Résolution de priva­tim sur l’ex­ter­na­li­sa­tion du trai­te­ment des données dans le cloud du 18 novembre 2025

I. Introduction

À l’ins­tar des acteurs du secteur privé, les organes publics se détournent de plus en plus fréquem­ment des solu­tions infor­ma­tiques instal­lées sur site (on premise) au profit de solu­tions four­nies à distance grâce au recours à la tech­no­lo­gie de l’in­for­ma­tique en nuage (cloud compu­ting ou cloud). Le cloud compu­ting permet notam­ment aux four­nis­seurs de propo­ser l’ac­cès aux logi­ciels en tant que services (Software-as-a-Service, ci-après : « SaaS »).

Avec ces solu­tions, les données sont héber­gées et trai­tées direc­te­ment sur l’in­fra­struc­ture cloud du four­nis­seur de services. Ce dernier assure la dispo­ni­bi­lité du logi­ciel et sa main­te­nance, met en œuvre les mesures de sécu­rité requises et four­nit un service de support (Jean-Claude Franchitti et al., Introduction to Computer Science, Houston 2024, p. 693 ss ; Christian Schwarzenegger/​Florent Thouvenin/​Burkhard Stiller/​Damian George, Utilisation des services de cloud par les avocats, Revue de l’avo­cat 2019, p. 34).

Ces dernières années, l’ad­mi­nis­tra­tion fédé­rale (cf. Communiqué de presse de la Chancellerie fédé­rale et de l’Office fédé­ral de l’in­for­ma­tique et de la télé­com­mu­ni­ca­tion du 18 décembre 2025 ; cf. ég. Office fédé­ral des assu­rances sociales (OFAS), Communication eGov n° 054 du 10 mars 2025, dispo­nible ici, qui porte sur l’usage de M365 (la version cloud de la suite bureau­tique de Microsoft) par les organes d’exé­cu­tion du 1^er pilier et des allo­ca­tions fami­liales) ainsi que les admi­nis­tra­tions des cantons d’Argovie (cf. Réponse du Conseil d’État du 17 septembre 2025), de Bâle-Ville (cf. Communiqué du Conseil d’État du 8 avril 2025), de Berne (cf. Communiqué de presse du 30 juin 2023), de Lucerne (cf. Réponse du Conseil d’État du 24 septembre 2024) ou encore de Zurich (cf. Procès-verbal du Conseil d’État du 30 mars 2022), ont migré vers la suite Microsoft 365, géné­rant quelques remous politiques.

Le 24 novembre 2025, priva­tim, la Conférence des Préposé(e)s suisses à la protec­tion des données (ci-après : « priva­tim ») a publié une réso­lu­tion adop­tée le 18 novembre 2025 inti­tu­lée « Résolution sur l’ex­ter­na­li­sa­tion du trai­te­ment des données dans le cloud » (ci-après : la « Résolution »), dans laquelle elle retient notam­ment que :

« […] l’ex­ter­na­li­sa­tion par les organes publics de données person­nelles sensibles ou soumises à une obli­ga­tion légale de garder le secret dans des solu­tions SaaS de grands four­nis­seurs inter­na­tio­naux n’est pas admis­sible dans la plupart des cas. »

Depuis la publi­ca­tion de la Résolution, Martine Stoffel, Préposée à la protec­tion des données du canton de Fribourg et repré­sen­tante de priva­tim (cf. inter­view du 22 décembre 2025 dans l’émis­sion Forum de la RTS), et Dominika Blonski, Préposée à la protec­tion des données et à l’in­for­ma­tion du canton de Zurich et Vice-prési­dente de priva­tim (cf. inter­view du 25 novembre 2025 par la SRF), ont défendu la posi­tion de l’as­so­cia­tion dans les médias.

Dans son inter­view du 22 décembre 2025, Madame Stoffel est allée encore plus loin que le contenu de la Résolution, décla­rant que les données sur la santé, les opinions reli­gieuses ou les sanc­tions prises contre des personnes ne doivent pas être exter­na­li­sées dans des clouds, bien que cette posi­tion de prin­cipe semble ensuite être un peu nuan­cée en fin d’interview.

La Résolution a suscité de nombreuses réac­tions critiques de la part des praticien(ne)s ainsi que dans les cercles acadé­miques, notam­ment en raison de son approche peu nuan­cée et décon­nec­tée du droit en vigueur et de la réalité tech­no­lo­gique. Au sein d’un édito­rial publié dans le jour­nal Le Temps, nous expli­quons pour­quoi l’ap­proche de priva­tim nous parait peu oppor­tune (cf. ég. David Vasella, priva­tim : Resolution zur Auslagerung von Datenbearbeitungen in die Cloud, 25 novembre 2025, in : daten​recht​.ch).

La présente contri­bu­tion vise à analy­ser et nuan­cer la Résolution. Après avoir présenté briè­ve­ment priva­tim (section II infra) et résumé le contenu de la Résolution (section III infra), il sera lieu de l’ap­pré­cier juri­di­que­ment (section IV infra), avant de conclure (section V infra).

