MàJ 15.06.2023 Nous avons été informé par la Chancellerie fédé­rale que le parti­cu­lier qui refu­sait que ses données person­nelles soient trai­tées dans un cloud privé étran­ger avait entre­temps retiré son recours.

Situation initiale

Le Tribunal fédé­ral a rendu le 28 février 2023 un nouvel arrêt dans l’affaire du parti­cu­lier qui a demandé à l’administration fédé­rale de ne pas confier les données le concer­nant à des four­nis­seurs étran­gers de services cloud. Cet arrêt est le 4^e dans une affaire qui empoi­sonne les auto­ri­tés fédé­rales depuis l’annonce en 2021 de l’attribution à Amazon, Microsoft, Alibaba, IBM et Oracle du marché public « Public Clouds Confédération » (OMC-20007) pour un montant total de 110 millions de francs.

Au début de l’année 2022, un parti­cu­lier s’adresse à la Chancellerie fédé­rale au sujet de l’externalisation prévue d’une partie du trai­te­ment des données par la Confédération sur les infra­struc­tures cloud d’Amazon, Microsoft, Alibaba, IBM et Oracle.

Se réfé­rant à la Loi sur la trans­pa­rence (LTrans ; RS 152.3), il réclame de lui remettre les docu­ments dispo­nibles déte­nus par l’administration fédé­rale sur l’usage du cloud et les clari­fi­ca­tions ayant été menées. En outre, il demande des rensei­gne­ments concer­nant la (les) disposition(s) légale(s) permet­tant l’externalisation dans le cloud des données, et plus large­ment des trai­te­ments. Il souligne à cet égard le risque de divul­ga­tion de données à des tiers. En l’ab­sence de bases légales suffi­santes, il requiert l’ar­rêt de l’ex­ter­na­li­sa­tion des données ou, à défaut, l’adop­tion d’une déci­sion suscep­tible de recours.

Dans sa réponse, la Chancellerie fédé­rale fait valoir que la licéité de l’ex­ter­na­li­sa­tion des données et de leur trai­te­ment est garan­tie par un examen préa­lable de la confor­mité au droit, une analyse des risques et, pour les données person­nelles, une analyse d’im­pact rela­tive à la protec­tion des données. Pour le surplus, la Chancellerie fédé­rale renvoie le recou­rant aux docu­ments acces­sibles au public concer­nant la stra­té­gie de l’ad­mi­nis­tra­tion fédé­rale en matière d’in­for­ma­tique en nuage. Aucune déci­sion n’est rendue ni sur la demande d’accès ni sur la demande d’arrêt de l’externalisation.

Insatisfait de cette réponse, le parti­cu­lier recourt auprès du Tribunal admi­nis­tra­tif fédé­ral. Il demande que la Chancellerie fédé­rale rende publiques toutes les clari­fi­ca­tions juri­diques effec­tuées dans le cadre de la stra­té­gie d’in­for­ma­tique en nuage de la Confédération et qu’elle véri­fie s’il existe une ou plusieurs base(s) légale(s) suffisante(s) pour auto­ri­ser l’administration fédé­rale à trai­ter des données dans le cloud, en parti­cu­lier lorsqu’il est en main d’un four­nis­seur étran­ger. En l’absence de telles dispo­si­tions, il exige la fin de ce mode de trai­te­ment. Cette demande est en outre doublée d’une requête de mesure provi­sion­nelle visant à suspendre immé­dia­te­ment la pour­suite de la stra­té­gie d’informatique en nuage jusqu’à droit connu sur le fond.

Invitée à se pronon­cer, la Chancellerie fédé­rale est d’avis que le recours est irre­ce­vable. N’étant, selon elle, pas plus touché qu’une autre personne par le trai­te­ment de données dans le cloud, le recou­rant n’aurait pas d’intérêt digne de protec­tion à agir. Quant au Tribunal admi­nis­tra­tif fédé­ral, il rejette la demande de mesure provi­sion­nelle au motif qu’il s’estime incom­pé­tent. Il relève qu’il n’y a pas eu de déci­sion préa­lable de la Chancellerie fédé­rale contre laquelle recou­rir et que le recours pour déni de justice n’a pas d’effet dévo­lu­tif lui permet­tant de pronon­cer la mesure deman­dée en lieu et place de l’autorité saisie.

