I. Introduction

À l’heure où les orga­ni­sa­tions s’appuient de façon crois­sante sur les outils déployés dans un Cloud public et où les four­nis­seurs exhortent de plus en plus les admi­nis­tra­tions en ce sens, les cantons membres de la Conférence latine des direc­trices et des direc­teurs du numé­rique (CLDN) ont décidé d’entamer une réflexion commune sur la souve­rai­neté numé­rique, en s’appuyant sur la tech­no­lo­gie Cloud comme cas d’usage concret. La CLDN est la seule confé­rence inter­can­to­nale poli­tique en Suisse qui est consa­crée aux ques­tions de poli­tique numé­rique. Elle réunit les cantons de Fribourg, Genève, Jura, Neuchâtel, Tessin, Vaud et Valais depuis sa créa­tion en 2019.

L’informatique s’est déve­lop­pée depuis des dizaines d’années sur des rela­tions d’interdépendance. La posi­tion domi­nante de certains acteurs sur ce marché inter­roge de plus en plus, à l’image de plusieurs dépu­tés du Parlement vaudois qui ont déposé en juin 2020 un postu­lat deman­dant au Conseil d’État d’imaginer un plan ambi­tieux pour sortir de sa dépen­dance aux GAFAM.

Parallèlement, la ques­tion de l’intégrité numé­rique et de sa défi­ni­tion s’invite égale­ment dans le débat public, à l’instar du Canton de Genève où la popu­la­tion a accepté en juin 2023 à près de 94 % l’introduction d’un nouveau droit à l’intégrité numé­rique dans la consti­tu­tion canto­nale. Ce nouveau droit est décliné en un ensemble de sous-droits, comme le droit à la vie hors ligne par exemple, et fait mention de la souve­rai­neté numé­rique suisse en faveur de laquelle le Canton de Genève s’engage sur la base de ce nouvel article consti­tu­tion­nel. De la même manière et dans l’ensemble des cantons membres de la CLDN, ce thème est à l’ordre du jour de l’agenda poli­tique. Il l’est égale­ment à l’échelon fédé­ral où le conseiller natio­nal Samuel Bendahan a déposé une initia­tive parle­men­taire « intro­duire dans la Constitution le droit à l’in­té­grité numé­rique » (22.479) (pour un avis critique, cf. www​.swiss​pri​vacy​.law/​226). En novembre 2023, la Commission des insti­tu­tions poli­tiques du Conseil natio­nal a décidé de ne pas donner suite à cette initia­tive, par 13 voix contre 11.

Dans le même temps, les éditeurs infor­ma­tiques, soucieux de déployer des outils modernes, inno­vants et écono­mi­que­ment plus profi­tables, ont redé­fini depuis de nombreuses années leur stra­té­gie commer­ciale. Ainsi, ils proposent désor­mais leurs outils majo­ri­tai­re­ment et par défaut dans le Cloud, en tant que services, et renoncent au déploie­ment « on-premise », à savoir sur les serveurs de leurs clients. Rappelons que, si le terme de « Cloud », ou d’informatique en nuage, évoque une image éthé­rée et déma­té­ria­li­sée, il cache bien une infra­struc­ture physique. Cette évolu­tion vers le Cloud a des réper­cus­sions sur de nombreux points. Dans le cas d’une admi­nis­tra­tion publique par exemple, la logique budgé­taire s’en trouve affec­tée puisqu’on passe d’un budget d’investissement à un budget de fonc­tion­ne­ment. Une logique de loca­tion – plutôt que d’acquisition – se met en place lors de la sous­crip­tion à ce type d’infrastructures ou services distants. Par ailleurs, les ques­tions juri­diques liées à la protec­tion des données et au secret de fonc­tion sont égale­ment rendues plus prégnantes par cette évolu­tion. Enfin, les enjeux liés à l’impact envi­ron­ne­men­tal de ces infra­struc­tures exigent une réflexion, tout comme l’évolution poten­tielle des coûts qu’entraîne ce nouveau modèle.

