privatim, la conférence des commissaires suisses à la protection des données, a publié le 24.11.2025 une “Résolution sur l’externalisation des traitements de données vers le cloud” publiée. privatim s’est déjà engagée auparavant s’est exprimé à plusieurs reprises sur le thème du cloud.
La motivation est sans doute à chercher dans les développements de ces derniers mois, notamment dans les Cantons de Lucerne ou Bâle-Ville ou Zurich. Le fait que les commissaires indépendants à la protection des données s’expriment maintenant sur le sujet via privatim est donc probablement dû à la pression politique (et le récent accord entre les États-Unis et la Suisse, ainsi que le contenu des données qu’il contient, peuvent également avoir joué un rôle). Il est toutefois remarquable que le canton de Glaris ne soutienne pas la résolution – pour des raisons encore inconnues.
Du point de vue du contenu, l’attitude stricte de privatim devrait être influencée par Zurich (la préposée zurichoise à la protection des données est également l’interlocutrice pour les questions). Des remarques s’imposent toutefois :
- Champ d’application et interdiction de facto : La résolution tente apparemment de ne pas paraître trop apodictique, mais elle semble très absolue sur le fond et semble presque vouloir établir une lex Microsoft – en tout cas, seul M365 est cité nommément en tant que technologie ou offre. Sur le fond, la résolution concerne toutefois toutes les offres SaaS potentiellement connues des fournisseurs étrangers. Toujours est-il que la résolution ne dit pas explicitement que l’utilisation du cloud par les organes cantonaux est interdite. A l’inverse, elle confirme plutôt que l’utilisation du cloud est en principe autorisée par la loi. Elle exige toutefois, dans le cas de données personnelles sensibles ou de secrets de fonction particuliers, que les données correspondantes soient cryptées par l’organe et que le fournisseur n’ait pas accès à la clé. Cela correspond à une interdiction des solutions SaaS pour de telles données.
- Absolutisation du besoin de protection : On ne peut pas affirmer que les données personnelles sensibles sont particulièrement menacées dans le cloud. Les services secrets américains s’intéresseront davantage aux données de paiement ou de télécommunication qu’aux données de santé. La résolution passe également sous silence le fait que le Conseil fédéral reconnaît sciemment comme adéquate la protection offerte aux entreprises américaines certifiées selon le “Swiss-US Data Privacy Framework”.
- Absence de justification juridique : La résolution ne justifie pas ses affirmations. Elle fonctionne avec une petitio principiiLa Commission n’est pas d’accord lorsqu’elle affirme que l’institution qui délègue ne peut qu’atténuer “la gravité des violations potentielles”. La question serait en effet de savoir si une violation du droit existe. Pour cela, il faudrait répondre à la question de savoir si le contrôle et la sécurité des données ne doivent pas être considérés comme plus importants dans le cas d’un hyperscalaler, malgré l’accès théoriquement possible des autorités, que dans le cas d’alternatives réalistes, avec toutes les faiblesses qu’elles peuvent présenter. Le résultat d’une telle analyse nette, réaliste pour les deux parties, devrait être examiné quant à sa recevabilité juridique. Cette question ne peut pas être écartée par une référence aux accès possibles des autorités américaines. Les droits fondamentaux ont un contenu central qui se répercute sur l’application du droit. En dehors de ce noyau, les compromis sont inévitables et admissibles. Cela vaut également dans le cadre de la gestion administrative. Une intervention en dehors du contenu central n’est en principe exclue que s’il existe une alternative équivalente sans une telle intervention.
- Recours à des auxiliaires : Le recours à des auxiliaires est même en cas de secret de fonction ne sont en principe pas interdites. Le fait que toutes les questions ne soient pas claires à ce sujet ne signifie pas pour autant qu’il règne une “insécurité juridique considérable”. De même, la position de l’autorité zurichoise est mal fondée, comme en témoigne sa résolution selon laquelle un grand fournisseur ne peut pas être consulté en tant qu’auxiliaire. Il s’agit peut-être d’un effet à distance de la disposition erronée et historique du § 3, alinéa 1 de la loi zurichoise sur l’externalisation des services informatiques. Et il est difficile d’affirmer que le nombre croissant d’employés cantonaux préserve mieux les secrets que les collaborateurs des hyperscalers.
Une interdiction per se des solutions liées à l’étranger pour certaines données serait une décision politique. Une telle interdiction relèverait du législateur et non de l’acceptation de certains risques, qui sont inévitables même dans le cas de solutions internes et qui sont naturellement acceptés dans une certaine mesure.