II. Considérations géné­rales rela­tives à privatim

priva­tim est une asso­cia­tion de droit privé au sens des art. 60 ss CC (art. 1.1 des Statuts de priva­tim ; ci-après : les « Statuts »), dont les membres sont le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (ci-après, le « PFPDT »), tous les Préposées canto­nales et Préposés canto­naux, ainsi que certaines communes (Ville de Berne, Bienne, Köniz, Steffisburg, Thoune, Ville de Zurich, Uster et Winterthur). La Préposée à la protec­tion des données de la Principauté du Lichtenstein a égale­ment adhéré à priva­tim avec un statut d’ob­ser­va­trice (art. 5.4 des Statuts).

Conférence suisse en matière de protec­tion des données, priva­tim vise à (i) renfor­cer le respect des exigences de la protec­tion des données, (ii) encou­ra­ger la colla­bo­ra­tion entre les cantons, les communes et la Confédération, (iii) amélio­rer les compé­tences des membres, (iv) utili­ser plus effi­ca­ce­ment les ressources des membres et (v) être un inter­lo­cu­teur pour les auto­ri­tés et le public (art. 3.1 des Statuts).

Aux fins d’at­teindre ses buts statu­taires, priva­tim a notam­ment la possi­bi­lité de prendre posi­tion sur tout projet rela­tif à la protec­tion des données (art. 4.1 let. c et 18.1 des Statuts). Il convient toute­fois de noter que les prises de posi­tion et réso­lu­tions de priva­tim ne sont pas néces­sai­re­ment adop­tées à l’una­ni­mité. En effet, les membres de l’as­sem­blée géné­rale ont la possi­bi­lité de s’en disso­cier en exer­çant une option de sortie (art. 18.2 des Statuts). C’est ce que la Préposée du canton de Glaris a fait dans le cadre de la Résolution (cf. section III infra).

Les prises de posi­tion et les réso­lu­tions adop­tées par priva­tim sont des déci­sions prises par une asso­cia­tion de droit privé, bien que celle-ci soit compo­sée d’or­ganes publics. Par consé­quent, elles ne sont direc­te­ment contrai­gnantes que pour ses membres (CR CC I‑Hari/​Jeanneret, art. 66 N 1 s. et art. 67 N 20). Il est égale­ment relevé que priva­tim n’est pas un organe légis­la­tif compé­tent au niveau canto­nal et/​ou fédéral.

III. Contenu de la Résolution

Rappelant l’exis­tence d’une « respon­sa­bi­lité parti­cu­lière [des organes publics] vis-à-vis des données de leurs citoyens », priva­tim a adopté la Résolution, dans laquelle elle exclut par prin­cipe l’ex­ter­na­li­sa­tion des données person­nelles sensibles ou soumises à une obli­ga­tion de garder le secret dans des solu­tions cloud de type SaaS offerts par « de[s] grands four­nis­seurs inter­na­tio­naux ».

Cette Résolution repose sur les cinq motifs suivants :

1. Les four­nis­seurs cloud n’of­fri­raient pas de véri­table chif­fre­ment de bout en bout les empê­chant d’ac­cé­der aux données en clair (cf. section IV/​B/​i infra) ;
2. Le fonc­tion­ne­ment des four­nis­seurs « opérant à l’échelle mondiale » serait opaque et empê­che­rait un contrôle effi­cace par les auto­ri­tés suisses qui leur confient des données (cf. section IV/​B/​ii infra) ;
3. Le trans­fert entraî­ne­rait une « perte de contrôle consi­dé­rable » pour l’ins­ti­tu­tion concer­née (cf. section IV/​B/​iii infra) ;
4. Le trans­fert crée­rait une « grande insé­cu­rité juri­dique », en parti­cu­lier s’agis­sant des données soumises au secret de fonc­tion (cf. section IV/​B/​iv infra) ; et
5. Ces risques seraient accrus par le Clarifying Lawful Overseas Use of Data Act état­su­nien (ci-après : le « US CLOUD Act »), qui permet aux auto­ri­tés améri­caines d’ac­cé­der aux données héber­gées par les four­nis­seurs sans respec­ter les règles de l’en­traide judi­ciaire (cf. section IV/​B/​v infra).

À suivre priva­tim, les organes publics qui souhaitent exter­na­li­ser le trai­te­ment de données person­nelles sensibles ou soumises à une obli­ga­tion légale de garder le secret ne pour­raient le faire que moyen­nant le respect des deux condi­tions cumulatives :

1. Les données sont chif­frées par l’or­gane public respon­sable du trai­te­ment ; et
2. Le four­nis­seur du service de cloud compu­ting n’a pas accès à la clé de déchiffrement.

Il est inté­res­sant de noter que la Résolution n’a pas fait l’una­ni­mité au sein même de priva­tim. En effet, la Préposée à la protec­tion des données du canton de Glaris a fait usage de son droit statu­taire à l’opt-out (option de sortie selon l’art. 18.2 des Statuts), se disso­ciant ainsi de la Résolution.