La tech­no­lo­gie Cloud appa­raît dès lors comme un cas d’usage inté­res­sant lorsqu’il s’agit de trai­ter le thème de la souve­rai­neté numé­rique. Au vu des diffé­rents aspects abor­dés ci-dessus, choi­sir cette tech­no­lo­gie n’est pas anodin (cf. www​.swiss​pri​vacy​.law/48), puisque la tech­no­lo­gie Cloud est à la croi­sée d’une kyrielle d’enjeux. La Confédération a pour­tant renoncé au déve­lop­pe­ment d’un Swiss Cloud sur la base d’un rapport sur l’évaluation des besoins d’un nuage infor­ma­tique suisse publié en décembre 2020 qui conclut que « la néces­sité d’un « Swiss Cloud » sous forme d’infrastructure de droit public et comme clé du succès de la place écono­mique suisse n’est pas démon­trée ». En revanche, elle a lancé un appel « Public Clouds Confédération » par le marché OMC-20007, attri­bué en 2021 à quatre entre­prises améri­caines et une entre­prise chinoise, pour un volume d’acquisition de CHF 110 millions au maxi­mum. L’attribution de ce marché a mené à de vives réac­tions dans les médias et le monde poli­tique. Quant à eux lors de leurs échanges au sein de la CLDN, les Cantons latins ont été convain­cus de la néces­sité d’aborder la tech­no­lo­gie Cloud sous l’angle de la souve­rai­neté. C’est ainsi que la Conférence a initié une démarche basée sur une colla­bo­ra­tion entre Cantons pour appré­hen­der cette théma­tique complexe qui s’est concré­ti­sée par la réali­sa­tion de trois études complé­men­taires confiées à diffé­rents spécia­listes, puis par des orien­ta­tions politiques.

Dans cette contri­bu­tion, nous présen­tons les prin­ci­paux résul­tats de ces travaux, ainsi que les suites données à ceux-ci par les Cantons membres de la CLDN. Les travaux sont dispo­nibles à cette adresse.

II. Cas d’usage : le Cloud souverain

Afin de donner corps à la notion de souve­rai­neté numé­rique et de contri­buer acti­ve­ment aux travaux dans une pers­pec­tive natio­nale, la CLDN a choisi de trai­ter le cas de la tech­no­lo­gie Cloud appli­quée à l’État. Les admi­nis­tra­tions canto­nales sont aujourd’hui de plus en plus confron­tées à des choix déli­cats lorsqu’il s’agit de déve­lop­per les systèmes d’information canto­naux. Les petits et grands éditeurs infor­ma­tiques adaptent leurs stra­té­gies en propo­sant leurs outils de façon exter­na­li­sée, de plus en plus systé­ma­ti­que­ment : ces outils peuvent ainsi non seule­ment être mis à jour plus régu­liè­re­ment, avec moins de contraintes pour les clients finaux, mais égale­ment béné­fi­cier d’une puis­sance de calcul plus impor­tante et permettre de béné­fi­cier de l’émergence de nouvelles tech­no­lo­gies, telle que l’intelligence arti­fi­cielle dont la consom­ma­tion en matière de puis­sance de calcul est nette­ment supé­rieure à un outil standard.

Parallèlement, s’agissant des déve­lop­pe­ments réali­sés à l’interne, il pour­rait exis­ter un inté­rêt non négli­geable à les déployer dans le Cloud – idéa­le­ment souve­rain – pour dimi­nuer les frais liés à l’exploitation de l’infrastructure tech­nique ou encore déve­lop­per de nouvelles façons de colla­bo­rer entre admi­nis­tra­tions canto­nales en rendant les appli­ca­tions réuti­li­sables et inter­opé­rables. Pour béné­fi­cier de ces avan­tages, il s’agit toute­fois de bien cadrer la démarche en expli­ci­tant les risques et en les mitigeant.

