La Suisse abandonne-t-elle sa souveraineté numérique ?

Voici l’exercice auquel se livre actuellement la Confédération : d’une main, elle prolonge jusqu’en 2031 ses contrats avec les géants américains du cloud (AWS, Microsoft, IBM, Oracle) et chinois (Alibaba) pour un montant de 110 millions de francs. De l’autre, elle investit 319 millions de francs dans la construction d’un Swiss Government Cloud (SGC) censé incarner la souveraineté numérique helvétique.

Cette stratégie hybride soulève une question centrale : peut-on véritablement construire une souveraineté numérique tout en confiant pendant six années supplémentaires les données publiques à des entreprises soumises à des législations étrangères ? La réponse du Conseil fédéral du 19 novembre 2025 à une interpellation d’un conseiller national mérite une analyse approfondie, d’autant que la Conférence des préposés à la protection des données (Privatim) vient de qualifier d’inconstitutionnelle la pratique actuelle consistant à confier des données sensibles à ces prestataires étrangers.

Tentons de démêler cet écheveau en comparant l’approche suisse aux pratiques internationales, en examinant le cadre juridique applicable, et en évaluant la cohérence technique et stratégique de cette transition prolongée.

Les faits : du contrat initial à la prolongation controversée

En juin 2021, l’Office fédéral de l’informatique et de la télécommunication (OFIT) a attribué le marché public WTO-20007 « Public Clouds Bund » à cinq fournisseurs pour un montant plafond de 110 millions CHF sur dix ans (2021-2031). Il s’agit de Microsoft Switzerland, Oracle Switzerland, IBM Switzerland, Amazon Web Services et Alibaba Cloud.

Cette attribution a suscité une première controverse : le cahier des charges excluait de facto les entreprises suisses. Les exigences techniques — notamment en matière de capacité de scaling massif et d’offre de services d’intelligence artificielle avancés — ne pouvaient être satisfaites que par les hyperscalers mondiaux. MeteoSwiss est devenu en avril 2023 le premier office fédéral à migrer vers AWS.

Le 12 septembre 2025, la Chancellerie fédérale a annoncé une prolongation unique de cinq ans des contrats-cadres existants, justifiée par la nécessité de « remédier à une lacune » jusqu’à l’opérationnalité complète du Swiss Government Cloud. À cette date, environ 61 millions CHF sur le plafond de 110 millions avaient été dépensés.

Cette prolongation fait actuellement l’objet d’un recours d’Infomaniak, fournisseur cloud suisse, devant le Tribunal administratif fédéral. L’entreprise conteste notamment l’existence d’une réelle lacune et la durée inhabituelle de cinq ans pour une extension de contrat.

Le SGC représente un investissement de 319,4 millions CHF sur la période 2025-2032, dont 246,9 millions de crédit d’engagement approuvé par le Parlement en décembre 2024 (Message du Conseil fédéral FF 2025 1334). L’architecture prévoit trois niveaux de souveraineté :

1. Niveau I : cloud public standard (données non sensibles)
2. Niveau II : cloud public Suisse (données stockées exclusivement en Suisse)
3. Niveau III : cloud privé Bund (centres de données fédéraux pour données hautement sensibles)

Cette gradation correspond à ce que l’on observe dans d’autres juridictions, notamment au Canada avec la classification Protected B ou en France avec les niveaux de certification SecNumCloud.

Le cadre juridique applicable : des tensions structurelles non résolues

Le CLOUD Act américain : une épée de Damoclès sur les données suisses

Le Clarifying Lawful Overseas Use of Data Act adopté par le Congrès américain en mars 2018 constitue la pierre d’achoppement centrale de tout débat sur la souveraineté numérique. Cette loi fédérale américaine autorise les autorités judiciaires américaines à exiger la divulgation de données détenues par des entreprises américaines, indépendamment de la localisation géographique de ces données.

En d’autres termes, même si vos données sont stockées physiquement dans un centre de données à Zurich, si le fournisseur est Microsoft, AWS ou Google, ces données peuvent faire l’objet d’une réquisition judiciaire américaine. L’entreprise se retrouve alors dans une situation de conflit de lois : soit elle viole le droit suisse (p. ex. art. 271 CP en l’absence d’entraide judiciaire internationale), soit elle enfreint le droit américain.

