Auteur: bk.admin.ch
Auteur: Chancellerie fédérale, domaine Transformation numérique et pilotage des TIC (DTI)
Source: bk.admin.ch – W012 Directives souveraineté numérique
Date de publication: 10 décembre 2025 (Entrée en vigueur: 1er janvier 2026)
Temps de lecture: env. 8 minutes
Résumé analytique
L'administration fédérale suisse s'engage avec la nouvelle directive W012 à examiner et renforcer systématiquement sa souveraineté numérique dans tous les projets informatiques pertinents. Le dispositif ambitieux établit une grille d'analyse bidimensionnelle (8 niveaux technologiques × 6 valeurs fondamentales) et fait de l'indépendance numérique une exigence contraignante. Cependant, il manque une analyse critique du rapport effort-rendement : la question de savoir si la charge administrative supplémentaire due à l'intégration HERMES et aux obligations de documentation est économiquement justifiée reste sans réponse. Une analyse comparative au niveau international montre que l'Allemagne choisit des approches plus pragmatiques et basées sur les risques.
Questions directrices critiques sur la souveraineté numérique
Liberté & Autonomie: Le caractère obligatoire de W012 (exigences DOIT) restreint-il la flexibilité des chefs de projet dans la gestion des dépendances, ou crée-t-il une véritable liberté d'action par la transparence?
Responsabilité & Transparence: Qui porte la responsabilité financière pour les mesures de souveraineté plus onéreuses (développement interne plutôt que cloud) lorsque ces coûts sont supportés par l'État (et donc les contribuables)?
Preuve & Scalabilité: Existe-t-il des preuves empiriques que le système à 8 niveaux fonctionne dans la pratique, ou existe-t-il un risque de bureaucratisation excessive sans gain de sécurité démontrable?
Économie & Efficacité: Le rapport effort-rendement est-il clarifié – en particulier pour les petits projets qui supportent une lourde charge documentaire due à l'obligation de liste de contrôle HERMES?
Innovation & Compétitivité: La forte emphase sur l'indépendance conduit-elle à des solutions sous-optimales qui ne peuvent pas concurrencer les fournisseurs de cloud mondiaux, ou favorise-t-elle précisément l'autonomie technologique?
Analyse des scénarios – Perspectives de politique numérique
| Horizon temporel | Évolution attendue | Risques | Opportunités |
|---|---|---|---|
| Court terme (1 an) | Phase de transition administrative ; première mise en œuvre aux jalons ; résistance à la surcharge HERMES | Retards de projet dus aux points de contrôle supplémentaires ; pénurie de personnel qualifié pour les évaluations | Détection précoce des risques dans les projets informatiques critiques ; évitation de pièges de dépendance coûteux |
| Moyen terme (5 ans) | Changement culturel dans l'administration fédérale ; émergence de stratégies de double approvisionnement ; collaboration renforcée avec les cantons et la recherche | Fragmentation plutôt que standardisation ; coûts des solutions redondantes ; fuite des talents vers le secteur privé | Infrastructures critiques renforcées ; constitution de savoir-faire dans le secteur public ; moins de dépendance au fournisseur |
| Long terme (10–20 ans) | La stratégie européenne de souveraineté pourrait converger avec l'approche suisse ; ou isolement dû à des objectifs d'indépendance trop stricts | Retard technologique ; coûts énormes du cycle de vie ; risques de sécurité dus aux initiatives unilatérales | Autonomie technologique stratégique ; postes attrayants dans les domaines critiques ; résilience géopolitique |
Thème central & Analyse contextuelle
W012 régit l'intégration systématique de la souveraineté numérique comme critère obligatoire dans l'administration fédérale. La souveraineté désigne ici: capacité de contrôle et d'action dans l'espace numérique, pour pouvoir accomplir les tâches d'État de manière indépendante – sans dépendances forcées vis-à-vis de fournisseurs individuels, de systèmes propriétaires ou d'infrastructures critiques.