IV. Appréciation de la Résolution

A. Contexte général 

La Résolution s’ins­crit dans le prolon­ge­ment de l’« Aide-mémoire sur les risques et les mesures spéci­fiques à la tech­no­lo­gie du Cloud » publié par priva­tim le 3 février 2022 (ci-après : l’« Aide-mémoire »), dans lequel priva­tim retient que le cloud induit des risques supplé­men­taires par rapport à la sous-trai­tance tradi­tion­nelle des données (Aide-mémoire, section 1 p. 1 s.) – étant relevé à cet égard que contrai­re­ment à la Résolution, l’Aide-mémoire admet que les organes publics peuvent mettre en œuvre diffé­rentes mesures afin d’éli­mi­ner les risques iden­ti­fiés, respec­ti­ve­ment de les réduire à un niveau accep­table (Aide-mémoire, section 3 p. 7 s.). Cette Résolution reflète égale­ment l’ap­proche plutôt conser­va­trice adop­tée précé­dem­ment par l’as­so­cia­tion (cf. not. priva­tim, Prise de posi­tion « Pas de feu vert pour « Microsoft 365 » » du 30 septembre 2022).

Bien qu’il soit indé­niable que les données person­nelles sensibles ou soumises au secret de fonc­tion doivent béné­fi­cier d’une protec­tion parti­cu­lière, et que la Résolution attire légi­ti­me­ment l’at­ten­tion des organes publics sur les risques induits par les solu­tions cloud, elle n’en demeure pas moins criti­quable à plusieurs égards.

Tout d’abord, les cinq motifs déve­lop­pés dans la Résolution ne sont pas suffi­sam­ment nuan­cés, ne reflètent que partiel­le­ment le droit en vigueur et ne tiennent pas compte des solu­tions à dispo­si­tion des organes publics pour réduire les risques induits par l’ex­ter­na­li­sa­tion à un niveau accep­table (cf. section IV/​B infra). En outre, la Résolution se foca­lise sur les poten­tiels trans­ferts trans­fron­tières des données et occulte les autres risques auxquels sont confron­tés les organes publics, parti­cu­liè­re­ment en matière de sécu­rité des données (cf. section IV/​C infra).

B. Critique de la Résolution

Pour les raisons expo­sées ci-après, les motifs sous-jacents à la Résolution ne sont juri­di­que­ment et tech­ni­que­ment pas convaincants :

i. Motif 1 : Une absence de chif­fre­ment de bout en bout dans les solu­tions de type SaaS

Dans un premier motif, priva­tim exclut l’ex­ter­na­li­sa­tion des données person­nelles sensibles ou soumises à une obli­ga­tion légale de garder le secret au motif que la plupart des solu­tions de type SaaS n’of­fri­rait pas de chif­fre­ment de bout en bout empê­chant tout accès aux données en clair.

Cette affir­ma­tion ne prend toute­fois pas en compte les méca­nismes permet­tant à l’uti­li­sa­teur de vali­der préa­la­ble­ment tout accès du pres­ta­taire à la clé de déchif­fre­ment. De tels méca­nismes permettent à l’uti­li­sa­teur de contrô­ler, sur une base ad hoc, qui a accès à quelles données et pour quel motif.

De ce fait, priva­tim arrive à la conclu­sion que le recours au cloud ne serait envi­sa­geable que si les données sensibles ou soumises au secret sont anony­mi­sées ou cryp­tées avec une clé de déchif­fre­ment exclu­si­ve­ment déte­nue par l’or­gane public.

Or, indé­pen­dam­ment du fait que, dans un tel scéna­rio, le droit suisse de la protec­tion des données ne trou­ve­rait même pas appli­ca­tion faute de données person­nelles concrè­te­ment acces­sibles par le pres­ta­taire cloud (cf. p.ex. art. 2 al. 1 cum 5 let. a LPD, art. 2 al. 1 cum 4 al. 1 LCPD-BE, art. 3 al. 1 cum 4 al. 1 let. a LPrD-FR et art. 3 al. 1 cum 4 al. 1 ch. 1 LPrD-VD), cette affir­ma­tion ignore le fait que la conser­va­tion de la clé de déchif­fre­ment par le four­nis­seur cloud peut en réalité offrir un niveau de sécu­rité supé­rieur à une déten­tion exclu­si­ve­ment assu­mée par l’ins­ti­tu­tion publique (cf. section IV/​C infra).

