Il n’y a qu’une certitude autour des contrats cloud que la Confédération avait décidé d’établir avec cinq multinationales étrangères: ces contrats ont été signés. Mardi, la Chancellerie fédérale a annoncé que ces documents, engageant Berne à dépenser au maximum 110 millions de francs sur cinq ans, avaient été paraphés. Mais de nombreuses zones d’ombre tournent non seulement autour de ces contrats, mais aussi autour des données qui seront confiées à ces prestataires étrangers.

Pour mémoire, la Confédération avait choisi en juin 2021 cinq multinationales étrangères pour se fournir en services en ligne, que ce soit pour le stockage ou le traitement de données: les américains IBM, Amazon, Oracle et Microsoft, ainsi que le chinois Alibaba. Google, non retenu, avait fait recours avant d’abandonner. Mais une procédure émise par un citoyen, dont l’identité n’est pas connue, est toujours en cours à la suite d’une décision favorable du Tribunal fédéral cet été.

Annulation encore possible

Sans attendre que cette dernière procédure, qui pourrait faire annuler l’adjudication totale, soit terminée, la Confédération va de l’avant. Mardi, elle annonçait donc avoir signé avec ces cinq prestataires des contrats en tout point identiques… mais Berne reconnaît que tout pourrait s’effondrer: «Une demande de mesures provisionnelles est pendante. L’administration fédérale attend la décision incidente du tribunal concernant ces mesures avant d’acheter des services.» Les contrats sont signés, mais aucun centime n’est encore dépensé.

Et il demeure encore de nombreuses inconnues. Pour l’heure, on ne sait rien de ces contrats, dont la teneur n’a pas été communiquée. «La Chancellerie fédérale examine actuellement la possibilité de publier les contrats», écrivait mardi la Confédération. Ce secret entourant ces contrats fait penser à celui portant sur l’achat de vaccins: les documents avaient été publiés, mais ils étaient si caviardés qu’ils ne disaient finalement rien.

Nombreuses questions

D’autres questions se posent encore et toujours sur les données qui seront confiées à IBM, Microsoft ou encore Alibaba. «Les services «Public Clouds Confédération» porteront principalement sur des données publiques et des données sans exigences de protection particulières», a voulu rassurer mardi Berne. Mais on ne connaît pas précisément la nature de ces données. De plus, il reste un travail qui semble important pour effectuer des analyses de risque, comme le reconnaît elle-même la Chancellerie fédérale: «Les offices qui souhaitent utiliser [ces services] doivent d’abord établir un cahier des charges indépendant des fournisseurs et procéder à des clarifications approfondies. Ils doivent notamment vérifier, avant l’achat de tout service, si l’externalisation et le traitement des données dans un nuage public sont conformes à la législation, et documenter ces clarifications. Une analyse des besoins de protection doit en outre être réalisée pour toutes les applications et toutes les données.»

On est donc loin d’une sécurité juridique absolue, même si la Confédération estime avoir fait son travail: elle a publié un rapport sur les bases juridiques, ainsi qu’un cahier des charges indépendant des fournisseurs et des critères d’évaluation pour l’achat de services en nuage.

Lire aussi: Un citoyen pourrait faire dérailler le projet de cloud fédéral à 110 millions de francs