La CLDN a donc mandaté l’entreprise Eraneos (ancien­ne­ment AWK) pour réali­ser une étude d’opportunité sur le Cloud souve­rain. L’objectif des Cantons latins était, d’une part, de donner corps au concept de Cloud souve­rain et, d’autre part, d’évaluer la perti­nence et la possi­bi­lité éven­tuelle qu’un tel projet puisse être réalisé dans le contexte suisse. Le résul­tat prin­ci­pal de cette étude réside dans deux constats.

Tout d’abord, il n’est pas possible de consi­dé­rer le Cloud de façon mono­li­thique. Il est essen­tiel de le conce­voir de façon plus fine, en exami­nant l’ensemble de son cycle de vie : sa créa­tion avec la possi­bi­lité de maîtri­ser le déve­lop­pe­ment, l’intégration et l’évolution d’un système ; son utili­sa­tion avec la possi­bi­lité par exemple de choi­sir la loca­li­sa­tion des données ou encore d’accéder au système en tout temps ; son décom­mis­sion­ne­ment avec par exemple la possi­bi­lité de chan­ger de système ou d’extraire des données sans désa­van­tages majeurs ; et, fina­le­ment, les condi­tions-cadres, c’est-à-dire le cadre juri­dique appli­cable, la possi­bi­lité de s’appuyer sur un savoir-faire et une exper­tise dispo­nibles au niveau local et la mise en place de contrats qui donnent la lati­tude de trai­ter tous ces points. La ques­tion de la souve­rai­neté doit alors être posée à chacune des étapes de ce cycle de vie.

Le second constat de l’analyse est qu’en matière de Cloud, il n’est pas envi­sa­geable de tran­cher stric­te­ment entre un Cloud souve­rain et un Cloud non-souve­rain : il est dès lors indis­pen­sable de consi­dé­rer diffé­rents niveaux de souve­rai­neté. En d’autres mots, la souve­rai­neté n’est pas binaire : on n’est pas souve­rain ou non-souve­rain et il s’agit plutôt de nuances de gris. Ainsi, une solu­tion infor­ma­tique déployée dans un Cloud devra répondre, sur l’ensemble de son cycle de vie, à des exigences de souve­rai­neté plus ou moins élevée en regard des enjeux qui y sont asso­ciés (données trai­tées, enjeux métiers, etc.). Cette analyse préa­lable doit permettre de déter­mi­ner si un recours à la tech­no­lo­gie Cloud est possible ou non et, dans l’affirmative, le type de Cloud approprié.

Sur la base de l’analyse qui prend en compte des éléments divers parmi lesquels la sensi­bi­lité des données, leur typo­lo­gie, les bases légales en vigueur ou encore les consi­dé­ra­tions écono­miques, le choix des admi­nis­tra­tions publiques peut se porter vers des solu­tions déployées dans un Cloud. Dans leurs recom­man­da­tions, les auteurs de l’étude invitent les cantons à élabo­rer des prin­cipes et des stra­té­gies canto­nales pour l’utilisation de services ou d’infrastructures Cloud tout en iden­ti­fiant les cas d’usage pour leur utili­sa­tion.  Ils conseillent égale­ment aux Cantons de créer un réfé­ren­tiel pour guider les démarches communes liées à la souve­rai­neté dans le Cloud. Pour termi­ner, les auteurs insistent sur l’importance d’effectuer une clas­si­fi­ca­tion détaillée des données.

Suivant ces recom­man­da­tions et comme nous le verrons dans la conclu­sion, les Cantons membres de la CLDN ont entamé un travail en commun pour appré­hen­der cette évolu­tion tech­no­lo­gique au sein de leur admi­nis­tra­tion dans le respect de la souve­rai­neté numérique.

