Souveraineté numérique et cloud: les clarifications de l’avocat Sylvain Métille
La place des fournisseurs cloud américains, la portée juridique de la souveraineté numérique et les divergences d’interprétation entre autorités sur ces enjeux alimentent les débats en Suisse. L’avocat Sylvain Métille, professeur de droit à l’Université de Lausanne, détaille les contraintes juridiques qui s’imposent concrètement aux projets cloud.
On entend de plus en plus parler de souveraineté numérique dans le débat public en Suisse. D’un point de vue strictement juridique, cette notion correspond-elle aujourd’hui à des obligations concrètes?
La souveraineté numérique ne renvoie pas à une notion juridique univoque. Elle recouvre plusieurs dimensions. Pour certains, il s’agit de la capacité d’un État à faire appliquer son droit, y compris pénal, dans l’espace numérique. Cela soulève la question, encore largement débattue, de la territorialité dans le cyberespace. Un autre aspect, plus opérationnel, concerne la capacité de contrôle et d’action nécessaire dont dispose l’État dans l’espace numérique afin de garantir l’accomplissement de ses tâches. Cela inclut l’indépendance ou la maîtrise de certaines infrastructures numériques. Il s’agit de la capacité d’un État à limiter ses dépendances, notamment technologiques. Cette logique ne signifie pas autonomie complète, aucun pays ne l’est. La question relève donc d’un choix politique: quel niveau de dépendance accepte-t-on et quels risques y associe-t-on? En pratique, cela peut impliquer une diversification des fournisseurs, afin d’éviter une dépendance à un seul acteur ou à un seul pays. Il s’agit moins d’une obligation juridique que d’une stratégie d’indépendance.
Existent-ils des critères juridiques déterminants pour évaluer la conformité d’un projet cloud?
Plusieurs normes peuvent s’appliquer selon le domaine concerné, au niveau cantonal ou fédéral. Les deux axes principaux sont la sécurité de l’information et la protection des données. Pour les informations classifiées, des règles spécifiques peuvent imposer un traitement interne à l’administration ou sur le territoire national, assorti de contrôles de sécurité des personnes concernées. Cela reste toutefois limité à certains domaines de l’activité étatique. La protection des données personnelles concerne un champ beaucoup plus large, qui s’applique à la fois dans le public et le privé. Deux volets doivent être distingués: la sous-traitance et le transfert à l’étranger. En matière de sous-traitance, la loi exige principalement un encadrement contractuel adéquat (y compris un certain contrôle du sous-traitant). S’agissant des transferts internationaux, la législation distingue les pays offrant un niveau de protection adéquat et les autres. Vers un pays offrant un niveau de protection adéquat, aucun mécanisme supplémentaire n’est requis. Vers les autres pays, des garanties spécifiques sont nécessaires, par exemple des garanties contractuelles (clauses contractuelles types). Dans certains cas plus rares, le transfert peut reposer sur le consentement ou l’exécution d’un contrat.
Les États-Unis sont régulièrement critiqués en raison du Cloud Act, qui confère aux autorités américaines des pouvoirs d’accès aux données détenues par leurs fournisseurs. Dans ce contexte, comment le droit suisse apprécie-t-il aujourd’hui le niveau de protection offert par les fournisseurs cloud américains?
La situation des États-Unis a longtemps été complexe. Le Data Privacy Framework et des garanties fournies par le gouvernement américain permettent aujourd’hui aux entreprises américaines certifiées d’être considérées comme offrant un niveau de protection adéquat. Le Conseil fédéral a intégré cette appréciation dans l’OPDO (Ordonnance sur la protection des données), sur la base d’une analyse de l’Office fédéral de la justice. Mais certaines autorités cantonales de protection des données contestent cette lecture. À titre personnel, je considère que tant que le Conseil fédéral qualifie un pays d’adéquat, il ne revient pas aux privés ou aux administrations cantonales ou fédérales de procéder à leur propre évaluation de cette adéquation, ce qui serait d’ailleurs très compliqué. En l’état actuel du droit, sauf pour les informations classifiées ou soumises à des règles spécifiques de sécurité, il n’existe donc pas d’empêchement juridique au transfert de données personnelles vers l’Europe ou les États-Unis. La question de savoir si c’est un bon choix ou non relève en revanche d’une appréciation stratégique ou politique, et non d’une contrainte juridique.
