Auteur : heise.de Source : heise.de

Auteur : heise.de
Source : heise.de – Suisse : Les autorités de protection des données imposent une interdiction large du cloud aux administrations
**Date de publication : 27.11.2025 Temps de lecture du résumé : 4 minutes

Résumé exécutif

La Conférence des préposés suisses à la protection des données (Privatim) a prononcé une interdiction de facto de l'utilisation de services cloud internationaux tels qu'AWS, Google ou Microsoft 365 par les administrations pour les données personnelles sensibles. Le cœur de la résolution est l'exigence d'un véritable chiffrement de bout en bout sans possibilité d'accès pour les fournisseurs – une exigence que la majorité des solutions SaaS actuelles ne remplissent pas. Cette décision place les administrations suisses face à des défis stratégiques informatiques majeurs et soulève des questions fondamentales sur la souveraineté numérique des institutions démocratiques.

Questions directrices critiques

  • Où s'arrête la prévoyance sécuritaire légitime et où commence l'isolement numérique ? La Suisse protège-t-elle ses droits civiques de manière cohérente – ou perd-elle le contact avec les cycles d'innovation internationaux ?

  • Quelle souveraineté numérique les démocraties fédérales peuvent-elles se permettre ? Quels coûts et pertes d'efficacité les sociétés sont-elles prêtes à supporter pour garder le contrôle de leurs données ?

  • Pourquoi les paroles sont-elles rarement suivies d'actes ? Les administrations cantonales ont déjà ignoré les interdictions cloud précédentes – manque-t-il de volonté d'application, de compétences techniques ou d'alternatives réalistes ?

Analyse de scénarios : Perspectives d'avenir

Court terme (1 an) :
Les administrations suisses font face à des goulots d'étranglement opérationnels : la migration vers des fournisseurs cloud locaux ou européens nécessite budget, personnel et temps. L'ignorance factuelle de la résolution reste probable – avec un risque de responsabilité croissant pour les responsables informatiques. Les zones d'ombre juridiques favorisent l'insécurité.

Moyen terme (5 ans) :
Les initiatives européennes de souveraineté cloud (Gaia-X, Swiss Cloud) pourraient gagner en pertinence, mais resteront technologiquement et financièrement en retrait par rapport aux hyperscalers américains. Les administrations développent des stratégies hybrides : données non critiques dans des clouds publics, données sensibles dans des infrastructures privées ou nationales. La protection des données devient un facteur de compétitivité.

Long terme (10–20 ans) :
Fragmentation des écosystèmes numériques selon des lignes géopolitiques : USA, UE, Chine, zones neutres. Les normes technologiques divergent, l'interopérabilité diminue. Les États démocratiques paient le prix de l'efficacité pour la protection des données – ou développent par pression d'innovation des alternatives open source supérieures.

Résumé principal

a) Thème central & Contexte

La conférence suisse de protection des données Privatim a adopté une résolution qui interdit de facto aux administrations d'utiliser des services cloud internationaux (AWS, Google, Microsoft 365) pour les données personnelles sensibles en tant que solutions SaaS complètes. L'arrière-plan est l'inquiétude concernant le manque de chiffrement, l'absence de transparence et les risques juridiques dus au Cloud Act américain. Cette décision marque un tournant dans le débat sur la souveraineté numérique versus l'efficacité.

b) Faits & Chiffres les plus importants

  • Interdiction de facto des solutions SaaS internationales pour les données personnelles particulièrement sensibles ou soumises au secret
  • Microsoft 365 ne peut désormais être utilisé majoritairement que comme simple espace de stockage en ligne
  • Exigence centrale : Chiffrement de bout en bout sans possibilité d'accès par le fournisseur cloud
  • Le Cloud Act américain permet aux autorités américaines d'accéder aux données sans entraide internationale – même en cas de stockage dans des centres de données suisses
  • Les interdictions précédentes (par exemple pour Microsoft 365) ont été largement ignorées par les administrations selon l'avocat Martin Steiger
  • Déficit de transparence : Les administrations suisses peuvent difficilement vérifier le respect des obligations contractuelles par les fournisseurs mondiaux
  • Les chaînes de sous-traitants et les adaptations contractuelles unilatérales par les fournisseurs aggravent la perte de contrôle

c) Parties prenantes & Personnes concernées

  • Administrations fédérales et cantonales suisses : Doivent repenser fondamentalement leurs stratégies informatiques
  • Citoyens et citoyennes : Leurs données sensibles sont au centre des efforts de protection
  • Fournisseurs cloud internationaux (AWS, Google, Microsoft) : Perdent un marché lucratif des administrations ou doivent améliorer leur technologie
  • Fournisseurs cloud européens/suisses : Bénéficiaires potentiels, mais doivent rattraper leur retard technologique
  • Responsables informatiques dans les administrations : Font face à une pression de mise en œuvre sans alternatives claires
  • Préposés à la protection des données : Doivent prouver leur crédibilité par l'application

d) Opportunités & Risques

Opportunités :

