Quatre interventions traitées en parallèle par les Chambres fédérales entre novembre 2025 et mars 2026 dessinent, en creux, la position helvétique sur la régulation du numérique : prudence sur la conservation des traces, attentisme sur le contrôle à l’exportation, observation sur la simplification européenne, préférence pour le modèle UE en matière d’accès transfrontalier aux preuves. Ces interventions méritent une lecture analytique afin d’en comprendre les fondements et leurs effets.

Motion 25.4411 — La suppression des messageries inactives de la Confédération

Ce que demande la CdG-E

La motion 25.4411, déposée le 11 novembre 2025 par la Commission de gestion du Conseil des États, demande au Conseil fédéral un projet législatif fixant un délai de suppression différencié des messageries professionnelles des magistrats et collaborateurs fédéraux après leur départ. Le délai actuel (45 jours de désactivation suivis de 90 jours de récupération, soit 135 jours au total) serait porté à au moins un an pour les magistrats et les cadres au-dessus d’un certain niveau hiérarchique (à définir), et adéquatement prolongé pour les autres fonctions. La motion trouve racine dans l’inspection sur les indiscrétions COVID-19 (FF 2024 335) et dans le constat que le délai de 135 jours n’a aucune base légale.

La réponse du Conseil fédéral

Le gouvernement rejette la motion en invoquant quatre arguments :

  1. Le principe de proportionnalité explicitement inscrit à l’art. 6 LPD qui indique que le délai de conservation ne peut excéder ce qui est strictement nécessaire à la réalisation des finalités des traitements de données ;

  2. La redondance avec l’ordonnance GEVER (gestion électronique des affaires, O GEVER) est patente, car les informations essentielles aux affaires y sont déjà archivées ;

  3. Le risque technique implique que des chevauchements et doublons (homonymes, rotations rapides) soient créés par une extension des délais ;

  4. Le coût est estimé à 0,3 à 0,5 million de francs par an pour l’extension à un an pour l’ensemble des collaborateurs.

La motion a néanmoins été adoptée par le Conseil des États le 18 mars 2026 malgré l’opposition du Conseil fédéral.

Analyse

En préambule se pose la question de l’applicabilité générale de la LPD. En effet, tous les e-mails ne contiennent pas des données personnelles, bien que plusieurs éléments structurels d’un e-mail constituent presque systématiquement des données personnelles (l’adresse de l’expéditeur et du destinataire, les métadonnées, la signature). Présumons néanmoins, pour simplifier le raisonnement, qu’on est systématiquement face à un traitement de données personnelles dès qu’un e-mail implique une boîte aux lettres rattachée à une personne physique, directement ou indirectement.

L’argumentation gouvernementale est juridiquement défendable, mais elle escamote la tension réelle. Le principe de proportionnalité de l’art. 6 LPD s’apprécie par rapport à une finalité légitime. Or, les CdG documentent précisément une finalité légitime (la traçabilité démocratique et la surveillance parlementaire) pour laquelle 135 jours sont très vraisemblablement insuffisants. Une finalité supplémentaire et légitime altère la pesée des intérêts, pourtant, le Conseil fédéral semble faire comme si elle ne changeait rien.

Le renvoi à GEVER est techniquement fragile. La pratique montre, et le rapport CdG le rappelle, que beaucoup d’échanges substantiels (coordinations interdépartementales, arbitrages politiques, communications avec des tiers) restent dans la messagerie sans être versés à GEVER. Le système suppose une discipline d’archivage que l’inspection COVID-19 a précisément montrée défaillante. Tant que cette discipline n’est pas garantie, l’argument vacille.

L’argument financier (0,3 à 0,5 mio CHF/an) est mince au regard des enjeux. À titre comparatif :

  • États-Unis : le Federal Records Act et le Presidential Records Act imposent la conservation des courriels des cadres pour 7 à 25 ans selon les catégories, avec versement obligatoire au National Archives. La Capstone approach du NARA prévoit même une conservation permanente pour les e-mails des hauts fonctionnaires.
  • Allemagne : la Bundesarchivgesetz et les Verwaltungsvorschriften sectorielles imposent l’archivage des correspondances officielles des cadres supérieurs ; les durées dépassent largement un an.
  • France : le Code du patrimoine (art. L. 211-1 ss) qualifie les courriels professionnels d’agents publics de documents d’archives publiques imprescriptibles, avec versement aux Archives nationales.

