«La Confédération confie les données gouvernementales au groupe chinois Alibaba». Avec ce titre, le Tages-Anzeiger a déclenché de vives réactions cette semaine.
Malheureusement, les infos publiés jusqu'à présent ont davantage semé la confusion qu'elles n'ont expliqué la complexité de la situation.
Dans ce qui suit, nous allons examiner les questions les plus importantes du point de vue du citoyen et des réponses (jusqu'à présent) disponibles du gouvernement. Une chose est sûre: le «Public cloud» est désormais incontournable pour les secteurs privé et public.
Cloud = stockage et accès aux données par l'intermédiaire du Web, dans un «nuage» virtuel. Cela signifie que les données ne sont pas stockées et mises à disposition localement sur des ordinateurs ou des disques durs, mais transférées vers des serveurs via l'Internet. Et c'est également là que le traitement des données a lieu.
Le nuage public désigne les serveurs de sociétés privées telles qu'Amazon, Microsoft ou Alibaba. Il s'agit également des trois plus grands fournisseurs de clouds publics au monde, qui exploitent des centres de données dans le monde entier.
À l'avenir, l'administration fédérale souhaite s'appuyer sur les fournisseurs de clouds publics pour externaliser les données et réaliser ainsi des économies. En effet, si vous ne devez pas exploiter vos propres centres de données pour cela, mais que vous pouvez louer des serveurs (et de l'espace de stockage en ligne) en fonction des besoins, cela réduit les coûts.
Pour poser les bases, le Conseil fédéral a adopté la stratégie cloud de la Confédération lors de sa séance du 11 décembre 2020. Le rapport de 17 pages à ce sujet peut être consulté librement sous forme de document PDF (voir sources).
L'entrée de l'administration fédérale dans le cloud doit se faire dans le respect de la protection des données, souligne le haut responsable de la protection des données en Suisse, Adrian Lobsiger, dans une récente déclaration à watson. Il a déclaré que le Bureau du Commissaire fédéral à la protection des données et à la transparence (PFPDT) avait commenté le document stratégique sur le cloud publié par le gouvernement fédéral et avait pu «introduire avec succès les préoccupations les plus importantes du point de vue de la protection des données».
Le rapport d'activité du PFPDT, publié le 29 juin dernier, fait état des projets de la Confédération en matière de cloud public:
Cela soulève naturellement la question de savoir pourquoi la protection des données n'a pas été davantage prise en considération lors de l'attribution des contrats à quatre groupes américains et à un groupe chinois...
Apparemment, l'administration fédérale n'était pas prête à prendre en compte toutes les recommandations de l'autorité supérieure de protection des données de Suisse lorsqu'elle a mis au concours le contrat de 110 millions de francs pour le cloud public.
A ce sujet, Adrian Lobsiger écrit:
Dans un article publié jeudi, le Tages-Anzeiger écrit que le commissaire à la protection des données ne veut pas préciser quels ajouts sont tombés à l'eau.
L'administration fédérale a justifié cela par le fait que «la garantie de la protection des données est une responsabilité partagée entre l'utilisateur et le fournisseur du cloud». informe le délégué à la protection des données.
Pour l'instant, il n'a pas d'autre choix que d'attendre et de voir. Bien entendu, «les préoccupations en matière de protection des données continueront à être représentées de manière cohérente dans le cadre de la définition nationale des critères de protection des données annoncée par l'administration», assure-t-il.
C'est discutable.
Le préposé fédéral à la protection des données et à la transparence classe la République populaire de Chine comme «insuffisante» en termes de normes de protection des données.
Selon la liste des pays publiée par le PFPDT, la République populaire de Chine a donc des normes de protection des données insuffisantes. Pourquoi cela n'a-t-il pas été pris en compte lors de l'attribution du contrat? La Chancellerie fédérale déclare à cet égard:
L'administration fédérale est (légalement) tenue de protéger les données et de respecter les obligations de secret. Le pouvoir de décision quant à savoir quelles applications et quelles données sont stockées dans quels centres de données appartient aux départements et à la Chancellerie fédérale.
Non. Il ne faut pas le supposer. La Chancellerie fédérale affirme:
Et la stratégie du gouvernement fédéral en matière de cloud computing stipule que «dans un premier temps», seules les données qui ne sont pas classées comme «confidentielles» ou «secrètes» devraient se retrouver dans les clouds publics.
A ce propos, la Süddeutsche Zeitung cite les propos de Jens Klessmann, responsable des services publics numériques à l'Institut Fraunhofer pour les systèmes de communication ouverts:
La NZZ écrit que sur la base des premières expériences, les informations hautement classifiées ainsi que les «données personnelles particulièrement sensibles» devraient être conservées dans des clouds public à l'avenir. Avant cela, toutefois, le préposé fédéral à la protection des données et d'autres autorités devraient donner leur feu vert.
En ce qui concerne les applications et les données «à haute exigence de protection», la Confédération continue d'exploiter ses propres centres de données en Suisse. Serge Kuhn, porte-parole de la Chancellerie fédérale, confirme:
C'est encore totalement ouvert.
Hannes Gassert entrepreneur suisse en informatique, qui milite pour une numérisation raisonnée avec l'association CH++, a remis les choses en perspective jeudi sur Twitter. Il soupçonne les spécialistes des marchés publics du gouvernement d'avoir accepté l'offre bon marché des Chinois afin de «faire baisser un peu les prix des autres».
Et il s'agissait probablement aussi de ne pas créer une dépendance à 100% vis-à-vis des États-Unis ou des entreprises américaines. Il est important de disposer d'options stratégiques. Rien n'a encore été acheté ni même externalisé. L'appel d'offres public (conformément aux normes de l'Organisation mondiale du commerce OMC) ne créerait que la base d'un achat « pay as you go » ultérieur – en d'autres termes, ne payer que les services en ligne réellement nécessaires.
L'expert en informatique met les choses en perspective:
La Chancellerie fédérale se contente de confirmer: grâce à cet achat, il sera possible à l'avenir pour les offices fédéraux d'obtenir des «services à partir de clouds publics». La manière dont cela se produit dépend du projet concerné. Cela signifie qu'avec l'achat, il n'a pas encore été décidé si et comment l'administration fédérale utilisera les services de cloud public.
Le gouvernement fédéral avait formulé les critères d'attribution de telle sorte que les fournisseurs suisses de services de cloud n'avaient de facto aucune chance, note la Neue Zürcher Zeitung:
Non.
L'expert en informatique Hannes Gassert est formel:
Si la Suisse dépense de telles sommes à l'avenir, elle doit le faire de manière numériquement et écologiquement durable et souveraine. Selon lui, cela inclut non seulement la protection du climat, mais aussi une transparence totale.
Mi-2020, le Conseil fédéral a commandé une étude de faisabilité sur le développement de sa propre infrastructure (nationale) de cloud et de données. Cette infrastructure, qui reste à définir, sera résumée sous le terme de «Swiss Cloud», selon la stratégie cloud de la Confédération.
L'objectif déclaré d'un cloud suisse est «d'améliorer la souveraineté des données et de réduire la dépendance à l'égard des fournisseurs internationaux de clouds publics». La conception du nuage suisse est encore ouverte.
Ce sont des aspects que l'on ne peut vraiment pas remettre à plus tard.
Adapté de l'allemand par jah, le texte original ici.