La Suisse demande de rester à l'écart de Microsoft 365 et Google Cloud : « Le cryptage est faible, les lois sont étrangères »
Une nouvelle discussion sur la souveraineté numérique s'est déclenchée en Suisse : les régulateurs locaux de protection des données ont officiellement averti les institutions gouvernementales des risques liés à l'utilisation des services cloud Microsoft 365, Amazon Web Services et Google Cloud. La raison est simple : l'absence de véritable chiffrement de bout en bout et la dépendance des sociétés américaines à l'US Cloud Act, qui permet aux autorités américaines de demander l'accès aux données, même si elles sont physiquement stockées en Suisse.
Ce qui est connu
La Conférence suisse des commissaires à la protection des données Privatim a déclaré que l'utilisation des services SaaS de grands fournisseurs américains entraîne une perte de contrôle sur l'information : les structures gouvernementales ne peuvent tout simplement pas garantir la sécurité et la confidentialité des données des citoyens, car elles n'ont pas d'influence sur la chaîne de traitement et ne voient pas les mécanismes de protection réels.
Il est noté séparément que de nombreux fournisseurs n'assurent pas une transparence suffisante : les chaînes de sous-traitants sont longues, la vérification des niveaux de protection est difficile, et le chiffrement intégré n'est pas considéré comme un vrai chiffrement de bout en bout, car les fournisseurs peuvent avoir accès aux clés.
Privatim conclut clairement : les institutions gouvernementales ne doivent pas transférer de données confidentielles vers des services SaaS internationaux, sauf si le chiffrement se fait entièrement côté client et que le fournisseur n'a pas accès aux clés.
Contexte
Tout cela s'inscrit dans une longue histoire de quête suisse pour une stricte confidentialité numérique. En 2023, une version révisée de la Loi sur la protection des données est entrée en vigueur dans le pays, renforçant les règles de transfert d'informations transfrontalières.
Face aux restrictions, l'attention est de nouveau attirée sur les alternatives locales. En particulier, la société suisse Proton, connue pour son chiffrement côté client et une architecture empêchant l'accès aux données même à la demande des autorités. Proton utilise une infrastructure en Suisse et dans l'UE et publie un code source ouvert là où cela est possible sans compromettre la sécurité.
Cependant, les trois géants américains détiennent environ les deux tiers du marché mondial des clouds, et la recherche d'alternatives pleinement conformes aux exigences suisses reste un défi - mais aussi une grande opportunité pour les acteurs européens si la tendance vers la souveraineté numérique se renforce.
Source : TechRadar