Le 15 février 2023, le Conseil fédéral a décidé d’utiliser Microsoft 365 comme nouvelle version d’Office dans l’administration fédérale (Communiqué de presse). La décision a été précédée d’une phase de test, joliment intitulée projet “Cloud Enabling Büroautomation” (CEBA). L’introduction concerne notamment Word, Excel, PowerPoint, OneNote, Outlook, Teams, Windows 10 et 11 Enterprise, SharePoint Online, OneDrive for Business, Stream, Sway, Visio, Power Apps for Microsoft 365, Power Automate for Microsoft 365, Power Virtual Agents for Teams, Power BI et autres.
La Chancellerie fédérale a décrit plus en détail le projet dans un document d’information daté du 14 février 2023 (ici) et analysé l’admissibilité de la référence dans un document “Bases légales” de la même date (ici). Le résultat de ce document :
Avec les contrats conclus avec Microsoft, l’administration fédérale a Les bases sont poséesLe Conseil d’administration a décidé d’autoriser l’utilisation de M365 en respectant le cadre légal. Pour l’utilisation, une créer une directive d’interventionLes données nécessitant un niveau de protection plus élevé ne doivent pas être stockées dans le cloud. Dans le cadre du concept SIPD, une analyse des risques a été réalisée, les risques résiduels y ont été identifiés et sont connus.
L’analyse de BK vient en référence à la Exigence d’une base légale – une question qui autre pourrait encore donner lieu à des discussions – à la conclusion suivante :
L’exploitation du BA [bureautique] n’implique pas d’intervention dans les droits des individus. Dans ces conditions, l’exploitation du BA peut se baser directement sur le transfert des tâches administratives correspondantes. Une base juridique explicite n’est donc pas nécessaire ; cela vaut également pour l’externalisation de la BA dans le cloud public.
La base légale reste donc l’art. 57h LOGA (les organes fédéraux peuvent gérer un système d’information et de documentation pour l’enregistrement, la gestion, l’indexation et le contrôle de la correspondance et des affaires, qui peut également contenir des données sensibles et des profils de la personnalité). -
Données personnelles sensibles ne doivent pas, selon l’analyse de la ChF – dans le cas présent – être traitées ou stockées dans le cloud public ; elles restent On Premise. Il reste à savoir si cela constitue une mesure volontaire de la Confédération ou si elle a été déduite d’exigences – non mentionnées – relatives à la base légale (éventuellement de l’art. 17 LPD ; mais il faudrait alors se demander si ce niveau de norme s’applique effectivement aussi à la modalité de traitement de l’externalisation à un sous-traitant dans un nuage – une question qui se pose également dans la Rapport sur le cloud public de l’administration fédérale n’a pas été posée).
La BK poursuit son action sur les Exigences de la CyRV qui exige, entre autres, le respect de la protection de base et une analyse des besoins de protection et, le cas échéant – mais pas ici, car il n’y a pas de besoin de protection accru – un concept ISDS (cf. art. 14b ss. CyRV ; tant que celui-ci n’est pas encore remplacé par la LSI ou l’ordonnance sur la sécurité de l’information OSI ; probablement en vigueur le 1er avril 2023).
Du point de vue de la protection des données, il est possible de conclure avec Microsoft une convention de confidentialité. Accord sur le traitement des commandes de conclure. En ce qui concerne le traitement des Métadonnées Microsoft est certes un responsable, mais il se situe dans le cadre de l’art. 57h LOGA. En outre, Microsoft présente régulièrement des rapports d’audit (audits de tiers) que l’administration fédérale examine de son côté.
En référence à la Protection des secrets l’analyse reflète le résultat désormais largement reconnu :
Le traitement des commandes par le fournisseur d’une solution en nuage est également autorisé pour les données couvertes par le secret de fonction, le secret commercial ou le secret professionnel ou l’obligation de discrétion professionnelle, pour autant que les obligations de secret et de discrétion ne soient pas décrites de manière plus stricte dans des lois spéciales et que l’externalisation à des tiers soit exclue. […]
Avec la révision de l’article 320 CP, les auxiliaires sont désormais également sanctionnés par le droit pénal. Comme les fournisseurs de prestations TIC externes sont qualifiés de tels, la transmission d’informations à des personnes traitant des données sur mandat est autorisée.
Pour les Annonce à l’étranger indique le rapport :
Il y aura pas de données sur des systèmes situés en dehors de la Suisse ou de l’Union européenne Même une panne du service d’annuaire (Azure AD) n’aura pas lieu sur un serveur extérieur. Cela vaut également pour les données de facturation et d’assistance (mises en œuvre jusqu’à fin 2022). Les données ne seront transmises aux États-Unis que de manière anonyme et limitée dans le temps, à des fins d’analyse de sécurité. Conformément aux mesures EU Boundary de Microsoft, Microsoft établira au début de l’année prochaine une liste des données qui seront transmises. […]
Si un cloud ou un service cloud est exploité par une entreprise ayant des points de référence aux États-Unis, quels que soient son siège, ses sites de serveurs ou le lieu d’obtention de la solution cloud, il existe également un risque que celle-ci Données clients transmises aux autorités américaines de poursuite pénale sur la base du CLOUD Act même si cela enfreint le droit suisse (art. 271, 320 CP). Il faut toutefois que ces données soient en rapport avec un crime. […]
Outre le US Cloud Act, le Loi sur la surveillance du renseignement extérieur (FISA) est important. Celle-ci régit l’espionnage par les services secrets américains. Il ne devrait toutefois pas peser plus lourd dans l’évaluation des risques que le risque général d’espionnage par les services de renseignement.
En raison du partage des responsabilités il appartient aux départements et aux unités administratives d’évaluer au cas par cas le risque de communication de données aux Etats-Unis sur la base de leurs données. La présente analyse des bases juridiques attire l’attention de manière générale sur le risque existant. La directive d’utilisation E 03135 définit quelles données peuvent être traitées dans le nuage et lesquelles ne le peuvent pas. […]
L’administration fédérale transmet les données à Microsoft dans l’UE (Irlande)Les données sont traitées dans un pays qui offre un niveau de protection des données adéquat, conformément à la liste des pays, sur la base des clauses contractuelles standard et en précisant que la LPD suisse s’applique également. Conformément aux mesures frontières de l’UE, toutes les données sont conservées dans des centres de données UE/CH. […]
Il convient également de respecter – au sein de l’administration centrale – les dispositions de la VDTI et le AIBM.