Il est par ailleurs inté­res­sant de noter que l’Aide-mémoire de 2022 est plus permis­sif que la Résolution s’agis­sant du chif­fre­ment des données person­nelles sensibles et de la gestion des clés de chif­fre­ment, alors même qu’il a été publié après l’in­va­li­da­tion du CH-US Privacy Shield (cf. Communiqué de presse du PFPDT du 8 septembre 2020 ; cf. ég. Philipp Fischer, Schrems II ou la quadra­ture du cercle, 18 octobre 2020 in : swiss​pri​vacy​.law/17) et avant l’adop­tion du Swiss‑U.S. Data Privacy Framework (ci-après : le « CH‑U.S. DPF » ; à cet égard, cf. section IV/​B/​v infra), dans un contexte où le trans­fert de données person­nelles vers les États-Unis n’était donc couvert par aucun accord inter­na­tio­nal. En effet, aux termes de l’Aide-mémoire, le chif­fre­ment de données person­nelles sensibles peut être effec­tué direc­te­ment chez le four­nis­seur de services cloud, pour autant que cette moda­lité ne fasse pas peser de risques inac­cep­tables sur les droits fonda­men­taux des personnes concer­nées. Par ailleurs, priva­tim y indique que le four­nis­seur peut conser­ver les clés de chif­fre­ment, sous réserve d’en­ga­ge­ments contrac­tuels garan­tis­sant leur protec­tion contre tout inci­dent de sécu­rité, leur utili­sa­tion exclu­si­ve­ment avec le consen­te­ment exprès de l’or­gane public et la jour­na­li­sa­tion de tout accès aux données (Aide-mémoire, section 2.3 b p. 5). Dans ce contexte, on peine à comprendre le durcis­se­ment opéré dans la Résolution.

ii. Motif 2 : Une trans­pa­rence insuf­fi­sante des « entre­prises opérant à l’échelle mondiale »

Dans un deuxième motif, priva­tim exclut l’ex­ter­na­li­sa­tion des données person­nelles sensibles ou soumises à une obli­ga­tion légale de garder le secret car les « entre­prises opérant à l’échelle mondiale » (selon les termes utili­sés par priva­tim) n’of­fri­raient pas suffi­sam­ment de trans­pa­rence, ce qui empê­che­rait les auto­ri­tés suisses (en leur qualité de « clientes » de ces pres­ta­taires) de véri­fier le respect des obli­ga­tions contrac­tuelles en matière de protec­tion et de sécu­rité des données, notam­ment en ce qui concerne la mise en œuvre des mesures tech­niques et orga­ni­sa­tion­nelles ou le recours à des sous-trai­tants. Selon priva­tim, les four­nis­seurs de services de type SaaS pour­raient par ailleurs adap­ter unila­té­ra­le­ment les condi­tions contrac­tuelles, ce qui cause­rait une incer­ti­tude inacceptable.

Ces motifs ne convainquent pas non plus.

En premier lieu, le nombre de pays dans lesquels les four­nis­seurs de services de type SaaS opèrent n’est pas un critère légal en vertu des légis­la­tions fédé­rales et canto­nales en matière de protec­tion des données personnelles.

Ensuite, priva­tim sous-entend que tous les four­nis­seurs actifs à l’étran­ger n’of­fri­raient pas suffi­sam­ment de trans­pa­rence, ce qui rendrait diffi­cile l’exa­men de la confor­mité des acti­vi­tés de trai­te­ment avec le cadre légal appli­cable. Il n’y a pour­tant aucun auto­ma­tisme en la matière. Les four­nis­seurs de services opérant à l’étran­ger peuvent être tout à fait trans­pa­rents, tout comme les four­nis­seurs de services en Suisse peuvent être parfai­te­ment opaques.

Par ailleurs, cette posi­tion ne tient pas compte du fait que les organes fédé­raux (comme les autres personnes physiques et morales soumises à la LPD) peuvent commu­ni­quer des données person­nelles à l’étran­ger si le Conseil fédé­ral a constaté, dans l’Annexe 1 OPDo, que la légis­la­tion de l’État concerné offre un niveau de protec­tion adéquat au sens du droit suisse de la protec­tion des données (art. 16 al. 1 LPD cum art. 8 al. 1 OPDo ; sur la régle­men­ta­tion canto­nale en matière de commu­ni­ca­tion de données à l’étran­ger, cf. Sylvain Métille/Marie-Laure Percassi, Les collec­ti­vi­tés publiques face à l’ex­ter­na­li­sa­tion infor­ma­tique – Analyse sous l’angle de la protec­tion des données person­nelles, in : Jusletter du 29 septembre 2025, N 39 s.). Or, suite à la mise en place du CH‑U.S. DPF, la Suisse recon­naît que les entre­prises améri­caines certi­fiées selon le CH‑U.S. DPF offrent un niveau de protec­tion adéquat (Annexe 1 OPDo, ch. 44 ; à cet égard, cf. ég. section IV/​B/​v infra).