La position de Privatim (Conférence des préposés cantonaux et du Préposé fédéral à la protection des données) est sans ambiguïté. Dans une résolution de novembre 2025, l’organisation a conclu que les autorités publiques suisses « agissent de manière inconstitutionnelle lorsqu’elles confient des données citoyennes sensibles à des fournisseurs soumis au CLOUD Act américain ».

Cependant, le Conseil fédéral maintient sa position selon laquelle des garanties contractuelles suffisent à protéger les données. Cette approche est contestable juridiquement : comment une clause contractuelle peut-elle prévaloir sur une loi fédérale américaine contraignante pour l’entreprise américaine ?

La Loi fédérale sur les marchés publics : entre ouverture et souveraineté

La Loi fédérale sur les marchés publics (LMP ; RS 172.056.1), entrée en vigueur le 1er janvier 2021, transpose l’Accord révisé sur les marchés publics (AMP) de l’OMC.

Un principe cardinal est énoncé à l’art. 9 LMP :

Art. 9 Égalité de traitement et non-discrimination
1 L’adjudicateur traite les soumissionnaires de manière égale.
2 Il ne peut accorder d’avantages ou imposer de charges aux soumissionnaires en raison de leur appartenance à un État.

Dès lors, privilégier explicitement les fournisseurs suisses dans un appel d’offres soumis à l’AMP constituerait une violation de cette obligation. C’est l’argument central du Conseil fédéral dans sa réponse aux points 3 et 4 de l’interpellation.

Toutefois, l’AMP prévoit une exception de sécurité significative. L’article III de l’accord dispose que ses dispositions ne s’appliquent pas aux marchés « indispensables à la sécurité nationale ou à la défense nationale ».

La question devient alors : le stockage et le traitement des données gouvernementales sensibles ne relèvent-ils pas de la sécurité nationale ? La France a précisément utilisé cette logique pour justifier sa doctrine du « Cloud de Confiance » imposant des restrictions capitalistiques strictes aux fournisseurs cloud.

La Constitution fédérale : un fondement ignoré ?

L’argument de Privatim selon lequel l’usage de clouds américains pour des données sensibles serait inconstitutionnel mérite d’être étayé. Plusieurs dispositions constitutionnelles sont potentiellement en jeu :

• Art. 13 Cst. (RS 101) : protection de la sphère privée
• Art. 35 Cst. : réalisation des droits fondamentaux par les autorités
• Art. 57 al. 1 Cst. : obligation de sécurité de la Confédération

L’art. 35 al. 2 Cst. dispose notamment :

Art. 35 Réalisation des droits fondamentaux
2 Quiconque assume une tâche de l’État est tenu de respecter les droits fondamentaux et de contribuer à leur réalisation.

Si l’on admet que confier des données citoyennes à un prestataire soumis au CLOUD Act expose ces données à un risque d’accès par des autorités étrangères sans contrôle judiciaire suisse, on pourrait soutenir qu’il y a violation du devoir de l’État (art. 35 al. 2 cum art. 13 Cst.).

Cependant, cette analyse n’a pas encore fait l’objet d’un arrêt du Tribunal fédéral. En l’état, il s’agit d’une position défendue par les préposés cantonaux à la protection des données, mais non encore consacrée par la jurisprudence.

Comparaison internationale : un spectre large de stratégies nationales

Pour évaluer la position suisse, il est indispensable de la situer dans le contexte international. Les approches varient considérablement selon les États, révélant des arbitrages différents entre pragmatisme économique et exigences de souveraineté.

La France : le standard maximaliste de souveraineté

La France a développé l’approche la plus restrictive parmi les démocraties occidentales avec sa doctrine du « Cloud de Confiance », établie par la circulaire du 5 juillet 2021.

Le référentiel SecNumCloud 3.2 de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) impose non seulement la localisation des données en France ou dans l’UE, mais également des restrictions capitalistiques strictes :

• Les actionnaires non européens individuels ne peuvent détenir plus de 25 % d’une entreprise
• Collectivement, ils ne peuvent détenir plus de 39 % des droits de vote
• Le personnel ayant accès aux données doit être de nationalité européenne ou disposer d’une habilitation de sécurité

Actuellement, seule une poignée d’acteurs disposent de cette certification.

Face à l’impossibilité d’accéder directement aux services Azure ou Google Cloud avec cette exigence, la France a développé une solution ingénieuse : des joint-ventures entre entreprises françaises immunisées au CLOUD Act et hyperscalers américains. Ainsi :

• Bleu : partenariat Capgemini/Orange avec Microsoft
• S3NS : filiale Thales avec Google Cloud

Ces structures permettent d’utiliser la technologie Microsoft ou Google tout en garantissant que les opérations sont effectuées par du personnel français, dans des entités françaises, immunisées contre les réquisitions américaines. Les deux projets visent la certification SecNumCloud.