La Suisse est l’exception, pas la règle. Le Conseil fédéral en fait une vertu (proportionnalité) ; les CdG y voient, probablement à juste titre, un déficit de redevabilité.

Actions

Plutôt qu’une prolongation uniforme, une architecture à trois niveaux qui réconcilie LPD et transparence pourrait être proposée :

  • Niveau 1 — Magistrats et cadres supérieurs (classe salariale ≥ 30) : rétention de cinq ans minimum, avec versement automatique aux Archives fédérales à l’expiration, sous régime classifié selon la LAr).
  • Niveau 2 — Cadres intermédiaires : rétention de deux ans, avec extraction préalable et documentée des éléments métier vers GEVER.
  • Niveau 3 — Autres collaborateurs : maintien du délai actuel élargi à 12 mois, suffisant pour les besoins courants de continuité.

Ce schéma reprend la Capstone approach américaine adaptée au droit suisse. La base légale pourrait être insérée dans la LPers ou dans une ordonnance ad hoc, avec finalité explicite (surveillance parlementaire, accès sur la base de la LTrans, etc.). La proportionnalité serait alors satisfaite par la stratification, non par la suppression précoce.

Interpellation 25.4530 : Soumettre les services en nuage au contrôle des exportations

Ce que demande la conseillère nationale Rumy (PS)

L’interpellation 25.4530, déposée le 15 décembre 2025, pose six questions sur le vide juridique entourant les infrastructures cloud à usage potentiellement militaire. Le constat : ni la LCB ni la LFMG ne couvrent les services IaaS ou PaaS, et l’Arrangement de Wassenaar1 n’a pas (encore) intégré le cloud comme catégorie distincte.

La réponse du Conseil fédéral

Il adopte ici une position prudente et techniquement précise : les services IaaS et PaaS ne constituent pas des « exportations » de technologies ou logiciels au sens de la LFMG ou de la LCB. Seuls les services SaaS embarquant des logiciels listés (par exemple ML21 de l’OCB) tombent sous ce contrôle. Le SECO suit le dossier dans le cadre de Wassenaar, mais ne perçoit pas de nécessité urgente d’étendre les contrôles. Les obligations sectorielles existantes (LPSP notamment) sont jugées suffisantes pour les cas où un soutien logistique à une force armée étrangère serait fourni.

Analyse

Le Conseil fédéral a raison sur la lettre du droit : les régimes de contrôle à l’exportation visent historiquement des biens et technologies tangibles ou identifiés. Étendre cette logique au cloud IaaS poserait des problèmes considérables de définition. Mais cette rectitude formelle masque à mon avis un retard stratégique.

Le précédent américain est éclairant. Depuis l’Executive Order 13984 de janvier 2021, les États-Unis ont engagé la construction d’un régime KYC, encore à l’état de projet de règle au printemps 2026 (l’EO 14110 qui en complétait le volet IA ayant été révoqué par l’administration Trump 2 le 20 janvier 2025). Une « proposed rule » du Bureau of Industry and Security (BIS, Department of Commerce) du 29 janvier 2024, qui n’est pas encore finalisée, imposerait à tout fournisseur IaaS US, ainsi qu’à ses revendeurs étrangers, un Customer Identification Program (CIP) avec vérification d’identité des clients étrangers, identification des bénéficiaires effectifs, et reporting des transactions susceptibles d’entraîner l’entraînement de grands modèles d’IA à usage offensif. C’est le mécanisme que l’interpellation 25.4530 esquisse et que Washington a opérationnalisé sur les bases du droit des urgences nationales (IEEPA), pas du contrôle à l’exportation stricto sensu.

L’Union européenne prend un autre chemin. Le règlement (UE) 2021/821 sur les biens à double usage a élargi en 2021 les contrôles sur les cyber-surveillance items2. La directive NIS 2 et le schéma EUCS (cybersécurité du cloud) créent des obligations indirectes3. Aucun de ces dispositifs ne couvre l’usage militaire offshore, mais l’idée d’un encadrement spécifique du cloud progresse.

Aucun de ces trois instruments européens ne contrôle directement l’usage militaire d’un cloud européen dans un État tiers. Mais ensemble ils créent un écosystème où

  • les composants logiciels de surveillance sortent du cloud sous régime de licence,
  • les fournisseurs cloud doivent connaître leurs clients critiques au titre cyber, et
  • un référentiel commun (EUCS) permet de structurer les exigences contractuelles.