Au surplus, le contenu du contrat que l’or­gane public conclut avec le four­nis­seur de services cloud est l’élé­ment déter­mi­nant (ce qui ressort d’ailleurs expres­sé­ment de l’Aide-mémoire de priva­tim, sections 2.1 p. 2 s. et 2.7 p. 7). En tant que respon­sables du trai­te­ment, les organes publics doivent défi­nir la fina­lité et les moyens du trai­te­ment des données person­nelles (cf. p.ex. art. 5 let. j LPD, art. 4 al. 1 let. h, 19 et 37 LPrD-FR, art. 4 al. 1 ch. 8 LPrD-VD). À ce titre, il leur incombe d’im­po­ser les obli­ga­tions contrac­tuelles néces­saires aux four­nis­seurs afin d’as­su­rer le respect du cadre légal appli­cable, notam­ment en matière de loca­li­sa­tion des données, de sécu­rité des données (cf. p.ex. art. 8 LPD cum art. 1 ss OPDo, art. 20 s. LPrD-FR, art. 37A P‑LIPAD-GE, art. 10 LPrD-VD, art. 10 et 30 P‑IDG-ZH) ou de sous-trai­tance (cf. p.ex. art. 9 LPD cum art. 7 OPDo, art. 18 ss et 37 LPrD-FR, art. 36C P‑LIPAD-GE, art. 18 LPrD-VD, art. 9 P‑IDG-ZH). Il est notam­ment possible de prévoir contrac­tuel­le­ment des droits d’au­dit permet­tant à l’or­gane public de véri­fier le respect des obli­ga­tions par le four­nis­seur et l’en­semble de sa chaîne de sous-trai­tance, ainsi que le droit pour l’or­gane public de rési­lier unila­té­ra­le­ment le contrat en cas de recours à un sous-trai­tant qu’il consi­dère comme « inacceptable ».

En tout état, si la modi­fi­ca­tion unila­té­rale du contrat par le four­nis­seur consti­tue un écueil majeur, l’or­gane public peut soit cher­cher à exclure contrac­tuel­le­ment de telles modi­fi­ca­tions unila­té­rales, soit prévoir qu’en cas de modi­fi­ca­tions unila­té­rales, l’or­gane public dispose d’un délai pour rési­lier le contrat et ainsi acti­ver la mise en œuvre du plan de sortie prévu par le contrat.

Enfin, il convient de rele­ver qu’en pratique, les contrats propo­sés par les hyper­sca­lers contiennent déjà des clauses détaillées en matière de sous-trai­tance (avec infor­ma­tion préa­lable et possi­bi­li­tés de contrôle), de droits d’au­dit et de repor­ting (souvent complé­tés par des certi­fi­ca­tions et attes­ta­tions indé­pen­dantes), de loca­li­sa­tion des données (y compris avec des options de rési­dence ou de régio­na­li­sa­tion), ainsi que de sécu­rité de l’in­for­ma­tion. Ces enga­ge­ments contrac­tuels s’ap­puient en outre sur des stan­dards de confor­mité recon­nus au niveau inter­na­tio­nal, ce qui faci­lite la véri­fi­ca­tion par les organes publics du respect du droit appli­cable et des instruc­tions de traitement.

iii. Motif 3 : Une « perte de contrôle consi­dé­rable » sur les données

Dans un troi­sième motif, priva­tim exclut l’ex­ter­na­li­sa­tion des données person­nelles sensibles ou soumises à une obli­ga­tion légale de garder le secret car le recours à des solu­tions cloud entraî­ne­rait une perte de contrôle consi­dé­rable sur les données, de sorte que les organes publics ne pour­raient pas exclure la proba­bi­lité d’une atteinte aux droits fonda­men­taux des personnes concer­nées, mais unique­ment réduire la gravité des poten­tielles viola­tions en ne divul­guant pas les données person­nelles sensibles « hors de son domaine de contrôle ».

Cette affir­ma­tion non nuan­cée ne tient ni factuel­le­ment, ni juridiquement.

D’une part, cette affir­ma­tion repose sur un présup­posé contes­table, à savoir que les colla­bo­ra­teurs et les infra­struc­tures infor­ma­tiques des insti­tu­tions canto­nales et commu­nales préser­ve­raient néces­sai­re­ment mieux les données que ceux des four­nis­seurs de services cloud. Or, comme il sera exposé à la section IV/​C infra, l’ex­pé­rience démontre que le risque d’at­teinte à la sécu­rité des données person­nelles ne dépend pas exclu­si­ve­ment de la nature de l’or­ga­ni­sa­tion, les enti­tés publiques ayant égale­ment été victimes de plusieurs inci­dents de sécurité.

D’autre part, comme indi­qué dans la section IV/​B/​ii supra, les organes publics restent, en cas de sous-trai­tance, respon­sables des trai­te­ments concer­nés et ne peuvent pas s’exo­né­rer de leurs obli­ga­tions en raison d’une exter­na­li­sa­tion. Au contraire, et ainsi que rappelé supra section IV/​B/​ii., les organes publics doivent impo­ser des obli­ga­tions contrac­tuelles aux four­nis­seurs de services de type SaaS aux fins d’as­su­rer une exter­na­li­sa­tion des données conforme au cadre légal appli­cable, et limi­ter ainsi le risque d’at­teintes aux droits fonda­men­taux des personnes concer­nées (sur l’im­por­tance des Data Processing Agreements, cf. not. Manon Baur, Data Processing Agreement : un outil clé pour enca­drer et sécu­ri­ser la sous-trai­tance de données person­nelles en pratique, 7 octobre 2025, in : swiss​pri​vacy​.law/​377).

