Par
Publié mardi 21 septembre 2021 à 17:41
Modifié mardi 28 septembre 2021 à 05:51

C’est la fin. Ou en tout cas, cela y ressemble fort. Il n’y aura sans doute pas de cloud suisse réalisé par des entreprises helvétiques, travaillant sur mandat de la Confédération. Dans une rare prise de position dans le cadre d’un contrat de 110 millions de francs attribué à des multinationales étrangères, le Conseil fédéral a défendu sa stratégie. Celle-ci semble écarter de manière définitive des prestataires indigènes, actifs dans l’informatique en nuage (cloud computing).

Le 9 septembre dernier, des entreprises suisses, telles ELCA et Infomaniak, associées à des personnalités du monde de la tech helvétique, lançaient un appel pour la création d’un consortium national pour des services cloud. Le but était aussi de comprendre pourquoi la Confédération avait choisi l’hiver dernier les américains Oracle, Microsoft, Amazon et IBM, ainsi que le chinois Alibaba, pour un contrat pouvant s’élever jusqu’à 110 millions de francs. Jusqu’à présent, Berne s’était tu, notamment à cause de procédures en cours – comme un appel de Google auprès du Tribunal administratif fédéral.

Lire aussi: Les partisans d’un cloud suisse contre-attaquent et ciblent le Conseil fédéral

«Aucune offre suisse»

Ce silence a été brisé à l’initiative d’Isabelle Moret. La conseillère nationale (VD/PLR) a posé une question au Conseil fédéral, en concertation avec Fathi Derder, coordinateur de l’initiative précitée. «Le Conseil fédéral a confié le projet «Swiss cloud» à des entreprises chinoises et américaines, et aucune suisse. N’y a-t-il pas contradiction entre l’objectif visé et le résultat final?» a demandé Isabelle Moret. Lundi, le gouvernement a répondu par la voix de Walter Thurnherr, chancelier fédéral. Selon lui, «tous les fournisseurs ont été invités à participer à l’appel d’offres ouvert. Parmi les offres reçues des entreprises suisses, aucune ne répondait aux critères d’aptitude. Aucune autre offre n’a été reçue des entreprises européennes.»

Le chancelier précise que ces services cloud doivent compléter les centres de données et les clouds privés actuels de la Confédération. Tout en disant que l’appel à ces services de multinationales étrangères «reste facultatif». En clair: Berne n’est même pas certain d’utiliser ces services étrangers. Une réponse qui ne convainc pas Marc Oehler, directeur d’Infomaniak: «Comment expliquer un projet qui s’étale sur cinq ans avec un budget de 110 millions de francs pour un usage facultatif?» Marc Oehler suggère que la Confédération va bel et bien faire appel à ces services étrangers. «Les exigences posées dans l’appel d’offres vont bien au-delà d’une prestation à laquelle on pourrait faire appel de manière facultative, comme l’obligation d’avoir des data centers sur trois continents et qu’une présence en Suisse soit un bonus. Cet appel d’offres n’était clairement pas taillé pour des entreprises suisses», poursuit le directeur d’Infomaniak.

Lire encore: Surprise, la Confédération se fournit en Chine pour son cloud

«Clair et regrettable»

Berne défend donc son choix de prestataires étrangers. Et selon Fathi Derder, le gouvernement enterre aussi l’idée d’un véritable «Swiss cloud»: «Cette réponse des autorités a au moins un mérite, celui de montrer qu’elles ne veulent pas, comme elles l’avaient sous-entendu en décembre 2020, d’un service totalement suisse pour traiter nos données. C’est clair, mais regrettable: aucun acteur suisse n’a été consulté, et l’idée même d’un partenariat public-privé n’est pas retenue.»

Walter Thurnherr disait lundi que «le besoin de solutions de cloud computing étatique n’a pas été suffisamment démontré». Et l’idée d’un consortium suisse, appelé de leurs vœux par des entreprises helvétiques, est quasi écartée: «Si, à l’avenir, un consortium privé devait fournir un cloud suisse répondant aux exigences accrues en matière de sécurité de l’information et de protection des données, cela représenterait une option de sourcing supplémentaire déjà ancrée dans la stratégie de cloud de l’administration fédérale», a affirmé le chancelier.

Lire également: La souveraineté numérique? La Suisse ne fait même pas semblant de s’y intéresser

«Manque de clarté»

Même si Walter Thurnherr dit qu’«avant d’utiliser les services d’un nuage public une analyse de risque spécifique doit donc être effectuée», cela ne convainc pas Marc Oehler. «Le problème de fond reste le même, avec un appel d’offres déconnecté de la réalité du marché suisse, des prestataires extra-européens qui gèrent des données avec des logiciels propriétaires dont le for juridique n’est pas situé en Suisse et un manque de clarté évident dans les intentions et le processus décisionnel de l’administration publique.» Selon Fathi Derder, de nouvelles questions seront posées aux autorités fédérales. Mais avec des réponses sans doute similaires à celles reçues ce lundi.

La Suisse est méfiante face au Cloud Act américain

Il n’y a pas que le «Swiss Cloud» qui crée des tensions en Suisse. Il y a aussi le Cloud Act (pour Clarifying Lawful Overseas Use of Data Act), cette loi américaine adoptée en 2018 qui gère l’accès des Etats-Unis aux données en ligne. Le 17 septembre, l’Office fédéral de la justice a publié un avis de droit à ce sujet, sur une cinquantaine de pages. Un avis important, car la Suisse devra bientôt se positionner sur la question: voudra-t-elle signer un accord bilatéral avec les Etats-Unis sur cette loi? La conclusion de l’avis de droit est plutôt négative: «Le Cloud Act soulève de grandes questions et semble difficilement conciliable avec le droit suisse.»

Juriste spécialisé dans les nouvelles technologies, François Charlet détaille les enjeux: «Avec le Cloud Act, les Etats-Unis se donnent le droit, toujours dans le cadre de procédures pénales, d’accéder aux données d’entreprises américaines, où que se trouvent leurs centres de données. Cela concerne les centres aux Etats-Unis, mais aussi en Suisse.» Il ne s’agit donc pas de surveillance de masse, mais bien de demandes dans le cas de procédures judiciaires.

A ce sujet, l’opinion de l’avocat Adrien Tharin (2018): Le Cloud Act et ses conséquences

Quel intérêt?

Du coup, la Suisse a-t-elle intérêt à signer un accord avec les Etats-Unis, qui lui accorderait des droits sur les entreprises suisses? «C’est délicat. Si c’est le cas, les Etats-Unis pourront directement demander des données à Swisscom, par exemple, sans passer par les autorités suisses. Cela peut être hautement problématique.» Selon François Charlet, la Suisse n’aurait ainsi quasiment aucun intérêt à signer avec les Etats-Unis, même si cela lui accordait la réciprocité.