Introduction

Les admi­nis­tra­tions publiques, à l’instar du secteur privé, n’échappent pas à la moder­ni­sa­tion de leurs infra­struc­tures et de leurs proces­sus. À l’interne, les solu­tions infor­ma­tiques utili­sées doivent évoluer, pour des raisons de sécu­rité, de support, de coûts, d’efficacité et d’expérience utili­sa­teur. S’agissant de l’État de Vaud, le Plan direc­teur canto­nal des systèmes d’information et la Stratégie numé­rique de la Direction Générale du Numérique et des Systèmes d’Information (DGNSI) guident et orientent les actions à effec­tuer en tenant compte d’une multi­tude de prin­cipes, comme la sécu­rité, la protec­tion des données ou encore la gouver­nance du numérique.

Les solu­tions infor­ma­tiques dans le cloud permettent une ratio­na­li­sa­tion et une prévi­si­bi­lité des coûts ainsi qu’une souplesse au niveau du déploie­ment, des mises à jour, de l’adaptation et du main­tien de la solu­tion consi­dé­rée. En effet, la créa­tion et l’hébergement de solu­tions infor­ma­tiques à l’interne d’une orga­ni­sa­tion n’est pas toujours possible ni perti­nent d’un point de vue tech­nique ou économique.

De manière plus géné­rale, que cela soit sous la forme de SaaS, IaaS, PaaS ou DaaS, de plus en plus de solu­tions infor­ma­tiques sont désor­mais propo­sées dans le cloud. Pour les admi­nis­tra­tions publiques, le choix de cette tech­no­lo­gie exige une réflexion large, que ce soit au niveau de la protec­tion des données, du secret de fonc­tion, de l’aspect contrac­tuel, de l’application de règles sur les marchés publics ou encore pour des raisons d’opportunité poli­tique et technique.

Protection des données

1. Généralités

L’emploi d’un service basé dans le cloud proposé par un four­nis­seur externe à l’administration est une forme de sous-trai­tance. Le sous-trai­tant est défini comme une « personne physique ou morale, auto­rité publique ou tout autre orga­nisme qui traite des données person­nelles pour le compte du respon­sable du trai­te­ment » confor­mé­ment à l’art. 4 al. 2 ch. 9 de la loi vaudoise du 11 septembre 2007 sur la protec­tion des données (LPrD), s’agissant d’un trai­te­ment de données person­nelles effec­tué par une entité publique vaudoise. Le service « métier » de l’administration qui en fera usage sera le respon­sable de trai­te­ment au sens de l’art. 4 al. 2 ch. 8 LPrD.

Conformément à l’art. 18 LPrD, un trai­te­ment de données person­nelles peut être confié à un tiers si le trai­te­ment est prévu par la loi ou un contrat, si le respon­sable de trai­te­ment est lui-même légi­timé à trai­ter les données concer­nées et qu’aucune obli­ga­tion légale ou contrac­tuelle ne l’interdit. Cette dispo­si­tion trouve plei­ne­ment appli­ca­tion dans le cadre d’une utili­sa­tion d’un service dans le cloud par une admi­nis­tra­tion publique.

Le service « métier » de l’administration qui désire opter pour une solu­tion exter­na­li­sée dans le cloud cherche bien souvent à moder­ni­ser une acti­vité ou une tâche publique qu’il effec­tuait déjà. Il est donc légi­timé à envi­sa­ger de bascu­ler cette acti­vité dans le cloud. Au stade préli­mi­naire, une étude des solu­tions locales et étran­gères exis­tantes doit être menée, en effec­tuant une pesée d’intérêts qui tient compte des éléments suivants, en sus de la néces­saire protec­tion des données :

• oppor­tu­nité de faire appel à un pres­ta­taire externe ;
• inté­gra­tion avec les systèmes d’information existants ;
• mesures tech­niques et orga­ni­sa­tion­nelles de sécurité ;
• migra­tion des données ;
• dispo­ni­bi­lité de la solu­tion externalisée ;
• appli­ca­tion des règles sur les marchés publics ;
• dispo­si­tions secto­rielles propres au service métier bénéficiaire.

Dans la plupart des cas, il existe un contrat avec le four­nis­seur de la solu­tion qui règle prin­ci­pa­le­ment les aspects commer­ciaux et tech­niques. En sus, le four­nis­seur peut parfois propo­ser un contrat de sous-trai­tance des données person­nelles annexé au cadre contrac­tuel, sous la forme d’un « Data Processing Agreement » ou « Data Protection Addendum ».

S’il existe, une véri­fi­ca­tion des dispo­si­tions s’impose, notam­ment sur les éléments suivants : déter­mi­na­tion des parties, fina­lité du trai­te­ment, obli­ga­tions des parties, éven­tuelle sous-trai­tance ulté­rieure, lieu de trai­te­ment et d’hébergement des données, droit de contrôle d’une auto­rité de surveillance, droits des personnes concer­nées, respon­sa­bi­lité, fin du contrat ou encore for et droit applicable.

S’il est incom­plet, insa­tis­fai­sant ou inexis­tant, des amen­de­ments respec­ti­ve­ment une propo­si­tion de contrat doivent être amenés.