La Suisse, qui n’a adopté aucun instrument semblable, opère sans cette grille de lecture et est à découvert. Un fournisseur cloud suisse hébergeant les charges de travail d’un client étatique sensible n’a aucune obligation d’enregistrement, de KYC ou de déclaration. C’est techniquement et stratégiquement problématique au regard du principe de neutralité que l’interpellation invoque à juste titre. L’argument de la confidentialité des discussions Wassenaar est commode, mais ne suffit pas. Wassenaar avance lentement (consensus de 42 États), et la Suisse n’est pas tenue d’y attendre un accord multilatéral pour combler un vide.

Actions

On peut envisager deux pistes graduées, qui ne nécessitent pas de réécrire la LCB :

  1. Instaurer un régime de transparence sectoriel et KYC IaaS inspiré du modèle BIS :     - étendre la LPSP en précisant explicitement que l’hébergement, l’exploitation ou la maintenance d’infrastructures numériques au profit d’une force armée ou de sécurité étrangère est soumise à l’obligation de déclarer.     - introduire dans la LCB une catégorie sui generis d’infrastructures numériques sensibles avec obligation d’identification du client final pour les fournisseurs établis en Suisse, sur le modèle du CIP américain. Cela évite la fiction d’une « exportation » et fonde le contrôle sur l’identité du bénéficiaire effectif.
  2. Utiliser activement Wassenaar : la Suisse pourrait porter formellement une proposition d’extension de l’Annexe au cloud à haute capacité (par exemple : seuils de FLOPS pour le calcul, à l’image du bright-line US sur l’entraînement de grands modèles).

Interpellation 25.4621 : Digital Omnibus et la Suisse

Ce que demande le conseiller aux États Matthias Michel (PLR)

L’interpellation 25.4621, déposée le 18 décembre 2025 et liquidée le 10 mars 2026, interroge le Conseil fédéral sur les conséquences du Digital Omnibus adopté par la Commission européenne le 19 novembre 2025. Il s’agit d’un paquet de simplification du droit numérique européen incluant des allègements pour les normes suivantes : AI Act, RGPD, NIS 2, Data Act, ePrivacy. L’interpellation pose quatre questions sur l’impact du Digital Omnibus sur la future régulation suisse sur l’IA, la compétitivité, le risque de fragmentation, la simplification des obligations d’annonce aux autorités.

La réponse du Conseil fédéral

Le Conseil fédéral renvoie à sa décision du 12 février 2025 de ne pas s’aligner sur l’AI Act ; les modifications du Digital Omnibus ne sont donc pas déterminantes pour le projet législatif suisse en cours d’élaboration au DFJP. Il rappelle l’approche transversale retenue (transparence, non-discrimination, analyse des risques) et l’AIR (analyse d’impact de la réglementation) imposée par la LACRE. Sur les devoirs d’annonce, il invoque le guichet unique de l’OFCS, qui va dans le même sens que le Digital Omnibus.

Analyse

La réponse du Conseil fédéral est minimaliste et passe sous silence l’ampleur réelle du paquet. Le Digital Omnibus n’est pas une simple révision de l’AI Act, mais un train comportant deux règlements distincts. Le Digital Legislation Omnibus modifie le RGPD, simplifie les règles sur les cookies de l’ePrivacy, harmonise les obligations de notification d’incident (RGPD + NIS 2 + DORA + CER + eIDAS) via un single entry point, et réorganise le Data Act. Le Digital Omnibus on AI reporte l’application des règles sur les systèmes à haut risque (initialement août 2026) jusqu’en décembre 2027 au plus tard, et flexibilise plusieurs obligations. Ces textes sont actuellement en discussion au Parlement européen.

