L’externalisation par les organes publics de données sensibles dans des solutions internationales n’est dans la plupart des cas pas admissible, comme le constate privatim, la Conférence des préposés suisses à la protection des données dans une résolution publiée aujourd’hui.

L’intérêt d’utiliser des infrastructures déjà disponibles, qu’on appelle « Software-as-a-Service » (SaaS) augmente aussi auprès des organes publics. Les organes publics portent une responsabilité particulière en ce qui concerne les données des citoyennes et citoyens. Si des traitements de données sont externalisés à des tiers, la protection des données et la sécurité de l’information doivent rester respectés. Les données sensibles ainsi que les données soumises à une obligation légale de garder le secret méritent une attention particulière.

Dans le cas d’entreprises actives sur le plan international, il est difficile pour les autorités suisses de contrôler le respect des obligations ancrées contractuellement en matière de protection des données et de mise en œuvre des mesures techniques. L’utilisation de solutions SaaS entraine une perte de contrôle considérable. Si les données sont soumises à une obligation légale de garder le secret, il n’est pas possible de faire appel à tout tiers comme auxiliaire. Le CLOUD Act, en vigueur depuis 2018, peut contraindre les fournisseurs américains à fournir les données de leurs clients aux autorités américaines, sans respecter les règles correspondantes de l’entraide judiciaire internationale. Cela vaut également pour les données qui sont stockées dans les centres de calculs suisses.

Privatim constate que l’utilisation de solutions SaaS internationales pour les organes publics est possible uniquement si les données sensibles ainsi que les données personnelles soumises à une obligation légale de garder le secret sont cryptées par l’organe responsable lui-même. Le fournisseur de services de cloud computing ne doit pas avoir accès à la clé.

Lien vers la résolution

Berne, le 24 novembre 2025

En cas de questions :
Martine Stoffel, membre du bureau de privatim, préposée cantonale à la transparence et à la protection des données du canton Fribourg, martine.stoffel@fr.ch, 079 123 58 95
Dr. iur. Dominika Blonski, Vizepräsidentin von privatim, Datenschutzbeauftragte des Kantons Zürich, datenschutz@dsb.zh.ch, 044 360 99 22

Les logiciels basés sur le cloud n’ont jamais été aussi attractifs. Les infrastructures potentiellement accessibles à tous les utilisateurs d’Internet (appelées « clouds publics ») permettent une allocation dynamique des capacités de calcul et de stockage en fonction des besoins des clients. Cet effet d’échelle est d’autant plus important que l’infrastructure du fournisseur de cloud est étendue – et généralement internationale (par exemple les « hyperscalers » comme Microsoft, Google ou Amazon).
Outre les particuliers et les entreprises privées, de plus en plus d’organes publics font recours à des applications « Software-as-a-Service » (SaaS) de ces fournisseurs. On observe également que les fournisseurs cherchent de plus en plus à pousser leurs clients vers le cloud.

Cependant, les organes publics ont une responsabilité particulière vis-à-vis des données de leurs citoyens. Ils peuvent certes externaliser le traitement de ces données, mais ils doivent s’assurer que la protection des données et la sécurité des informations soient respectées. Avant d’externaliser des données personnelles vers des services de cloud computing, les autorités doivent donc analyser les risques particuliers dans chaque cas, indépendamment de la sensibilité des données, et les réduire à un niveau acceptable par des mesures appropriées (voir l’aide-mémoire cloud de privatim).

Pour les raisons suivantes, privatim considère que l’externalisation par les organes publics de données personnelles sensibles ou soumises à une obligation légale de garder le secret dans des solutions SaaS de grands fournisseurs internationaux n’est pas admissible dans la plupart des cas (comme notamment M365) :

1. La plupart des solutions SaaS n’offre pas encore de véritable chiffrement de bout en bout, ce qui empêcherait le fournisseur d’accéder aux données en clair.
2. Les entreprises opérant à l’échelle mondiale offrent trop peu de transparence pour que les autorités suisses puissent vérifier le respect des obligations contractuelles en matière de protection et de sécurité des données. Cela vaut aussi bien pour la mise en oeuvre de mesures techniques et la gestion des changements et des versions que pour l’engagement et le contrôle des collaborateurs et des sous-traitants, qui forment parfois de longues chaînes de fournisseurs de services externes. En outre, les fournisseurs de logiciels peuvent adapter périodiquement et unilatéralement les conditions contractuelles.
3. L’utilisation d’applications SaaS s’accompagne donc d’une perte de contrôle considérable. L’organe public ne peut pas influencer la probabilité d’une atteinte aux droits fondamentaux. Il peut uniquement réduire la gravité des violations potentielles en ne divulguant pas les données sensibles hors de son domaine de contrôle.
4. En ce qui concerne les données soumises à une obligation légale de garder le secret, il existe parfois une grande insécurité juridique quant à la mesure dans laquelle elles peuvent être transférées vers des services de cloud computing. Il n’est pas possible de faire appel à tout tiers en tant qu’auxiliaire, seulement parce que les dispositions du droit pénal relatives au secret professionnel et au secret de fonction obligent également les auxiliaires des détenteurs de secrets à garder le silence.
5. Les fournisseurs américains peuvent être contraints, en vertu de l’acte législatif CLOUD Act adopté en 2018, à fournir des données de leurs clients aux autorités américaines sans respecter les règles de l’entraide judiciaire internationale, même si ces données sont stockées dans des centres de données suisses.