L’Allemagne : pragmatisme souverain et normalisation

L’Allemagne a lancé en mars 2025 la Deutsche Verwaltungscloud (DVC), une infrastructure multicloud fédérale opérée par Dataport (consortium public) couvrant l’ensemble de l’administration publique.

Parallèlement, le projet DELOS (consortium SAP/Microsoft/Arvato) vise à offrir des services Azure et Microsoft 365 opérés par du personnel allemand habilité, avec une gouvernance sous contrôle du BSI (Bundesamt für Sicherheit in der Informationstechnik).

La norme BSI C5 (Cloud Computing Compliance Criteria Catalog) structure l’ensemble du marché allemand avec 121 exigences de base réparties en 17 domaines.

L’approche allemande est donc moins restrictive que la française — elle n’impose pas d’immunité capitalistique au CLOUD Act — mais plus structurée que la suisse grâce à un référentiel de certification national reconnu.

Le Royaume-Uni : l’échec du cloud souverain national

L’expérience britannique constitue un avertissement. UKCloud, le fournisseur cloud souverain britannique le mieux positionné, a fait faillite en 2022, créant un déficit de 17,5 millions GBP pour le gouvernement et laissant le secteur public britannique dépendant à plus de 70 % des hyperscalers américains.

Le cas le plus embarrassant s’est produit en juin 2024 lorsque Microsoft a admis, sous serment devant les autorités écossaises, qu’il ne pouvait garantir la souveraineté des données hébergées sur son cloud public, même dans les centres de données britanniques situés physiquement au Royaume-Uni.

Cette expérience illustre deux écueils : d’une part, la difficulté pour un acteur purement national de rivaliser techniquement et économiquement avec les hyperscalers ; d’autre part, l’illusion de la souveraineté par la simple localisation géographique des données chez un fournisseur étranger.

Les pays nordiques : l’accélération vers les logiciels open source

Le Danemark représente le mouvement le plus radical d’émancipation des solutions propriétaires. Depuis juin 2025, le Ministère des Affaires numériques migre progressivement de Microsoft 365 vers LibreOffice. La ministre Caroline Stage Olsen a déclaré : « Nous ne devons jamais nous rendre si dépendants d’un si petit nombre que nous ne puissions plus agir librement. »

Les villes de Copenhague et Aarhus suivent le même chemin. Cette approche nordique — privilégiant les solutions open source pour réduire la dépendance aux éditeurs propriétaires — rejoint les préoccupations allemandes et françaises sur le vendor lock-in.

Les modèles non européens : des priorités différentes

Les États-Unis se concentrent sur les contrôles de sécurité plutôt que sur la localisation ou la nationalité des fournisseurs. Le programme FedRAMP (Federal Risk and Authorization Management Program) certifie 479 offres cloud selon trois niveaux de sécurité (Low, Moderate, High) sans exiger la nationalité américaine des fournisseurs.

Singapour a réussi sa migration cloud : 80 % des systèmes gouvernementaux ont été migrés vers le cloud commercial (AWS, Azure, Google Cloud) entre 2018 et 2023, avec une architecture zero-trust et un chiffrement renforcé plutôt qu’une exigence de souveraineté stricte.

Analyse technique : l’architecture du SGC est-elle cohérente ?

Le modèle à trois niveaux : une gradation pertinente

L’architecture du SGC à trois niveaux correspondrait aux meilleures pratiques internationales en matière de classification des données. Cette gradation permet d’appliquer le principe de proportionnalité : toutes les données publiques n’ont pas le même degré de sensibilité, et il serait contreproductif de les traiter toutes avec les contraintes maximales. (Cela signifie en revanche qu’il revient aux utilisateurs de connaître les niveaux de sensibilité des informations qu’ils traitent et de stocker ces informations dans les bons environnements informatiques.)

Comparons avec d’autres juridictions :

Cette rapide comparaison révèle que la Suisse s’aligne sur les pratiques canadienne et allemande, mais reste moins restrictive que la France pour le niveau intermédiaire (niveau 2).

Le multicloud : une réponse au vendor lock-in ?