Ces évolutions touchent directement la Suisse à trois niveaux :

  1. Décision d’adéquation Suisse-UE : la redéfinition européenne de la notion de donnée personnelle, plus restrictive, pourrait éloigner la LPD (notion plus large) du RGPD. Si la Suisse maintient une définition plus protectrice, elle continuera de bénéficier de l’adéquation UE sans difficulté. L’inverse n’est pas garanti et la Suisse pourrait alors devoir retirer l’UE de la liste des pays disposant d’une protection adéquate, ou s’aligner sur le droit européen.
  2. Notifications cybersécurité : la Suisse a effectivement un guichet unique via l’OFCS, mais le périmètre n’est pas comparable. L’omnibus consolide cinq régimes ; le guichet OFCS sert principalement l’obligation de notifier les cyberattaques contre les infrastructures critiques selon la LSI, et permet aussi de notifier la FINMA et le PFPDT. La trajectoire est convergente, mais l’amplitude diffère.
  3. Convention-cadre du Conseil de l’Europe sur l’IA : la Suisse en prépare la mise en œuvre. Cette convention, plus principles-based que l’AI Act, laisse une marge importante. La question est de savoir si le futur cadre suisse intégrera des mesures de simplification équivalentes à celles de l’AI Omnibus (bacs à sable réglementaires, AI literacy assumée par l’État, possibilité de traiter des données sensibles pour la détection de biais).

Actions

À mon avis, le Conseil fédéral devrait :

  1. Fournir une liste des divergences (actuelles et à venir) entre le Digital Omnibus et le droit suisse, secteur par secteur (RGPD/LPD, NIS 2/LSI, AI Act/futur cadre IA suisse), avant la fin de la procédure législative européenne.
  2. Envisager d’adopter des clauses miroirs ciblées sur les mesures concrètes de simplification qui bénéficient à toutes les entreprises (single entry point pour les notifications, bacs à sable IA), sans s’aligner sur les choix substantiels que la Suisse ne partage pas.
  3. Analyser et documenter publiquement l’adéquation européenne : c’est l’enjeu économique principal de la LPD et il mérite mieux qu’une mention générique.

Interpellation 25.4679 : Un accord bilatéral CLOUD Act avec les États-Unis ?

Ce que demande la conseillère nationale Maya Bally (Le Centre)

L’interpellation 25.4679 du 18 décembre 2025 plaide pour l’ouverture rapide de négociations avec les États-Unis en vue d’un executive agreement sous le CLOUD Act (18 U.S.C. § 2523), à l’instar du UK-US Data Access Agreement de 2019 (entré en vigueur le 3 octobre 2022) et de l’accord australien de 2021 (en vigueur depuis 2024). L’argument principal : sécurité juridique pour les utilisateurs, réciprocité pour les autorités pénales suisses.

La réponse du Conseil fédéral

Le Conseil fédéral s’appuie sur deux rapports de l’OFJ pour refuser catégoriquement un tel accord :

Le Conseil fédéral souligne aussi, et c’est essentiel, que les National Security Letters (18 U.S.C. § 2709) et la section 702 du FISA restent en dehors du périmètre du CLOUD Act : un éventuel accord bilatéral ne réglerait pas le risque extraterritorial principal pesant sur les données suisses hébergées par des fournisseurs américains. 

Cette position n’est pas isolée ; elle s’inscrit dans une trajectoire institutionnelle cohérente que trois textes adoptés en cinq semaines viennent étayer. (Je me permets ici de compléter la réponse du Conseil fédéral avec une reconstruction doctrinale qui apporte quelques détails.)

Le rapport « Souveraineté numérique de la Suisse » du 26 novembre 2025 (en réponse au postulat 22.4411 Z’graggen) définit la souveraineté numérique comme la capacité de contrôle et d’action nécessaire dont dispose l’État dans l’espace numérique afin de garantir l’accomplissement de ses tâches (ch. 5.1). Trois éléments du rapport rendent un accord CLOUD Act bilatéral structurellement incompatible avec cette définition :

