale des comptes allemande (BRH) a conclu son audit de la procédure « BPAvis » – ce système de l'Office fédéral de presse (BPA) qui fournit 24h/24 au Chancelier fédéral, au Président fédéral et à tous les ministères les dépêches d'agences. Le BPA désigne ce système comme « composante essentielle de la communication de crise » du gouvernement fédéral.

Le 23 janvier 2026, le Contrôle fédéral des finances a publié son rapport d'audit sur « l'utilisation de l'intelligence artificielle » au Tribunal fédéral de Lausanne. Deux applications ont été auditées : l'anonymisation assistée par IA des jugements (« Anom », en service depuis 2021) et l'alternative interne à ChatGPT « ChatTF », introduite progressivement en 2025.

Les deux rapports traitent de l'utilisation de l'IA et de l'informatique dans des institutions étatiques centrales. Les deux aboutissent à des évaluations diamétralement opposées. Et les deux évitent – avec des conséquences différentes – la question centrale : À qui appartient l'infrastructure sur laquelle fonctionne notre État ?

La liste des défaillances allemandes

Le rapport BRH se lit comme un portrait de mœurs de négligence administrative. Plus de deux ans après le transfert de BPAvis en exploitation réelle le 3 août 2021, le BPA ne dispose d'aucun concept de sécurité informatique valide – une violation claire du plan de mise en œuvre fédéral 2017 (UP Bund), qui exige « en priorité » un tel concept pour les processus métier critiques. Le BPA avait lui-même noté en interne que « les conditions formelles pour la mise en service ne seraient remplies qu'avec l'acceptation du concept de sécurité ». Il a quand même mis le système en service.

Le « journal d'audit » de la base de données SAP-HANA sous-jacente – cette fonction qui protocoliserait les événements critiques pour la sécurité – avait été désactivée par le BPA. Contre la recommandation expresse de l'Office fédéral de sécurité des technologies de l'information (BSI) ainsi que du fabricant SAP. Justification : protection des données.

La « hotline interne » pour un système censé assurer la communication de crise du gouvernement fédéral est accessible du lundi au vendredi de 9h à 17h. Le BRH qualifie cela simplement d'« inacceptable ». À la recommandation de former en conséquence les employés en équipes du centre de situation, le BPA répond en invoquant la « classification tarifaire » – autrement dit : trop cher.

Il n'y a aucun accord de niveau de service pour BPAvis. Aucun concept d'urgence selon la norme BSI 200-4. Aucune analyse d'efficacité économique en phase de planification – une violation du § 7 BHO. Aucun contrôle de réussite. Aucune statistique d'utilisation. Jusqu'en octobre 2023, 6,4 millions d'euros ont été dépensés. Pour 2024 à 2027, 4,4 millions supplémentaires sont prévus – les documents justificatifs budgétaires « reposent essentiellement sur des offres de prestataires externes ».

Remarquable : le BPA exploite pour BPAvis un système d'urgence cloud disponible en permanence dans le cloud Microsoft Azure. L'« infrastructure de crise » du gouvernement fédéral fonctionne en cas d'urgence sur un hyperscaler américain. Le BRH mentionne cela dans une note de bas de page à la page 8. Aucune évaluation politique, juridique ou liée à la souveraineté n'est effectuée.

Le modèle d'excellence suisse

Le rapport CDF sur le Tribunal fédéral est d'une autre tonalité. « Le CDF se félicite », « les risques sont traités de manière équilibrée », « base importante pour l'utilisation responsable de l'IA ». Quatre recommandations, toutes acceptées – deux d'entre elles avec la justification que le TF les met déjà en œuvre de toute façon.

Le Tribunal fédéral a édicté en 2023 des règles internes d'utilisation pour l'IA, en 2025 une charte éthique a été élaborée, qui ancre des principes centraux : autonomie (IA seulement en soutien, décision toujours par une personne juridique spécialisée), transparence, traçabilité. Les collaborateurs doivent indiquer quand des résultats de travail sont produits avec l'assistance de l'IA. Avant l'accès à ChatTF, une formation obligatoire doit être suivie.

ChatTF fonctionne sur les serveurs propres du Tribunal fédéral. Les données saisies ne quittent pas l'environnement informatique du tribunal. Comme modèle de base, le TF a choisi provisoirement le modèle open source « Llama 3.3 » de Meta – avec l'objectif à moyen terme de passer à « Apertus », le premier grand modèle linguistique suisse avec des données d'entraînement divulguées, qui est sorti en septembre 2025 de la Swiss AI Initiative des écoles polytechniques fédérales.

Le côté coûts est sobre : 170'000 CHF pour l'intégration IA dans Anom, un peu plus d'un demi-million de francs pour ChatTF (environ 6,5 pour cent du budget informatique annuel de 7,8 millions CHF). La moitié en investissements dans le matériel serveur. Les coûts courants pour les requêtes de modèles externes sont plafonnés à maximum 10'000 CHF par an. Le TF compte avoir « amorti l'investissement ChatTF dès la première année grâce aux gains d'efficacité ».

Il y a quand même des critiques – mais pondérées différemment : les risques ont été évalués jusqu'à présent « pour l'IA en général », pas pour des cas d'usage concrets. La mesure d'impact doit avoir lieu périodiquement. Les synergies avec le Tribunal administratif fédéral et le Tribunal pénal fédéral ne sont pas encore exploitées. La stratégie informatique de 2018 est en retard pour la révision. Des recommandations qui ressemblent à des améliorations, pas à un scandale.