La stratégie multicloud avec cinq fournisseurs présente l’avantage théorique de réduire la dépendance à un fournisseur unique (vendor lock-in). En effet, si un prestataire augmente drastiquement ses prix ou modifie ses conditions contractuelles, l’administration dispose d’alternatives.

Cependant, cette diversification ne résout pas le problème du lock-in technologique. Une fois qu’une application utilise des services spécifiques à un fournisseur — par exemple AWS Lambda, Azure Functions, ou Oracle Autonomous Database — la migration vers un autre fournisseur nécessite une réingénierie substantielle et une enveloppe budgétaire non négligeable.

L’étude de la Haute école spécialisée bernoise (BFH) commandée par la Chancellerie fédérale a précisément documenté ce risque. Les chercheurs identifient plusieurs stratégies de mitigation :

1. Utiliser des standards ouverts et des APIs indépendantes des fournisseurs
2. Conteneuriser les applications avec Kubernetes pour la portabilité
3. Adopter une architecture cloud-agnostic dès la conception
4. Développer des compétences internes pour gérer plusieurs plateformes

Le Proof of Concept BOSS (Büroautomation Open Source Software), dont les résultats sont attendus mi-2026, teste justement la faisabilité d’alternatives open source à Microsoft 365. L’étude de la Chancellerie a déjà identifié des alternatives viables pour plus de 50 services du portefeuille Microsoft.

Sécurité et architecture zero-trust : un alignement sur les standards

Le Conseil fédéral voudrait que le SGC soit conforme au modèle zero-trust, au vu des offres d’emploi. Il s’agit d’une évolution bienvenue alignant la Suisse sur les standards internationaux.

Le concept de zero-trust (confiance zéro), formalisé par le NIST dans la publication SP 800-207, repose sur le principe « never trust, always verify » : aucune entité, qu’elle soit à l’intérieur ou à l’extérieur du réseau, n’est présumée digne de confiance par défaut.

Cette architecture est particulièrement pertinente dans un environnement multicloud où les périmètres de sécurité traditionnels (firewalls à la frontière du réseau) sont insuffisants. Chaque requête d’accès aux données doit être authentifiée, autorisée et chiffrée, indépendamment de l’origine de la requête.

Analyse économique : la prolongation des contrats est-elle justifiée ?

Le coût de la souveraineté : un surcoût réel, mais acceptable

Le marché du cloud souverain connaît une croissance rapide. Selon Gartner en 2024, il devrait passer de 37 milliards USD en 2023 à 169 milliards USD en 2028, soit un taux de croissance annuel composé de 36 %.

Cependant, les prix des solutions souveraines demeurent supérieurs aux offres standard des hyperscalers. Le cabinet BCG note dans une étude de 2025 que les hyperscalers offrent des rabais substantiels aux « locomotives » (anchor tenants), réduisant l’écart de prix réel entre cloud souverain et cloud commercial.

Comparons les ordres de grandeur pour la Suisse :

• Contrats « Public Clouds Bund » : 110 millions CHF sur 10 ans (2021-2031) = 11 millions CHF/an
• Swiss Government Cloud : 319 millions CHF sur 7 ans (2025-2032) = 45 millions CHF/an

L’investissement dans le SGC est donc environ quatre fois supérieur aux dépenses actuelles pour les services hyperscalers. Cet écart reflète plusieurs facteurs :

1. Le coût de construction et d’exploitation d’une infrastructure souveraine
2. L’investissement dans les centres de données fédéraux (niveau 3)
3. Les coûts de transition et de migration depuis les plateformes existantes
4. Le développement de compétences internes

En revanche, cet investissement permet de réduire à long terme les coûts de licences et de services externes, tout en construisant une capacité souveraine pérenne. L’analyse coûts-bénéfices sur 15-20 ans pourrait donc être favorable au SGC.

L’impact sur l’écosystème suisse : une opportunité manquée ?

L’exclusion de fournisseurs suisses comme Infomaniak du marché initial « Public Clouds Bund » a suscité des critiques légitimes. Infomaniak exploite des centres de données en Suisse, est soumis au droit suisse, et offre des services cloud conformes aux exigences du droit suisse (LPD notamment).

Le recours d’Infomaniak soulève deux questions particulières :

1. Existe-t-il réellement une lacune justifiant la prolongation des contrats des cinq fournisseurs ? Les services du SGC ne pourraient-ils pas être fournis plus rapidement ?
2. Pourquoi une prolongation de cinq ans ? Une extension plus courte (2-3 ans) ne suffirait-elle pas pour une transition ordonnée ?