  1. Le CLOUD Act est explicitement cité comme risque géopolitique. Au chiffre 6.2.3, sous l’Exemple 1, le rapport relève noir sur blanc que lorsque les autorités suisses stockent des données sur le serveur d’une entreprise américaine, on ne sait pas vraiment si la confidentialité de ces données est garantie ou si les autorités de poursuite pénale des États-Unis peuvent faire valoir des droits d’accès à ces données indépendamment de leur localisation. Le CLOUD Act y figure non comme un instrument à embrasser, mais comme une menace.
  2. Le rapport pointe une limite technique majeure. Le chiffre 6.2.4 distingue le chiffrement côté client et le chiffrement côté serveur, et constate que la protection informatique de base de la Confédération ne prescrit pas que le chiffrement soit effectué par le client, précisément parce que de nombreuses fonctions bureautiques modernes (coédition de documents, par exemple) supposent que le prestataire puisse déchiffrer les données. Il en résulte une possibilité de fuite des données de l’administration fédérale et de transmission de celles-ci à un autre État (en application du CLOUD Act, par exemple). Le constat est cinglant : à droit constant, la confidentialité des données fédérales n’est pas garantie face au CLOUD Act.
  3. La mesure 4 du rapport va à rebours d’un accord bilatéral. Le Conseil fédéral charge le groupe de travail interdépartemental Souveraineté numérique (DDPS-SEPOS + DFAE-DDIP, mandaté jusqu’à fin 2027) de réfléchir à des instruments de droit international permettant de renforcer la souveraineté numérique de la Suisse et de soumettre des propositions de protections juridiques, notamment en ce qui concerne l’immunité des États pour les données des autorités. Conclure un executive agreement basé sur le CLOUD Act consisterait à faire exactement l’inverse : restreindre l’immunité des données suisses au profit d’un accès américain conventionnellement organisé.

Les lignes directrices pour la souveraineté numérique de l’administration fédérale du 12 décembre 2025, contraignantes pour l’ensemble de l’administration fédérale centrale et destinées à être intégrées dans la méthodologie de projet HERMES, définissent six valeurs stratégiques de référence à examiner systématiquement pour chaque projet numérique : indépendance et contrôle, coûts et rentabilité, résilience, protection des données et sécurité de l’information, collaboration avec les partenaires et normes, innovation et adéquation. Un accord CLOUD Act bilatéral entrerait frontalement en conflit avec la première (éviter ou réduire de manière ciblée la dépendance vis-à-vis de certains fournisseurs ou de certaines technologies) et avec la quatrième (les données relatives à des personnes ou à des affaires doivent être protégées contre tout accès non autorisé). L’obligation d’informer le Conseil TNI en cas de risque pour la souveraineté numérique rendrait un tel projet automatiquement signalable.

La Stratégie Suisse numérique 2026, adoptée le 12 décembre 2025, érige enfin la souveraineté numérique en priorité thématique pour la période courant jusqu’en 2030, aux côtés de l’introduction de l’e-ID et du positionnement de la Suisse comme État hôte numérique.

L’enchaînement est donc nettement plus serré qu’une simple cohérence rhétorique : refuser un accord CLOUD Act bilatéral n’est pas une posture isolée du DFJP, mais l’application opérationnelle d’une doctrine articulée en trois temps par une définition normative (rapport du 26 novembre), une grille d’évaluation contraignante (lignes directrices du 12 décembre), et une priorité stratégique (Stratégie 2026). Toute négociation avec Washington devrait désormais être justifiée à l’aune de la mesure 4 du rapport et des six valeurs des lignes directrices, ce qui rend la barre extraordinairement haute. Cela dit, comme l’a relevé Jean-Christophe Schwaab dans son commentaire du rapport, la doctrine reste essentiellement défensive : elle vise la capacité de contrôle de l’État et laisse en suspens la question de la souveraineté numérique des acteurs stratégiques.

Analyse

La position du Conseil fédéral est juridiquement la plus solide des quatre que cet article analyse.

Le rapport du Department of Justice au Congrès sur la première certification quinquennale (fin 2024) confirme que les ordres britanniques transitent via le Crime (Overseas Production Orders) Act 2019, une loi spécifique préparée dès 2013. La Suisse devrait construire un instrument équivalent, ce qui suppose une modification substantielle du CPP (compétence des autorités d’instruction pour adresser des ordres directs à des fournisseurs US). Le commentaire de Lawfare note d’ailleurs que même les fournisseurs UK expriment privément des réserves : ils préféreraient une obligation claire de droit interne plutôt qu’une base contractuelle ambiguë.

L’analyse de Stanford (Cyber Law Clinic) a montré que l’accord UK-US permet à chaque partie de demander l’interception en temps réel des communications d’utilisateurs situés dans des États tiers, ce qui poserait pour la Suisse un problème de droit pénal international majeur (atteinte à la souveraineté de l’État tiers, conflit avec l’entraide).

Le règlement européen e-evidence repose sur des ordres européens de production (EPOC) et de conservation (EPOC-PR) émis par des autorités judiciaires d’un État membre directement à des fournisseurs établis dans un autre État membre. Le mécanisme s’inscrit dans le cadre du droit pénal continental et bénéficie des garanties communes de l’UE en matière de protection des données. Pour la Suisse, une association à e-evidence ferait sens dans le prolongement de l’accord Schengen et de la coopération Eurojust.

