Résolution sur l’externalisation du traitement des données dans le cloud

Les logiciels basés sur le cloud n’ont jamais été aussi attractifs. Les infrastructures potentiellement accessibles à tous les utilisateurs d’Internet (appelées « clouds publics ») permettent une allocation dynamique des capacités de calcul et de stockage en fonction des besoins des clients. Cet effet d’échelle est d’autant plus important que l’infrastructure du fournisseur de cloud est étendue – et généralement internationale (par exemple les « hyperscalers » comme Microsoft, Google ou Amazon).
Outre les particuliers et les entreprises privées, de plus en plus d’organes publics font recours à des applications « Software-as-a-Service » (SaaS) de ces fournisseurs. On observe également que les fournisseurs cherchent de plus en plus à pousser leurs clients vers le cloud.

Cependant, les organes publics ont une responsabilité particulière vis-à-vis des données de leurs citoyens. Ils peuvent certes externaliser le traitement de ces données, mais ils doivent s’assurer que la protection des données et la sécurité des informations soient respectées. Avant d’externaliser des données personnelles vers des services de cloud computing, les autorités doivent donc analyser les risques particuliers dans chaque cas, indépendamment de la sensibilité des données, et les réduire à un niveau acceptable par des mesures appropriées (voir l’aide-mémoire cloud de privatim).

Pour les raisons suivantes, privatim considère que l’externalisation par les organes publics de données personnelles sensibles ou soumises à une obligation légale de garder le secret dans des solutions SaaS de grands fournisseurs internationaux n’est pas admissible dans la plupart des cas (comme notamment M365) :

  1. La plupart des solutions SaaS n’offre pas encore de véritable chiffrement de bout en bout, ce qui empêcherait le fournisseur d’accéder aux données en clair.
  2. Les entreprises opérant à l’échelle mondiale offrent trop peu de transparence pour que les autorités suisses puissent vérifier le respect des obligations contractuelles en matière de protection et de sécurité des données. Cela vaut aussi bien pour la mise en oeuvre de mesures techniques et la gestion des changements et des versions que pour l’engagement et le contrôle des collaborateurs et des sous-traitants, qui forment parfois de longues chaînes de fournisseurs de services externes. En outre, les fournisseurs de logiciels peuvent adapter périodiquement et unilatéralement les conditions contractuelles.
  3. L’utilisation d’applications SaaS s’accompagne donc d’une perte de contrôle considérable. L’organe public ne peut pas influencer la probabilité d’une atteinte aux droits fondamentaux. Il peut uniquement réduire la gravité des violations potentielles en ne divulguant pas les données sensibles hors de son domaine de contrôle.
  4. En ce qui concerne les données soumises à une obligation légale de garder le secret, il existe parfois une grande insécurité juridique quant à la mesure dans laquelle elles peuvent être transférées vers des services de cloud computing. Il n’est pas possible de faire appel à tout tiers en tant qu’auxiliaire, seulement parce que les dispositions du droit pénal relatives au secret professionnel et au secret de fonction obligent également les auxiliaires des détenteurs de secrets à garder le silence.
  5. Les fournisseurs américains peuvent être contraints, en vertu de l’acte législatif CLOUD Act adopté en 2018, à fournir des données de leurs clients aux autorités américaines sans respecter les règles de l’entraide judiciaire internationale, même si ces données sont stockées dans des centres de données suisses.

Conclusion : l’utilisation de solutions SaaS internationales pour des données personnelles sensibles ou soumises à une obligation légale de garder le secret par des organes publics est possible uniquement si les données sont cryptées par l’organe responsable lui-même et que le fournisseur de services de cloud computing n’a pas accès à la clé.

Lire en version PDF

 

Berne, le 18 novembre 2025
Le canton de Glaris a fait usage de la possibilité de l’« option de sortie » prévue à l’article 18.2 des statuts.

Articles similaires

L’authentification fort... Les profils des utilisateurs qui renseignent leur numéro de téléphone comme second facteur d’authentification deviennent automatiquement identifiables auprès de tous sur le réseau social. 4.3.19, 01net.com
Le préposé à la protec... Submergé de demandes, Adrian Lobsiger, le préposé fédéral à la protection des données et à la transparence, tire la sonnette d’alarme. Il demande davantage de moyens et
Yuval Noah Harari: the wo... Today, for the first time in human history, technology makes it possible to monitor everyone all the time. 20.3.20, Financial Times
Données du registre fonc... La saisie électronique et la publication des données du registre foncier sur Internet comportent des risques pour les droits de la personnalité des personnes concernées; il s’agit
Convention intercantonale... privatim, la Conférence des préposé(e)s suisses à la protection des données, a déposé une prise de position au sujet de la Convention intercantonale sur l’échange de données
Guide afférent à la bio... Guide pour l’évaluation des procédés biométriques sur le plan de la protection des données L’utilisation de procédés biométriques ne doit intervenir que dans le cadre des principes
Les Etats renforcent la p... La nouvelle loi sur la protection des données divise les esprits. En automne, le National a passablement édulcoré le texte. Le Conseil des Etats a au contraire renforcé mercredi
Les libertés individuell... La ville connectée est-elle compatible avec le respect de la vie privée ? En France, la Commission nationale de l’informatique et des libertés (CNIL) souligne les dérives liées
Comment concevoir des por... Dans l’administration numérisée, les portails web font l’interface entre l’administration et les citoyens. Les technologies actuelles permettent de mettre à disposition et d’utiliser ces services 24 heures
Révision de l’Aide... privatim a révisé et complété son aide-mémoire sur les risques et mesures spécifiques à la technologie du Cloud computing publié en février 2019 par des informations relatifs