DE | FR
Bild

Comment la Confédération s'est fiée à la Chine et a négligé nos données

La Suisse prévoit de dépenser 110 millions en services de cloud public et a choisi un groupe chinois, Alibaba, pour le stocker ses données. Décryptage en 9 points.

Diese Story ist auch auf Deutsch verfügbar. Zur Story


«La Confédération confie les données gouvernementales au groupe chinois Alibaba». Avec ce titre, le Tages-Anzeiger a déclenché de vives réactions cette semaine.

Malheureusement, les infos publiés jusqu'à présent ont davantage semé la confusion qu'elles n'ont expliqué la complexité de la situation.

Dans ce qui suit, nous allons examiner les questions les plus importantes du point de vue du citoyen et des réponses (jusqu'à présent) disponibles du gouvernement. Une chose est sûre: le «Public cloud» est désormais incontournable pour les secteurs privé et public.

Qu'entend-on par «Public Cloud»?

Cloud = stockage et accès aux données par l'intermédiaire du Web, dans un «nuage» virtuel. Cela signifie que les données ne sont pas stockées et mises à disposition localement sur des ordinateurs ou des disques durs, mais transférées vers des serveurs via l'Internet. Et c'est également là que le traitement des données a lieu.

Le nuage public désigne les serveurs de sociétés privées telles qu'Amazon, Microsoft ou Alibaba. Il s'agit également des trois plus grands fournisseurs de clouds publics au monde, qui exploitent des centres de données dans le monde entier.

Bild

Les points verts indiquent où Alibaba exploite ses centres de données cloud en Amérique du Nord, en Europe, en Asie et en Australie. L'orange désigne les centres en Chine. source: alibabacloud

À l'avenir, l'administration fédérale souhaite s'appuyer sur les fournisseurs de clouds publics pour externaliser les données et réaliser ainsi des économies. En effet, si vous ne devez pas exploiter vos propres centres de données pour cela, mais que vous pouvez louer des serveurs (et de l'espace de stockage en ligne) en fonction des besoins, cela réduit les coûts.

Pour poser les bases, le Conseil fédéral a adopté la stratégie cloud de la Confédération lors de sa séance du 11 décembre 2020. Le rapport de 17 pages à ce sujet peut être consulté librement sous forme de document PDF (voir sources).

Que pense le surveillant des données de ce «cloud»?

L'entrée de l'administration fédérale dans le cloud doit se faire dans le respect de la protection des données, souligne le haut responsable de la protection des données en Suisse, Adrian Lobsiger, dans une récente déclaration à watson. Il a déclaré que le Bureau du Commissaire fédéral à la protection des données et à la transparence (PFPDT) avait commenté le document stratégique sur le cloud publié par le gouvernement fédéral et avait pu «introduire avec succès les préoccupations les plus importantes du point de vue de la protection des données».

Le rapport d'activité du PFPDT, publié le 29 juin dernier, fait état des projets de la Confédération en matière de cloud public:

«Il est évident que les considérations relatives à la protection des données doivent être incluses à un stade très précoce des projets impliquant le traitement de données personnelles.»

Cela soulève naturellement la question de savoir pourquoi la protection des données n'a pas été davantage prise en considération lors de l'attribution des contrats à quatre groupes américains et à un groupe chinois...

Que reproche le surveillant des données à ce «cloud»?

Apparemment, l'administration fédérale n'était pas prête à prendre en compte toutes les recommandations de l'autorité supérieure de protection des données de Suisse lorsqu'elle a mis au concours le contrat de 110 millions de francs pour le cloud public.

A ce sujet, Adrian Lobsiger écrit:

«En raison de l'ampleur de ce projet, le PFPDT a recommandé à l'administration fédérale d'exiger déjà des certifications spécifiques en matière de protection des données de la part des prestataires dans un chapitre séparé 'Privacy' des offres. L'administration n'a adopté que partiellement les ajouts spécifiques que nous avions recommandés.»

Dans un article publié jeudi, le Tages-Anzeiger écrit que le commissaire à la protection des données ne veut pas préciser quels ajouts sont tombés à l'eau.

