Auteur : clarus.news Source : clarus.news Date de publication : 12.05.2026

Mode rédactionnel : CLARUS_ANALYSIS Recommandation d'index : INDEX Langue/Rôle : FULL_ANALYSIS Date de vérification des faits : 12.05.2026

Résumé court

L'Office fédéral de la santé publique (OFSP) veut exclure de facto les fournisseurs de cloud américains tels que Microsoft, Google et AWS du projet « Swiss Health Data Space » (SwissHDS) – pour se protéger contre le US Cloud Act. Parallèlement, le groupe Insel, cofinancé par le canton de Berne, exploite depuis mars 2024 le système américain d'information clinique Epic avec des coûts totaux de 228 millions de francs. Le canton prévoit de faire d'Epic la norme pour tous les hôpitaux publics. La tension centrale : un système fédéral dans lequel la Confédération exige la souveraineté, tandis que 26 cantons restent autonomes dans l'acquisition informatique – et commandent de facto le contraire.

Personnes

Thèmes

  • Souveraineté numérique Suisse
  • US Cloud Act et protection des données
  • Fédéralisme et acquisition informatique
  • Système de licences Epic
  • Capacité de contrôle de l'État dans l'espace numérique

Clarus Lead

La Suisse prêche la souveraineté au niveau fédéral – et pratique la dépendance technologique dans le même souffle. L'OFSP formule des exigences conformes à l'OMC, tandis que l'Office fédéral des bâtiments et de la logistique (BBL) les rejette déjà avant l'appel d'offres comme « inadmissibles ». Le véritable problème : l'incohérence fédérale. Tant que les cantons peuvent acheter Epic, Microsoft et Broadcom sans entrave pour leurs infrastructures essentielles, tout signal de souveraineté fédérale reste une politique symbolique – répartie sur 26 versions différentes.

Résumé détaillé

Le projet SwissHDS de l'OFSP vise à créer un espace de données connecté pour les données des patients entre médecins et hôpitaux. En février 2026, le bureau a énoncé une exigence centrale : « L'ensemble de l'infrastructure SwissHDS doit être exclusivement soumis à l'ordre juridique suisse » – explicitement pour exclure le US Cloud Act, cette loi qui oblige les sociétés américaines à accorder aux autorités américaines l'accès aux données dans le monde entier. Ce qui aurait constitué un veto de facto contre les trois plus grands fournisseurs de cloud.

Mais le BBL bat déjà en retraite. Le chef des achats Thierry Vauthey a déclaré au « NZZ am Sonntag » que les documents publiés n'étaient pas un appel d'offres OMC, mais une « étude de marché ». Point essentiel : lors de l'appel d'offres proprement dit, une exclusion générale des sociétés américaines serait contraire au droit international – la Suisse est tenue par l'accord OMC sur les marchés publics (AMP) et mène parallèlement des négociations commerciales avec l'administration Trump.

La chancellerie fédérale a édité le 12 décembre 2025 des lignes directrices contraignantes pour la première fois en matière de souveraineté numérique – mais uniquement pour l'administration fédérale centrale. Les cantons, les communes et les organes de droit public ne reçoivent que des « orientations ». La « Stratégie Suisse numérique » 2026 a un angle mort : elle n'est pas contraignante au niveau fédéral.

Le groupe Insel, plus grand réseau hospitalier universitaire de Suisse et propriété du canton de Berne, a implanté Epic le 2 mars 2024 – un système américain d'information clinique d'Epic Systems Corporation de Verona, Wisconsin. Les coûts : 182,5 millions de francs en une seule fois, 45 millions jusqu'en 2032 pour l'exploitation, soit 228 millions au total – par rapport à un premier appel d'offres de 83 millions. Les seuls coûts externes de licence et de conseil s'élèvent à 101,6 millions. Le Grand Conseil a rejeté le 2 mars 2026 par 93 voix contre 58 une enquête sur ces surcoûts.

Techniquement, l'Insel stocke les données des patients « sur site » sur ses propres serveurs à Berne. Le préposé bernois à la protection des données Ueli Buri a examiné le système, a exigé des mesures de compensation et a réduit les résultats en suspens de 86 à 25. Mais la question centrale reste : l'Insel peut-elle exploiter le système sans licences, mises à jour et support du fabricant américain ? Non. Matthias Stürmer, professeur à la Haute école spécialisée bernoise, diagnostique le problème fondamental : « En fait, le logiciel n'a pas été acheté, seul un droit d'utilisation a été acquis. La propriété intellectuelle est restée chez le fournisseur. »

Le concurrent suisse Cistec avec le système KISIM (utilisé à Fribourg et Saint-Gall) fait une autre promesse : « Tous les postes de travail sont situés en Suisse, et les données de santé ne sont stockées qu'en Suisse. » Le canton de Berne a rejeté cette approche.

