2025-12-01

Comment privatim souhaite limiter l'utilisation du cloud public et de M365 – et comment Sonio surmonte cet obstacle

La dernière résolution de privatim suscite des discussions dans tous les cantons suisses : elle déclare que l'externalisation de données personnelles sensibles vers des services cloud internationaux tels que Microsoft 365 est « dans la plupart des cas inadmissible » et augmente ainsi la pression sur les autorités cantonales et toutes les autres organisations soumises aux lois cantonales sur la protection des données. Les juristes influents la classent certes comme juridiquement non contraignante, mais y voient néanmoins un tournant marquant et un mandat d'action clair. L'accent est désormais mis non plus sur des hypothèses juridiques abstraites, mais sur des mesures concrètes en matière de sécurité et d'architecture. La zone grise demeure, mais la responsabilité dans sa gestion s'accroît. Nous vous accompagnons en tant que fournisseur de solutions techniques.

Depuis un certain temps, les responsables cantonaux de la protection des données émettent des critiques sur le thème du « cloud public » et en particulier de Microsoft 365 (M365). Des initiatives politiques ont également vu le jour, notamment dans les cantons de Lucerne, Saint-Gall, Argovie et Bâle-Ville.

Le conflit entre le secret de fonction, la protection des données et le U.S. CLOUD Act, qui ouvre grand les portes des entreprises basées aux États-Unis aux autorités américaines chargées de l'application de la loi, a fortement polarisé les opinions dès le début. L'entrée en fonction du président américain Trump a encore affaibli la confiance dans les institutions américaines, renforçant ainsi les critiques des commissaires cantonaux à la protection des données.

La résolution récemment publiée par privatim, la conférence des commissaires à la protection des données suisses, va exactement dans ce sens. Elle déclare que « l'externalisation de données personnelles sensibles par des organismes publics vers des fournisseurs de services cloud » est « dans la plupart des cas inadmissible ». Elle vise les applications SaaS, notamment M365. La même exigence est déjà formulée depuis des années dans l'UE par l'Agence européenne chargée de la cybersécurité (ENISA). La résolution de privatim est donc moins un instantané qu'une tendance qui gagne de plus en plus de terrain.

Selon d'éminents juristes suisses, l'interprétation de cette résolution, qui n'est pas une décision directement contraignante mais qui n'en reste pas moins un positionnement très efficace sur le plan public et reconnu sur le plan technique, laisse peu de place à l'interprétation. Les deux avocats David Vasella et Martin Steiger qualifient ainsi cette publication de coup de frein radical à l'utilisation de ces services cloud internationaux, tout en soulignant qu'une interdiction effective ne serait possible que par voie législative. Dans ce contexte, la résolution est davantage une incitation à un développement responsable qu'un obstacle juridique contraignant. Elle exige de la prudence, et non l'immobilisme, mais elle indique clairement la direction que les autorités souhaitent prendre.

La résolution de Privatim est un signal d'alarme. Elle n'oblige pas les autorités et les organisations à mettre brusquement fin à tous leurs projets, mais à faire preuve de maturité. Il ne suffit plus de simplement « charger les données dans le cloud » et de croire que tout ira bien. Ce qui compte désormais, c'est de savoir qui a la compétence pour définir et mettre en œuvre la voie à suivre en toute sécurité. Une analyse formelle de l'impact sur la protection des données (AIPD) et l'acceptation globale de tous les risques ne suffisent pas non plus. Le passage au cloud public doit être justifié sur le plan organisationnel et technique, et les données personnelles sensibles doivent être protégées. La souveraineté est privilégiée.

C'est précisément là que nous pouvons vous aider : nous ne construisons pas des opinions, nous construisons des solutions. Nous permettons une utilisation sécurisée du cloud grâce à des mécanismes de protection techniques et organisationnels efficaces. Un véritable contrôle des clés par le client avec pré-cryptage ou double cryptage (double key encryption), des stratégies de sortie, des mécanismes DLP et, bien sûr, des alternatives suisses souveraines au cloud sont nos atouts.

L'avenir ne consiste pas à « interdire le cloud public », mais à « utiliser le cloud public de manière sûre, souveraine et fiable ».