Le dispositif réglementaire repose sur un modèle matriciel:
- Verticalement: 8 niveaux technologiques (des matières premières aux systèmes juridiques)
- Horizontalement: 6 valeurs fondamentales (indépendance, coûts, protection des données, résilience, coopération, innovation)
Objectif: Décisions systématiques et traçables concernant la souveraineté dès la conception du projet, pas rétroactivement.
Faits et chiffres essentiels
Domaine de validité
- Caractère obligatoire: Administration fédérale centrale (8 départements + autorités centrales)
- Entrée en vigueur: 1er janvier 2026
- Effet rétroactif: Seulement pour les nouveaux projets ; projets en cours optionnels
- Fondement juridique: DigiV (Ordonnance sur la numérisation), art. 40
Mécanisme de mise en œuvre
- Point d'intégration: Système de gestion de projet HERMES
- Obligation d'examen: Points de liste de contrôle à chaque jalon
- Documentation: Obligatoire ; les résultats doivent influencer les processus de décision
- Escalade: Projets d'importance stratégique → Conseil de numérisation de la Confédération (DRB)
Modèle de niveaux (domaine d'action pertinent)
- Niveau 3: Infrastructure de communication (haut débit, téléphonie mobile, satellite)
- Niveau 4: Infrastructure informatique (cloud, centres de données, machines virtuelles)
- Niveau 5: Services de plateforme (Kubernetes, Docker, plateformes analytiques)
- Niveau 6: Espaces de données (registres, échange de données)
- Niveau 7: Logiciels & SaaS (Office, applications métier, frameworks IA)
- Niveau 8: Système juridique et de valeurs (identité électronique, normes, traités commerciaux)
⚠️ Niveaux 0–2 (matières premières, composants, approvisionnement de base) sont volontairement exclus – échappent à la sphère directe d'action de l'administration fédérale.
Valeurs fondamentales & Champs de tension
| Valeurs fondamentales globales | Valeurs fondamentales spécifiques |
|---|---|
| Indépendance & Contrôle | Résilience |
| Coûts & Économie | Protection des données & Infosécurité |
| Coopération & Standardisation | |
| Innovation & Caractère approprié |
Remarque critique: La directive reconnaît que les valeurs fondamentales peuvent entrer en conflit (par ex. indépendance vs. coûts, innovation vs. sécurité), sans fournir cependant de critères de hiérarchisation.
Comparaison avec l'Allemagne : Plus pragmatique, basée sur les risques
Allemagne (Stratégie BSI, 2022–2025):
- Catégorisation basée sur les risques plutôt que systématique universelle
- Accent sur systèmes critiques (santé, finances, infrastructure)
- Listes de contrôle cloud avec matrices de priorisation (tous les projets ne sont pas traités de la même façon)
- Collaboration étroite avec les objectifs de souveraineté de l'UE (GAIA-X, Schrems II numérique)
- Modèle hybride pragmatique : cloud d'abord, mais avec exceptions de cloud souverain
Suisse (W012):
- Application systématique et universelle à tous les projets informatiques
- Documentation obligatoire dès la phase d'étude
- Accent plus fort sur l'indépendance comme valeur en soi (pas seulement basée sur les risques)
- Pas de référence explicite à l'harmonisation internationale (UE, OTAN)
Évaluation: L'Allemagne économise les charges administratives par la hiérarchisation ; la Suisse a une intensité de contrôle plus élevée, mais aussi des charges de conformité plus importantes.
