Auteur : inside-it.ch Source : inside-it.ch

En-tête

Auteur : Dajana Dakic
Source : inside-it.ch
Date de publication : 25 novembre 2025
Temps de lecture du résumé : 3 minutes

Résumé exécutif

L'association suisse de protection des données Privatim met en garde, dans une résolution récente, contre l'externalisation des données sensibles des autorités vers des services SaaS internationaux comme Microsoft 365. Alors que les autorités se tournent de plus en plus vers des solutions basées sur le cloud, il existe des préoccupations majeures en matière de protection des données en raison de l'absence de chiffrement de bout en bout, du manque de transparence concernant les sous-traitants et du Cloud Act américain, qui permet potentiellement aux autorités américaines d'accéder aux données suisses. Privatim considère ces externalisations comme "inadmissibles dans la plupart des cas".

Questions critiques

  • Comment les autorités suisses peuvent-elles préserver leur souveraineté numérique tout en profitant des avantages d'efficacité des infrastructures cloud modernes ?
  • Quels risques à long terme pèsent sur les droits des citoyens lorsque des données gouvernementales sensibles tombent sous l'influence de juridictions étrangères ?
  • Dans quelle mesure les fournisseurs de cloud doivent-ils améliorer leur transparence et leurs normes de protection des données pour être considérés comme des partenaires fiables pour les administrations publiques ?

Analyse des scénarios : perspectives d'avenir

À court terme (1 an) :
Les autorités devront réévaluer leurs stratégies cloud, avec des projets en cours comme celui du canton de Lucerne sous une pression de justification accrue. Les approches alternatives avec des fournisseurs locaux ou des architectures chiffrées gagnent en importance.

À moyen terme (5 ans) :
Développement d'une "informatique à deux vitesses" dans les administrations : les données non critiques pourraient rester dans les clouds internationaux, tandis que des infrastructures souveraines seraient développées pour les informations sensibles. Les alternatives cloud européennes et les solutions open source connaissent un essor.

À long terme (10-20 ans) :
La fragmentation de l'espace mondial des données le long des frontières géopolitiques pourrait s'intensifier. Simultanément, de nouveaux accords internationaux et normes techniques pourraient émerger, permettant à la fois la protection des données et l'utilisation transfrontalière des données, renforçant ainsi la souveraineté numérique des petits États.

Résumé principal

Thème central & contexte

Privatim, l'association suisse de protection des données, se positionne clairement contre l'utilisation de services SaaS internationaux tels que Microsoft 365 pour les données sensibles des autorités. Cet avertissement intervient dans un contexte de migration croissante des autorités vers le cloud, parfois sous la pression active des fournisseurs.

Faits & chiffres principaux

  • Les offres SaaS répandues comme Microsoft 365 n'offrent pas, selon Privatim, de véritable chiffrement de bout en bout
  • Le Cloud Act américain permet aux autorités américaines d'accéder potentiellement aux données, même si elles sont stockées dans des centres de données suisses
  • Des structures de fournisseurs complexes avec de longues chaînes de sous-traitants compliquent la transparence et le contrôle
  • Le canton de Lucerne prévoit actuellement de stocker des données administratives dans Microsoft 365
  • Privatim considère l'externalisation de données particulièrement sensibles comme "inadmissible dans la plupart des cas"

Parties prenantes & personnes concernées

  • Administrations cantonales et communales en Suisse
  • Citoyennes et citoyens dont les données personnelles et sensibles sont concernées
  • Fournisseurs internationaux de cloud comme Microsoft
  • Prestataires de services informatiques suisses comme alternative potentielle

Opportunités & risques

Risques :

  • Perte de contrôle significative sur les données sensibles des citoyens
  • Violations potentielles des droits fondamentaux par l'accès aux données par des autorités étrangères
  • Incertitudes juridiques concernant les données soumises à confidentialité
  • Manque de transparence dans le traitement par des tiers

Opportunités :

  • Développement d'alternatives conformes à la protection des données avec chiffrement autonome complet
  • Renforcement des infrastructures et compétences IT locales
  • Clarification du cadre juridique pour l'utilisation du cloud dans le secteur public

Pertinence pour l'action

Les autorités devraient examiner de manière critique les migrations cloud en cours et les suspendre si nécessaire. Des solutions alternatives avec gestion propre des clés et chiffrement complet des données devraient être examinées en priorité. En particulier pour les données particulièrement sensibles ou soumises à confidentialité, une stratégie de souveraineté des données est recommandée. Le développement de compétences informatiques propres et de coopérations régionales pourrait constituer une alternative à long terme.

Bibliographie

Source primaire :
Privatim : L'externalisation des données sensibles des autorités dans M365 est inadmissible

Sources complémentaires mentionnées dans l'article :

  1. Le canton de Lucerne prévoit le stockage des données administratives dans Microsoft 365
  2. La région de Rorschach lance ses propres services informatiques
  3. Souveraineté numérique : les parlementaires argoviens soumettent d'autres propositions

Statut de vérification : ✅ Faits basés sur l'article fourni