«En d'autres termes, les risques de la stratégie cloud de la Confédération seront examinés plus tard - il en va de même pour les mesures de protection à prendre.»

source : tages-anzeiger.ch

L'administration fédérale a justifié cela par le fait que «la garantie de la protection des données est une responsabilité partagée entre l'utilisateur et le fournisseur du cloud». informe le délégué à la protection des données.

Pour l'instant, il n'a pas d'autre choix que d'attendre et de voir. Bien entendu, «les préoccupations en matière de protection des données continueront à être représentées de manière cohérente dans le cadre de la définition nationale des critères de protection des données annoncée par l'administration», assure-t-il.

Stocker des données dans des centres chinois, c'est permis?

C'est discutable.

Le préposé fédéral à la protection des données et à la transparence classe la République populaire de Chine comme «insuffisante» en termes de normes de protection des données.

Bild

source: administration fédérale

Selon la liste des pays publiée par le PFPDT, la République populaire de Chine a donc des normes de protection des données insuffisantes. Pourquoi cela n'a-t-il pas été pris en compte lors de l'attribution du contrat? La Chancellerie fédérale déclare à cet égard:

«La procédure se poursuit jusqu'à l'expiration du délai de recours, c'est pourquoi nous ne pouvons expliquer que la situation initiale.»

Serge Kuhn, porte-parole

L'administration fédérale est (légalement) tenue de protéger les données et de respecter les obligations de secret. Le pouvoir de décision quant à savoir quelles applications et quelles données sont stockées dans quels centres de données appartient aux départements et à la Chancellerie fédérale.

Le gouvernement stocke-t-il des données «sensibles» en Chine?

Non. Il ne faut pas le supposer. La Chancellerie fédérale affirme:

«Lors de la conservation d'applications et de données sur un cloud public, il est obligatoire d'assurer l'examen de la conformité juridique ainsi qu'une évaluation des risques au préalable, également liée au fournisseur de cloud public.»

Serge Kuhn, porte-parole de la Chancellerie

Et la stratégie du gouvernement fédéral en matière de cloud computing stipule que «dans un premier temps», seules les données qui ne sont pas classées comme «confidentielles» ou «secrètes» devraient se retrouver dans les clouds publics.

A ce propos, la Süddeutsche Zeitung cite les propos de Jens Klessmann, responsable des services publics numériques à l'Institut Fraunhofer pour les systèmes de communication ouverts:

«Vous pouvez, par exemple, transmettre à Alibaba des données qui sont de toute façon publiques. Et les informations plus sensibles peuvent, après tout, être cryptées à l'avance.»

La NZZ écrit que sur la base des premières expériences, les informations hautement classifiées ainsi que les «données personnelles particulièrement sensibles» devraient être conservées dans des clouds public à l'avenir. Avant cela, toutefois, le préposé fédéral à la protection des données et d'autres autorités devraient donner leur feu vert.

En ce qui concerne les applications et les données «à haute exigence de protection», la Confédération continue d'exploiter ses propres centres de données en Suisse. Serge Kuhn, porte-parole de la Chancellerie fédérale, confirme:

«Il continuera à y avoir des applications et des données avec une exigence de protection élevée qui doivent être exploitées, ou traitées, sur des infrastructures/plateformes exploitées par le gouvernement fédéral dans les centres de données de l'administration fédérale.»

Quelles données Berne veut stocker chez Alibaba?

C'est encore totalement ouvert.

Hannes Gassert entrepreneur suisse en informatique, qui milite pour une numérisation raisonnée avec l'association CH++, a remis les choses en perspective jeudi sur Twitter. Il soupçonne les spécialistes des marchés publics du gouvernement d'avoir accepté l'offre bon marché des Chinois afin de «faire baisser un peu les prix des autres».

Et il s'agissait probablement aussi de ne pas créer une dépendance à 100% vis-à-vis des États-Unis ou des entreprises américaines. Il est important de disposer d'options stratégiques. Rien n'a encore été acheté ni même externalisé. L'appel d'offres public (conformément aux normes de l'Organisation mondiale du commerce OMC) ne créerait que la base d'un achat « pay as you go » ultérieur – en d'autres termes, ne payer que les services en ligne réellement nécessaires.

