CLOUD-Act, souveraineté des données et la Suisse : un tournant pour les stratégies informatiques européennes ?

24 décembre 202528 novembre 2025 par Markus Schall

En Suisse, il s'est passé mi-novembre quelque chose que presque personne n'attendait sous cette forme : Les commissaires à la protection des données du pays ont adopté une résolution claire, presque historique. Le message qui se cache derrière est simple - et en même temps très explosif : les autorités ne doivent plus externaliser sans hésitation leurs données les plus sensibles vers des services cloud internationaux comme Microsoft 365. Pourquoi cela ?

Parce que la responsabilité de données particulièrement confidentielles - dossiers de santé, cas sociaux, enquêtes pénales, documents internes - ne peut pas être transférée à des entreprises qui ne pourront jamais, techniquement, exclure totalement l'accès à ces données. C'est précisément le cœur de la décision suisse. Il n'est pas nécessaire d'être profondément impliqué dans le domaine informatique pour comprendre l'idée de base. Autrefois, les dossiers importants étaient rangés dans une armoire à dossiers fermée à clé à la mairie. Aujourd'hui, ces mêmes données se trouvent souvent quelque part à l'étranger - sur des serveurs de grands groupes américains, qui font à leur tour appel à leurs propres entreprises partenaires et sous-traitantes. Et même si ces fournisseurs assurent que tout est sécurisé, l'administration elle-même ne peut plus vraiment le vérifier.

Thèmes de société contemporains

État de l'économie allemande en 2025

L'état de l'économie allemande en 2025 : cinq ans de crise, chiffres, tendances et perspectives

Portée vs. propriété

La portée n'est pas la propriété - Pourquoi la visibilité ne suffit plus aujourd'hui

Des décisions à l'ombre des bouleversements

Profession, vision du monde, avenir : des décisions à l'ombre des bouleversements

Guide de l'insolvabilité des entreprises

Insolvabilité des entreprises : une expérience personnelle avec un guide en temps de crise

A cela s'ajoute un point qui passe souvent inaperçu dans le débat public : les entreprises américaines peuvent être contraintes par des lois américaines comme le CLOUD Act de fournir des données - même si ces données sont en fait stockées en Europe. Pour les États européens, et plus encore pour un pays comme la Suisse qui attache traditionnellement une grande importance à l'indépendance, c'est une arme lourde. C'est dans ce contexte que les autorités suisses de protection des données viennent de se prononcer clairement :

Lorsqu'une autorité stocke des données qui sont particulièrement protégées, voire couvertes par le secret de fonction, aucune autre personne - y compris les fournisseurs de services en nuage - ne doit pouvoir y accéder. Et tant qu'il n'y aura pas de véritable cryptage de bout en bout, où l'autorité est la seule à gérer les clés, ce n'est tout simplement pas possible avec les services cloud actuels.

La Suisse tire ainsi la sonnette d'alarme - par prudence, par tradition et par une compréhension profondément ancrée du fait que les données étatiques sont un bien particulièrement précieux. Et il est intéressant de constater que les autorités allemandes, les responsables de la protection des données et les responsables informatiques regardent désormais de très près si un nouveau standard se dessine ici.

Ce que dit vraiment la résolution suisse

Comme Heise Online et Inside IT la Conférence de protection des données privatim, qui réunit le Préposé fédéral à la protection des données et tous les organes de surveillance cantonaux, est à l'origine de cette décision. Ses décisions ne sont certes pas des lois, mais elles ont un poids énorme. Dans la pratique, de nombreuses autorités appliquent leurs directives comme si elles étaient contraignantes - car elles indiquent ce qui est autorisé et responsable du point de vue de la protection des données. À qui s'adresse la résolution ? Le groupe cible est constitué des organismes publics :

Autorités fédérales
offices cantonaux
Communes
Plats
institutions publiques

Les entreprises privées ne sont pas formellement concernées par la résolution. Mais : si les critères sont aussi stricts pour les institutions publiques, l'économie privée aura du mal à l'avenir à se montrer beaucoup plus laxiste - notamment dans des domaines comme la santé, l'éducation ou les assurances.

Le message clé : les données sensibles n'ont pas leur place dans les clouds internationaux

Le site Résolution le formule certes avec prudence, mais sans équivoque : la plupart des données sensibles des autorités ne doivent pas être transférées vers des services en nuage tant que les fournisseurs pourraient y avoir techniquement accès. Et cela ne concerne pas n'importe quelle application de niche, mais précisément les produits Cloud que de nombreuses administrations utilisent désormais de manière standard, notamment :

Microsoft 365
Google Workspace
diverses applications SaaS de fournisseurs internationaux

Le point crucial est toujours le même : il manque un véritable cryptage de bout en bout, dans lequel l'autorité possède les clés et le fournisseur est techniquement exclu. Tant que le service de cloud computing déploie lui-même des mises à jour, effectue des configurations ou dispose de droits d'administrateur en cas d'assistance, un accès théorique subsiste - et cela suffit amplement à constituer un risque pour les protecteurs suisses des données.

Pourquoi la Suisse trace-t-elle cette ligne ?