Les alternatives suisses et européennes existent :

• Infomaniak (Suisse) : 100 serveurs, 3 centres de données suisses
• Exoscale (filiale A1 Telekom Austria) : centres de données à Zurich et Genève
• OVHcloud (France) : certification SecNumCloud, centres en Europe
• Sovereign Cloud Stack (Allemagne) : pile open source basée sur OpenStack

Ces alternatives présentent certes des limitations par rapport aux hyperscalers — notamment en matière de scaling massif et de services avancés d’IA/ML — mais pourraient satisfaire une partie significative des besoins de l’administration fédérale pour des applications moins complexes.

Le Tribunal fédéral comme modèle : Zimbra à 25 CHF par an et par utilisateur

Un exemple concret illustre la viabilité des alternatives open source. Le Tribunal fédéral utilise Zimbra comme plateforme de messagerie et collaboration pour environ 600 utilisateurs, à un coût d’environ 25 CHF par utilisateur et par an.

En comparaison, les licences Microsoft 365 Government coûtent entre 60 et 150 CHF par utilisateur et par an selon les fonctionnalités. L’économie potentielle est donc substantielle, même en tenant compte des coûts d’administration et de support interne.

Cet exemple indique qu’il n’est pas nécessaire d’attendre 2031 pour commencer à réduire la dépendance aux hyperscalers. Des migrations progressives vers des solutions open source pourraient s’effectuer parallèlement à la construction du SGC.

Dimension stratégique : les angles morts de la planification

L’IA souveraine : l’enjeu oublié du SGC

Le Conseil fédéral mentionne brièvement que « les évolutions potentiellement disruptives sont prises en compte dans la planification » concernant l’intelligence artificielle. Cette formulation reste vague et ne permet pas d’évaluer si la Suisse a véritablement intégré les enjeux de l’IA souveraine dans sa stratégie cloud.

L’IA souveraine reposerait ainsi sur quatre piliers :

1. Données d’entraînement locales : corpus de données respectant la langue, la culture et les valeurs nationales
2. Modèles gouvernés en interne : capacité de développer ou d’adapter des modèles d’IA sans dépendance externe
3. Infrastructure de calcul domestique : centres de données équipés de GPU suffisants pour l’entraînement de modèles
4. Inférence traçable : capacité de tracer et contrôler les décisions prises par les systèmes d’IA

La Corée du Sud investit 530 milliards de won (290 millions CHF) dans une stratégie d’IA souveraine incluant des modèles linguistiques entraînés sur le coréen. Le Japon développe (péniblement) des infrastructures d’IA souveraine pour éviter la dépendance aux modèles américains ou chinois.

En comparaison, l’approche suisse paraît insuffisamment développée. L’accès aux services d’IA avancés des hyperscalers (Amazon Bedrock, Azure OpenAI Service, Google Vertex AI) via les contrats existants crée une dépendance structurelle pour ces capacités critiques. À terme, l’administration fédérale risque d’utiliser des modèles d’IA américains pour des décisions administratives sensibles, sans capacité de contrôle ou d’audit réel.

Les tensions géopolitiques : un facteur de risque croissant

L’interpellation mentionne les menaces du président Trump d’août 2025 contre l’UE suite aux sanctions du Digital Markets Act (DMA). Ces tensions ne sont pas anodines : elles illustrent que les relations transatlantiques en matière numérique peuvent se détériorer rapidement.

Le EU-US Data Privacy Framework, adopté en juillet 2023 pour permettre les transferts de données vers les États-Unis, repose sur l’Executive Order 14086 signé par le président Biden. Cet ordre exécutif peut être révoqué ou modifié par un président suivant d’un simple trait de plume.

Max Schrems, à travers son organisation noyb (None of Your Business), a déjà fait invalider deux fois la décision d’adéquation en faveur des USA, ce qui laisserait présager un possible « Schrems III » qui invaliderait à nouveau ce mécanisme de transfert. Les précédents « Schrems I » (Safe Harbor) et « Schrems II » (Privacy Shield) ont chacun invalidé les mécanismes de transfert transatlantique, créant à chaque fois une incertitude juridique majeure.

Dans ce contexte, prolonger jusqu’en 2031 la dépendance à des fournisseurs américains expose la Suisse à un risque juridique et politique significatif, même si les données sont stockées en Suisse, car cela ne signifie pas nécessairement qu’elles ne sont jamais traitées à l’étranger en cas de besoin.