III. Une défi­ni­tion de la souve­rai­neté numérique

Le cas de la tech­no­lo­gie Cloud, s’il est riche d’enseignements, n’est que l’un des cas concrets des enjeux de souve­rai­neté liés au déploie­ment de tech­no­lo­gies numé­riques dans nos socié­tés. Afin d’appréhender ces enjeux dans leur globa­lité, la CLDN a égale­ment mandaté l’Université de Genève, et pour elle les Professeurs Yaniv Benhamou, Frédéric Bernard et Cédric Durand, pour élabo­rer une analyse pluri­dis­ci­pli­naire de la souve­rai­neté numé­rique. Cette étude, fruit d’un travail sous les angles juri­diques et socio-écono­miques, a permis d’établir une défi­ni­tion de la souve­rai­neté numé­rique, adop­tée depuis par les Cantons membres de la CLDN :

« la capa­cité des auto­ri­tés à main­te­nir leur auto­no­mie stra­té­gique, soit à pouvoir utili­ser et contrô­ler de manière auto­nome les biens maté­riels et imma­té­riels et les services numé­riques qui impactent l’économie, la société et la démocratie ».

Cette défi­ni­tion, large, pose bien le concept dans une pers­pec­tive socié­tale et de souve­rai­neté au sens d’autonomie stra­té­gique et de contrôle d’un État sur un terri­toire, et pas unique­ment concen­trée sur la loca­li­sa­tion des données de l’administration. De plus, la souve­rai­neté numé­rique est analy­sée sous l’angle de deux de ses compo­santes parti­cu­liè­re­ment étudiées, dont prin­ci­pa­le­ment la souve­rai­neté de la tech­no­lo­gie (maté­rielle et logi­cielle) et la souve­rai­neté des données.

Les auteurs relèvent que la notion même de terri­toire est redé­fi­nie à l’ère numé­rique, la ques­tion de la souve­rai­neté sur les réseaux se posant sur trois strates : physique, logique et données. La strate physique comprend notam­ment les machines, physiques, instal­lés sur un terri­toire spatial, par exemple un centre de données installé sur le terri­toire d’un Canton latin. La strate logique comprend le code et les normes qui permettent l’échange d’informations entre compo­sants tech­no­lo­giques. La strate des données enfin, celles qui circulent sur les réseaux. Si la souve­rai­neté d’un État peut s’exercer plei­ne­ment sur la strate physique, elle est plus diluée sur les deuxième et troi­sième strates, car elles n’ont pas de limites spatiales.

Au terme d’une analyse des dépen­dances de la Suisse sur ces trois strates, il est à rele­ver la concen­tra­tion de l’ac­ti­vité numé­rique grand public sous le contrôle de quelques socié­tés (notam­ment les GAFAM), ainsi qu’une concen­tra­tion de la propriété intel­lec­tuelle. L’étude relève le dilemme entre auto­no­mie et sophis­ti­ca­tion. En d’autres mots, il y a une tension pour les auto­ri­tés entre être pion­niers dans les usages numé­riques et l’autonomie dans l’ac­tion publique et l’usage des données. Un État qui adopte les dernières tech­no­lo­gies risque la dépen­dance ; au contraire, l’au­to­no­mie peut venir aux dépens de l’usage des dernières tech­no­lo­gies. Dans le trai­te­ment des données, ce dilemme est à trai­ter selon le degré de criti­cité des usages du numé­rique. De plus, si la souve­rai­neté a une dimen­sion évidem­ment spatiale, elle est aussi tempo­relle. Enfin, l’étude relève que dans le cadre consti­tu­tion­nel suisse fondé sur la subsi­dia­rité, la tran­si­tion numé­rique est une compé­tence cantonale.

Dans leurs recom­man­da­tions, les cher­cheurs préco­nisent notam­ment le renfor­ce­ment des colla­bo­ra­tions inter­na­tio­nales, une action diplo­ma­tique enga­gée en faveur de la souve­rai­neté numé­rique, la promo­tion du déve­lop­pe­ment des tech­no­lo­gies, des compé­tences et des indus­tries en Suisse, ainsi que le renfor­ce­ment de l’autonomie de l’action publique par des choix tech­no­lo­giques et contrac­tuels qui mitigent les dépendances.

