L'OFSP interdit, Berne se procure : Comment le fédéralisme dévalorise la prétention de souveraineté suisse

Blog (FR)

clarus.news | Analyse | 12 mai 2026 Andreas Binggeli et Ernst Anker

L'Office fédéral de la santé publique (OFSP) veut exclure de facto les fournisseurs de cloud américains comme Microsoft, Google et AWS d'un contrat de plusieurs dizaines de millions avec le projet « Swiss Health Data Space » (SwissHDS). Justification : protection des données de patients hautement sensibles contre le US Cloud Act. Mais pendant que Berne brandit le marteau de la souveraineté au niveau fédéral, l'hôpital de l'Île, cofinancé par le canton, exploite depuis mars 2024 le système d'information clinique américain Epic – avec des coûts totaux désormais de 228 millions de francs. Et le Conseil d'État veut en plus faire d'Epic le standard cantonal pour tous les hôpitaux publics. La question centrale : À quoi sert une interdiction fédérale américaine si 26 cantons sont autonomes dans leurs acquisitions – et commandent massivement le contraire ?

Ce que l'OFSP exige – et ce que l'OFCL encaisse justement

Le projet SwissHDS de l'OFSP doit créer un espace de données interconnecté pour l'échange de données de patients entre médecins et hôpitaux. En février 2026, l'office a publié les premiers documents sur la plateforme d'acquisition Simap. L'exigence explosive figure dès la première place : « Toute l'infrastructure SwissHDS doit être soumise exclusivement à l'ordre juridique suisse. » Le US Cloud Act est explicitement mentionné – cette loi qui oblige les groupes américains dans le monde entier à accorder l'accès aux données aux autorités américaines, indépendamment de l'emplacement des serveurs.

Ce serait un veto de facto contre Microsoft, Google et AWS. Mais l'Office fédéral des constructions et de la logistique (OFCL), responsable des acquisitions, fait déjà marche arrière. Le chef des acquisitions Thierry Vauthey a déclaré au « NZZ am Sonntag » que les documents téléchargés n'étaient pas encore un appel d'offres OMC, mais une « consultation du marché ». Et puis la phrase décisive : si la Confédération lance un jour le contrat de plusieurs millions, l'exclusion des entreprises américaines formulée aujourd'hui ne serait pas admissible.

Ainsi, la prétention de souveraineté fédérale est déjà juridiquement dévalorisée avant l'appel d'offres proprement dit. La Suisse est liée à l'accord d'acquisition OMC GPA, qui exige l'égalité de traitement de tous les soumissionnaires des États membres. Une exclusion générale des entreprises américaines serait un protectionnisme contraire au droit international – du moins selon l'interprétation actuelle et d'autant plus que la Suisse mène parallèlement des négociations commerciales avec l'administration Trump.

Cela correspond à la ligne plus large de la Chancellerie fédérale. Celle-ci a publié pour la première fois le 12 décembre 2025 des directives contraignantes pour la souveraineté numérique. Elles ne s'appliquent – important – qu'à l'administration fédérale centrale. Pour les projets présentant des risques de souveraineté, le Conseil de numérisation de la Confédération doit être informé. Pour les cantons, communes et organismes institutionnellement autonomes comme les hôpitaux de droit public : au mieux une orientation.

La Stratégie Suisse numérique a un angle mort

La « Stratégie Suisse numérique » actualisée en décembre 2025 place explicitement la souveraineté numérique comme thème prioritaire 2026. Mais : « Elle est contraignante pour l'administration fédérale. Pour d'autres acteurs comme les cantons, communes, économie, science et société civile, elle sert d'orientation », peut-on lire sur digital.swiss.

C'est exactement là que la prétention se brise contre la réalité fédérale. Le Conseil fédéral a certes pris avec la Conférence des gouvernements cantonaux (CdC) le 19 décembre 2025 une décision de principe pour développer l'Administration numérique Suisse (DVS) vers une plateforme politique avec normalisation contraignante. Le Conseil fédéral a même commandé une révision partielle de la Constitution fédérale. Mais un projet de consultation prendra des mois, un changement constitutionnel avec votation populaire des années. Et dans cette lacune se créent des faits accomplis – et de gros, coûteux et difficilement réversibles.