Conclusion : l’utilisation de solutions SaaS internationales pour des données personnelles sensibles ou soumises à une obligation légale de garder le secret par des organes publics est possible uniquement si les données sont cryptées par l’organe responsable lui-même et que le fournisseur de services de cloud computing n’a pas accès à la clé.

Lire en version PDF

Berne, le 18 novembre 2025
Le canton de Glaris a fait usage de la possibilité de l’« option de sortie » prévue à l’article 18.2 des statuts.

Les organisations privées, qui sont certifiées au Data Privacy Framework en vigueur entre la Suisse et les États Unis, offrent un niveau de protection des données adéquat.

Dans le contexte de l’externalisation des données à des organisations certifiées, privatim émet des recommandations à l’attention des organes publics cantonaux et communaux.

Transfert de données personelles à des organisations aux États-Unis sur la base du Swiss-U.S. Data Privacy Framework

En raison des révisions de la protection des données en Europe – notamment la modernisation de la Convention 108+ du Conseil de l’Europe et l’adoption de la directive européenne 2016/680, relevant de Schengen, pour la coopération judiciaire et policière en matière pénale – les lois sur la protection des données des cantons doivent également être adaptées aux nouvelles exigences. La liste suivante, mise à jour périodiquement, donne un aperçu de l’état d’avancement des travaux d’adaptation dans les cantons.

En raison des révisions de la protection des données en Europe – notamment la modernisation de la Convention 108+ du Conseil de l’Europe et l’adoption de la directive européenne 2016/680, relevant de Schengen, pour la coopération judiciaire et policière en matière pénale – les lois sur la protection des données des cantons doivent également être adaptées aux nouvelles exigences. La liste suivante, mise à jour périodiquement, donne un aperçu de l’état d’avancement des travaux d’adaptation dans les cantons.

Berne, le 15.12.2022 – Les élections et les votations à tous les niveaux de l’État suisse se déroulent dans la réalité globale du numérique. Les acteurs du processus politique de formation d’opinion se servent d’instruments numériques pour véhiculer des messages aussi ciblés que possible auprès des électeurs. Dès lors, les risques pour l’autodétermination informationnelle et la vie privée des personnes concernées sont importants. Un guide actualisé permet de s’informer sur ces questions dans la perspective des élections fédérales de 2023.

Toute personne traitant des données dans un contexte d’élections et de votations doit savoir que le droit en vigueur, de même que la nouvelle loi sur la protection des données, qui entrera en vigueur le 1er septembre 2023, juste avant les élections pour le renouvellement intégral, considère les informations sur les opinions politiques et philosophiques comme des données sensibles.

Dans la nouvelle version de leur guide, le Préposé fédéral à la protection des données et à la transparence (PFPDT) et la Conférence des préposés suisses à la protection des données (privatim) mettent en particulier l’accent sur l’importance du principe de la transparence pour la protection des données dans le contexte des élections et des votations. Les électeurs ont le droit de connaître les méthodes de traitement des données et les technologies numériques utilisées pour les approcher.

Guide relatif aux élections et aux votations – version actualisée en décembre 2022

Ces derniers mois, plusieurs gouvernements cantonaux ont publié leurs décisions quant à l’utilisation de « Microsoft 365 » (M365) dans l’administration. La décision du Conseil d’Etat du Canton de Zurich (RRB 542/2022 du 30 mars 2022) a retenu toute l’attention.

En février 2022, privatim a édité un « Aide-mémoire sur les risques et les mesures spécifiques à la technologie du Cloud » qui permet aux organes publics d’évaluer, notamment, l’utilisation de M365. Fondamentalement, la décision du Conseil d’Etat du Canton de Zurich ne signifie pas que les organes publics peuvent s’écarter du contenu de cet aide-mémoire et de la procédure qu’il recommande. C’est ce que suggèrent les déclarations à la suite de cette décision et privatim est amenée à prendre position sur quelques points du RRB qui exercent un effet au-delà du Canton de Zurich.

En vue des nouveaux développements et de l’évolution des connaissances en matière des technologies basées sur le cloud, privatim a entièrement révisé son aide-mémoire sur les risques et mesures spécifiques au cloud. Le bureau de privatim a adopté la nouvelle version 3.0 le 3 février 2022. Elle remplace la version 2.1 du 17 décembre 2019.