iv. Motif 4 : Une insé­cu­rité juri­dique concer­nant la notion d’auxiliaire

Dans un quatrième motif, priva­tim exclut l’ex­ter­na­li­sa­tion des données person­nelles sensibles ou soumises à une obli­ga­tion légale de garder le secret en indi­quant qu’il exis­te­rait « parfois une grande insé­cu­rité juri­dique quant à la mesure dans laquelle elles peuvent être trans­fé­rées vers des services de cloud compu­ting ». Remettant en cause tous les prin­cipes en la matière, priva­tim estime qu’il ne serait pas « possible de faire appel à tout tiers en tant qu’auxi­liaire, seule­ment parce que les dispo­si­tions du droit pénal rela­tives au secret profes­sion­nel [art. 321 CP] et au secret de fonc­tion [art. 320 CP] obligent égale­ment les auxi­liaires des déten­teurs de secrets à garder le silence ». Cette mention, égale­ment présente dans l’Aide-mémoire (cf. section 2.3.c p. 5), ne semble pas prendre en compte la nouvelle teneur de l’art. 320 CP.

En effet, cette concep­tion entre en contra­dic­tion nette avec l’évo­lu­tion récente du cadre légal en la matière. Depuis le 1^er janvier 2023, la dispo­si­tion légale proté­geant le secret de fonc­tion (art. 320 CP) a été spéci­fi­que­ment modi­fiée afin d’au­to­ri­ser le trans­fert d’in­for­ma­tions soumises au secret de fonc­tion à des pres­ta­taires tiers, y compris lorsque ceux-ci sont loca­li­sés à l’étran­ger, ce que la Conseillère fédé­rale Karin Keller-Sutter avait, au demeu­rant, expres­sé­ment confirmé devant le Parlement (Message concer­nant la loi sur la sécu­rité de l’in­for­ma­tion du 22 février 2017, FF 2017 p. 2886 ss ; Conseillère fédé­rale Karin Keller-Sutter, in : BO 2022 N 353 s. ; cf. ég. Dominika Blonski, Cloud Computing – Datenschutzrechtliche Rahmenbedingungen am Beispiel des Kantons Zürich, in : Astrid Epiney/​Sophia Rovelli (édit.), L’intelligence arti­fi­cielle et protec­tion des données, Zurich/​Bâle/​Genève 2021, p. 72 ; Métille/​Percassi, N 20 ss et 82).

Le Conseil fédé­ral a retenu cette solu­tion afin d’as­su­rer une cohé­rence systé­ma­tique avec le régime du secret profes­sion­nel. En effet, l’art. 321 CP (secret profes­sion­nel) répri­mait déjà la viola­tion du secret par les auxi­liaires des déten­teurs du secret. Autrement dit, puisque les auxi­liaires des profes­sion­nels soumis au secret étaient déjà concer­nés par l’art. 321 CP, il était logique de prévoir un méca­nisme équi­valent pour le secret de fonc­tion via la révi­sion de l’art. 320 CP (Message concer­nant la loi sur la sécu­rité de l’in­for­ma­tion du 22 février 2017, FF 2017 p. 2888).

v. Motif 5 : Un risque induit par le US CLOUD Act

Dans un cinquième et ultime motif, priva­tim exclut l’ex­ter­na­li­sa­tion des données person­nelles sensibles ou soumises à une obli­ga­tion légale de garder le secret en raison de l’exis­tence du US CLOUD Act, en appli­ca­tion duquel les four­nis­seurs de services état­su­niens pour­raient être sommés de commu­ni­quer des données person­nelles aux auto­ri­tés état­su­niennes, cela même lorsque les données seraient héber­gées en Suisse (pour une présen­ta­tion du US CLOUD Act, cf. Philipp Fischer/​Sébastien Pittet, US CLOUD Act – un aperçu, 8 novembre 2021, in : swiss​pri​vacy​.law/​101).

Ce motif s’ancre dans une certaine réalité juri­dique. Toutefois, à la suite de l’évo­lu­tion du cadre légal améri­cain, en parti­cu­lier la limi­ta­tion des droits d’ac­cès des services de rensei­gne­ment et la mise en place de méca­nismes de recours pour les personnes concer­nées, la Suisse recon­naît, depuis le 14 août 2024, que les États-Unis offrent un niveau de protec­tion adéquat au sens de l’art. 16 LPD pour les données person­nelles trai­tées par les orga­ni­sa­tions certi­fiées confor­mé­ment au CH‑U.S. DPF (Annexe 1 OPDo, ch. 44 ; pour un aperçu du Swiss‑U.S. Data Privacy Framework, cf. Jeremy Reichlin/​Gabriel Kasper/​Kirsten Wesiak Schmidt, Data Privacy Framework, 26 août 2024 in swiss​pri​vacy​.law/​313). Cette déci­sion du Conseil fédé­ral s’ap­puie notam­ment sur une évalua­tion effec­tuée par l’Office fédé­ral de la justice (OFJ) (cf. ég. OFJ, Evaluation de l’adé­qua­tion – Etats-Unis du 30 avril 2024).