Quel est l’impact des mesures techniques comme le chiffrement côté client ou la gestion interne des clés sur l’analyse juridique d’un projet cloud?
Les exigences de sécurité d’une organisation doivent s’appliquer aussi à son sous-traitant. Le chiffrement destiné à protéger les données contre des tiers est donc indispensable. En revanche, si les données sont chiffrées de manière à être inaccessibles au fournisseur, celui-ci ne traite en principe pas de données personnelles. Cette situation reste rare, notamment en mode SaaS, où le prestataire doit généralement accéder aux données pour fournir le service. Les solutions de gestion interne des clés peuvent réduire le risque, mais elles ne modifient pas, en règle générale, l’analyse juridique. Seul un chiffrement complet rendant les données inaccessibles au fournisseur signifierait que celui-ci ne traite juridiquement pas de données personnelles. Certaines autorités cantonales estiment que la présence de données sensibles exclurait toute délégation de traitement sans base légale explicite. Je ne partage pas cette analyse. La loi prévoit la sous-traitance contractuelle. Interdire toute délégation conduirait à des conséquences difficilement conciliables avec les besoins de l’administration et le texte de la loi.
L’automne passé, une résolution de Privatim a affirmé que l’utilisation de SaaS internationaux pour des données sensibles n’est en principe pas admissible. Vous avez publiquement contesté cette lecture. Peut-on ici parler de surinterprétation du droit?
Le rôle des autorités de protection des données les conduit naturellement à adopter une approche prudente face au risque, alors que certaines administrations sont plus contraintes par leurs besoins opérationnels. Ces positions ont effectivement été formalisées dans une résolution de Privatim, la Conférence suisse des préposés cantonaux à la protection des données, exprimant des réserves sur la possibilité de déléguer certains traitements à des fournisseurs étrangers, même lorsque le pays est formellement reconnu comme adéquat. Cette résolution n’est pas très précise et n'explique pas sur quoi elle se base pour arriver à cette conclusion. À ce stade, toutefois, aucun tribunal ne s’est prononcé sur ces divergences d’interprétation. Tant qu’une autorité judiciaire ne tranchera pas définitivement les différents avis, chaque acteur aura tendance à défendre sa position.
Après la révélation récente du stockage par erreur de documents internes du Département fédéral des affaires étrangères dans le cloud de Microsoft, quelles conséquences juridiques l’administration fédérale peut-elle encourir?
Ce type d’incident montre en tout cas la difficulté pratique de gérer des infrastructures multiples. Sur le plan juridique, plusieurs types de conséquences peuvent être envisagés. En interne, un collaborateur pourrait engager sa responsabilité disciplinaire s’il n’a pas respecté les règles applicables. Une responsabilité de la Confédération pourrait également être envisagée en cas de dommage. Enfin, il pourrait y avoir un constat d’illégalité du traitement. En revanche, il n’existe pas d’amende prévue pour sanctionner l’administration fédérale elle-même.
Faut-il s’attendre à des évolutions du cadre légal sur ces questions? Selon vous, le droit actuel est-il suffisant?
On observe aujourd’hui deux dynamiques contradictoires. D’un côté, une volonté politique de rapatrier davantage de traitements de données sur le territoire national pour des raisons de sécurité et d’indépendance. De l’autre, des engagements internationaux, notamment la Convention 108 du Conseil de l’Europe, qui garantissent la libre circulation des données vers les États assurant un niveau de protection adéquat. On peut aussi ajouter la présence croissante de l’IA, de manière plus ou moins maîtrisée au sein des entreprises et administrations. Ceci dit, je ne m’attends pas à une réforme législative majeure à court terme en matière de protection des données. À titre personnel, je serais plutôt favorable à une approche plus claire et assumée politiquement: si l’on considère que certaines données traitées par l’administration doivent impérativement l’être en Suisse, il faudrait l’inscrire explicitement dans la loi et en assumer les conséquences budgétaires et organisationnelles, plutôt que d’avancer par des restrictions interprétatives. La difficulté actuelle est surtout opérationnelle et il faut mieux soutenir les entreprises suisses. Mais un marché trop fermé privilégiant les fournisseurs suisses poserait en outre des questions de compétitivité pour les entreprises suisses actives à l’international si les autres pays font de même. Des pistes existent néanmoins, notamment l’open source ou la mutualisation de services entre administrations, afin de réduire les dépendances vis-à-vis d’un fournisseur unique, qu’il soit suisse ou étranger.
