L'administration cantonale bernoise migre vers le cloud de Microsoft

Le canton de Berne mise lui aussi bientôt sur les solutions bureautiques de Microsoft en mode cloud. Le Conseil d’Etat a annoncé que Microsoft 365 sera utilisé dans l'administration cantonale bernoise. La transition se fera de manière échelonnée. Elle devrait commencer en 2024, pour les autorités judiciaires et le Grand Conseil. 

Sur demande, l'Office cantonal d'informatique et d'organisation (OIO) a fait savoir que les employés de l'administration bernoise utilisent actuellement Microsoft Office 2016 et Skype for Business comme logiciels de téléphonie et de vidéoconférence. Le passage à la solution cloud durera probablement plus d'un an, poursuit l'administration. Et d'ajouter: au total, l'OIO offre un service ICT de base à environ 12'000 personnes dans l'administration cantonale, la justice et d'autres autorités cantonales.

Le Conseil d'Etat justifie le passage à Microsoft 365 par le fait que Microsoft ne souhaite plus développer les versions d'Office installées en local. Ajoutant que la nouvelle solution cloud offre des fonctions étendues pour le travail mobile et la collaboration inter-organisationnelle. Le canton met aussi en avant la solution de collaboration Teams, pour sa faculté à faciliter la collaboration entre les autorités par chat, téléphone et vidéo.

Le Conseil d'Etat souligne en outre que l'administration fédérale, plusieurs cantons (comme Zurich) et diverses autres administrations publiques ont également décidé de passer aux solutions cloud de Microsoft.

Des risques résiduels subsistent

Sur la problématique de la protection des données, le canton de Berne prévoit un vaste ensemble de mesures de sécurité. Ainsi, comme dans l'administration fédérale, aucune information confidentielle ou donnée personnelle sensible ne peut pour l'instant être traitée dans le cloud Microsoft 365. Les échanges internes à l’administration (chat, téléphonie, visioconférence, échange de données) se dérouleront sur le cloud de M365, mais seront protégés par chiffrement. Les données sur le cloud sont conservées dans des centres de calcul suisses de Microsoft, et certains services sont fournis à partir de centres de calcul situés dans des pays européens disposant d'une législation équivalente en matière de protection des données, est-il encore précisé.

La grande majorité des données de l'administration va toutefois rester dans le centre de calcul cantonal du prestataire de services informatiques Bedag. Il s'agit notamment des grands fichiers contenant des données fiscales, démographiques et de santé, ainsi que des e-mails de l'administration. 

Dans un rapport à l'attention du Conseil d'Etat, l'Office cantonal d'informatique et d'organisation (OIO) admet que le passage au cloud de Microsoft comporte des «risques résiduels». Ces derniers sont toutefois qualifiés d’acceptables, car le canton «prévoit, en étroite collaboration avec l'autorité de surveillance de la protection des données, une série de mesures techniques, organisationnelles et juridiques qui se renforcent mutuellement et qui réduisent nettement les risques». 

Un grand nombre des risques résiduels viennent du fait que Microsoft est le fournisseur: il existe une dépendance vis-à-vis de l'entreprise et une perte de contrôle. Le rapport indique aussi qu’il est «difficile de vérifier si Microsoft respecte ses obligations contractuelles, par exemple en ce qui concerne la finalité et le lieu des traitements de données. Il existe également une perte de contrôle vis-à-vis des autorités étrangères: «Il est possible que, dans des cas isolés vraisemblablement très rares, des informations cantonales contenues dans M365 soient consultées par les autorités de poursuite pénale américaines ou les services de renseignement», souligne le rapport de l’OIO. 

On se souvient qu’au printemps 2022, le Conseil d'Etat zurichois avait décidé d'autoriser l'utilisation du service cloud Microsoft 365 pour l'administration. Ce choix avait suscité les critiques de la Conférence des Préposé(e)s suisses à la protection des données (Privatim), qui avait souligné qu’il ne devait pas être considéré comme un feu vert à la mise en place de M365 dans l’administration.