La conférence suisse des délégués à la protection des données, Privatim, a publié une résolution appelant les institutions publiques nationales à abandonner les grands services cloud et les plateformes SaaS. Ce document a attiré l'attention du gouvernement, du secteur informatique et des experts en cybersécurité car il remet en cause les fondements de la politique de numérisation de l'État, qui s'est de plus en plus appuyée sur des fournisseurs de logiciels internationaux ces dernières années. Les auteurs de la résolution soulignent que l'administration publique est responsable de données extrêmement sensibles et doit en contrôler pleinement la diffusion. La migration de plus en plus rapide vers le cloud a soulevé des inquiétudes quant à la sécurité, au contrôle et au respect de la réglementation nationale.

Le point le plus critique de cette position concerne l'architecture de la plupart des services SaaS modernes. Privatim souligne que les solutions dominantes n'offrent toujours pas un chiffrement de bout en bout complet, ne s'empêchant ainsi pas d'accéder aux données stockées en clair. Concrètement, cela signifie que les institutions gouvernementales ne peuvent pas évaluer précisément le traitement des informations ni identifier les personnes y ayant accès à chaque étape du processus. Le problème est aggravé par le fait que les principaux fournisseurs mondiaux, tels que Microsoft, Amazon et Google, gèrent des chaînes de sous-traitance vastes et complexes. Privatim souligne que la complexité de ces structures empêche une transparence totale. De plus, des modifications unilatérales des conditions générales de service, sur lesquelles les institutions publiques n'ont aucun contrôle, sont également possibles. Microsoft 365 a été particulièrement critiqué et cité dans la résolution comme exemple de modèle SaaS ne répondant pas aux exigences relatives aux données les plus sensibles.

Un autre sujet de tension concerne le droit international, et plus particulièrement le Cloud Act américain. En vertu de cette loi, les fournisseurs américains peuvent être contraints de transmettre des données clients aux autorités policières américaines, même si ces données sont hébergées sur des serveurs situés hors des États-Unis. Privatim souligne que ce type de menace est incompatible avec la réglementation suisse sur le secret professionnel. Les institutions soumises à des obligations de confidentialité doivent mettre en place des systèmes empêchant tout accès non autorisé, or, dans le cas du cloud, cette garantie fait souvent défaut. Des doutes subsistent également quant à la possibilité de faire appel à des prestataires externes comme assistants d'entités tenues au secret professionnel, la responsabilité pénale s'étendant également aux personnes auxiliaires.

La résolution suggère que les administrations publiques n'autorisent l'utilisation des services cloud que si elles chiffrent elles-mêmes les données et empêchent le fournisseur d'accéder à la clé de chiffrement. Seul ce modèle permet à l'institution de conserver une influence déterminante sur la sécurité et l'ampleur des violations potentielles. Le document n'exclut pas la migration vers le cloud, mais souligne qu'elle doit être planifiée et fondée sur le maintien de la souveraineté des données. Cette résolution n'a pas force de loi, mais constitue un signal susceptible d'influencer significativement la politique informatique du secteur public. De nombreux cantons analysent d'ores et déjà leur dépendance vis-à-vis des fournisseurs internationaux et envisagent des modifications de leurs stratégies de numérisation.