IV. Le regard éthique

Si ces premières études tech­nique, juri­dique et socio-écono­mique posent une base solide pour mieux appré­hen­der la ques­tion de la souve­rai­neté numé­rique et le déve­lop­pe­ment de la tech­no­lo­gie Cloud dans les admi­nis­tra­tions, il est apparu indis­pen­sable aux membres de la CLDN d’étendre encore la réflexion en posant un regard éthique sur cette ques­tion : que doit faire un Canton juste que l’on pour­rait quali­fier de « bon », au sens éthique du terme et, dans ce cas précis, un Canton souve­rain ? À quelles exigences doit-il se confor­mer lorsqu’il utilise cette tech­no­lo­gie aux enjeux multiples ?

La CLDN a mandaté le bureau ethix – Laboratoire d’éthique de l’innovation, pour faire une lecture critique et une analyse éthique des deux premières études. L’analyse permet de déter­mi­ner quelles doivent être les actions atten­dues de la part d’un Canton souve­rain avant de pouvoir choi­sir une solu­tion basée sur la tech­no­lo­gie Cloud, que ce soit au niveau des infra­struc­tures (IaaS) ou des services numé­riques (SaaS). S’agissant par exemple de l’infrastructure, un Canton souve­rain doit être en mesure de garan­tir que l’intégrité des données est proté­gée et que ces données restent acces­sibles. Dans le cas de services numé­riques, il doit garan­tir que les services sont adap­tés à ses besoins ou encore que les risques de surveillance pour les colla­bo­ra­trices et colla­bo­ra­teurs de l’administration sont réduits grâce à un para­mé­trage adéquat.

Sur cette base, l’étude ouvre égale­ment la voie à de nombreux champs d’action puisqu’il est néces­saire de défi­nir clai­re­ment les limites de ces diffé­rentes actions. Dans le cas de l’intégrité des données par exemple, un canton souve­rain doit être capable de docu­men­ter de façon fiable les niveaux d’autorisation souhai­tables asso­ciés aux diffé­rentes typo­lo­gies de données, tout comme il doit défi­nir la qualité du cryp­tage exigible pour chaque type de données.

V. Des prin­cipes communs

S’appuyant sur les résul­tats des trois études manda­tées par la CLDN, les Cantons membres ont entamé un travail commun pour faire émer­ger des prin­cipes parta­gés qui doivent guider le déve­lop­pe­ment et l’utilisation des tech­no­lo­gies Cloud au sein de leurs admi­nis­tra­tions. Ce travail s’inscrit dans les objec­tifs fonda­teurs de la Conférence, à savoir élabo­rer et défendre une vision poli­tique commune portant sur la prise en compte du numé­rique dans les Cantons membres, valo­ri­ser les rela­tions et les parte­na­riats avec l’extérieur, en parti­cu­lier avec les acteurs moteurs des écosys­tèmes canto­naux, mutua­li­ser les réflexions et les solu­tions, et légi­ti­mer des pratiques nouvelles dans les administrations.

