Les autorités suisses de protection des données de montrent sévères à l’égard de l’utilisation des services cloud internationaux par les instances gouvernementales. De facto, cela équivaut presqu’à une interdiction.
Dans une nouvelle résolution, privatim – les autorités suisses de protection des données collectées, telles que la DPA dans notre pays, ndlr – affirme que les solutions SaaS des hyperscalers tels que Microsoft, Google et Amazon sont dans la plupart des cas inadaptées au traitement de ‘données personnelles particulièrement sensibles’.
L’adoption de l’infrastructure cloud publique par les autorités fait l’objet de discussions depuis un certain temps déjà, mais les régulateurs suisses prennent à présent une position étonnamment ferme. Dans une résolution datant du 18 novembre 2025, privatim met en garde contre les risques liés à l’externalisation des données gouvernementales à de grands acteurs internationaux. Selon les régulateurs, les économies d’échelle et la flexibilité de ces plateformes ne pèsent souvent pas lourds par rapport à la perte de contrôle et de transparence.
Manque fondamental de contrôle
Le cœur de la critique porte sur l’absence de supervision réelle par les instances publiques suisse sur ce qui arrive à leurs données dans le cloud. ‘Les entreprises opérant au niveau mondial offrent trop peu de transparence pour permettre aux autorités suisses de vérifier le respect des obligations contractuelles relatives à la protection et à la sécurité des données’, peut-on lire littéralement dans la résolution. De plus, le régulateur dénonce le fait que les fournisseurs peuvent adapter unilatéralement leurs conditions contractuelles.
Manque de cryptage bout à bout
Un obstacle technique spécifique est l’absence de cryptage étanche. Tant que les fournisseurs ont accès aux données en ‘texte clair’, la confidentialité restera menacée. ‘La plupart des solutions SaaS n’offrent pas encore de véritable cryptage bout à bout qui exclurait l’accès du fournisseur aux données en texte clair’, selon a résolution.
Ce risque est amplifié par le Cloud Act américain, qui oblige les fournisseurs américains à remettre les données clients aux autorités américaines, même si ces données sont stockées physiquement dans des centres de données suisses par exemple. Cela sape la protection offerte par la législation locale dans la pratique.
‘Microsoft 365, exemple inadmissible’
La conclusion de privatim est indéniable. Le régulateur suisse considère ‘dans la plupart des cas comme inacceptable’ l’utilisation de services SaaS où ‘des données personnelles particulièrement sensibles ou des données relevant d’une obligation légale de confidentialité’ sont traitées. Privatim mentionne explicitement Microsoft 365 comme un exemple non admissible.
La seule ouverture que laisse la résolution est un cryptage strict sous gestion propre. L’utilisation ne serait possible que si les données sont cryptées par l’instance gouvernementale elle-même et que le fournisseur cloud n’a pas accès à la clé de décryptage.