Résolution sur l’externalisation du traitement des données dans le cloud

Les logiciels basés sur le cloud n’ont jamais été aussi attractifs. Les infrastructures potentiellement accessibles à tous les utilisateurs d’Internet (appelées « clouds publics ») permettent une allocation dynamique des capacités de calcul et de stockage en fonction des besoins des clients. Cet effet d’échelle est d’autant plus important que l’infrastructure du fournisseur de cloud est étendue – et généralement internationale (par exemple les « hyperscalers » comme Microsoft, Google ou Amazon).
Outre les particuliers et les entreprises privées, de plus en plus d’organes publics font recours à des applications « Software-as-a-Service » (SaaS) de ces fournisseurs. On observe également que les fournisseurs cherchent de plus en plus à pousser leurs clients vers le cloud.

Cependant, les organes publics ont une responsabilité particulière vis-à-vis des données de leurs citoyens. Ils peuvent certes externaliser le traitement de ces données, mais ils doivent s’assurer que la protection des données et la sécurité des informations soient respectées. Avant d’externaliser des données personnelles vers des services de cloud computing, les autorités doivent donc analyser les risques particuliers dans chaque cas, indépendamment de la sensibilité des données, et les réduire à un niveau acceptable par des mesures appropriées (voir l’aide-mémoire cloud de privatim).

Pour les raisons suivantes, privatim considère que l’externalisation par les organes publics de données personnelles sensibles ou soumises à une obligation légale de garder le secret dans des solutions SaaS de grands fournisseurs internationaux n’est pas admissible dans la plupart des cas (comme notamment M365) :

  1. La plupart des solutions SaaS n’offre pas encore de véritable chiffrement de bout en bout, ce qui empêcherait le fournisseur d’accéder aux données en clair.
  2. Les entreprises opérant à l’échelle mondiale offrent trop peu de transparence pour que les autorités suisses puissent vérifier le respect des obligations contractuelles en matière de protection et de sécurité des données. Cela vaut aussi bien pour la mise en oeuvre de mesures techniques et la gestion des changements et des versions que pour l’engagement et le contrôle des collaborateurs et des sous-traitants, qui forment parfois de longues chaînes de fournisseurs de services externes. En outre, les fournisseurs de logiciels peuvent adapter périodiquement et unilatéralement les conditions contractuelles.
  3. L’utilisation d’applications SaaS s’accompagne donc d’une perte de contrôle considérable. L’organe public ne peut pas influencer la probabilité d’une atteinte aux droits fondamentaux. Il peut uniquement réduire la gravité des violations potentielles en ne divulguant pas les données sensibles hors de son domaine de contrôle.
  4. En ce qui concerne les données soumises à une obligation légale de garder le secret, il existe parfois une grande insécurité juridique quant à la mesure dans laquelle elles peuvent être transférées vers des services de cloud computing. Il n’est pas possible de faire appel à tout tiers en tant qu’auxiliaire, seulement parce que les dispositions du droit pénal relatives au secret professionnel et au secret de fonction obligent également les auxiliaires des détenteurs de secrets à garder le silence.
  5. Les fournisseurs américains peuvent être contraints, en vertu de l’acte législatif CLOUD Act adopté en 2018, à fournir des données de leurs clients aux autorités américaines sans respecter les règles de l’entraide judiciaire internationale, même si ces données sont stockées dans des centres de données suisses.

Conclusion : l’utilisation de solutions SaaS internationales pour des données personnelles sensibles ou soumises à une obligation légale de garder le secret par des organes publics est possible uniquement si les données sont cryptées par l’organe responsable lui-même et que le fournisseur de services de cloud computing n’a pas accès à la clé.

Lire en version PDF

 

Berne, le 18 novembre 2025
Le canton de Glaris a fait usage de la possibilité de l’« option de sortie » prévue à l’article 18.2 des statuts.

Articles similaires

Le coup d’Etat dont nou... On peut avoir la démocratie, on peut avoir une société de surveillance, mais on ne peut pas avoir les deux, plaide Shoshana Zuboff, sociologue et professeure à
Echos d’une manifes... Un nombre grandissant de médecins externalisent l’administration, l’archivage et la gestion de leurs données de patients à des tiers. Depuis bien d’années se pose donc la question
Révision de la loi fédÃ... Réponse de privatim concernant la LAGH en allemand
Plan d’action natio... Le 4 décembre 2017, la Confédération ainsi que les représentants des cantons et des communes ont présenté le plan d’action national de lutte contre la radicalisation et
L’utilisation du numér... Dans plus de 14’000 bases de données gouvernementales le numéro d’AVS (AVSN13) est utilisé comme identificateur personnel supplémentaire. Une expertise de l’ETH de Zurich montre que les
Journée internationale d... Berne, 28.01.2021 – Même si son entrée en vigueur est prévue pour 2022, la révision totale de la loi fédérale sur la protection des données (LPD) incite
Les jouets connectés acc... Ils envahissent votre salon, votre cuisine et, surtout, la chambre de vos enfants. Doit-on craindre les jouets connectés? À l’approche de Noël, les discours alarmistes sur la
«Nous confions tout à u... Jonathan, hacker professionnel berlinois appelle les internautes à se protéger d’un monde numérique capable aujourd’hui de biaiser la réalité et dans lequel des individus isolés peuvent menacer
La sphère privée des cr... La protection de la sphère privée est un droit fondamental dont le respect concerne toutes les personnes en Suisse y compris les requérants d’asile. Un nouveau avant-projet de
Pour une identité numér... Un passeport digital à la disposition de ceux qui le désirent, pourquoi pas? Mais avec un prix clair et sans collecte de données.14.2.21, Le Temps