Parties prenantes & Personnes affectées
Affectées principalement
- Chefs de projet & Mandataires: Points de liste de contrôle HERMES supplémentaires, obligation de documentation, risque d'escalade
- Départements informatiques (groupes CIO): Pression pour les développements internes plutôt que pour les solutions cloud standard
- Conseil de numérisation de la Confédération: Nouvelle fonction de gouvernance pour évaluer les dépendances stratégiques
Affectées secondairement
- Contribuables: Coûts potentiellement plus élevés dus aux redondances et aux développements internes
- Éditeurs de logiciels & Fournisseurs de cloud (Microsoft, AWS, Google, SAP): Chances de marché réduites pour les projets fédéraux ; pression pour des solutions de résidence des données locales
- Sociétés de conseil (Accenture, IBM, Sopra Steria): Nouvelles opportunités de marché pour les évaluations de souveraineté
- Écoles polytechniques & Instituts de recherche: Partenariat potentiel dans les développements internes (applications GEVER-IA, stratégies open source)
Opportunités & Risques
| Opportunités | Risques |
|---|---|
| Détection précoce des risques: Les scénarios de dépendance au fournisseur sont identifiés dès la phase de planification | Charges bureaucratiques: La contrainte de liste de contrôle pourrait mener à une pensée « cocher des cases » au lieu d'une vraie souveraineté |
| Autonomie cognitive: L'administration fédérale conserve une compréhension stratégique des systèmes critiques | Explosion des coûts: Les développements internes et les redondances sont bien plus chers que le standard cloud |
| Création de valeur dans le secteur public: Incitations pour les experts en informatique dans les rôles informatiques critiques | Retard technologique: L'accent sur l'open source pourrait découpler des innovations commerciales |
| Coopération fédérale: Les cantons pourraient adopter des normes similaires → mise à l'échelle nationale | Blocages de gouvernance: L'escalade au DRB pourrait retarder les approbations de projets |
| Résilience géopolitique: Indépendance vis-à-vis des plateformes dominées par les États-Unis/Chine | Lacunes d'exécution: Les petites unités administratives pourraient manquer d'expertise en matière d'évaluation |
Problème principal : Rapport effort-rendement non clarifié
La question critique de la viabilité économique
La directive nomme la viabilité économique comme valeur fondamentale (effort ↔ rendement), mais ne la définit pas de manière opérationnelle. Questions ouvertes :
Quel effort est proportionnel?
- La documentation pour un petit portail intranet coûte-t-elle autant que pour un registre sanitaire?
- Existe-t-il des seuils ou des catégorisations?
Quel est le rendement mesurable?
- Comment les unités administratives quantifient-elles « la capacité de contrôle »?
- Existe-t-il des KPI pour la souveraineté?
Responsabilité financière?
- Qui paie pour les solutions plus coûteuses (développement interne vs. cloud)?
- Existe-t-il des budgets informatiques supplémentaires pour les mesures de souveraineté?
Constat: La directive transfère la responsabilité d'une évaluation technique aux responsables de projets, sans que le soutien central ou l'harmonisation budgétaire soit clarifiée. → Risque de sous-investissement (documentation trop superficielle) ou de surécution (solutions trop conservatrices).
Pertinence pour l'action des décideurs
Ce que les CIO, les chefs de département et le Conseil fédéral devraient observer
Audit de mise en œuvre (Q2 2026):
- Comment W012 est-il réellement mis en œuvre? Les points de liste de contrôle sont-ils une formalité ou une analyse authentique?
- Combien de temps un processus d'approvisionnement prend-il avec des points d'examen supplémentaires?
Analyse d'impact sur les coûts:
- Capture des surcoûts dus à l'exploitation interne vs. standard cloud dans les 10–15 premiers projets
- Benchmark: Comparaison avec les approches allemande, autrichienne ou scandinave
Test de gouvernance:
- Le Conseil de numérisation de la Confédération est-il surchargé par les escalades?
- Quelle clarté existe sur les critères d'« importance stratégique »?
Réalité des ressources humaines:
- Les unités administratives peuvent-elles développer une expertise en matière d'évaluation ou doivent-elles externaliser?
- Risque de fuite: Les experts informatiques quittent-ils le secteur public pour le secteur privé?
Harmonisation internationale:
- Comment la Suisse se positionne-t-elle face aux initiatives de souveraineté de l'UE (GAIA-X, Digital Markets Act)?
- Existe-t-il un besoin d'harmonisation ou un risque d'isolement?
Assurance qualité & Vérification des preuves
- [x] Affirmations soutenues par la science: Le modèle de niveaux repose sur l'étude acatech (Académie allemande des sciences et technologies), soit