Au moment de l’adop­tion de cette déci­sion, le Conseil fédé­ral avait plei­ne­ment conscience des risques induits par le US CLOUD Act (cf. not. Conseillère fédé­rale Simonetta Sommaruga, in : BO 2018 N 1400 ; Avis du Conseil fédé­ral fédé­ral du 26 août 2020 rela­tif à l’Interpellation Balthasar Glättli 20.3875 « Amélioration de la protec­tion des données dans le contexte du Cloud Act »). Partant, l’ajout des États-Unis à l’Annexe 1 OPDo clôt de lega lata le débat rela­tif à la comp­ta­bi­lité du US CLOUD Act avec le cadre légal suisse (Katharina Martin/​Philipp Fischer, Swiss-US Data Privacy Framework : un premier pas vers une approche plus prag­ma­tique ?, 17 janvier 2025, in : swiss​pri​vacy​.law/​332 ; Métille/​Percassi, N 81). priva­tim ne prend pas en compte l’évolution du système légis­la­tif et l’analyse effec­tuée par le Conseil fédé­ral du système juri­dique améri­cain dans le cadre du CH‑U.S. DPF.

Il sied à ce titre de rappe­ler que les hyper­sca­lers Microsoft, Google ou encore Amazon, sont certi­fiés dans le cadre du CH‑U.S. DPF (cf. Data Privacy Framework List).

Par ailleurs, et comme indi­qué par priva­tim dans son Aide-mémoire, les organes publics peuvent réduire encore le risque d’ac­cès en vertu du US CLOUD Act par l’adop­tion de mesures contrac­tuelles telles que l’obli­ga­tion d’in­for­mer immé­dia­te­ment les organes publics de toute demande de commu­ni­ca­tion des données fondée sur le US CLOUD Act, et l’obli­ga­tion, à charge du pres­ta­taire, d’épui­ser toutes les voies de recours pour empê­cher cette commu­ni­ca­tion (Aide-mémoire, section 2.2 p. 4).

C. Absence de prise en compte des autres risques 

La Résolution foca­lise son analyse du risque sur la commu­ni­ca­tion de données person­nelles à l’étran­ger. Elle fait fi des autres obli­ga­tions appli­cables aux organes publics, notam­ment celles d’as­su­rer une sécu­rité adéquate des données person­nelles par la mise en place de mesures tech­niques et orga­ni­sa­tion­nelles appro­priées (art. 8 LPD cum art. 1 ss OPDo, art. 20 s. LPrD-FR, art. 37A P‑LIPAD-GE, art. 10 LPrD-VD, art. 10 et 30 P‑IDG-ZH) et de préve­nir toute divul­ga­tion des données couvertes par le secret de fonc­tion (art. 320 CP).

L’expérience pratique démontre toute­fois que les inci­dents de sécu­rité aux travers, notam­ment, de cybe­rat­taques, présentent un risque consé­quent pour la protec­tion des droits fonda­men­taux des personnes concernées.

À notre connais­sance, les auto­ri­tés état­su­niennes n’ont jamais accédé aux données héber­gées en Suisse en invo­quant le US CLOUD Act. En 2022, priva­tim écri­vait même « […] qu’un tel scéna­rio est haute­ment impro­bable dans la pratique […] » (priva­tim, Prise de posi­tion « Pas de feu vert pour « Microsoft 365 » du 30 septembre 2022).

En revanche, les risques rela­tifs à la sécu­rité des données se sont déjà concré­ti­sés à maintes reprises. La cybe­rat­taque par rançon­gi­ciel (ransom­ware) dont a été victime la société suisse Xplain AG, alors four­nis­seuse de la Confédération (cf. not. Communiqué de presse de l’Office fédé­ral de la cyber­sé­cu­rité (OFCS) du 8 juin 2023), ainsi que celles subies par les communes de Rolle (cf. Message aux citoyennes et citoyens de la commune de Rolle du 31 août 2021) et de Montreux (cf. Communiqué de presse de la commune de Montreux du 10 octobre 2021) en 2021, de Zollikofen en 2023 (cf. Communiqué de presse de la commune de Zollikofen du 23 novembre 2023) ou encore de Villars-sur-Glâne en 2025 (cf. Page mise en place par la commune de Villars-sur-Glâne concer­nant la cybe­rat­taque du 18 juin 2025), en apportent une démons­tra­tion éloquente.

Par ailleurs, dans son rapport annuel 2024 (ci-après : le « Rapport OFCS »), l’OFCS recense notam­ment 62’954 signa­le­ments volon­taires de cybe­rin­ci­dents, 991’309 analyses de signa­le­ments concer­nant les appa­reils infec­tés par des logi­ciels malveillants (malware) et 371 signa­le­ments de vulné­ra­bi­li­tés par des pirates éthiques (Rapport OFCS, p. 4). Avec l’en­trée en vigueur de l’obli­ga­tion de signa­ler les cybe­rat­taques à l’OFCS en avril et octobre 2025 (art. 74a ss LSI, cf. ég. Claire Tistounet/​Philipp Fischer, La nouvelle obli­ga­tion d’an­nonce des cybe­rat­taques, 31 mars 2025, in : swiss​pri​vacy​.law/​345), et compte tenu des déve­lop­pe­ments tech­no­lo­giques récents (notam­ment en matière d’in­tel­li­gence arti­fi­cielle), nous pouvons légi­ti­me­ment attendre une hausse de ces chiffres.