L'expert en informatique met les choses en perspective:

«Ce ne serait pas le premier appel d'offres de ce type qui ne débouche sur pratiquement aucune affaire concrète.»

La Chancellerie fédérale se contente de confirmer: grâce à cet achat, il sera possible à l'avenir pour les offices fédéraux d'obtenir des «services à partir de clouds publics». La manière dont cela se produit dépend du projet concerné. Cela signifie qu'avec l'achat, il n'a pas encore été décidé si et comment l'administration fédérale utilisera les services de cloud public.

«Si des services sont achetés, cela se fera après la sélection de l'adjudicataire approprié, sur la base également, dans chaque cas, d'une évaluation spécifique des risques.»

Serge Kuhn, porte-parole de la Chancellerie

Pourquoi aucun fournisseur suisse n'a eu sa chance?

Le gouvernement fédéral avait formulé les critères d'attribution de telle sorte que les fournisseurs suisses de services de cloud n'avaient de facto aucune chance, note la Neue Zürcher Zeitung:

L'appel d'offres exigeait que les fournisseurs disposent de centres de données sur au moins trois continents et mettent leurs services à la disposition d'une clientèle internationale

A part la protection des données, tout s'est bien passé avec l'appel d'offres?

Non.

L'expert en informatique Hannes Gassert est formel:

«Au final, le plus étonnant est qu'aucune exigence n'a été fixée en matière d'efficacité énergétique ou d'émissions de CO2. Aucune! Pourtant, tant de choses auraient été possibles en termes de consommation électrique des ordinateurs et de refroidissement des systèmes.»

Si la Suisse dépense de telles sommes à l'avenir, elle doit le faire de manière numériquement et écologiquement durable et souveraine. Selon lui, cela inclut non seulement la protection du climat, mais aussi une transparence totale.

Qu'est-ce que cela a à voir avec le «Swiss cloud»?

Mi-2020, le Conseil fédéral a commandé une étude de faisabilité sur le développement de sa propre infrastructure (nationale) de cloud et de données. Cette infrastructure, qui reste à définir, sera résumée sous le terme de «Swiss Cloud», selon la stratégie cloud de la Confédération.

L'objectif déclaré d'un cloud suisse est «d'améliorer la souveraineté des données et de réduire la dépendance à l'égard des fournisseurs internationaux de clouds publics». La conception du nuage suisse est encore ouverte.

Qu'est-ce que tout cela nous apprend?

Ce sont des aspects que l'on ne peut vraiment pas remettre à plus tard.

Sources

Adapté de l'allemand par jah, le texte original ici.

Après ce long papier, si on se détendait avec... Ueli Maurer (oui, oui)

1 / 13
Ueli Maurer est un mème
source: watson
Share on FacebookShare on TwitterShare via WhatsApp

Plus d'articles «Actu»

Aux Pays-Bas, le journaliste blessé par balles est décédé

Link zum Artikel

En Norvège, ne pas signaler ses retouches sur Insta peut coûter cher

Link zum Artikel

Droits LGBT: l'UE menace la Pologne et la Hongrie

Link zum Artikel

La pluie, c'est nul mais ça inspire de belles chansons! En voici 9

Link zum Artikel

La fusée chinoise hors de contrôle finit sa course dans l'océan indien

L'étage central de la fusée Longue-Marche 5B s'est finalement désintégrée au-dessus de l'océan Indien. La plupart du segment a cependant brûlé en rentrant dans l'atmosphère terrestre.

Ces derniers jours, le retour sur Terre du corps du lanceur de la fusée chinoise Longue-Marche 5B a suscité des inquiétudes. Et pour cause: personne ne savait où cet objet de 18 tonnes allait tomber. Finalement, tout s'est bien passé, à en croire l'agence spatiale chinoise:

Le bureau chinois d'ingénierie spatiale habitée a fourni les coordonnées d'un point se situant dans l'océan Indien près des Maldives.

Il a précisé que la majeure partie du segment de la fusée chinoise s'est désintégrée et …

Lire l’article
Link zum Artikel