Le calendrier de transition : une fenêtre de vulnérabilité prolongée

La période 2025-2031 durant laquelle les contrats hyperscalers coexistent avec le développement du SGC constitue une fenêtre de vulnérabilité de six ans où les données gouvernementales suisses restent potentiellement accessibles aux autorités américaines.

Comparons avec l’approche française :

• France : Bleu et S3NS visent la certification SecNumCloud très rapidement (2025 ou 2026), soit une transition d’environ 4 à 5 ans depuis la circulaire de 2021
• Suisse : transition de 10 ans (2021-2031) entre le lancement des « Public Clouds Bund » et la fin prévue des contrats

La France a donc choisi une transition deux fois plus rapide, reflétant une priorité plus élevée accordée à la souveraineté numérique.

Critique de l’approche suisse : forces, faiblesses et recommandations

Les points forts de l’approche du Conseil fédéral

Soyons honnêtes : la stratégie du Conseil fédéral présente plusieurs mérites.

Une architecture technique cohérente

Le modèle SGC à trois niveaux permet une gradation appropriée des exigences de souveraineté selon la sensibilité des données. Cette approche proportionnée est préférable à une solution binaire (tout souverain vs tout commercial) qui serait soit trop coûteuse, soit insuffisamment protectrice.

Une réduction du risque de dépendance unique

La stratégie multicloud avec cinq fournisseurs réduit théoriquement la dépendance à un acteur unique. En cas de défaillance d’un prestataire (scénario UKCloud britannique), l’administration fédérale dispose d’alternatives.

Une conscience du risque Microsoft

L’initiative Proof of Concept BOSS démontre que le Conseil fédéral a conscience du risque de dépendance excessive à Microsoft. L’étude de faisabilité sur les alternatives open source est une démarche louable, même si elle intervient tardivement.

Le respect de la LMP et des engagements internationaux

En respectant la Loi sur les marchés publics et l’Accord OMC, la Suisse préserve ses relations commerciales internationales et évite des tensions avec ses partenaires commerciaux. Cette prudence juridique est compréhensible pour un petit pays ouvert comme la Suisse.

Les faiblesses structurelles de la stratégie

Cependant, plusieurs vulnérabilités critiques méritent d’être soulignées.

L’insuffisance des garanties face au CLOUD Act

C’est la faiblesse centrale de toute la stratégie. Le Conseil fédéral affirme que « des garanties appropriées sont prévues » pour les transferts de données vers les fournisseurs américains. Mais de quelles garanties s’agit-il exactement ? Des clauses contractuelles stipulant que le fournisseur ne transmettra pas les données aux autorités américaines ?

Le problème est que ces garanties contractuelles sont juridiquement inopérantes face à une réquisition judiciaire américaine fondée sur le CLOUD Act. L’entreprise américaine se retrouve dans une situation de conflit de lois irrésoluble : soit elle respecte le droit américain (et viole le contrat), soit elle respecte le contrat (et encourt des sanctions aux États-Unis). Contractuellement, Microsoft prend l’engagement de combattre les décisions américaines visant à obtenir des informations de ses clients, mais cela reste inefficace si la justice américaine ne tranche pas en sa faveur.

Microsoft l’a admis sous serment en Écosse en juin 2024 : même avec des données stockées au Royaume-Uni, dans des centres de données britanniques, l’entreprise ne peut garantir qu’elle refusera une réquisition américaine.

La solution française avec Bleu et S3NS est juridiquement plus robuste : en créant des entités françaises distinctes, contrôlées par des actionnaires français, opérées par du personnel français, l’immunité au CLOUD Act est réelle. Microsoft France ne peut être contrainte de transmettre des données détenues par une filiale juridiquement indépendante.

Un calendrier de transition excessivement long

Pourquoi faut-il attendre 2031 pour que le Swiss Government Cloud soit pleinement opérationnel et que tous les services migrent depuis les hyperscalers ? Cette durée de six ans supplémentaires semble disproportionnée.

Pour mémoire, MeteoSwiss a migré vers AWS en quelques mois (2023). Singapour a migré 80 % de ses systèmes gouvernementaux vers le cloud en cinq ans (2018-2023). La France vise la certification de Bleu et S3NS d’ici 2026 au plus tard, soit cinq ans après la circulaire Castex.

L’argument de la lacune mériterait d’être documenté plus précisément : quels services spécifiques ne peuvent être fournis ni par le SGC en construction, ni par les fournisseurs suisses existants, ni par des solutions open source ? Cette justification reste floue dans le communiqué de la Chancellerie.