Hôpital de l'Île : 228 millions pour un système américain – avec la bénédiction du préposé bernois à la protection des données

C'est dans la ville fédérale même que cela se montre le plus impressionnant. Le groupe de l'Île – le plus grand réseau hospitalier universitaire de Suisse et propriété du canton de Berne – a introduit le 2 mars 2024 le système d'information clinique Epic. Fabricant : Epic Systems Corporation basée à Verona, Wisconsin (États-Unis).

L'Île a révélé pour la première fois en février 2026 les coûts totaux : 182,5 millions de francs de coûts d'introduction uniques plus 45 millions de francs de coûts d'exploitation jusqu'en 2032 – soit 228 millions de francs au total. L'appel d'offres original de 2020 s'élevait à 83 millions. L'Île justifie les coûts supplémentaires par l'augmentation du nombre de cas et d'utilisateurs, les modules achetés après coup, le conseil externe et la TVA. Les seuls coûts externes de licences et de conseil représentent 101,6 millions de francs, auxquels s'ajoutent 52,5 millions de francs de coûts de personnel interne pour la phase de projet de quatre ans.

Politiquement encore plus explosif : le Grand Conseil du canton de Berne a rejeté le 2 mars 2026 par 93 voix contre 58 un postulat pour examiner les surcoûts. Justification : la Commission de gestion a déjà entamé des clarifications. Les 228 millions seront donc traités sans enquête parlementaire formelle – bien que la différence par rapport au premier appel d'offres dépasse les pertes annuelles de 2022, qui ont conduit à la fermeture des hôpitaux de Münsingen et Tiefenau.

Pour la protection des données, l'Île exploite Epic « on-premises » sur ses propres serveurs dans le centre de calcul local à Berne. Christoph Zwaan, porte-parole médias de l'Île, assure : « L'exploitation d'Epic et les données de patients qu'il contient restent sur les serveurs du groupe de l'Île. » Le préposé bernois à la protection des données Ueli Buri a examiné le système et exigé des mesures de compensation – instructions sur les droits d'accès, protocoles, contrôles. Les 86 constats ouverts à l'origine sont tombés à 25.

Mais : la question centrale de la souveraineté du fournisseur – le fabricant américain peut-il changer les conditions de licence, augmenter les prix ou céder à la pression de ses propres autorités ? – n'est justement pas résolue par le stockage local des données. Le concurrent suisse Cistec avec le système KISIM (utilisé à Fribourg et Saint-Gall) livre exactement ici une autre promesse : « Tous les postes de travail se trouvent en Suisse », dit la responsable des comptes-clés Laura Fässler. « De même, toutes les données de santé sont exclusivement stockées en Suisse. » Le canton de Berne a décidé contre cette voie.

Le double coup de Berne : Epic pour tous les hôpitaux de la liste

La contradiction s'agrandit. En juin 2025, le Conseil d'État bernois a mis en consultation un projet de « Plateforme de santé numérique ». Objectif : tous les hôpitaux publics de la liste du canton doivent travailler avec le même système d'information clinique – et précisément avec Epic. La seule construction de la plateforme est chiffrée à onze millions de francs, les coûts de migration dans les différents hôpitaux comme « considérables ». Les hôpitaux privés comme Hirslanden, Lindenhof ou Swiss Medical Network pourraient participer volontairement.

L'Association suisse de la santé numérique (SVDG) et l'IG eHealth mettent en garde contre un effet de verrouillage et une position de monopole d'Epic. Concrètement sur la protection des données : « Sous le Cloud Act, les données de patients pourraient être exposées à l'accès des autorités américaines. » Exactement cette argumentation avec laquelle l'OFSP veut bannir les fournisseurs américains au niveau fédéral pour le SwissHDS, le Conseil d'État bernois la rejette pour sa propre plateforme cantonale.

Le grand conseiller Casimir von Arx (PVL) critique la charge financière et les problèmes de protection des données – sans majorité politique. Et Berne n'est pas seul : l'Hôpital universitaire de Zurich (USZ) a également choisi Epic, Cistec y a déposé plainte. L'hôpital des enfants de Zurich, l'hôpital cantonal de Lucerne et l'hôpital universitaire de Lausanne utilisent aussi Epic. La Charité de Berlin suit dès 2029 pour 200 millions d'euros.

Qui décide en fait ? La carte des compétences

La question fédérale du jour : Qui en Suisse est seulement habilité à prescrire de manière contraignante à une autorité – Confédération, canton ou organisme hospitalier proche du canton – qu'un logiciel peut être exploité de manière souveraine, donc indépendamment du fournisseur ?