La décision suisse suit une logique claire, que l'on pourrait résumer par un principe classique, presque démodé :
On ne peut pas vraiment protéger ce qui n'est pas dans sa propre sphère d'influence. Trois motifs sont au cœur de cette démarche :

Protection de la souveraineté de l'ÉtatLes données publiques sont un fondement de la souveraineté. Si des fournisseurs internationaux pouvaient théoriquement y avoir accès, si possible sous une juridiction étrangère, l'État perdrait une partie de cette souveraineté.
Protection du secret de fonctionEn Suisse, le secret de fonction revêt une grande importance. Il doit non seulement empêcher les intrigues politiques, mais aussi garantir la confiance des citoyens. Dès que les données quittent le pays, cette confiance devient plus difficile à garantir.
Protection des données personnelles particulièrement sensiblesDonnées de santé, dossiers de police, cas sociaux - autant de domaines où un accès non autorisé aurait de graves conséquences. Et même le risque le plus faible est ici jugé inacceptable.

Quelles sont les données particulièrement concernées ?

La résolution parle explicitement de :

données personnelles sensibles
Données soumises à une obligation légale de confidentialité (secret de fonction)
Données de la police, de la justice, des services sociaux, de la santé, de l'administration

Pour de telles informations, la résolution exige un standard que les systèmes SaaS actuels n'offrent pas : un cryptage complet sous le seul contrôle de l'autorité. Sans cette norme, l'externalisation vers des clouds internationaux est „inadmissible dans la plupart des cas“ - selon la formulation.

Que reste-t-il aux autorités ?

D'un point de vue purement technique, il ne leur reste qu'un étroit couloir :

Stockage dans le nuage avec son propre cryptage en amont
Exploitation d'une infrastructure clé propre
ou des solutions entièrement locales, c'est-à-dire on-premise ou fournisseur suisse

Cela ne signifie pas que les autorités ne peuvent plus du tout utiliser le cloud. Mais elles doivent s'assurer que le fournisseur n'a pas la possibilité de lire les données en clair. Et c'est précisément ce qui est quasiment impossible à mettre en œuvre dans la pratique avec la plupart des outils modernes de cloud computing, car ces systèmes ne peuvent déployer leurs fonctions que s'ils traitent eux-mêmes les données. Ainsi, la Suisse dit indirectement

„Utilisez le cloud avec parcimonie, et uniquement là où vous pouvez vraiment le contrôler“.“

Et c'est, en soi, un pas remarquable - un pas qui suscite également des discussions en dehors de la Suisse.

Les cinq arguments clés - de l'absence de cryptage de bout en bout à la loterie des contrats

1. absence de véritable cryptage de bout en bout

Le point le plus important est aussi le plus simple : tant qu'un fournisseur de cloud peut techniquement accéder aux données, leur utilisation pour des informations particulièrement sensibles n'est pas autorisée. Et c'est précisément là que pratiquement toutes les offres SaaS internationales échouent - même lorsqu'elles se disent „sûres“, „certifiées“ ou „conformes à la protection des données“. Pourquoi ? Parce que des services comme Microsoft 365, Google Workspace ou d'autres grandes plates-formes cloud ne fonctionnent que s'ils peuvent traiter les données de notre travail : Documents, e-mails, calendriers, réunions, chats. Ces systèmes analysent, recherchent, synchronisent et connectent les contenus - c'est leur modèle économique.

Un véritable cryptage de bout en bout, où l'autorité est seule à détenir la clé et où le fournisseur n'a aucun droit de regard, rendrait ces fonctions en grande partie impossibles. C'est précisément pour cette raison que les fournisseurs ne proposent pas de séparation complète sur ce point. Et c'est pourquoi les protecteurs suisses des données disent

„Tant que cela ne sera pas possible, nous ne pourrons pas utiliser de tels systèmes en toute bonne conscience“.“

2. chaînes de sous-traitance non transparentes et manque de contrôle

Les grands fournisseurs de cloud travaillent avec un énorme réseau de sous-traitants. Ces structures sont souvent réparties à l'échelle mondiale, changent régulièrement et sont difficilement compréhensibles pour les personnes extérieures. Même lorsqu'il existe un contrat d'autorité avec Microsoft ou Google, les règles suivantes s'appliquent souvent en arrière-plan :

d'autres entreprises fournissent une assistance
des équipes externes prennent en charge les travaux de maintenance
d'autres prestataires de services hébergent ou gèrent une partie de l'infrastructure

Pour une autorité publique, cela signifie qu'elle ne peut pas savoir exactement qui a ou pourrait avoir accès à quoi et quand. Et cela va à l'encontre du principe selon lequel un organisme public doit pouvoir comprendre à tout moment où se trouvent ses données et qui peut potentiellement y avoir accès. Les autorités suisses ont délibérément insisté sur ce point, car transparence et responsabilité sont étroitement liées.

3. modifications contractuelles unilatérales - le cloud comme base juridique bancale

Un facteur de risque souvent négligé est la conception du contrat. De nombreux fournisseurs de cloud se réservent le droit de modifier leurs conditions générales à tout moment, parfois avec un préavis très court. Pour les entreprises privées, cela peut encore être accepté d'une certaine manière, mais :

Le principe de prévisibilité s'applique aux autorités publiques. L'administration doit pouvoir documenter et justifier quelles données sont traitées et comment. Mais si les conditions générales changent spontanément - parce que le fournisseur insère de nouvelles clauses ou limite celles qui existent déjà - il en résulte une situation dans laquelle l'autorité ne peut plus évaluer avec certitude sa propre conformité juridique.