L’absence d’une certification souveraine suisse

Contrairement à la France (SecNumCloud), à l’Allemagne (BSI C5), ou même aux États-Unis (FedRAMP), la Suisse ne dispose pas d’un référentiel de certification pour qualifier les fournisseurs cloud selon des critères de souveraineté et de sécurité.

Cette absence crée plusieurs problèmes :

1. Manque de transparence : comment les offices fédéraux peuvent-ils évaluer objectivement si un fournisseur respecte les exigences ?
2. Absence de marché : les fournisseurs suisses ne peuvent pas obtenir une certification reconnue leur ouvrant l’accès aux marchés publics
3. Faiblesse dans les négociations européennes : la Suisse ne peut pas participer pleinement aux discussions sur la certification européenne EUCS (European Common Criteria Scheme)

Développer un référentiel suisse inspiré de SecNumCloud, ou adhérer au référentiel BSI C5 via un accord de reconnaissance mutuelle, renforcerait considérablement la position de la Suisse.

Les opportunités non exploitées

Au-delà des faiblesses, plusieurs opportunités stratégiques semblent insuffisamment explorées.

Le positionnement de la Suisse comme hub de souveraineté numérique

La Suisse dispose d’atouts uniques : neutralité politique, tradition de protection des données, stabilité juridique, infrastructure de qualité. Ces atouts pourraient être valorisés pour positionner la Suisse comme hub européen de souveraineté numérique.

Imaginons un référentiel SwissCloud exigeant par exemple :

• Localisation des données exclusivement en Suisse
• Entreprises suisses non soumises à des législations extraterritoriales
• Personnel disposant d’autorisations de sécurité suisses
• Audit annuel par une autorité indépendante (PFPDT par exemple)
• Conformité renforcée à la LPD

Ce référentiel pourrait attirer des clients internationaux cherchant une alternative aux clouds américains et chinois.

La participation aux initiatives européennes

La Suisse pourrait participer plus activement aux initiatives européennes de cloud souverain :

• Gaia-X : projet franco-allemand d’infrastructure de données souveraine et interopérable
• Sovereign Cloud Stack : pile open source développée en Allemagne
• EUCS : futur schéma européen de certification cloud dont l’objectif principal est de renforcer la confiance et la sécurité des données dans le cloud au sein de l’Union européenne

Cette participation permettrait de mutualiser les efforts, de peser sur les standards, et de faciliter l’interopérabilité avec les administrations européennes.

Le développement d’une stratégie d’IA souveraine

Comme évoqué précédemment, l’IA souveraine constitue un angle mort actuel. La Suisse pourrait développer :

1. Des corpus de données multilingues (français, allemand, italien, romanche) pour entraîner des modèles respectant la diversité linguistique suisse
2. Une infrastructure de calcul GPU dans les centres de données fédéraux pour l’entraînement de modèles
3. Des modèles d’IA spécialisés pour les besoins administratifs (traduction automatique, analyse de documents juridiques, aide à la décision)

L’EPFL et l’ETHZ disposent de compétences mondiales en IA. Mobiliser ces ressources pour construire une capacité d’IA souveraine serait cohérent avec l’investissement dans le SGC.

Recommandations pragmatiques et hiérarchisées

Sur la base de tout ce qui précède, on pourrait formuler les recommandations (concrètes et réalistes) suivantes.

Recommandations juridiques

1. Établir un référentiel de certification SwissCloud inspiré de SecNumCloud, exigeant l’immunité aux législations extraterritoriales pour les données sensibles (classification niveau 2 et 3 du SGC)
2. Clarifier l’application de l’exception de sécurité de l’AMP : publier une doctrine précisant dans quels cas la sécurité nationale justifie de privilégier des fournisseurs suisses ou immunisés au CLOUD Act

Recommandations techniques

1. Accélérer les résultats du PoC BOSS et planifier une migration pilote vers des solutions open source pour réduire la dépendance Microsoft d’ici 2027 (et non 2031)
2. Développer des exigences de chiffrement de bout en bout avec gestion des clés de chiffrement exclusivement par la Confédération, même pour les données hébergées chez les hyperscalers
3. Intégrer explicitement les capacités d’IA souveraine dans l’architecture du SGC : infrastructures GPU, corpus de données d’entraînement, framework de gouvernance des modèles
4. Adopter une architecture Kubernetes multicloud pour tous les nouveaux développements afin de faciliter la portabilité des applications