2. Problématiques choisies

a) Le recours à une solu­tion exter­na­li­sée dans le cloud implique une perte de maîtrise au moins partielle sur les données person­nelles sous-trai­tées. Dès lors, le choix du four­nis­seur et le lieu d’hébergement deviennent des ques­tions critiques tant d’un point de vue juri­dique que poli­tique. Or, beau­coup de four­nis­seurs sont étran­gers. Un héber­ge­ment et un trai­te­ment sur le terri­toire suisse, pour des raisons de souve­rai­neté et de secret de fonc­tion, est souhai­table. Nous insis­tons égale­ment sur la néces­sité de prévoir un for en Suisse et l’application du droit suisse.

b) Si le four­nis­seur propose une option de chif­fre­ment des données person­nelles, le prin­cipe de précau­tion implique de consi­dé­rer que le four­nis­seur aura de toute manière accès aux données person­nelles, malgré la présence de garan­ties contrac­tuelles. En effet, ces dernières ne seront d’aucun secours en cas de requête judi­ciaire au lieu d’hébergement, surtout à l’étranger. Ce point est parti­cu­liè­re­ment critique en matière de données ou d’informations soumises au secret de fonc­tion. Le chif­fre­ment effec­tué par l’administration dont elle seule possède la clé serait un moyen de parer à toute éven­tua­lité de ce type. Cependant, peu de four­nis­seurs proposent cette possi­bi­lité, qui est par ailleurs complexe à gérer pour l’administration. Pour une analyse détaillée sur la ques­tion du secret de fonc­tion dans ce cadre, nous renvoyons à la contri­bu­tion du Prof. Sylvain Métille sur le sujet.

c) La sous-trai­tance en cascade, ou sous-trai­tance ulté­rieure, peut être problé­ma­tique dans le cadre de commu­ni­ca­tions trans­fron­tières de données person­nelles. En effet, si le sous-trai­tant « primaire » héberge les données en Suisse ou du moins dans un pays consi­déré comme adéquat, il peut faire appel à ses propres sous-trai­tants pour effec­tuer un service de support « follow-the-sun » ou « 24/​7 ». Or, de ce point de vue, il est tout-à-fait conce­vable que des opéra­teurs du sous-trai­tant ulté­rieur puissent avoir accès aux données person­nelles depuis des pays qui ne sont pas consi­dé­rés comme offrant un niveau de protec­tion des données adéquat. En outre, il s’agit d’identifier soigneu­se­ment ces éven­tuels sous-trai­tants ulté­rieurs et s’assurer qu’ils sont bel et bien soumis aux mêmes exigences en matière de protec­tion des données que le four­nis­seur primaire. Il convient de préci­ser que l’art. 9 al 3 nLPD prévoit l’interdiction de prin­cipe de la sous-trai­tance en cascade. Il n’est pas à exclure que la LPrD, actuel­le­ment en révi­sion elle aussi, prévoie le même régime en la matière.

d) Si le four­nis­seur est étasu­nien, nous rappe­lons que le Privacy Shield a été annulé par la CJUE en juillet 2020, dans l’affaire C‑311/​18 « Schrems II ». Si cette déci­sion n’a pas d’effet direct en Suisse, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence estime que le Privacy Shield US – CH, dès l’instant où il s’agit de l’équivalent euro­péen, n’est plus un méca­nisme adéquat pour un trans­fert de données vers les États-Unis. Dès lors, en cas de recours à des Standard Contracual Clauses (SCC) pour enca­drer le trans­fert, une analyse de risques est obli­ga­toire. Pour plus de détails, nous renvoyons aux excel­lentes contri­bu­tions de Philipp Fischer et Philipp Fischer /​ Kastriot Lubishtani.

e) La fin du contrat doit être soigneu­se­ment étudiée. En effet, les données (person­nelles ou non) sont héber­gées sur des systèmes externes. Dans ce cas, il s’agit de prévoir tous les proces­sus qui permet­tront de rapa­trier les données de manière opti­male. Cela procu­rera à l’administration le temps et les ressources néces­saires pour choi­sir un autre pres­ta­taire ou de créer sa propre solu­tion. En outre, et cela peut sembler à première vue trivial, il s’agira d’exiger du four­nis­seur que les données soient rapa­triées dans un format qui permet de les utili­ser dans le nouveau système. La colla­bo­ra­tion étroite et proac­tive du pres­ta­taire est dans ce cas fondamentale.

Conclusion

Le choix de la tech­no­lo­gie cloud est une déci­sion impor­tante qui mérite une réflexion pluri­dis­ci­pli­naire. Si le service en charge du numé­rique et des systèmes d’information de l’entité publique sera en première ligne pour l’évaluation et le choix, il nous semble impor­tant d’impliquer le plus tôt possible le service « métier » qui utili­sera la solu­tion. Une étude soigneuse des diffé­rents aspects juri­diques (protec­tion des données, contrats, marchés publics et secret de fonc­tion) et d’opportunité tech­nique, écono­mique et poli­tique doit être menée.

Enfin, le cloud dans le contexte des admi­nis­tra­tions publiques est un sujet central dans les réflexions numé­riques actuelles au niveau natio­nal : au prin­temps 2020, le Conseil fédé­ral, bien conscient des problé­ma­tiques liées à cette tech­no­lo­gie, a chargé le Département fédé­ral des finances (DFF) d’examiner en détail la néces­sité et la faisa­bi­lité d’un Swiss Cloud. Il est ressorti de cette étude la perti­nence de la créa­tion d’un label « Swiss Cloud » et l’identification des critères auxquels un pres­ta­taire labé­lisé devrait satis­faire, notam­ment : four­nis­seur majo­ri­tai­re­ment en mains suisses et qui ne doit pas être soumis à des obli­ga­tions de commu­ni­ca­tions des données à des tiers, le tout avec un for et un droit suisse applicable.