Les protecteurs suisses des données considèrent cette „loterie contractuelle“ comme incompatible avec les obligations de l'État. Un Etat ne peut pas se fier à des modèles commerciaux qui peuvent être modifiés à tout moment - sans participation.

4. perte de contrôle et risque pour les droits fondamentaux

Dès que les données quittent le pays ou sont traitées en dehors de son domaine de responsabilité, un risque apparaît : l'État perd une partie de son contrôle.

Cela peut paraître abstrait à première vue, mais c'est très concret au quotidien : si une erreur se produit, si des données sont compromises ou si un litige juridique survient, une administration ne peut plus garantir qu'elle pourra se passer d'une aide extérieure. Et c'est précisément ce qui va à l'encontre de l'idée de base d'une administration publique qui fonctionne :

Un État doit pouvoir agir lui-même en cas d'urgence - sans dépendre d'entreprises externes ou d'ordres juridiques étrangers. Les protecteurs suisses des données pensent ici de manière traditionnelle, presque démodée - et c'est justement ce qui rend leur position si cohérente. Les tâches de l'État restent des tâches de l'État. Et les données étatiques appartiennent à l'État.

5. le US CLOUD Act - au cœur des préoccupations

Le CLOUD Act est peut-être le contexte le plus important de toute cette discussion. Cette loi américaine oblige les entreprises américaines à fournir des données aux autorités américaines sur demande - même si ces données sont stockées à l'étranger et sont en fait protégées par des lois étrangères. Pour la Suisse, c'est un "no-go" absolu.

En effet, il serait théoriquement possible pour les autorités américaines d'avoir accès à des données administratives suisses sensibles sans impliquer les tribunaux ou les autorités suisses. Même si les fournisseurs d'informatique en nuage affirment qu'ils ne transmettent de telles données qu'à des conditions très strictes, le problème de fond reste entier :

L'autorité perd la souveraineté sur ses données, ne serait-ce que par le choix du prestataire de services techniques. Pour un pays qui tient traditionnellement à son indépendance, c'est un risque qu'on ne veut pas prendre. Et c'est précisément ce point que les défenseurs suisses des données soulèvent très clairement.

Miniature d'une vidéo YouTube

Lire cette vidéo sur YouTube

La Suisse contre Microsoft 365 - et l'Allemagne regarde de près | heise & c't

Suisse versus UE - deux manières d'aborder Microsoft 365

Alors que la Suisse adopte une ligne très réservée et met explicitement en garde les autorités contre l'externalisation de données sensibles vers des services SaaS internationaux, l'Union européenne suit une autre approche. On tente d'y trouver une voie médiane par le biais d'accords, d'améliorations contractuelles et d'adaptations techniques - une voie qui n'interdit pas fondamentalement les services d'informatique en nuage, mais qui doit les rendre „utilisables“ par le biais de conditions.

Cette différence est remarquable et en dit long sur la manière dont les États abordent la question de la souveraineté numérique.

La Suisse : prudence, souveraineté des données et une frontière claire

La position suisse peut se résumer en une phrase :

„Ce que je ne peux pas contrôler, je ne le lâche pas“.“

La Suisse s'en tient ainsi à un principe traditionnel : les données étatiques - en particulier les données secrètes ou sensibles - restent dans le pays ou sont cryptées de manière à ce que personne n'y ait accès, sauf l'autorité elle-même. Il s'agit d'un retour délibéré à des principes anciens, transposés dans le présent du monde numérique.

L'UE : traités, dérogations et solutions de compromis

L'Union européenne suit une autre voie. Elle veut profiter des avantages des grandes plateformes de cloud sans les bannir complètement. Pour cela, on

nouveaux contrats négociés
Garanties de protection des données complétées
Mécanismes de contrôle et audits mis en place
garanties techniques fournies ultérieurement

La décision du Contrôleur européen de la protection des données selon laquelle la Commission européenne peut utiliser Microsoft 365 en conformité avec la protection des données sous certaines conditions en est un exemple. On entend désormais des propos similaires dans plusieurs États membres - dont certaines parties de l'Allemagne. L'idée de base :

„Nous réglementons le cloud au lieu de l'interdire“.“

Mais cette approche repose sur la confiance dans les fournisseurs - et sur le fait que la complexité reste maîtrisable. Les critiques s'y opposent : Plus la plateforme est grande, plus le contrôle est difficile.

L'Allemagne entre deux mondes

L'Allemagne est entre la chaise et le banc. Certaines autorités régionales de protection des données sont plus prudentes, d'autres plus orientées vers la pratique.
Dans le domaine scolaire, par exemple, des décisions sévères ont déjà été prises contre Microsoft 365, alors qu'au niveau fédéral, on travaille plutôt sur des solutions qui permettent son utilisation. Résultat : un patchwork.

C'est précisément pour cette raison que beaucoup regardent maintenant la ligne suisse - parce qu'elle fixe pour la première fois un critère clair au lieu de passer par des compromis.