Recommandations économiques

1. Évaluation transparente des alternatives suisses pour les cas d’usage moins complexes : publier une analyse comparative coûts-bénéfices entre hyperscalers et fournisseurs suisses (Infomaniak, Exoscale) pour différents profils d’usage
2. Mécanisme de révision intermédiaire des contrats avant 2031 : prévoir des clauses permettant une migration anticipée si le SGC est opérationnel plus tôt que prévu
3. Soutien à l’écosystème suisse : créer un programme d’accompagnement pour aider les PME suisses du cloud à atteindre les standards techniques nécessaires pour répondre aux marchés publics

Recommandations stratégiques

1. Participation active à Gaia-X et EUCS pour influencer les standards européens et faciliter l’interopérabilité
2. Développement d’une stratégie nationale d’IA souveraine comparable aux initiatives scandinaves, japonaises ou coréennes
3. Positionnement international : valoriser la Suisse comme hub de souveraineté numérique en Europe, attirant des clients internationaux sensibles à la protection des données

Conclusion : une stratégie transitoire perfectible dans un contexte contraint

Revenons à notre question initiale : la Suisse abandonne-t-elle sa souveraineté numérique ? La réponse nuancée est : pas exactement, mais elle la diffère.

L’approche du Conseil fédéral reflète un arbitrage compréhensible entre plusieurs contraintes : la domination technique et économique des hyperscalers américains, les obligations commerciales internationales découlant de la LMP et de l’AMP, et les impératifs de souveraineté numérique.

La comparaison internationale révèle que la Suisse n’est ni à l’avant-garde (comme la France avec SecNumCloud) ni en situation d’échec critique (comme le Royaume-Uni post-UKCloud), mais dans une position médiane comparable à l’Allemagne : un pragmatisme souverain avec une transition progressive vers une infrastructure nationale.

Cependant, trois interrogations majeures persistent :

1. Le CLOUD Act reste une épée de Damoclès sur les données publiques suisses hébergées chez les hyperscalers américains. Les garanties contractuelles invoquées par le Conseil fédéral sont juridiquement insuffisantes face à des réquisitions judiciaires américaines.
2. Pourquoi attendre 2031 alors que la France vise 2025, Singapour a réussi en 2023, et le Danemark migre actuellement vers des solutions open source ? Ce délai de six années supplémentaires semble refléter moins des contraintes techniques objectives qu’une inertie institutionnelle ou une sous-estimation des risques de souveraineté.
3. La stratégie actuelle traite le cloud comme une question d’infrastructure technique et de conformité réglementaire. Elle n’intègre pas suffisamment les dimensions stratégiques de long terme : IA souveraine, positionnement géopolitique, développement de l’écosystème technologique suisse, participation aux initiatives européennes.

Les trois prochaines années seront déterminantes pour juger du succès ou de l’échec de cette stratégie. Trois indicateurs permettront d’évaluer si la Suisse tient ses objectifs :

1. Résultats du PoC BOSS : les alternatives open source à Microsoft 365 sont-elles viables ? Si oui, une migration pilote est-elle lancée rapidement ?
2. Performance de Bleu et S3NS en France : les solutions hybrides conciliant technologie hyperscaler et immunité au CLOUD Act sont-elles techniquement et économiquement viables ? Si oui, la Suisse devrait s’en inspirer.
3. Évolution du cadre juridique transatlantique : le Data Privacy Framework survit-il à un potentiel « Schrems III » ? Les tensions commerciales entre l’UE et les États-Unis s’aggravent-elles ? Ces évolutions pourraient forcer une accélération de la transition.

En définitive, la stratégie du Conseil fédéral n’est ni un abandon de souveraineté ni une construction pleinement satisfaisante. C’est une transition graduelle dont le succès dépendra de la capacité d’adaptation et d’accélération face aux évolutions technologiques, juridiques et géopolitiques. Le Swiss Government Cloud de 319 millions CHF constitue un investissement significatif dans la souveraineté numérique — encore faut-il qu’il se concrétise rapidement et qu’il soit complété par une véritable stratégie d’émancipation vis-à-vis des hyperscalers américains.

La souveraineté numérique ne se construit pas uniquement avec du béton et des serveurs. Elle exige aussi une volonté politique claire, un cadre juridique robuste, et une vision stratégique de long terme. Sur ces trois dimensions, j’ai l’impression que la marge de progression reste importante…