Contre cet arrêt, le recou­rant recourt auprès du Tribunal fédé­ral qui lui donne raison (cf. arrêt du TF 1C_​216/​2022 du 28 juillet 2022). Le Tribunal fédé­ral estime que le Tribunal admi­nis­tra­tif fédé­ral fait preuve de forma­lisme exces­sif en refu­sant de trai­ter la demande de mesure provi­sion­nelle du recou­rant. Il est vrai que la juris­pru­dence recon­naît de manière géné­rale qu’un recours pour déni de justice n’emporte pas d’effet dévo­lu­tif. Une excep­tion à cette règle doit toute­fois être admise lorsque, comme dans le cas d’espèce, l’au­to­rité appe­lée à rendre une déci­sion (ici la Chancellerie fédé­rale) reste inac­tive et que cette inac­tion est suscep­tible de faire échouer l’ef­fi­ca­cité de la demande et, donc, la protec­tion recher­chée. Compte tenu de l’urgence invo­quée et du carac­tère irré­vo­cable d’une divul­ga­tion de données, le Tribunal fédé­ral renvoie l’affaire au Tribunal admi­nis­tra­tif fédé­ral. Celui-ci doit, d’une part, rendre une déci­sion sur la requête de mesure provi­sion­nelle tendant à l’arrêt immé­diat de l’externalisation de données dans un cloud étran­ger et, d’autre part, véri­fier s’il existe effec­ti­ve­ment une ou plusieurs base(s) légale(s) auto­ri­sant l’administration fédé­rale à trai­ter des données sur les infra­struc­tures d’un four­nis­seur étran­ger de services cloud (requête au fond).

Par déci­sion inci­dente, le Tribunal admi­nis­tra­tif fédé­ral rejette la requête de mesure provi­sion­nelle tendant à l’arrêt immé­diat de l’externalisation de données dans un cloud étran­ger (cf. arrêt du TAF A‑661/​2022 du 27 octobre 2022). Rappelant que le Tribunal admi­nis­tra­tif fédé­ral ne connaît ni des recours abstraits contre les lois, ni des plaintes popu­laires, il analyse si les données du requé­rant sont ou risquent concrè­te­ment d’être dépo­sées dans un cloud. De manière habile, le Tribunal admi­nis­tra­tif fédé­ral limite toute­fois son examen aux seules données trai­tées par la Chancellerie fédé­rale (et non par l’administration fédé­rale en géné­ral), car seule cette dernière est inti­mée et dispose du statut de respon­sable du trai­te­ment prévu par la légis­la­tion sur la protec­tion des données en lien avec la requête dépo­sée. La Chancellerie fédé­rale ayant assuré la Cour qu’elle ne traite pas de données du recou­rant dans le cloud ni qu’elle envi­sage de le faire de manière concrète et immi­nente, le Tribunal admi­nis­tra­tif fédé­ral conclut à l’absence d’intérêt de la requête.

Le Tribunal admi­nis­tra­tif fédé­ral termine cepen­dant son arrêt par une étrange mise en garde :

« la condi­tion de l’urgence de la requête devra éven­tuel­le­ment être appré­ciée diffé­rem­ment si l’instance infé­rieure devait envi­sa­ger, pendant la durée de la procé­dure [au fond], de trans­fé­rer des données person­nelles du requé­rant dans un cloud public (étran­ger) ; dans ces circons­tances, il convien­drait alors d’en­vi­sa­ger éven­tuel­le­ment de pronon­cer (d’of­fice) des mesures provi­sion­nelles. Il convient donc de deman­der à l’ins­tance infé­rieure d’in­for­mer le Tribunal de céans si, pendant la durée de la procé­dure de recours, elle envi­sage de trans­fé­rer des données person­nelles du requé­rant vers un cloud public (étran­ger). »

À nouveau mécon­tent du rejet de sa requête de mesure provi­sion­nelle, le recou­rant recourt une deuxième fois auprès du Tribunal fédé­ral qui, cette fois, le déboute.

