La Suisse a-t-elle fait une croix sur sa souveraineté numérique?

A l'ère des nouvelles technologies et de la dématérialisation de l'information, le sujet du partage et de la collecte des données personnelles préoccupe les citoyens. Dans un pays comme la Suisse qui a sanctuarisé la vie privée, la protection des données est un droit fondamental inscrit dans la Constitution. Plus que jamais, la question de la souveraineté numérique de la Suisse et de la gouvernance des données se pose.

© Pixabay

Une nouvelle a mis le feu aux poudres dans l'opinion publique: le 27 septembre dernier, l'administration fédérale a signé le «Public Clouds Confederation», un ensemble de contrats d'un montant de 110 millions de francs, qui permet d'acheter de manière flexible des services d'informatique dématérialisés – aussi nommés contrats «clouds» ou «en nuage» pour la formule la plus poétique.

Mais de poésie, il n'en est guère question quand on constate le choix des fournisseurs: les américains IBM, Amazon, Oracle et Microsoft, et le chinois Alibaba. Tout un programme.

Pour couronner le tout, aucun de ces contrats n'a été rendu public et il règne un flou artistique notamment sur la protection des données sensibles. Un citoyen a même déposé une procédure auprès du Tribunal administratif fédéral pour demander à ce que la Confédération cesse d'acheter des services informatiques auprès de fournisseurs étrangers...

Plus que jamais, la question de la souveraineté numérique de la Suisse et de la gouvernance des données se pose.

Commençons par nous pencher sur la législation pour comprendre l'esprit des lois dans le domaine de la donnée numérique:

En Suisse, il existe un double dispositif juridique: à l'échelle européenne avec le RGPD, puis au niveau national.

Si la Suisse n'est pas soumise en principe au RGPD, elle en suit largement les règles via des accords bilatéraux multiples sur la fiscalité, l'épargne, l'agriculture, les marchés publics et les conventions de Schengen.

Pour illustrer dans la pratique les principes de sa Constitution, la Suisse a mis en place une loi de protection des données (LPD) qui depuis 1993, s'applique à tous les traitements de données à caractère personnel effectués en Suisse, qu'il s'agisse d'entreprises suisses ou étrangères.

La LPD exige le consentement de la personne concernée ou, pour des raisons précises, prévues par la loi. Elle assure la sécurité des données et leur confidentialité, l'accès des personnes à leurs données et la rectification d'éventuelles erreurs. En 2019, elle a été mise à jour pour une meilleure conformité avec le RGPD, et pour renforcer les droits des personnes concernées et clarifier les obligations des responsables de traitement de données.

Le Conseil fédéral a prévu une nouvelle législation le 1er septembre 2023, qui concerne cette fois les milieux économiques, pour que la Suisse soit reconnue comme un état tiers suffisamment protecteur des données, mais aussi (surtout?) faciliter les échanges avec d'autres pays et lui conférer la place d'un acteur économique de premier ordre.

Les données personnelles et en particulier des données sensibles bénéficient-elles d'un traitement particulier?

On connaît l'appétit des entreprises privées pour les données personnelles, qui leur permettent de profiler littéralement chaque utilisateur selon sa personnalité, ses goûts, ses besoins... jusqu'à prévoir son comportement. Dans le cas des données de santé, on touche carrément aux données dites sensibles selon la LPD, puisqu'elles concernent la sphère intime de l'individu.

Selon une étude menée par le cabinet Deloitte et publiée le 14 décembre 2022, les Suisses affichent des opinions mitigées en matière de collecte et de partage de données de santé.

Près de la moitié des personnes interrogées ne souhaitent pas que les données personnelles soient collectées et partagées par voie numérique (mais il en reste un gros tiers qui serait d'accord et 20% prêts à changer d'avis):

Elles ont une confiance très limitée dans les entreprises privées, mais davantage dans le monde scientifique et médical, mais surtout dans les personnes de leur cercle proche:

A noter que ces mêmes personnes seraient d'accord de partager leurs données pour lutter contre une pandémie ou soutenir la recherche médicale.

La notion de confiance est donc indissociable de la numérisation des données personnelles et encore plus, des données de santé.

L'écosystème de la santé numérique repose sur 3 technologies: le dossier électronique du patient, la télémédecine et les données de santé obtenues à partir d'objets connectés. Depuis la période de covid-19, ce secteur s'est considérablement développé. Au CES (Consumer Electronics Show) de Las Vegas, l'événement mondial consacré aux nouvelles technologies dont la dernière édition s'est déroulée du 5 au 8 janvier, la santé était sur le devant de la scène.