Ces éléments démontrent que la sécu­rité des données est un enjeu crucial, et que les organes publics, parti­cu­liè­re­ment les petites communes (mais pas seule­ment) dispo­sant de ressources limi­tées, n’ont pas toujours les moyens néces­saires en leur sein pour y faire face. Dans ces circons­tances, obli­ger les organes publics à chif­frer eux-mêmes des données et gérer à l’interne les clés de déchif­fre­ment, ou à défaut à héber­ger des données sur des serveurs en local, alors qu’ils n’ont peut-être pas les compé­tences tech­niques pour ce faire, peut s’avé­rer contre-productif.

Comme le relève à juste titre l’OFAS dans sa commu­ni­ca­tion n^o 054, les solu­tions sur site entraînent un risque accru de cybe­rat­taques si les organes publics n’emploient pas des spécia­listes dispo­sant du savoir-faire néces­saire pour main­te­nir ces solu­tions et permettre leur exploi­ta­tion en toute sécu­rité (cf. ég. Franchitti et al., p. 695). En revanche, en cas de recours à une solu­tion de type SaaS, le four­nis­seur, qui a la possi­bi­lité de mutua­li­ser les coûts sur un large éven­tail de clients, main­tient la solu­tion à jour et met en œuvre les mesures tech­niques les plus récentes aux fins de permettre une utili­sa­tion sécu­ri­sée de la solu­tion (OFAS, Communication eGov n° 054 du 10 mars 2025, dispo­nible ici, p. 1 ; cf. ég. Vasella). De ce fait, il est erroné de sous-entendre que les données sont néces­sai­re­ment expo­sées à un risque accru si elles sont trai­tées dans le cloud, ou qu’elles sont néces­sai­re­ment mieux proté­gées si elles sont trai­tées loca­le­ment (cf. ég. Vasella).

Face à ce constat, les organes publics ne peuvent pas adop­ter des posi­tions de prin­cipe, mais doivent appré­cier au cas par cas tous les risques en présence, tout en tenant compte des réali­tés juri­diques, tech­niques et économiques.

V. Conclusion

L’on peut ainsi regret­ter que la Résolution ne tienne pas compte du droit en vigueur et se foca­lise unique­ment sur le risque rela­tif à la commu­ni­ca­tion trans­fron­ta­lière de données, là où les auto­ri­tés fédé­rales compé­tentes ont su faire preuve d’une approche prag­ma­tique et flexible dans l’ap­pré­cia­tion de ces enjeux, notam­ment à travers l’adop­tion du CH‑U.S. DPF.

On peut dès lors s’in­ter­ro­ger sur le moment où les auto­ri­tés suisses de protec­tion des données adop­te­ront une approche holis­tique, davan­tage ancrée dans la réalité tech­nique, juri­dique et écono­mique des admi­nis­tra­tions publiques, fondée sur une appré­cia­tion globale des risques, et ne se limi­tant pas aux seuls enjeux liés aux trans­ferts trans­fron­tières de données.

Il va de soi que le déve­lop­pe­ment et la promo­tion de solu­tions suisses souve­raines offrant un niveau de service, de sécu­rité et de fiabi­lité compa­rable à celui des hyper­sca­lers consti­tuent un objec­tif légi­time et plei­ne­ment justi­fié. Cela étant, une inter­dic­tion de prin­cipe du recours à des pres­ta­taires inter­na­tio­naux offrant des solu­tions d’hé­ber­ge­ment en Suisse – en parti­cu­lier lorsque ceux-ci présentent un lien avec les États-Unis – appa­raît contre­pro­duc­tive, en ce qu’elle est suscep­tible d’ac­croître les risques pesant sur les données person­nelles des citoyen(ne)s, dans un envi­ron­ne­ment où les cybe­rat­taques, et les inci­dents de sécu­rité de manière géné­rale, sont pour­tant récur­rents. Le recours systé­ma­tique à des solu­tions locales ou « maison » ne consti­tue, à cet égard, nulle­ment une garan­tie de sécu­rité supérieure.

Enfin, une inter­dic­tion pure et simple, pour certaines caté­go­ries de données, des solu­tions cloud, ou de celles offertes en Suisse par des pres­ta­taires inter­na­tio­naux, relè­ve­rait d’un choix éminem­ment poli­tique dont la mise en œuvre légi­time incom­be­rait au légis­la­teur, étant rappelé que l’ab­sence totale de risque demeure illu­soire, y compris dans le cadre de solu­tions entiè­re­ment internalisées.