La réponse est décevante :

  • Administration fédérale : Directives contraignantes de la Chancellerie fédérale (décembre 2025), basées sur l'EMBAG. Obligation open source pour les développements propres de la Confédération selon l'article 9 EMBAG. Stratégie Suisse numérique avec focus souveraineté numérique.
  • Cantons : Propre législation, propres procédures d'acquisition via le concordat intercantonal IVöB, propres autorités de protection des données. La stratégie DVS 2024–2027 est coopérative et non contraignante.
  • Hôpitaux cantonaux et organismes de droit public comme le groupe de l'Île : Acquisitions autonomes. Surveillance par l'office cantonal de protection des données.
  • Hôpitaux privés : Complètement autonomes.

Cela signifie concrètement : Même si l'OFSP trouve demain un moyen conforme à l'OMC d'exclure les fournisseurs Cloud-Act du SwissHDS – par exemple via des exigences sécuritaires au lieu d'exclusions directes d'origine –, cela n'empêche nullement le canton de Berne de déclarer Epic standard obligatoire pour ses hôpitaux. Et cela n'empêche pas le canton de Zurich d'introduire Epic à l'USZ. Un « groupe de travail interdépartemental pour la souveraineté numérique » de la Confédération sous la direction du Secrétariat d'État à la politique de sécurité du DDPS analyse les risques jusqu'en 2027 – sans emprise sur les cantons ou communes.

Le Conseil fédéral lui-même a livré la définition dans son rapport au postulat 22.4411 Z'graggen « Souveraineté numérique de la Suisse » : « La souveraineté numérique signifie, en tant qu'État, disposer de la capacité de contrôle et d'action nécessaire dans l'espace numérique pour assurer l'accomplissement des tâches étatiques. » Que reste-t-il de cette capacité de contrôle et d'action quand le système informatique le plus important du plus grand hôpital universitaire de Suisse est livré de Verona, Wisconsin – et que le Conseil d'État cantonal veut en faire le standard du secteur ?

Exploitable de manière souveraine : La question que personne ne pose

C'est exactement là que se trouve l'angle mort de tout le débat. Aussi bien l'argument de l'OFSP (« exclure les fournisseurs sous Cloud Act américain ») que l'argument de l'Île (« les données sont sur nos serveurs ») esquivent la question vraiment décisive :

Le logiciel acquis peut-il continuer à être exploité même si le fabricant résilie le contrat, rencontre des difficultés économiques ou cède à la pression réglementaire de son pays d'origine ?

Pour Epic : Non. Sans licences, mises à jour et support du fabricant américain, le système ne pourrait pas être exploité durablement. Les données de patients seraient certes physiquement à Berne, mais le système autour serait mort. Le groupe de l'Île aurait investi 228 millions de francs dans une infrastructure dont la durée de vie dépend de la politique commerciale d'une entreprise du Wisconsin.

Pour Microsoft 365 : Non. Pour Broadcom/VMware dans la Nouvelle plateforme de numérisation de l'armée, comme clarus.news l'a analysé en avril : également non. Pour AWS, Azure ou Google Cloud : encore moins.

« De facto, le logiciel n'a pas été acheté, mais seulement un droit d'usage acquis », résume Matthias Stürmer, professeur à la Haute école spécialisée bernoise et initiateur du réseau Suisse numérique souveraine, le problème fondamental. « La propriété intellectuelle est restée chez le fournisseur, qui a ainsi pu étendre son influence sur l'administration au cours des 20 dernières années. »

Un test de souveraineté opérationnelle – le système peut-il continuer à fonctionner avec des codes sources séquestrés, des interfaces documentées et des tiers exploitants qualifiés même sans le fabricant original ? – manque dans la plupart des acquisitions. C'est exactement ce test qu'une stratégie de souveraineté sérieuse devrait exiger, au lieu de s'obstiner sur la question du siège du fournisseur, que le droit OMC ne permet de toute façon pas. Il est neutre quant à l'origine, techniquement vérifiable, et toucherait les fournisseurs suisses et européens autant qu'américains.

Conclusion : La souveraineté en 26 versions n'est pas de la souveraineté

L'interdiction BAG-SwissHDS pour les fournisseurs américains est un signal politique – mais juridiquement questionnable et pratiquement inefficace, tant que les cantons achètent Epic,

Zurück zur Übersicht