Deux philosophies s'affrontent

Si l'on va à l'essentiel, deux écoles de pensée s'affrontent :

La tradition suisse : „Nos données restent chez nous - ou elles restent cryptées et personne d'autre ne les voit“.“
La pragmatique européenne : „Nous avons besoin de plates-formes modernes - alors nous nous arrangeons avec elles du mieux que nous pouvons“.“

Les deux voies ont leurs points forts. Mais la Suisse donne un signal clair : elle montre qu'un État peut, même au 21e siècle, miser délibérément sur l'indépendance numérique sans se rendre dépendant de groupes mondiaux.

Et rien que cette attitude fait déjà en sorte que les autorités, les responsables de la protection des données et les départements informatiques de toute l'Europe regardent de plus près si la pratique actuelle est vraiment aussi immuable qu'elle a toujours semblé l'être.

Critère / thème	Point de vue suisse (privatim / autorités)	Pratique ou conception actuelle de l'UE/de l'Allemagne
Groupe cible	Institutions publiques : Confédération, cantons, communes, tribunaux, etc.	Autorités & administrations (en partie), mais de nombreuses autorités continuent d'utiliser les clouds SaaS ; réglementation en partie hétérogène selon le pays et l'état.
Type de données / sensibilité	Données sensibles ou soumises au secret (santé, police, services sociaux, données officielles obligatoires, etc.) - utilisation restrictive du cloud exigée.	Utilisation du cloud possible même pour les données sensibles - selon l'évaluation des risques, les mesures de protection des données et le contrat du fournisseur ; souvent des compromis et une gestion individuelle différente.
Cryptage de bout en bout / souveraineté des clés	Acceptable uniquement si l'autorité contrôle elle-même les clés et si le fournisseur est techniquement exclu ; dans le cas contraire, utilisation interdite.	Les clouds standard sont utilisés, même si l'on ne dispose pas de sa propre souveraineté en matière de clés ; le cryptage par le fournisseur est généralement suffisant, pour autant que des contrats de protection des données et des obligations existent.
Sous-traitance / transparence de l'infrastructure	Les chaînes de sous-traitance sont considérées comme trop opaques - pas d'utilisation autorisée avec des données critiques.	Les chaînes de sous-traitance sont acceptées - avec des preuves de conformité, des certifications et des dispositions contractuelles, mais la transparence est souvent limitée.
Modifications du contrat / sécurité juridique	Les modifications unilatérales des contrats par les fournisseurs sont un non - les engagements de l'Etat ne doivent pas être risqués.	Les services sont utilisés, même si les fournisseurs peuvent modifier les contrats ; les autorités/entreprises prennent des risques - souvent avec des accords juridiques et des mécanismes de contrôle.
Danger des lois américaines (par ex. CLOUD Act)	Les lois américaines sont considérées comme un risque inacceptable - utilisation du cloud interdite pour les données sensibles tant que les fournisseurs peuvent être contraints par les tribunaux américains.	Malgré le CLOUD Act, des clouds internationaux sont utilisés ; le risque est souvent considéré comme acceptable, avec référence aux mécanismes de protection, aux clauses contractuelles standard de Data Boundary ou de l'UE.
Alternatives recommandées	Sur site, fournisseurs suisses/européens avec souveraineté des clés, infrastructure propre ou solutions de stockage fortement cryptées.	Cloud hybride, fournisseur avec centre de données en Europe, services cloud sous conditions ; utilisation fréquente tant que les normes de conformité sont respectées.
Philosophie / attitude fondamentale	Principe de précaution, contrôle, souveraineté de l'État et souveraineté maximale des données.	Pragmatisme, capacité à faire des compromis, gestion des risques et confiance dans les cadres contractuels/techniques.

Un regard au-delà des frontières : pourquoi l'Allemagne doit désormais y regarder de plus près

La résolution suisse intervient à un moment où les autorités et les entreprises allemandes sont de toute façon de plus en plus incertaines quant à la manière d'utiliser les services en nuage. D'un côté, l'économie pousse vers le cloud - promettant automatisation, collaboration, efficacité des coûts. D'autre part, la question de savoir dans quelle mesure nous cédons le contrôle se pose avec acuité.

C'est précisément à ce stade que la décision suisse déploie ses effets de signal. Elle tend un miroir à l'Allemagne et montre ce qui se passe si l'on va jusqu'au bout de la réflexion. Cela ne concerne pas seulement les ministères et les autorités, mais aussi les écoles, les cabinets d'avocats, les cabinets médicaux, les moyennes entreprises et tous ceux qui travaillent avec des données sensibles. Les Suisses disent en substance

„Nous utilisons la technologie moderne - mais pas au prix de notre indépendance“.“

Cette phrase pourrait tout à fait figurer au-dessus d'une stratégie numérique allemande. Ce n'est pas encore le cas, mais la décision de Berne donne un nouvel élan au débat.

La question qu'aucune entreprise ne peut ignorer

Les entreprises doivent aujourd'hui se poser une question apparemment simple - une question que l'on n'aurait guère posée il y a dix ou quinze ans :

„Qui a accès à nos données en cas de doute ?“

Autrefois, la réponse était claire : soi-même. Aujourd'hui, elle est souvent : „Ça dépend“.“

Et c'est précisément ce „dépend“ qui pose problème à de nombreuses organisations. Dès lors que des données se trouvent dans des systèmes en nuage, l'entreprise n'est plus la seule à décider qui pourrait y avoir accès. C'est elle qui décide :

le fournisseur
ses sous-traitants
son sous-traitant
les autorités étrangères (dans le cas des fournisseurs américains, même sans accord européen)

Si l'on regarde les choses froidement, on se rend vite compte qu'il y a de moins en moins de réponses claires à la question de la véritable souveraineté des données.
Et c'est pourquoi la ligne suisse n'a soudain plus rien de démodé - mais tout de moderne.