Les prin­cipes rete­nus, puis adop­tés durant le 1^er trimestre 2023 par chaque Canton membre permettent d’appréhender la problé­ma­tique dans toute sa complexité. Il s’agit ainsi pour les cantons de « saisir les oppor­tu­ni­tés offertes par les nouvelles tech­no­lo­gies » tout en « rédui­sant les risques par des parte­na­riats, par une colla­bo­ra­tion avec les acteurs locaux et par la diver­si­fi­ca­tion des solu­tions », mais égale­ment en « impul­sant l’évolution des condi­tions-cadres » qui doivent permettre une évolu­tion tech­no­lo­gique harmo­nieuse et cohé­rente. Dans la même ligne, les Cantons visent à « assu­rer leur auto­no­mie stra­té­gique grâce à des stan­dards communs ». De plus, au sortir de diffé­rentes crises qui ont émaillé les années 2020–2022 (pandé­mie, guerre et pénu­rie éner­gé­tique), les Cantons tiennent à « distin­guer le fonc­tion­ne­ment stan­dard de celui du contexte de crise ». Dans le même temps, ils réflé­chissent à la gouver­nance à mettre en place sur ces ques­tions en travaillant à « garan­tir les capa­ci­tés de pilo­tage au sein des admi­nis­tra­tions ». Conscients des enjeux humains qui accom­pagnent toute évolu­tion tech­no­lo­gique, ils s’engagent à « encou­ra­ger la forma­tion dans le domaine du Cloud ».  Finalement, et confor­mé­ment aux objec­tifs de la Conférence, les Cantons « s’engagent en faveur de la trans­pa­rence entre cantons, acteurs publics et vis-à-vis de l’extérieur pour préser­ver et renfor­cer la confiance numérique ».

L’adoption de ces prin­cipes communs permet aux Cantons, d’une part, de travailler sur leurs stra­té­gies Cloud respec­tives tout en construi­sant un socle commun et, d’autre part, de parler d’une même voix auprès de leurs parte­naires. Ainsi, la CLDN a exprimé au Département fédé­ral des finances le souhait des Cantons latins de parti­ci­per acti­ve­ment au déve­lop­pe­ment et à la mise en œuvre d’un Cloud souve­rain qui répond aux exigences en matière de souve­rai­neté iden­ti­fiées par les trois études. Cette inten­tion fait suite à l’ob­ser­va­tion de poten­tielles colla­bo­ra­tions concrètes sur le projet Swiss Government Cloud, projet en cours d’éla­bo­ra­tion visant à four­nir des solu­tions Cloud à l’ad­mi­nis­tra­tion publique fédé­rale, voire du secteur public suisse, et distinct du Swiss Cloud mentionné précé­dem­ment, ainsi que du Public Cloud Confédération. Avec une approche repo­sant sur trois piliers, la ques­tion de l’au­to­no­mie y est centrale, permet­tant une conver­gence avec l’ap­proche des cantons latins.

VI. Conclusion

Au cœur d’une société que la trans­for­ma­tion numé­rique remo­dèle profon­dé­ment, la ques­tion de la souve­rai­neté numé­rique est d’une acuité parti­cu­lière pour les admi­nis­tra­tions canto­nales. Cette notion fait écho à la situa­tion de dépen­dance tech­no­lo­gique que vit l’Europe de façon géné­rale, comme le soulignent les études manda­tées par la CLDN, mais résonne égale­ment parti­cu­liè­re­ment dans le contexte suisse de respon­sa­bi­li­tés parta­gées lié au fédé­ra­lisme. Si ce fédé­ra­lisme est parfois vu comme un frein à la numé­ri­sa­tion, il est surtout une chance pour mener des expé­ri­men­ta­tions à petite échelle. C’est le parti pris de la CLDN qui, par les objec­tifs qu’elle s’est donnés, permet d’avancer effi­ca­ce­ment et prag­ma­ti­que­ment sur des théma­tiques complexes.

Ce travail en commun a permis de renfor­cer la posi­tion de la Conférence comme parte­naire crédible du projet de rempla­ce­ment du Cloud de la Confédération. Une telle colla­bo­ra­tion repré­sen­te­rait une oppor­tu­nité concrète de renfor­cer les syner­gies aux niveaux inter­can­to­nal et fédé­ral sur des enjeux centraux de la trans­for­ma­tion numé­rique en Suisse, qui doit se construire sur une réflexion large et à une inten­tion poli­tique claire.

Les enjeux liés à la souve­rai­neté numé­rique néces­sitent un enga­ge­ment poli­tique fort, qu’il s’agisse des choix tech­no­lo­giques Cloud, des enjeux du respect du droit ou encore de la forma­tion et des déve­lop­pe­ments technologiques.