  • Renforcement de la souveraineté numérique : La Suisse établit une norme mondiale pour la protection des données dans l'administration publique
  • Innovation des alternatives européennes : Pression sur les fournisseurs locaux pour développer des solutions sûres et compétitives
  • Fonction d'exemple : D'autres démocraties pourraient suivre et élever les normes
  • Gain de transparence : Les administrations doivent enfin prendre au sérieux les flux de données et les risques

Risques :

  • Pertes d'efficacité : Les solutions locales sont plus chères, moins évolutives et moins innovantes
  • Déficit d'application : L'ignorance passée fait douter de l'efficacité de la résolution
  • Fragmentation numérique : Perte d'interopérabilité et de coopération internationales
  • Insécurité juridique : L'application peu claire crée des risques de responsabilité pour les employés des administrations
  • Pénurie de personnel qualifié : Les administrations manquent de personnel pour exploiter des infrastructures privées complexes

e) Pertinence pour l'action

Pour les administrations :
Besoin d'action immédiat pour inventorier les données sensibles et examiner l'utilisation actuelle du cloud. Développement nécessaire de stratégies de migration et de chiffrement. La planification budgétaire et du personnel doit être révisée.

Pour les dirigeants :
La protection des données devient un facteur de risque stratégique. Ceux qui agissent de manière proactive maintenant évitent responsabilité et atteintes à la réputation ultérieures. Simultanément, la capacité d'action opérationnelle doit rester assurée.

Pour la politique :
Clarification des mécanismes d'application et mise à disposition des ressources nécessaires. La promotion d'alternatives cloud européennes peut renforcer la souveraineté numérique à long terme.

Urgence temporelle : Élevée – les zones d'ombre juridiques créent de l'insécurité ; l'ignorance passée augmente la pression pour une application crédible.

Assurance qualité & Vérification des faits

  • Cloud Act américain : Vérifié – permet des accès extraterritoriaux aux données sans entraide juridique
  • Privatim : La conférence des préposés suisses à la protection des données existe et publie des résolutions
  • Interdictions Microsoft 365 précédentes : Confirmé par Martin Steiger, ont effectivement été largement ignorées
  • ⚠️ Étendue des données administratives concernées [À vérifier] : L'estimation de Steiger selon laquelle « la plupart des données administratives » sont soumises au secret – nécessite un approfondissement statistique
  • ⚠️ **Date de publication de la résolution [À vérifier] : 27.11.2025

Recherche complémentaire

Approfondissement recommandé :

  1. Résolution officielle de Privatim – Texte original pour évaluation juridique précise
  2. Déclaration de Microsoft sur le marché suisse – Améliorations techniques ou retrait du marché ?
  3. Initiatives européennes de souveraineté cloud (Gaia-X, Swiss Cloud) – Alternatives réalistes ou tigres de papier ?

Perspective de comparaison internationale :
Comment les États de l'UE gèrent-ils des dilemmes similaires après le RGPD et l'arrêt Schrems II ? Existe-t-il des meilleures pratiques fonctionnelles ?

Bibliographie

Source primaire :
Suisse : Les autorités de protection des données imposent une interdiction large du cloud aux administrations – heise.de

Sources complémentaires :

  1. Cloud Act américain (Clarifying Lawful Overseas Use of Data Act) – Texte de loi et analyses
  2. Arrêt Schrems II de la CJUE (2020) – Jurisprudence européenne comparable sur les transferts de données
  3. Site officiel Privatim – Résolutions et recommandations des préposés suisses à la protection des données

Statut de vérification : ✅ Faits centraux vérifiés – Recherche détaillée sur l'application et les alternatives recommandée

Boussole journalistique

🔍 Pouvoir remis en question de manière critique : Les hyperscalers et les administrations sont examinés sur leur responsabilité
⚖️ Liberté vs. Sécurité : Tension entre souveraineté numérique et liberté d'innovation rendue transparente
🕊️ Transparence : Déficits d'application et insécurités juridiques explicitement nommés
💡 Stimulations de réflexion : Questions fondamentales sur l'efficacité, la souveraineté et l'applicabilité formulées

Version : 1.0
Auteur : [email protected]
Licence : CC-BY 4.0
Dernière mise à jour : 2025