L’arrêt 1C_​599/​2022 du 28 février 2023

Dans son second recours auprès du Tribunal fédé­ral, le recou­rant réitère sa requête de mesure provi­sion­nelle visant à ordon­ner à l’administration fédé­rale de cesser immé­dia­te­ment tout trai­te­ment de données sur les infra­struc­tures d’un four­nis­seur étran­ger de service cloud. Il critique en outre la distinc­tion opérée par le Tribunal admi­nis­tra­tif fédé­ral entre les données trai­tées par la Chancellerie fédé­rale et les données trai­tées par le reste de l’administration fédérale.

Concernant les données trai­tées par la Chancellerie fédé­rale, le Tribunal fédé­ral revient sur l’étrange mise en garde au pied de l’arrêt du Tribunal admi­nis­tra­tif fédé­ral. Il se demande si l’obligation faite à la Chancellerie fédé­rale d’informer immé­dia­te­ment le Tribunal admi­nis­tra­tif fédé­ral pour le cas où elle envi­sa­ge­rait de dépo­ser des données du recou­rant dans le cloud ne consti­tue pas une mesure provi­sion­nelle. Dans l’affirmative, cela aurait dû conduire à l’admission partielle de la requête du recou­rant. Cette ques­tion est cepen­dant lais­sée ouverte.

En tout état de cause, le Tribunal fédé­ral constate qu’il n’existe pas de risque de préju­dice irré­pa­rable pour le recou­rant justi­fiant le prononcé d’une mesure provi­sion­nelle. D’une part, la Chancellerie fédé­rale a garanti qu’elle ne trai­tait pas de données le concer­nant dans le cloud. D’autre part, le Tribunal admi­nis­tra­tif fédé­ral lui a ordonné de l’informer immé­dia­te­ment pour le cas où cette situa­tion était amenée à évoluer. Le Tribunal fédé­ral n’entre ainsi pas en matière sur cette partie du recours.

Le Tribunal fédé­ral entre toute­fois en matière sur la deuxième partie du recours qui concerne les données trai­tées par d’autres organes fédé­raux que la Chancellerie fédé­rale. Le Tribunal admi­nis­tra­tif fédé­ral s’était déclaré incom­pé­tent au motif qu’il pouvait unique­ment prendre des mesures à l’égard du respon­sable du trai­te­ment au sens de la LPD et non pas à l’égard de l’administration fédé­rale. Le Tribunal fédé­ral confirme que pareille inter­pré­ta­tion de la LPD est dépour­vue d’arbitraire. Il rejette au surplus l’argument du recou­rant par lequel si l’autorité saisie s’estimait incom­pé­tente, elle aurait alors dû trans­mettre sans délai l’affaire à l’autorité compé­tente confor­mé­ment à l’art. 8 al. 1 de la loi sur la procé­dure admi­nis­tra­tive (PA ; RS 172.021). De l’avis du Tribunal fédé­ral, il ressor­ti­rait de l’instruction de l’affaire que le recou­rant sait quelle(s) autorité(s) administrative(s) traite(nt) des données à son sujet, si bien qu’il pour­rait sans diffi­culté entre­prendre lui-même les démarches néces­saires direc­te­ment auprès d’elles.

Ce quatrième arrêt met ainsi défi­ni­ti­ve­ment fin au volet de cette affaire portant sur la requête de mesure provi­sion­nelle visant à ordon­ner à l’administration fédé­rale qu’elle cesse immé­dia­te­ment de confier des données à des four­nis­seurs étran­gers de services cloud. On attend doré­na­vant l’arrêt au fond du Tribunal admi­nis­tra­tif fédé­ral par lequel celui-ci devra tran­cher si une auto­rité fédé­rale est, de manière géné­rale, auto­ri­sée à utili­ser de tels services. Mais à ce stade, un sixième (et dernier !) arrêt du Tribunal fédé­ral ne peut pas être exclu.

Appréciation

Il y a sans doute, dans cette affaire, un peu d’opiniâtreté de la part du recou­rant, mais force est aussi de consta­ter que, du côté de la Confédération et des tribu­naux, tout le monde se renvoie un peu la balle pour éviter d’avoir à se pronon­cer. Pareille atti­tude est un peu para­doxale, si on tient compte du fait que tant le Tribunal admi­nis­tra­tif fédé­ral que le Tribunal fédé­ral semblent, malgré tout, prendre assez au sérieux le risque que des données du recou­rant puissent être trai­tées sans droit sur le cloud.