La classe moyenne entre confort et perte de contrôle

En Allemagne, de nombreuses entreprises de taille moyenne se trouvent actuellement entre deux pôles :

Le confort des plateformes de cloud modernes
- Fichiers synchronisés partout
- Des vidéoconférences en quelques secondes
- systèmes intégrés de messagerie, de calendrier et de communication
Le désir de contrôle, de confidentialité et d'indépendance
- surtout pour les données confidentielles
- les secrets commerciaux stratégiques
- la propriété intellectuelle
- Données sur les clients ou les employés

La décision suisse montre une direction possible : on peut utiliser la technologie, mais on n'est pas obligé de suivre aveuglément toutes les tendances. Certaines voies sont confortables, mais le confort n'est pas toujours synonyme de sécurité.

Enquête actuelle sur la numérisation dans la vie quotidienne

Mon propre moment cloud avec HostEurope

J'ai suivi cette évolution suisse avec une attention particulière, car je me suis moi-même retrouvé dans une situation tout à fait similaire il y a quelque temps. Chez HostEurope, l'ensemble de mon système de messagerie devait - sans concertation, sans consultation - être migré facilement vers Microsoft 365 de l'entreprise. Cela aurait signifié que mes communications se trouvaient soudainement dans un cloud international, dans des conditions que je ne pouvais pas contrôler et avec le risque que des autorités étrangères puissent y avoir accès en cas de doute.

Pour moi, c'était un point clair où j'ai dit : Stop - pas comme ça. J'ai délibérément choisi de ne pas utiliser HostEurope, car je ne veux pas que mes données soient transférées dans un système sur lequel je n'aurais finalement plus de réelle souveraineté. Ce moment précis m'a fait prendre conscience une fois de plus de la rapidité avec laquelle on peut se retrouver dans des structures que l'on n'a jamais voulues - et de l'importance de tirer soi-même sur la corde avant que d'autres ne décident du sort de ses propres données.

Ce que l'évolution signifie pour nous tous

Si l'on regarde froidement les développements de ces dernières années, on pourrait penser que le monde se dirige à toute vitesse vers une dépendance technologique. Tout est centralisé, standardisé, transféré dans le cloud - souvent sans vraiment examiner les conséquences à long terme.

Et voilà qu'un petit pays au cœur de l'Europe vient rappeler à tous qu'il est possible d'agir autrement : de manière réfléchie, respectueuse, prudente - et avec un regard clair sur ses propres responsabilités. Cette attitude suisse n'est pas un retour en arrière. Elle est un retour à la vieille question que beaucoup ont presque oubliée dans la frénésie de la numérisation :

„Qui sera responsable si quelque chose arrive ?“

Si la réponse à cette question n'est plus claire, c'est que quelque chose ne va pas.

Ce que cela signifie pour chacun

Au final, cette décision ne concerne pas seulement les autorités ou les grandes entreprises - elle concerne chaque personne qui produit, stocke ou échange des données.

Il n'est pas nécessaire d'être technicien pour comprendre que chaque externalisation coûte une part de contrôle.
Il n'est pas nécessaire d'être un spécialiste de la protection des données pour comprendre que les informations sensibles sont mieux conservées si l'on sait où elles se trouvent.
Et il n'est pas nécessaire d'être juriste pour comprendre que les lois étrangères posent problème lorsqu'elles pourraient décider du sort de ses propres données.

Le bon sens suffit. Et c'est justement ce que la Suisse essaie de rappeler.

La décision de Berne n'est pas un appel à l'hostilité envers la technique, mais un appel à notre propre exigence. C'est un rappel que la numérisation ne signifie pas s'en remettre aveuglément aux plus grands fournisseurs - mais qu'il faut se demander quelle part de responsabilité nous abandonnons. À propos du thème Cloud et souveraineté des données j'avais déjà écrit un article dans le passé.

Celui qui, en tant qu'entrepreneur, opte pour Logiciel ERP sans cloud trouvera des informations utiles dans cet article séparé.

D'une certaine manière, la Suisse nous montre quelque chose que nous savons tous depuis longtemps, mais que nous refoulons souvent : La souveraineté ne commence pas avec la technique - elle commence avec l'attitude. Avec la manière de prendre des décisions. Avec la volonté de remettre les choses en question de manière critique.

Et avec le courage, si nécessaire, d'emprunter une autre voie, si elle est plus raisonnable.

Derniers articles sur la législation européenne

Jeffrey Sachs écrit une lettre ouverte au chancelier Merz

Jeffrey Sachs met en garde l'Allemagne : pourquoi la sécurité de l'Europe doit être repensée

Droit international et ordre mondial fondé sur des règles

Ordre mondial fondé sur des règles et droit international : entre ambition, réalité et violation du droit

CBDC, crypto-monnaies et stablecoins

Comprendre l'argent numérique : Le bitcoin, les stablecoins et les CBDC expliqués simplement

Aperçu de l'obligation de facturation électronique

Factures électroniques dans les PME : Factur-X, ZUGFeRD et ERP en un coup d'œil

La théorie des jeux explique 25 ans de géopolitique

La théorie des jeux explique 25 ans de géopolitique : comment l'Europe a perdu son rôle stratégique

28e régime de l'UE

Le 28e régime de l'UE : la transformation silencieuse de l'espace économique européen ?