Vous trouverez l’aide-mémoire révisé ici.

Berne, 28.01.2021 – Même si son entrée en vigueur est prévue pour 2022, la révision totale de la loi fédérale sur la protection des données (LPD) incite déjà les cantons à moderniser leur législation. Depuis plusieurs années, les autorités de protection des données de la Confédération et des cantons ont mis en place une collaboration étroite et pragmatique. La pandémie ayant donné un coup d’accélérateur à la digitalisation, ces autorités doivent redoubler d’efforts pour limiter autant que possible les atteintes à la sphère privée et à l’autodétermination.

Nos données personnelles sont de plus en plus traitées de manière globale et automatisée. Même si la digitalisation gagnait déjà du terrain dans tous les domaines de la vie, la pandémie, qui a obligé une grande partie de la population à travailler en ligne depuis la maison, a bouleversé la donne. Dans ce contexte mouvant, les préposé-e-s à la protection des données de la Confédération et des cantons s’engagent pour le respect de la sphère privée et de l’autodétermination des citoyens garanti par la constitution fédérale.

(lire la suite…)

Le vaste lockdown mis en place pour faire face à la crise du Covid-19 a provoqué (et dans certains cas provoque encore) des écarts des standards normaux en matière de protection de données, notamment sur les deux points suivants : D’une part, la pondération des intérêts et des risques, toujours nécessaire, a pu conduire à des résultats différents. Ainsi, pour pouvoir remplir la mission éducative des écoles, l’utilisation de solutions de vidéoconférence ne répondant pas toujours (ou pas encore) pleinement aux exigences applicables en termes de protection de données semblaient se justifier. D’autre part, les solutions adoptées n’ont parfois pas été examinées du tout ou seulement de manière très sommaire par les autorités de protection des données.

Avec le retour à la normale – comme par exemple la reprise de l’enseignement présentiel à l’école obligatoire – la pesée des risques aussi doit de nouveau s’effectuer normalement, et les solutions TIC introduites en raison de la crise doivent être examinées comme il se doit – si nécessaire en ayant recours aux autorités de protection des données – et elles doivent, le cas échéant, être améliorées ou remplacées par des solutions conformes à la loi.

Il convient de noter que la rapidité et l’ampleur des mesures d’assouplissement varient d’un domaine administratif à l’autre ; par conséquent, l’évaluation des risques et le degré d’approfondissement de l’examen peuvent varier pour un même produit en fonction de l’autorité et des tâches concernées. Dans des cas individuels, il est même concevable qu’une autorité continue à privilégier une solution provisoire dans certains domaines (par exemple pour les contacts avec des enfants qui, en raison des risques encourus, continuent à recevoir un enseignement à distance), mais n’utilise que des produits correctement testés et conformes à la loi dans tous les autres.

L’externalisation par les organes publics de données sensibles dans des solutions internationales n’est dans la plupart des cas pas admissible, comme le constate privatim, la Conférence des préposés suisses à la protection des données dans une résolution publiée aujourd’hui.

L’intérêt d’utiliser des infrastructures déjà disponibles, qu’on appelle « Software-as-a-Service » (SaaS) augmente aussi auprès des organes publics. Les organes publics portent une responsabilité particulière en ce qui concerne les données des citoyennes et citoyens. Si des traitements de données sont externalisés à des tiers, la protection des données et la sécurité de l’information doivent rester respectés. Les données sensibles ainsi que les données soumises à une obligation légale de garder le secret méritent une attention particulière.

Dans le cas d’entreprises actives sur le plan international, il est difficile pour les autorités suisses de contrôler le respect des obligations ancrées contractuellement en matière de protection des données et de mise en œuvre des mesures techniques. L’utilisation de solutions SaaS entraine une perte de contrôle considérable. Si les données sont soumises à une obligation légale de garder le secret, il n’est pas possible de faire appel à tout tiers comme auxiliaire. Le CLOUD Act, en vigueur depuis 2018, peut contraindre les fournisseurs américains à fournir les données de leurs clients aux autorités américaines, sans respecter les règles correspondantes de l’entraide judiciaire internationale. Cela vaut également pour les données qui sont stockées dans les centres de calculs suisses.

Privatim constate que l’utilisation de solutions SaaS internationales pour les organes publics est possible uniquement si les données sensibles ainsi que les données personnelles soumises à une obligation légale de garder le secret sont cryptées par l’organe responsable lui-même. Le fournisseur de services de cloud computing ne doit pas avoir accès à la clé.

