- Le §17 révisé autorise le traitement de données personnelles particulières par des fournisseurs tiers si les centres de données sont situés en Suisse/dans un État adéquat ou si des mesures de protection appropriées sont en place.
- Les autorités doivent prendre des mesures techniques, organisationnelles et contractuelles afin de réduire au minimum l’accès des États étrangers.
- La loi crée une base juridique explicite pour les applications basées sur le cloud dans les postes de travail numériques des autorités et met l’accent sur la sécurité juridique plutôt que sur des prescriptions technologiques détaillées.
Le canton de Zurich avait organisé une consultation sur la “loi sur les services numériques de base” (voir ici). Entre autres points, le § 17, dans la version proposée à l’époque, prévoyait que les informations devaient en principe être stockées en Suisse ou dans l’UE et que, pour les données personnelles particulières ou les données confidentielles ou secrètes, un cryptage était nécessaire, rendant impossible tout accès sans la participation de l’organe public, y compris pour le fournisseur de cloud – ce qui aurait encore permis, pour l’essentiel, des services d’hébergement.
Ce point a d’ailleurs fait l’objet de vives critiques lors de la consultation, qui sont résumées comme suit dans le rapport du Conseil d’État :
La proposition de réglementation relative à l’utilisation d’applications basées sur le cloud dans le cadre de postes de travail numériques a fait l’objet de controverses lors de la consultation. La majorité des participants à la consultation a demandé une l’adaptation des conditions ou la renonciation sur cette disposition. Le rapport avec la loi sur l’information et la protection des données du 12 février 2007 (LDI, LS 170.4) et avec la loi sur l’externalisation des services informatiques a été abordé de manière isolée. […]
Le Conseil d’État zurichois a maintenant présenté au Grand Conseil – le 18 septembre 2024 – un projet de loi sur l’égalité des chances. remettre une version modifiée du projet. Dans la nouvelle version le § 17 se lit comme suit :
§ 17. 1 Le traitement de Données personnelles et données personnelles particulières dans les applications des postes de travail numériques des autorités publiques peut être transférée à des tiers si
a. dont les centres de calcul se trouvent en Suisse ou dans un Etat offrant une protection adéquate des données, et
b. sur la base des mesures techniques, organisationnelles et contractuelles prises il n’y a aucune raison de penserqu’un État étranger puisse avoir accès aux données accédera.
2 Pour le reste, les dispositions de la loi sur l’information et la protection des données du 12 février 2007* sont applicables.
Cela correspond pour l’essentiel aux § 36 sur le site Projet de révision de la LDI de Zurich. La communication de données personnelles à l’étranger est donc autorisée – en plus des autres conditions du traitement des données – lorsque
b. si une protection adéquate est garantie dans l’État destinataire pour le traitement des données, ou
c. [l’institution publique] a convenu de mesures de sécurité appropriées avec les destinataires.
En outre, les conditions prévues à l’article 17, paragraphe 1, lettre b, lettre ne s’appliquent pas en plus, mais en alternative à la lettre a, c’est-à-dire en tant que fait générateur de l’autorisation, lorsque les centres de calcul se trouvent en dehors d’une zone bénéficiant d’une protection adéquate. Cela devrait en règle générale nécessiter la conclusion de la Clauses contractuelles types et la mise en œuvre d’un Évaluation de l’impact du transfert qui évalue ces clauses, les autres TOM et le risque résiduel de Foreign Lawful Access.
Cette modification est une bonne nouvelle non seulement pour les fournisseurs de cloud, mais aussi et surtout pour les organes publics, qui seraient sinon exclus de facto de l’utilisation de tous les services autres que de stockage (dans les applications des postes de travail numériques). Il aurait simplement fallu souhaiter que le § 17 ne parle pas seulement des données personnelles particulières, mais aussi des secrets particuliers.
Le rapport du Conseil d’Etat dit à ce sujet
En complément de ces réglementations existantes, la loi sur les services électroniques de base doit réglementer l’externalisation dans le cas d’application spécifique d’applications basées sur le cloud dans les postes de travail numériques des autorités. Celui-ci peut être attribué aux services de base en tant que service de base principalement interne à l’administration et est suffisamment concrétisé ou concrétisable sur le plan technique pour être accessible à une réglementation.
D’autres demandes concernent le niveau normatif de la réglementation. Il est notamment fait référence à des expertises juridiques et à des avis de droit selon lesquels des bases légales (au sens formel) ne sont pas nécessaires. Or, pour autant que l’on puisse en juger, ces expertises citées dans la consultation ne traitent pas, ou seulement de manière rudimentaire, de la question de savoir dans quelles conditions une externalisation vers un nuage d’une entreprise étrangère est autorisée – du point de vue des droits fondamentaux, c’est-à-dire en tenant compte également du cadre du droit constitutionnel et du droit international.
Pour des raisons de droit public et de droits fondamentaux, il est renoncé à une disposition. Le site base légale à créer doit contribuer à la sécurité juridique dans un domaine où les questions juridiques restent ouvertes, comme les évolutions technologiques dynamiques. Ainsi, la loi sur les services électroniques de base doit notamment servir à fournir aux communes une base juridique (à préciser) pour l’utilisation d’applications basées sur le cloud dans les postes de travail numériques des autorités. Cette disposition a été adoptée au vu des avis exprimés lors de la consultation. Réserves quant à l’applicabilité dans la pratique révisées. Les conditions doivent tenir compte de manière appropriée de la réalité du travail et laisser autant de place que possible aux développements technologiques. Les exigences en matière de protection des données et de sécurité de l’information doivent être prises en compte de manière équilibrée et dans l’intérêt public d’une administration efficace et moderne.
Il faut partir du principe que les mesures techniques qui augmentent notamment la sécurité des données et de l’information continueront à être développées et dépendront en fin de compte de l’offre des fournisseurs d’applications choisis dans les postes de travail numériques des autorités. Par conséquent de ne pas prévoir, déjà au niveau de la loi formelle, une d’imposer une mesure technologique particulière (cryptage avec souveraineté des clés par l’organe public). L’autorité est responsable de garantir, par des mesures techniques, organisationnelles et contractuelles que le risque d’accès aux données par un État étranger soit réduit au minimum sera.
Dans le texte de loi, on renonce à la notion de “basé sur le cloud”, car il s’agit d’une notion encore (trop) floue. La qualification du “cloud computing” est juridiquement déterminante comme forme le traitement des données par des tiers. L’objet de la disposition de la loi sur les services électroniques de base se limite au traitement des données dans le cadre des applications dans les espaces de travail numériques des autorités.