Foire aux questions

Pourquoi la Suisse a-t-elle adopté une position aussi stricte vis-à-vis des services cloud internationaux comme Microsoft 365 ?
La Suisse suit un principe clair : les données étatiques doivent être protégées de manière à ce que personne ne puisse y avoir accès, sauf l'autorité compétente. Les fournisseurs internationaux de cloud ne peuvent jamais exclure complètement, techniquement et juridiquement, que des données leur soient accessibles en cas d'urgence - que ce soit pour des raisons de maintenance, de droits d'administrateur ou de demandes de l'État de leur pays d'origine. Pour les données particulièrement sensibles, telles que celles traitées par l'administration, la justice, la police ou les systèmes de santé, c'est un risque inacceptable. Les protecteurs suisses des données en tirent donc la conséquence logique et limitent fortement l'utilisation du cloud tant qu'il n'existe pas de véritable cryptage de bout en bout sous la seule souveraineté des clés de l'autorité.
Cette décision s'applique-t-elle à toutes les données ou seulement à certaines catégories ?
La résolution vise avant tout les données sensibles ou soumises à une obligation de confidentialité - dont les données de santé, les dossiers sociaux, les informations d'enquête et les communications internes des autorités. Pour ces catégories, la Suisse exige les normes de sécurité les plus élevées, auxquelles les plateformes SaaS internationales ne répondent pas actuellement. Les données moins sensibles peuvent toujours être externalisées, mais uniquement après une évaluation minutieuse des risques et en respectant certaines mesures de protection.
Les entreprises en Suisse sont-elles également concernées ?
Formellement, la résolution s'adresse exclusivement aux organismes publics. Mais dans la pratique, elle aura également un impact sur les entreprises, notamment celles qui traitent des données sensibles ou protégées par la loi - par exemple les hôpitaux, les assurances, les banques ou les établissements d'enseignement. Si les autorités ne peuvent plus utiliser certains services, il sera plus difficile pour les organisations privées de considérer ces mêmes services comme „totalement non problématiques“.
Quel est le plus gros problème technique de Microsoft 365 du point de vue suisse ?
Le problème central est l'absence d'un véritable cryptage de bout en bout. Microsoft 365 a besoin d'accéder au contenu pour permettre des fonctions telles que la recherche, l'indexation, les discussions en équipe, le calendrier, l'anti-spam ou les fonctions d'intelligence artificielle. Ainsi, les serveurs et les administrateurs peuvent techniquement toujours voir le texte en clair. Même si Microsoft souligne qu'il ne le fait pas, la possibilité demeure - et c'est justement cette possibilité théorique qui suffit aux autorités suisses pour considérer le risque.
Quel rôle joue le CLOUD Act américain dans la décision ?
Le CLOUD Act oblige les entreprises américaines à fournir des données sur demande des autorités américaines - même si ces données sont stockées à l'étranger. Pour la Suisse, cela signifie que même si Microsoft utilise des centres de données européens ou suisses, il se peut que des données doivent être rendues accessibles aux autorités américaines. Cet accès possible est contraire à la conception suisse de la souveraineté et du secret de fonction. C'est pourquoi le CLOUD Act est invoqué comme contre-argument sérieux.
Pourquoi les traités ou les „frontières de données de l'UE“ ne suffisent-ils pas pour la Suisse ?
Les contrats et les mesures techniques de protection sont des outils précieux, mais ils ne changent rien à la réalité juridique. Si une entreprise américaine est obligée de remettre des données, il n'y a pas de contrat à ce sujet. De plus, les grands fournisseurs de cloud peuvent modifier leurs conditions générales à tout moment. C'est pourquoi les protecteurs suisses des données affirment que la sécurité juridique ne résulte pas de promesses, mais d'un contrôle effectif sur les données - et ce contrôle n'est pas totalement assuré dans les clouds SaaS.
Que signifie concrètement la résolution pour les autorités ?
Les autorités devront désormais prouver qu'elles n'externalisent pas les données sensibles de manière à ce qu'un fournisseur de cloud puisse y avoir accès. En pratique, cela signifie que Microsoft 365 et d'autres plateformes SaaS internationales ne pourront plus être utilisées pour de telles données. Les autorités doivent soit miser sur des solutions locales, soit se tourner vers des fournisseurs suisses, soit utiliser leurs propres mécanismes de cryptage, auxquels le fournisseur n'a aucun accès.
Les autorités peuvent-elles continuer à utiliser les services de cloud computing si elles utilisent leur propre chiffrement ?
Oui - mais uniquement si l'autorité conserve le contrôle total des clés et si le fournisseur est techniquement exclu. Le problème : de nombreux services cloud ne fonctionnent plus du tout si les contenus sont cryptés avant d'être traités. Dans la pratique, Microsoft 365 ne serait donc utilisable que comme simple stockage de données - sans outils de collaboration, système de messagerie, calendrier, Teams ou fonctions bureautiques automatisées.
En quoi la position de la Suisse diffère-t-elle de la ligne actuelle de l'UE ?