Lien vers la résolution

Berne, le 24 novembre 2025

En cas de questions :
Martine Stoffel, membre du bureau de privatim, préposée cantonale à la transparence et à la protection des données du canton Fribourg, martine.stoffel@fr.ch, 079 123 58 95
Dr. iur. Dominika Blonski, Vizepräsidentin von privatim, Datenschutzbeauftragte des Kantons Zürich, datenschutz@dsb.zh.ch, 044 360 99 22

Les logiciels basés sur le cloud n’ont jamais été aussi attractifs. Les infrastructures potentiellement accessibles à tous les utilisateurs d’Internet (appelées « clouds publics ») permettent une allocation dynamique des capacités de calcul et de stockage en fonction des besoins des clients. Cet effet d’échelle est d’autant plus important que l’infrastructure du fournisseur de cloud est étendue – et généralement internationale (par exemple les « hyperscalers » comme Microsoft, Google ou Amazon).
Outre les particuliers et les entreprises privées, de plus en plus d’organes publics font recours à des applications « Software-as-a-Service » (SaaS) de ces fournisseurs. On observe également que les fournisseurs cherchent de plus en plus à pousser leurs clients vers le cloud.

Cependant, les organes publics ont une responsabilité particulière vis-à-vis des données de leurs citoyens. Ils peuvent certes externaliser le traitement de ces données, mais ils doivent s’assurer que la protection des données et la sécurité des informations soient respectées. Avant d’externaliser des données personnelles vers des services de cloud computing, les autorités doivent donc analyser les risques particuliers dans chaque cas, indépendamment de la sensibilité des données, et les réduire à un niveau acceptable par des mesures appropriées (voir l’aide-mémoire cloud de privatim).

Pour les raisons suivantes, privatim considère que l’externalisation par les organes publics de données personnelles sensibles ou soumises à une obligation légale de garder le secret dans des solutions SaaS de grands fournisseurs internationaux n’est pas admissible dans la plupart des cas (comme notamment M365) :

1. La plupart des solutions SaaS n’offre pas encore de véritable chiffrement de bout en bout, ce qui empêcherait le fournisseur d’accéder aux données en clair.
2. Les entreprises opérant à l’échelle mondiale offrent trop peu de transparence pour que les autorités suisses puissent vérifier le respect des obligations contractuelles en matière de protection et de sécurité des données. Cela vaut aussi bien pour la mise en oeuvre de mesures techniques et la gestion des changements et des versions que pour l’engagement et le contrôle des collaborateurs et des sous-traitants, qui forment parfois de longues chaînes de fournisseurs de services externes. En outre, les fournisseurs de logiciels peuvent adapter périodiquement et unilatéralement les conditions contractuelles.
3. L’utilisation d’applications SaaS s’accompagne donc d’une perte de contrôle considérable. L’organe public ne peut pas influencer la probabilité d’une atteinte aux droits fondamentaux. Il peut uniquement réduire la gravité des violations potentielles en ne divulguant pas les données sensibles hors de son domaine de contrôle.
4. En ce qui concerne les données soumises à une obligation légale de garder le secret, il existe parfois une grande insécurité juridique quant à la mesure dans laquelle elles peuvent être transférées vers des services de cloud computing. Il n’est pas possible de faire appel à tout tiers en tant qu’auxiliaire, seulement parce que les dispositions du droit pénal relatives au secret professionnel et au secret de fonction obligent également les auxiliaires des détenteurs de secrets à garder le silence.
5. Les fournisseurs américains peuvent être contraints, en vertu de l’acte législatif CLOUD Act adopté en 2018, à fournir des données de leurs clients aux autorités américaines sans respecter les règles de l’entraide judiciaire internationale, même si ces données sont stockées dans des centres de données suisses.

Conclusion : l’utilisation de solutions SaaS internationales pour des données personnelles sensibles ou soumises à une obligation légale de garder le secret par des organes publics est possible uniquement si les données sont cryptées par l’organe responsable lui-même et que le fournisseur de services de cloud computing n’a pas accès à la clé.

Lire en version PDF

Berne, le 18 novembre 2025
Le canton de Glaris a fait usage de la possibilité de l’« option de sortie » prévue à l’article 18.2 des statuts.

A new report by the Irish Council for Civil Liberties (ICCL) uncovers a paralysis at the heart of the EU General Data Protection Regulation (GDPR) and reveals why data protection authorities (DPAs) are unable to police how big tech firms use people’s data. Its conclusion: The European Commission has the duty to intervene. 
Report: The Irish Council for Civil Liberties (ICCL), September 2021
Video: https://vimeo.com/601138490

On peut avoir la démocratie, on peut avoir une société de surveillance, mais on ne peut pas avoir les deux, plaide Shoshana Zuboff, sociologue et professeure à Harvard dans une longue tribune parue dans le «New York Times».

12.5.21, Le Temps

Un passeport digital à la disposition de ceux qui le désirent, pourquoi pas? Mais avec un prix clair et sans collecte de données.
14.2.21, Le Temps