Les objets connectés de santé deviennent de plus en plus proches d'instruments médicaux et font l'objet de certifications professionnelles. Sans pour autant remplacer les médecins qui sont les seuls à pouvoir établir des diagnostics, ils ont pris du galon grâce à leurs capacités de détection de signes cliniques et se rapprochent de la télémédecine.

Inévitablement, on est amené à s'interroger sur la protection des données. Comme nous en informe une étude du British Medical Journal sur les applications mobiles de santé: 88% de ces applis sont susceptibles de collecter des données personnelles, via les identifiants et les cookies. Mais il y a pire: la plupart de ces opérations de collecte sont gérées par des prestataires externes et 28% d'entre elles n'ont pas fourni de déclaration de confidentialité au sujet de la collecte des données auprès de Google Play.

Ces avancées technologiques conjuguées à un marché qui se sent pousser des ailes forcent l'Etat et le législateur à s'adapter rapidement, à conduire une stratégie adaptée et à mettre en oeuvre des actions efficaces pour s'assurer de la confiance des citoyens et lever le «scepticisme numérique» du public.

L'appel d'offres concernant ces contrats de cloud prévoyait que les fournisseurs soient présents sur au moins 3 continents – ce qui excluait de fait des entreprises suisses alors que celles-ci auraient pu répondre au cahier des charges.

Le 25 novembre dernier, un rapport établi par la Datenschutzkonferenz (DSK), l’autorité allemande de protection des données au niveau fédéral, avait dénoncé la non-conformité de Microsoft au RGPD.

La firme de Redmond a réagi rapidement et annoncé, le 1er janvier 2023, qu'elle permettrait à ses clients de services cloud de stocker leurs données sur leur propre continent. Car Microsoft a la solution à tout: elle s'appelle EU Data Boundary et sa mise en œuvre se déroulera en 3 étapes, jusqu'en 2024. Comme l'expliquent Julie Brill, vice-présidente d'entreprise et responsable de la confidentialité, de la vie privée et des affaires réglementaires, et Erin Chapple, vice-présidente, «à partir du 1er janvier 2023, Microsoft offrira à ses clients la possibilité de stocker et de traiter les données de leurs clients à l'intérieur de la frontière européenne des données pour les services Microsoft 365, Azure, Power Platform et Dynamics 365.» Comme à la maison! Et pour alimenter tout cet écosystème, il faudra construire pas moins de neuf datacenters.

Le tout représente la coquette somme de 12 milliards de dollars, soit l'un des plus gros investissements numériques en Europe.

On notera que Microsoft est l'un des leaders du marché du cloud en Europe, avec Amazon Web Services qui vient de lancer sa région Suisse et Google Cloud. Ces poids lourds de la tech se partagent la plus grosse partie du gâteau, comme le montre ce graphique éloquent disponible sur le site Statista:
 

Difficile de rivaliser avec ces géants quand on est un outsider numérique national...

Infomaniak en sait quelque chose. Cette alternative aux GAFAM, qui défend un cloud souverain, écologique et indépendant, propose un espace en nuage entièrement géré et sécurisé en Europe, à des tarifs très compétitifs. Le 29 juin 2021, elle balance un tweet: «La Confédération ne retient pas une seule entreprise suisse ou européenne pour son #SwissCloud. Elle va investir +110 millions dans des sociétés américaines et chinoises au lieu de garantir la souveraineté de données publiques et de développer des compétences au niveau local.»

Comme l'explique Boris Siegenthaler, fondateur et directeur stratégique d’Infomaniak, «la dépendance technologique est une posture intenable. Elle conditionne notre sécurité et l’avenir de notre économie, la compétitivité des entreprises et nos emplois ainsi que l’autonomie de choix dans nos sociétés.»

De plus, comme l'explique son collaborateur Thomas Jacobsen, la Suisse laisse s'installer un rapport de dépendance et ces contrats représentent un manque à gagner considérable pour les acteurs locaux, suisses ou européens.

 La Suisse aurait-elle simplement cédé à la facilité en choisissant des acteurs «mainstream» aux fonctionnalités techniques avérées? Une explication un peu simpliste au regard des enjeux économiques et financiers qui sont derrière.