L'UE tente de rendre l'utilisation de Microsoft 365 conforme à la protection des données par des accords, des audits et des garanties contractuelles. On souhaite profiter des avantages du cloud sans le remettre fondamentalement en question. La Suisse, en revanche, mise sur le principe de précaution et trace une limite claire : sans contrôle total des données, l'utilisation est interdite. Il en résulte une opposition entre le pragmatisme européen et la cohérence suisse.
Comment les autorités allemandes réagissent-elles à cette évolution ?
De nombreux organismes allemands de protection des données observent attentivement la décision suisse. Certains se sont eux-mêmes déjà montrés critiques à l'égard de Microsoft 365 - par exemple dans les écoles, où des mécanismes de tracking et des flux de données peu clairs ont été critiqués. La résolution suisse pourrait servir d'amplificateur d'arguments : Si un pays aux normes élevées restreint l'utilisation, il sera plus difficile pour les autorités allemandes de défendre une ligne plus libérale sans bien le justifier.
Pourquoi la transparence joue-t-elle un rôle si important pour les sous-traitants ?
Les grands fournisseurs de cloud utilisent des réseaux mondiaux de partenaires et de sous-traitants pour l'assistance, la maintenance et les services techniques. Pour une autorité, il est difficile de savoir quelles entreprises pourraient avoir accès et à quel moment. C'est précisément ce manque de transparence qui empêche d'évaluer correctement les risques. La Suisse y voit un problème fondamental : une autorité doit savoir qui pourrait avoir accès à ses données - et cela n'est guère possible dans des structures complexes de cloud.
Comment cette décision influence-t-elle le débat sur la souveraineté numérique en Europe ?
L'attitude de la Suisse agit comme un catalyseur. De nombreux pays de l'UE parlent depuis des années de souveraineté numérique, mais misent souvent sur les mêmes fournisseurs mondiaux. La Suisse montre désormais qu'un État peut agir de manière cohérente et différente. Cette décision va relancer le débat européen - en particulier dans les domaines de la justice, de l'administration et des données de santé, où une ligne stricte pourrait sembler particulièrement judicieuse.
Quelles leçons les entreprises peuvent-elles tirer de cette évolution ?
Les entreprises doivent être conscientes que l'externalisation des données implique toujours une perte de contrôle. La décision suisse rappelle qu'il faut examiner attentivement quelles données sont transférées et où. Les entreprises devraient se demander s'il est préférable que certains domaines critiques restent locaux ou dans des infrastructures souveraines - même si le cloud semble à première vue plus pratique.
La décision suisse est-elle un retour vers le passé ?
Non - il s'agit plutôt d'un retour à des principes fondamentaux qui sont parfois perdus dans la numérisation : Responsabilité, contrôle, traçabilité. La Suisse utilise les technologies modernes, mais elle n'accepte pas de perdre la souveraineté sur ses données les plus sensibles. Cette attitude semble démodée, mais elle est en réalité tournée vers l'avenir.
Quelles sont les alternatives dont disposent les autorités ou les entreprises si elles souhaitent éviter les services de cloud computing ?
Il existe plusieurs possibilités : des serveurs locaux, des fournisseurs suisses ou européens avec une stricte souveraineté des données, des modèles hybrides avec leur propre cryptage ou une infrastructure entièrement gérée en interne. Ces variantes ne sont pas aussi pratiques qu'un clic sur „s'abonner à Microsoft 365“, mais elles renforcent le contrôle - et sont largement suffisantes pour de nombreuses applications sensibles.
Quel rôle joue ton propre incident HostEurope dans ce contexte ?
Cet incident est un exemple typique de la rapidité avec laquelle on peut se retrouver dans des structures que l'on ne voulait pas. Si un fournisseur veut migrer tes e-mails vers Microsoft 365 sans te consulter, tu perds au même moment une partie de ta souveraineté - et ce, sans avoir rien demandé. Ta décision d'en sortir immédiatement était finalement un pas dans la même direction que celle que la Suisse vient officiellement de prendre : Le contrôle plutôt que la commodité. C'est précisément pour cette raison que cette histoire est un bon exemple de la pertinence pratique de la position suisse.
Qu'est-ce que tout cela signifie pour les particuliers qui ne travaillent pas dans le secteur public ?
Les particuliers devraient également choisir plus consciemment où se trouvent leurs données. Aujourd'hui, nombreux sont ceux qui utilisent automatiquement des plateformes internationales, sans se demander jusqu'où ces entreprises peuvent regarder dans leur vie numérique. La décision suisse rappelle que l'on ne devrait pas simplement considérer ses propres données comme une question secondaire - car la sécurité commence toujours par le choix personnel de la personne à qui l'on fait confiance.
Comment la situation pourrait-elle évoluer dans les années à venir ?
Il est fort possible qu'avec cette résolution, la Suisse lance une tendance qui sera reprise plus tard dans l'UE. Le débat sur la souveraineté se renforce, il ne s'affaiblit pas. Les États et les entreprises réaliseront de plus en plus que le cloud n'est pas une loi naturelle, mais un choix. Et comme tout choix, il peut être reconsidéré - surtout si les risques semblent à un moment donné plus importants que le confort.

