Lorsque les services publics utilisent des fournisseurs de cloud étrangers pour stocker des données
La souveraineté numérique est l’un des trois thèmes annuels de la « Stratégie pour la Suisse numérique ». Il s’agit de savoir comment réduire les dépendances dans le monde numérique. Un cas d’application concret est le cloud des autorités : une administration suisse peut-elle stocker ses données chez un fournisseur de cloud étranger ? Oui, conclut un panel d’experts juridiques – même si des mesures supplémentaires sont nécessaires pour protéger les citoyens.
« Si nous n’avions pas eu toute l’histoire avec Snowden et la NSA, tout le monde serait un peu moins excité », explique Esther Zysset lors de la table ronde sur le cloud des autorités de la ville de Zurich. L’experte en droit public discute avec Christian Laux de l’expertise que son cabinet d’avocats a rédigée pour la ville de Zurich. Il atteste que la ville de Zurich n’a aucun problème juridique à externaliser le cloud des autorités sur des serveurs de fabricants étrangers. La table ronde est une manifestation commune de la Haute école spécialisée bernoise et de Swiss Data Alliance, un think tank indépendant pour une politique constructive en matière de données. Rika Koch, de l‘Institut Public Sector Transformation de la HESB, animera la discussion.
Les trois spécialistes sont d’accord : lorsqu’une autorité va dans le cloud avec ses données, elle porte une responsabilité – elle doit savoir ce qui se passe techniquement, mais aussi quelles sont les conditions-cadres contractuelles et juridiques existantes. C’est pourquoi une loi supplémentaire n’est pas nécessaire, argumente Christian Laux : « Le débat politique ne doit pas se cacher derrière les questions juridiques. Car la légalité et la proportionnalité d’une solution cloud pour les données des autorités est en premier lieu une question de mise en œuvre correcte et minutieuse »
En fait, la répartition des responsabilités en fonction de la volonté politique, des conditions techniques et des exigences concrètes d’une unité organisationnelle donnée est judicieuse, atteste Esther Zysset. « Ce qui est difficile, en revanche, ce sont les aspects liés à la relation avec l’étranger » Il n’y aurait pas de protection juridique adéquate pour les citoyens si, par exemple, une autorité étrangère exigeait la remise de données sur une personne. Christian Laux est du même avis : « On ne peut plus garantir à 100 % qu’il n’y aura pas d’accès aux données lors d’une procédure judiciaire à l’étranger. Il y a là un besoin d’agir au niveau fédéral »
Les spécialistes sont toutefois moins inquiets en ce qui concerne l’accès par les services secrets, par exemple dans le cadre du CLOUD Act américain. « Dès que les autorités américaines exigent la remise de données, le fournisseur de cloud informe déjà qu’il s’agit des données d’une autorité » L’autorité américaine contacterait alors la ville de Zurich – et cette dernière pourrait amener le cas en Suisse et le faire traiter selon la juridiction suisse.
Esther Zysset estime que le rapport d’expertise va trop loin sur un point seulement du point de vue du droit public : « Le rapport d’expertise décrit comment une autorité peut autoriser le passage au cloud et ainsi passer de facto outre le secret de fonction. Cela signifie en fin de compte qu’une décision exécutive a plus de poids que la loi votée par le pouvoir législatif » Toutefois, cela ne pose problème que si les autorisations sont très générales au lieu d’être accordées au cas par cas, admet-elle.
L‘enregistrement de la table ronde est disponible ici.
Focus sur la souveraineté des données
En tant qu’aspect partiel de la souveraineté numérique, la souveraineté des données formule ce qu’il faut faire en matière de données pour qu’un État puisse agir de manière souveraine. Elle se concentre sur trois aspects :
- La délimitation des compétences par rapport à d’autres Etats (p. ex. procédure en cas de poursuite pénale à l’étranger)
- La souveraineté en matière d’organisation de ses propres données (p. ex. certaines transactions commerciales liées aux données)
- La capacité de se défendre contre les attaques extérieures (p. ex. protection contre l’espionnage)
Le regain d’intérêt pour la notion de souveraineté se traduit également par la multiplicité des groupes d’intérêt qui poussent à une réinterprétation respective de la notion et donc de la conception de l’État. Afin de permettre un débat constructif, la Swiss Data Alliance a publié un document conceptuel qui résume les points d’ancrage de la souveraineté des données.
Swiss Data Alliance s’engage pour une politique constructive des données à l’interface entre la recherche, l’économie et la société civile.
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !