Privatim critique l’adoption de SaaS étrangers par l’État, une position contestée
Privatim, la Conférence suisse des préposés à la protection des données, a adopté une résolution critiquant l’usage de solutions internationales de cloud pour les données sensibles des autorités. Cette position est toutefois contestée.
Privatim, la Conférence suisse des préposés à la protection des données, a adopté une résolution alertant sur les risques liés à l’externalisation des données sensibles par les autorités publiques vers des services cloud internationaux. Selon l’organisation, l’utilisation de solutions SaaS de fournisseurs mondiaux n’est dans la majorité des cas «pas admissible» lorsqu’il s’agit de données personnelles sensibles ou soumises à une obligation légale de garder le secret.
Privatim évoque une «perte de contrôle considérable» et cite plusieurs risques récurrents liés aux hyperscalers tels que Microsoft, Google ou Amazon: absence de chiffrement de bout en bout empêchant le fournisseur d’accéder aux données en clair, manque de transparence sur la mise en œuvre des mesures de sécurité, chaînes de sous-traitance difficiles à maîtriser et modification unilatérale des conditions contractuelles. La conférence rappelle en particulier que le Cloud Act américain peut contraindre des fournisseurs à transmettre des données aux autorités des États-Unis, y compris lorsque celles-ci sont stockées sur le territoire suisse.
Selon la résolution, ces services ne sont admissibles que si l’autorité chiffre elle-même les données et que le fournisseur n’a pas accès à la clé. L’organisme indique également que les autorités doivent analyser les risques spécifiques avant toute externalisation et mettre en œuvre elles-mêmes les mesures techniques nécessaires.
Une position contestée
Cette prise de position ne fait toutefois pas consensus. Sur LinkedIn, le professeur en protection des données et avocat Sylvain Métille conteste cette analyse. Il rappelle notamment que si le fournisseur ne peut pas déchiffrer les données, celles-ci ne sont plus considérées comme personnelles au sens de la loi. Il souligne également que le Conseil fédéral confirme depuis 2023 que le recours à un auxiliaire ne viole pas le secret de fonction et que la Suisse reconnaît déjà le statut adéquat des entreprises américaines certifiées dans le cadre de protection des données entre la Suisse et les États-Unis.
Cette résolution intervient dans un débat toujours en cours sur l’usage de clouds américains par les autorités suisses. En 2022 déjà, le Préposé fédéral à la protection des données avait critiqué le recours de la Suva à Microsoft 365 en raison des risques liés au Cloud Act. Alors que de plus en plus d’organes publics envisagent des solutions cloud internationales, la question de la souveraineté des données publiques reste donc ouverte.