Comme le souligne le Conseil fédéral, FISA 702 et NSL restent hors champ. C’est l’argument décisif. Un fournisseur cloud US implanté en Suisse (y compris via une EU Sovereign Cloud prétendument étanche) reste exposé à ces deux instruments, comme l’a confirmé l’arrêt Schrems II (C-311/18) en 2020. Conclure un accord CLOUD Act ne fait que rajouter une couche de surface tout en exposant les données stockées en Suisse à un canal supplémentaire d’accès américain.

Actions

L’approche du Conseil fédéral est la bonne. Je proposerais de la rendre plus opérationnelle : en plus des actions juridiques probablement déjà en cours, un renforcement parallèle des mesures techniques serait de bon ton. Je pense notamment au chiffrement client-side avec gestion souveraine des clés (BYOK/HYOK), recours aux trustee models type Microsoft EU Data Boundary, exploration de partenariats avec des partenaires suisses comme Infomaniak ou Exoscale pour les charges sensibles. La souveraineté numérique se construit autant par la technique que par le droit.

Synthèse

Plusieurs constats émergent. D’abord, le Conseil fédéral mobilise très bien le droit existant, mais rechigne à formuler une doctrine prospective : il répond aux questions posées sans toujours traiter les questions sous-jacentes. Ensuite, l’argument financier est invoqué de manière disproportionnée alors qu’il pèse infiniment moins que les enjeux démocratiques de transparence. Enfin, la souveraineté numérique ne se construira pas en multipliant les rapports ; elle exige des bases légales nouvelles que le Conseil fédéral n’a, pour l’instant, pas proposé. 

La balle est dans le camp du Parlement pour la motion 25.4411 ; espérons que les autres interventions trouveront bientôt un prolongement plus concret.

  1. L’Arrangement de Wassenaar est un régime multilatéral de contrôle des exportations fondé en juillet 1996 par 33 pays (42 pays participants aujourd’hui), dans le but d’empêcher l’accumulation déstabilisatrice d’armes conventionnelles et de biens et technologies à double usage. Il a été créé suite à la fin de la guerre froide, en remplacement du COCOM, afin de promouvoir la transparence et la responsabilité dans les transferts d’armes et de technologies sensibles. L’objectif principal de l’Arrangement est de contribuer à la sécurité et à la stabilité régionales et internationales. Les États participants s’engagent, par leurs politiques nationales, à s’assurer que les transferts de matériels ne contribuent pas au développement de capacités militaires pouvant affaiblir ces objectifs. Il convient de noter que l’obligation principale pour les États est la notification des transferts d’armes, la décision de transfert restant du ressort exclusif du pays vendeur. ↩︎

  2. Par exemple, un éditeur français de logiciel de deep packet inspection qui souhaite vendre sa solution à un opérateur télécom d’un État autoritaire, doit demander une licence d’exportation, même si le produit ne figure dans aucune annexe technique. C’est exactement le mécanisme qu’a appliqué la France au dossier Amesys/Bull pour la vente de matériel d’écoute à la Libye de Kadhafi. Le règlement 2021/821 donne désormais une base juridique stable à ce contrôle à l’échelle UE. La Suisse n’a pas d’équivalent. ↩︎

  3. Pour NIS2, AWS Europe, Microsoft Azure ou OVHcloud doivent maintenir un inventaire de leurs clients, documenter leurs mesures de sécurité et notifier toute compromission. Ce n’est pas un contrôle à l’exportation, mais l’obligation d’inventaire crée une visibilité réglementaire qui n’existait pas avant. Un opérateur cloud ne peut plus prétendre ignorer qui sont ses clients critiques. C’est le premier étage d’une logique de KYC, par la porte de la cybersécurité plutôt que par celle de l’exportation. Concernant EUCS, un cloud souverain européen certifié EUCS High doit prouver son niveau de sécurité technique. Si les critères de souveraineté juridique avaient été maintenus, AWS et Microsoft auraient été de facto exclus du marché public européen pour les données les plus sensibles. La version retenue est moins protectrice, mais crée tout de même un référentiel commun que les acheteurs publics peuvent invoquer dans leurs cahiers des charges. ↩︎