Souveraineté : Le mot-clé omis

La différence décisive ne réside pas dans les listes de défaillances, mais dans l'architecture de la dépendance. C'est là que la comparaison devient politique.

Le BPA exploite son « infrastructure de crise » sur SAP HANA – un produit de base de données allemand, donc européen. Mais le système d'urgence se trouve dans le cloud Microsoft Azure. En cas de crise – donc exactement quand l'infrastructure de crise doit remplir son but – la distribution de messages de situation politiquement sensibles passe par les serveurs d'un groupe américain qui est soumis au CLOUD Act. C'est exactement cette constellation contre laquelle l'ancien chef de l'armée suisse Thomas Süssli avait mis en garde en septembre 2025 pour Microsoft 365 et que le conseiller national Gerhard Andrey a invoquée face à clarus.news comme justification de son coup de 10 millions au Palais fédéral : « C'est la stratégie de sortie exigée par le chef de l'armée. »

Le BRH n'aborde pas le sujet. Souveraineté, risque Cloud-Act, dépendance géopolitique – aucune section, aucune recommandation, aucune question critique. La cour des comptes vérifie si le droit budgétaire a été respecté. Que l'organe constitutionnel gouvernement fédéral utilise une infrastructure américaine en cas d'urgence n'est apparemment pas une information pertinente pour l'audit.

Le CDF emprunte le chemin opposé. Certes, l'expression « souveraineté numérique » ne figure pas non plus dans son rapport – mais tout l'éloge s'oriente sur des critères de souveraineté. Exploitation propre des serveurs. Open source. Apertus comme objectif. Sensibilisation des collaborateurs au fait que pour les modèles commerciaux, les données d'entraînement ne sont pas consultables. La prise de position du Tribunal fédéral lui-même le rend encore plus explicite : l'objectif est de « garantir l'utilisation des possibilités correspondantes avec une certaine indépendance des prestataires externes en Suisse ».

Deux cours des comptes, deux grilles d'évaluation. L'une vérifie la discipline budgétaire et néglige l'architecture. L'autre vérifie l'efficacité économique et récompense précisément ces décisions architecturales qui permettent l'indépendance. Ce n'est pas un hasard, mais l'expression de priorités institutionnelles différentes.

L'Europe peut-elle suivre ? Apertus, Llama et la réalité

C'est là que cela devient honnête – et inconfortable. Le CDF félicite le Tribunal fédéral pour le choix d'un modèle open source. Mais « Llama 3.3 », qui fonctionne actuellement sur les serveurs du TF, provient de Meta. Un groupe américain. Même si le modèle est ouvert et exploité localement, les données d'entraînement ne sont pas divulguées – un point que le CDF nomme explicitement comme risque résiduel. Avec Apertus de la Swiss AI Initiative, développé à l'ETH et l'EPFL, la Suisse veut combler cette lacune. C'est « le premier grand modèle linguistique suisse pour lequel il est divulgué avec quelles données il a été entraîné ».

La question sobre est : cela suffit-il ? Apertus est un début, pas une égalité. Les modèles leaders – GPT-5, Claude Opus 4.7, Gemini 2.5 – viennent des États-Unis. La concurrence open source leader – Llama, DeepSeek, Qwen – vient des États-Unis et de Chine. Les modèles européens comme le français Mistral sont technologiquement compétitifs, mais commercialement nettement plus petits. La Suisse joue avec Apertus dans la seconde division – et elle le fait consciemment, avec un autre objectif que la commercialité : souveraineté, transparence, bases de données suisses.

Le rapport allemand sur BPAvis montre l'alternative – et cela dans toute sa médiocrité. Le BPA n'a pas évalué s'il voulait construire un système d'urgence souverain. Il a simplement loué Microsoft Azure parce que c'était rapidement disponible. Il n'y a aucun contrôle de réussite, aucun concept d'urgence pour le cloud, pas même un accord de niveau de service propre. La souveraineté n'a pas été abandonnée – elle n'a jamais été sérieusement envisagée.

L'approche du Tribunal fédéral – avec des serveurs propres, un modèle propre, une charte propre – est plus chère par tête, plus lente dans l'introduction, plus laborieuse dans la formation. Mais elle garde les options ouvertes. La variante allemande les ferme.

Coûts et bénéfices : Facteur 16

Une comparaison directe des coûts est délicate – les cas d'usage sont différents. BPAvis dessert tout le gouvernement fédéral avec des dépêches d'agences en temps réel, 1,8 million de messages par an. Le système du TF sert 217 juristes plus les collaborateurs. La comparaison vaut quand même la peine :

Le facteur 16 entre 10,8 millions d'euros et 670'000 CHF ne vaut pas comme preuve d'efficacité. Les applications ne sont pas comparables, les groupes d'utilisateurs différents, les exigences aussi. Ce qui peut se comparer : le rapport entre coûts et bénéfice documenté. Allemagne : 10,8 millions d'euros pour un système dont la cour des comptes ne peut pas juger l'efficacité économique parce qu'elle n'a jamais été étudiée. Suisse : 670'000 CHF pour un système dont l'amortissement en un an est modélisé et dont l'impact doit être évalué périodiquement à l'avenir.

Ce n'est pas que la Suisse soit plus efficace. C'est que la Suisse opérationnalise le mot « efficacité » tout court.

Ce que les deux rapports taisent

Les lacunes dans les rapports sont aussi révélatrices que les constats. Le BRH tait complètement la question de souveraineté, bien que l'architecture cloud soit une décision stratégique centrale. Il vérifie le respect des procédures, pas la décision procédurale. Il reproduit ainsi structurellement ce que le rapport d'audit CDF 23759 sur la gouvernance de la num