Un article du 30 mars 2022 sur Clubic osait un parallèle entre «le secret bancaire et le droit à la sphère privée: le secret bancaire suisse a longtemps agacé (le mot est faible) les gouvernements en favorisant l’arrivée de capitaux étrangers. La Suisse a peu à peu allégé ses dispositifs de protection jusqu’à la signature d'accord dans le cadre d’une coopération avec certains États.»

Très récemment, une vague de licenciements massifs a déferlé chez les GAFAM: 11'000 personnes chez Meta, 18'000 chez Amazon, 10'000 pour Microsoft et 12'000 pour Google, pour ne citer qu'eux. Les raisons invoquées? L'incertitude économique après des années de croissance fastueuse, mais aussi la volonté de se recentrer sur le développement de l'intelligence artificielle. Notons que le marché du cloud a très bien résisté à la pandémie et favorisé les investissements dans la transformation numérique, comme l'a expliqué Satya Nadella de Microsoft au Forum Economique Mondial de Davos la semaine dernière.

Bye-bye la souveraineté, l'indépendance... bonjour la centralisation dans les mains de plus puissants (et les gros sous qui vont avec).

Sur le plan technique, une infrastructure en nuage est conçue comme un écosystème de collecte, traitement, stockage, partage et communication des données. L'Administration fédérale assure que les contrats signés avec les «hyperscalers» (nom barbare pour qualifier les acteurs qui possèdent l'architecture technique pour gérer du big data), concernent majoritairement des données publiques et celles qui n'ont pas besoin de protection particulière. Elle déclare se baser sur un «mélange de services issus de nuages privés appartenant à la Confédération et de nuages publics tiers».

Du point de vue de la protection des données, tout a été mûrement préparé avec une liste de contrôles et d'évaluations à la clé comme l'a assuré Erica Dubach, chargée de domaine au sein du comité de pilotage IT et transformation numérique de la Chancellerie fédérale, lors de la 11e conférence sur les marchés publics informatiques à Berne le 24 août dernier.

 L'étude menée par Deloitte a permis d'identifier 4 paramètres pour faire accepter la numérisation: «pouvoir anonymiser les données, stocker et contrôler les données en Suisse, s'assurer de la confiance, la sécurité des données et la transparence de l'utilisation des données et enfin, définir une éthique de la santé numérique et démontrer clairement les avantages et la finalité des services, pour toutes les parties prenantes.»

 Comme le recommande le Conseil fédéral dans une note sur le Cloud computing, «il faut bien choisir les applications et les données qui peuvent être délocalisées dans un nuage et celles qui doivent rester sur ses propres serveurs.» En théorie, les données de santé des citoyens ne peuvent être hébergées sur des clouds étrangers, et l'Office fédéral de la santé publique confirme qu'elle «stocke les données dont elle est responsable soit localement, soit dans des clouds suisses hébergés par l'Office fédéral de l'informatique et de la télécommunication».

Seules certaines données gouvernementales en open data sont ouvertes et librement utilisables, mises à la disposition du public et «en partie mises à disposition par les grands fournisseurs de cloud». Dans tous les cas, une grande importance est donnée à la protection des données elle-même et contre les cyberattaques.

 Le 6 décembre 2022, le Conseil fédéral a adopté la nouvelle stratégie «Suisse numérique», qui définit des lignes directrices pour l’activité de l’État dans le domaine de la transformation numérique. Les objectifs prioritaires en 2023 sont justement la législation favorable à la numérisation, la numérisation du système de santé et la souveraineté numérique.

Les bases de cette nouvelle stratégie ont été établies avec des représentants du monde scientifique, des milieux économiques, de l’administration, des milieux politiques et de la société civile, avec l'appui du comité consultatif Suisse numérique. Mais peut-être aussi pour réfléchir à harmoniser celui-ci avec les nouveaux enjeux numériques, et amorcer une réflexion sur une alternative technologique indépendante. De quoi apaiser les agitations du public mais aussi les fournisseurs de prestations suisses qui se sont fait évincer de l'appel d'offres, et pour qui la pilule n'est pas passée.
 
 En plus de ces dispositions et dans l'attente de l'entrée en vigueur de la nouvelle LPD, on est en droit d'attendre malgré tout une meilleure transparence du côté des contrats de cloud conclus avec les fournisseurs, afin d'assurer une information complète au public.

«La surveillance de masse est déjà en place»

Le crépuscule des gueux

A Stockholm, la pandémie a accéléré la digitalisation de la société

La discrimination, une toxine numérique?

Pédocriminalité, un combat perdu d’avance?