En juin 2025, le Conseil d'État bernois a lancé un projet de « Plateforme numérique de santé » : tous les hôpitaux de liste publique du canton devraient fonctionner avec Epic. Coûts de mise en place : onze millions de francs. L'Association suisse pour la santé numérique (SVDG) et l'IG eHealth avertissent des risques d'enfermement et de position dominante. Ils soutiennent : « En vertu du Cloud Act, les données des patients pourraient être exposées à l'accès des autorités américaines » – exactement la justification par laquelle l'OFSP veut bannir les fournisseurs américains au niveau fédéral. L'Hôpital universitaire de Zurich (USZ), l'Hôpital pédiatrique de Zurich, l'Hôpital cantonal de Lucerne et l'Hôpital universitaire de Lausanne misent également sur Epic. La Charité de Berlin suit à partir de 2029 pour 200 millions d'euros.

La question des responsabilités est fragmentée : l'administration fédérale suit des lignes directrices contraignantes ; les cantons ont leur propre législation et leurs propres procédures d'acquisition ; les hôpitaux cantonaux acquièrent de manière autonome ; les hôpitaux privés sont totalement libres. Un « groupe de travail interdépartemental sur la souveraineté numérique » au niveau fédéral analyse les risques jusqu'en 2027 – sans force contraignante. Le Conseil fédéral lui-même a défini en 2024 : « La souveraineté numérique signifie que l'État dispose de la capacité de contrôle et d'action requise dans l'espace numérique. » Cette capacité est fragmentée.

Déclarations clés

  • L'OFSP exige l'exclusion du US Cloud Act pour SwissHDS ; le BBL déclare cela contraire aux droits de l'OMC avant même que l'appel d'offres ne commence.
  • Le groupe Insel investit 228 millions dans Epic, un système américain dont l'exploitation continue dépend du fabricant – et non du stockage local des données.
  • Le véritable test de souveraineté est manquant : un système peut-il fonctionner sans le fabricant original ? Pour Epic, Microsoft, Broadcom : non.
  • Incohérence fédérale : la Confédération fait des revendications de souveraineté que ses propres obligations OMC ne lui permettent pas – et les cantons ne sont pas tenus de les respecter.
  • La France dispose de la DINUM, une autorité interministérielle avec pouvoir de direction ; la Suisse a une stratégie, une plateforme et un conseil, mais pas de coordination contraignante.

Questions critiques

1. Preuve/Qualité des données : Quelle est réellement la transparence des estimations de coûts du groupe Insel ? Les 228 millions de francs ont-ils fait l'objet d'une validation indépendante, ou la transparence repose-t-elle uniquement sur un communiqué sans rapport d'audit ?

2. Preuve/Validité des sources : Le BBL déclare l'exclusion de souveraineté « non conforme à l'OMC » – mais existe-t-il un avis juridique formel, ou s'agit-il d'une position interprétative ? Quel jeu de liberté l'accord AMP offre-t-il réellement pour les exigences liées à la sécurité ?

3. Conflits d'intérêts : Quel rôle jouent les contacts commerciaux d'Epic et les cabinets de conseil dans la décision d'acquisition du groupe Insel et du canton de Berne ? Les conflits d'intérêts potentiels ont-ils été divulgués ?

4. Causalité/Alternatives : L'analyse affirme que Cistec avait fait une offre conforme à la souveraineté. Pourquoi celle-ci a-t-elle été explicitement rejetée – en raison des performances, des coûts, de l'intégration ou du lobbying ?

5. Causalité : Le préposé bernois à la protection des données Ueli Buri peut-il réellement empêcher qu'Epic ne divulgue les données sous la pression des autorités américaines – ou ses « mesures de compensation » sont-elles des contrôles qui seraient insignifiants en cas d'activation du Cloud Act ?

6. Faisabilité/Risques : Un « test opérationnel de souveraineté » avec « codes source en dépôt » et « exploitants tiers qualifiés » – dans quelle mesure est-ce réaliste comme norme pour des centaines de cantons et de communes ? Quels exploitants tiers se qualifient pour les systèmes Epic ?

7. Faisabilité : L'adaptation de la Constitution sur l'Administration numérique Suisse devrait exiger des « mois » pour la consultation et des « années » pour l'adoption. Comment les normes peuvent-elles être contraignantes tant que cette lacune constitutionnelle existe ?

8. Effets secondaires/Mise en œuvre : Si la Confédération crée à l'avenir un mandat de souveraineté pour les cantons – qui supervise et sanctionne les violations ? Existe-t-il des précautions juridiques contre les cantons qui profiteraient de l'occasion ?

Bibliographie

Source primaire : L'OFSP interdit, Berne se procure : Comment le fédéralisme dévalorise la prétention suisse à la souveraineté – clarus.news, 12 mai 2026

Sources complémentaires :

  1. NZZ am Sonntag : « Kein Deal für die Amerikaner – Bund legt sich mit US-Techriesen an », 09.05.2026
  2. Berner Zeitung : « Grosser Rat lehnt Untersuchung zu Insel-IT Epic ab », 02.03.2026
  3. Chancellerie fédérale : « Lignes directrices pour la souveraineté numérique dans l'administration fédérale », 12.12.2025
  4. Conseil fédéral : Rapport au postulat 22.4411 Z'graggen « Souveraineté numérique de la Suisse »
  5. Contrôle fédéral des finances : Rapport d'audit 23759 « Pilotage de la numérisation Confédération », novembre 2024

Statut de vérification : ✓ 12.05.2026

Ce texte a été créé avec le soutien d'un modèle d'IA. Responsabilité éditoriale : clarus.news | Vérification des faits : 12.05.2026