Car c’est bel et bien sur la base de la recon­nais­sance d’un tel risque que le Tribunal fédé­ral a cassé le premier arrêt du Tribunal admi­nis­tra­tif fédé­ral et que le Tribunal admi­nis­tra­tif fédé­ral a, par la suite, ordonné à la Chancellerie fédé­rale de l’informer immé­dia­te­ment dans l’hypothèse où elle envi­sa­ge­rait de dépla­cer des données du recou­rant dans le cloud. Dans ces circons­tances, la conclu­sion du dernier arrêt du Tribunal fédé­ral par laquelle il renvoie le recou­rant à répé­ter sa démarche auprès de chaque auto­rité fédé­rale indi­vi­duel­le­ment semble un peu contra­dic­toire, surtout si on consi­dère que le recou­rant a déjà dû s’acquitter jusqu’ici de CHF 2000.- d’émolument rien qu’auprès du Tribunal fédéral.

Du côté des admi­nis­tra­tions publiques, une déci­sion claire et rapide commence aussi à deve­nir pres­sante. Concrètement, il s’agit de savoir si le recours au cloud peut être assi­milé à une situa­tion ordi­naire de sous-trai­tance pour laquelle il suffi­rait de passer un contrat avec toutes les garan­ties requises (cf. art. 10a LPD /​ art. 9 nLPD) ou si le chan­ge­ment de para­digme apporté par l’usage du cloud (infra­struc­tures tierces ; partage de la maîtrise des données avec le four­nis­seur ; carac­tère géné­ra­le­ment durable ; risque d’application concur­rente d’un droit étran­ger ; souve­rai­neté) est tel qu’il néces­site l’adoption de dispo­si­tions légales spécia­le­ment adap­tées et, le cas échéant, une vali­da­tion émanant du législateur.

Jusqu’à présent, la plupart des admi­nis­tra­tions publiques en Suisse sont parties de l’idée que le recours au cloud était assi­mi­lable à un cas de sous-trai­tance. Reconnaissant néan­moins le carac­tère parti­cu­lier de cette tech­no­lo­gie et aussi l’existence, malgré tout, de risques spéci­fiques par rapport à la sous-trai­tance ordi­naire, elles ont tenté d’en enca­drer l’usage. Pour cela, elles ont édicté toutes sortes de docu­ments conte­nant des instruc­tions assez précises, mais aussi rappe­lant les risques en cas d’utilisation inadé­quate, risques pouvant conduire jusqu’à l’ouverture d’une procé­dure pénale à l’encontre du respon­sable du trai­te­ment, notam­ment pour viola­tion des règles en matière de secret.

Face à cette situa­tion, le canton de Fribourg a, de son côté, choisi une voie diffé­rente. Au vu de ses consé­quences sur les admi­nis­trés mais aussi sur le fonc­tion­ne­ment et l’organisation de l’état, il est parti du prin­cipe que le recours au cloud consti­tue un cas de sous-trai­tance quali­fiée. Il a donc édicté des règles spécia­le­ment adap­tées à son utili­sa­tion que le légis­la­teur a intro­duites aux art. 12b à 12e de sa loi sur la protec­tion des données (LPrD ; RSF 17.1) et aux articles 27 à 30 de sa loi sur la cybe­rad­mi­nis­tra­tion (LCyb ; RSF 184.1). L’avantage de cette solu­tion est que les respon­sables du trai­te­ment peuvent aujourd’hui comp­ter avec le fait que, moyen­nant le respect des règles édic­tées, l’usage du cloud est auto­risé et qu’ils ne risquent pas de pour­suites pénales en cas de recours à cette tech­no­lo­gie (cf. art. 14 CP).

Des solu­tions simi­laires se retrouvent aussi dans d’autres cantons. C’est le cas de Glaris (cf. art. 16 de la Gesetz über die digi­tale Verwaltung /​ GS II H/​1), de Lucerne (cf. art. 13 ss de l’Informatikgesetz /​ SRL 26), de Schwyz (art. 30 ss de la Verordnung über die Informations- und Kommunikations-Technologie /​ SRSZ 143.113), de Zurich (Gesetz über die Auslagerung von Informatikdienstleistungen /​ ZH-Lex 172.71). Sur le plan commu­nal, la ville de Bienne a adopté des règles semblables à l’article 7 de son ordon­nance sur la sécu­rité de l’information (RDCo 1.5.2–5.2).