Derniers articles sur Art & Culture

Un appel inattendu

Quand le devoir redevient obligation. Une sorte d'essai de Monsieur de L'oreot.

-

4 octobre 2025

Dieter Bohlen s'entretient avec Dominik Kettner

Dieter Bohlen en clair : pourquoi l'Allemagne échoue à cause de sa propre bureaucratie

-

18 novembre 2025

Vicco von Bülow alias Loriot - L'ordre, la forme et la résistance silencieuse de l'humour

-

26 décembre 2025

Portrait de Nina et Cosma Shiva Hagen

Plus que du punk : Nina Hagen, Cosma Shiva et l'art de ne pas se laisser accaparer

-

22 janvier 2026

Laisser un commentaire Annuler la réponse

Tuer est-il indigne ? Qu'est-ce que tuer fait à l'homme qui l'exécute ? Cette question traverse mon nouvel article sur la dignité, la violence et la responsabilité - du meurtre au soldat en mission en passant par la terreur. Le texte est désormais complété par des témoignages vidéo impressionnants sur le PTSD et les conséquences à long terme de la guerre. Ceux qui veulent comprendre ce que signifie vraiment l'engagement - au-delà des slogans et des débats - trouveront ici une approche calme et honnête. #Dignité #Guerre #PTBS #Forces armées #Ethique #Violence #Responsabilité

24.01.2026 - @MarkusSchall

Mise à jour de l'article de Jeffrey Sachs : Un nouvel entretien vidéo sur Davos, le WEF 2026 et le rôle de l'Europe dans la politique mondiale. Jeffrey Sachs y décrit pourquoi l'Europe se contente de plus en plus de réagir, alors que d'autres acteurs formulent leurs propres intérêts. Pas d'indignation, pas de slogans - mais une mise en perspective sobre de la réalité géopolitique. Ceux qui veulent comprendre pourquoi l'Europe semble actuellement si désorientée y trouveront de précieuses pistes de réflexion. #JeffreySachs #WEF #Davos #Europa #Geopolitik #Weltpolitik #Einordnung

23.01.2026 - @MarkusSchall

„Détoxifier“ n'est pas une tendance, mais un thème aux multiples facettes - de l'effet de liaison dans l'intestin aux procédés mobilisateurs. Les acides humiques agissent localement et en douceur, ils capturent les substances dans le tube digestif avant qu'elles ne causent un stress plus important au corps. C'est ce qui les rend intéressants pour de nombreuses personnes qui ne veulent pas d'effets secondaires violents. La détoxication ne doit pas être extrême, elle peut travailler en arrière-plan, comme un filtre naturel qui rend le quotidien plus facile. 1TP24Détoxication #Detox #Santé #Acides humiques #Vivre sainement #Naturel

23.01.2026 - @MarkusSchall

Que se passe-t-il lorsque l'attitude n'est pas seulement individuelle, mais qu'elle se répercute ? Ce portrait de Nina Hagen et Cosma Shiva Hagen montre deux voies très différentes - et pourtant une indépendance intérieure commune. Pas de posture, pas de mythe, pas de texte de fante. Mais des origines, des ruptures, des choix et la question de savoir comment rester visible sans se laisser absorber. Deux générations, deux formes d'expression, une cohérence. #NinaHagen #CosmaShivaHagen #Pportrait #attitude #Histoire contemporaine

22.01.2026 - @MarkusSchall

Depuis le sabotage de Nord Stream, l'approvisionnement énergétique de l'Europe n'est pas devenu plus indépendant - mais autrement dépendant. Le gaz de pipeline a été remplacé par le GNL, les contrats à long terme par les marchés spot, la prévisibilité par la volatilité. La question de savoir si cette nouvelle dépendance - surtout vis-à-vis des Etats-Unis - est plus stable à long terme ou seulement plus confortable politiquement reste ouverte. Cet article en présente le contexte, les théories et les conséquences de manière objective. #NordStream #Epolitique énergétique #LNG #Europe #USA #Géopolitique

22.01.2026 - @MarkusSchall

Aperçu de la confidentialité

Ce site web utilise des cookies pour améliorer votre expérience de navigation sur le site. Parmi ceux-ci, les cookies classés comme nécessaires sont stockés sur votre navigateur car ils sont essentiels au fonctionnement des fonctionnalités de base du site. Nous utilisons également des cookies tiers qui nous aident à analyser et à comprendre comment vous utilisez ce site web. Ces cookies ne seront stockés dans votre navigateur qu'avec votre consentement. Vous avez également la possibilité de vous désinscrire de ces cookies. Cependant, le fait de refuser certains de ces cookies peut affecter votre expérience de navigation.

Nécessaire

Toujours activé

Les cookies nécessaires sont absolument essentiels au bon fonctionnement du site web. Ces cookies assurent les fonctionnalités de base et les fonctions de sécurité du site web, de manière anonyme.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Analytics".
cookielawinfo-checkbox-functional	11 mois	Le cookie est défini par le consentement au cookie GDPR pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-necessary	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Nécessaire".
cookielawinfo-checkbox-others	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Autres.
cookielawinfo-checkbox-performance	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	11 mois	Le cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour enregistrer si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.

Others

↑