Pour ne rien manquer de mes articles, abonnez-vous à ma newsletter.
Introduction
Le 5 mars 2026, le site swissprivacy.law a publié une contribution signée par plusieurs praticiens critiquant la résolution de privatim du 18 novembre 2025 sur l’externalisation du traitement des données dans le cloud public. En substance, les auteurs reprochent à privatim une approche « peu nuancée », « déconnectée du droit en vigueur » et insuffisamment attentive aux réalités technologiques et économiques des administrations publiques. La contribution a par ailleurs été reprise dans les colonnes du quotidien Le Temps.
Certains arguments juridiques de l’article méritent indéniablement attention, notamment ceux relatifs à la révision de l’art. 320 du Code pénal (CP) ou à l’importance des enjeux de cybersécurité. Cependant, la contribution passe sous silence des pans entiers du débat : le contexte géopolitique américain de 2025, la souveraineté numérique, les alternatives open source, les droits constitutionnels cantonaux émergents.
Mettons les choses en perspective.
Le contexte politique américain de 2025
L’argument central de l’article concernant le risque lié au CLOUD Act tient en une phrase : l’ajout des États-Unis à l’Annexe 1 de l’Ordonnance sur la protection des données (OPDo) via le CH-U.S. Data Privacy Framework (DPF) « clôt de lege lata le débat relatif à la compatibilité du US CLOUD Act avec le cadre légal suisse ».
Voici une lecture statique du droit (clairement indiquée par la locution latine), alors que le contexte est en pleine mutation.
L’article est publié le 5 mars 2026, soit plus d’un an après des développements majeurs aux États-Unis que l’article n’évoque pas. Dès janvier 2025, l’administration Trump a licencié les trois membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB), l’organe indépendant qui constitue précisément un pilier fondamental de la décision d’adéquation européenne — et suisse, par extension. Or, le PCLOB est le principal mécanisme de supervision vérifiant le respect des engagements américains en matière de vie privée dans le cadre du DPF, les autres voies de recours en droit américain étant souvent inaccessibles. Certes, en mai 2025, le U.S. District Court for the District of Columbia a jugé ces licenciements illégaux et ordonné la réintégration des membres. Mais l’administration Trump a fait appel et l’affaire a été suspendue par le DC Circuit dans l’attente de la décision de la Cour suprême dans Trump v. Slaughter, qui pourrait affaiblir ou renverser les protections contre la révocation des dirigeants d’agences indépendantes. En d’autres termes, même l’issue judiciaire reste incertaine, et le PCLOB demeure dans les faits inopérant.
Les réactions à cette affaire ne se sont pas fait attendre. L’organisation NOYB a averti que si les éléments-clés sur lesquels l’Union européenne (UE) s’est appuyée deviennent dysfonctionnels, l’UE devra annuler l’accord. Le Parlement européen a formellement interpellé la Commission sur ce point. L’histoire du Safe Harbor et du Privacy Shield — deux prédécesseurs invalidés par la Cour de justice de l’UE — démontre que les décisions d’adéquation ne sont en rien des clôtures définitives du débat.
Plus préoccupant encore, le Department of Government Efficiency (DOGE) d’Elon Musk a, tout au long de 2025, accédé à des bases de données gouvernementales fortement protégées contenant des informations personnelles sur des millions d’Américains : données fiscales, numéros de sécurité sociale, dossiers médicaux, informations bancaires. Le Brookings Institution a documenté comment le DOGE s’efforçait de construire une base de données centralisée unique, en contradiction directe avec les principes de limitation de finalité au cœur du Privacy Act américain.
Plusieurs tribunaux fédéraux ont estimé que cet accès violait les lois fédérales sur la vie privée. Le Center for American Progress a même qualifié cette dynamique de construction d’un « panoptique numérique ».
Il ne s’agit donc pas d’un scénario hypothétique. Nous assistons depuis plus d’un an à une déstabilisation profonde des garanties institutionnelles américaines sur lesquelles le DPF repose — une déstabilisation que les tribunaux n’ont à ce jour pas réussi à enrayer durablement. Le Conseil fédéral a certes pris sa décision d’adéquation en connaissance du CLOUD Act, mais certainement pas en anticipant le démantèlement des garde-fous institutionnels censés limiter les abus ni l’incertitude juridique qui entoure désormais l’indépendance même des organes de surveillance américains. Dès lors, il me semble erroné d’affirmer que le DPF « clôt le débat ».
La souveraineté numérique
L’article n’évoque pas la souveraineté numérique, ce qui est dommage, car il ne s’agit pas d’une considération extrajuridique.
La souveraineté numérique devient — gentiment — un enjeu stratégique important en Suisse. Prenons un exemple concret : un projet de 4 millions de francs suisses, porté par la Haute école spécialisée bernoise, réunit déjà 22 partenaires — dont le Canton de Berne, la Ville de Zurich et le Département fédéral de justice et police — pour développer Open Desk, une alternative open source à Microsoft 365. Le chef de l’armée suisse, Thomas Süssli, a lui-même jugé M365 « en grande partie inutilisable » pour le Groupement Défense et réclamé une alternative ainsi qu’une stratégie de sortie, estimant qu’environ 90 % des documents militaires, classifiés « internes » ou « secrets », ne peuvent pas être stockés sur un cloud américain.
L’association Société Numérique rappelle qu’au cours des dix dernières années, les pouvoirs publics suisses ont dépensé environ 1,1 milliard de francs pour des licences Microsoft. La question du vendor lock-in — soit la capacité d’un client (en l’espèce, l’État) à changer de fournisseur lorsqu’il en a besoin — est bien un enjeu de résilience nationale, dont l’article ne parle pas. Ni privatim, d’ailleurs, dont la résolution reste ancrée dans les registres de protection des données et de sécurité de l’information.
La stratégie hybride de la Confédération est révélatrice d’une transition progressive : 319 millions pour un Swiss Government Cloud, tout en prolongeant jusqu’en 2031 les contrats avec les géants américains pour 110 millions. Cela illustre bien que les autorités fédérales elles-mêmes ne considèrent pas la question comme réglée par le seul cadre juridique (de la protection des données, notamment).
Les alternatives (open source)
L’article tend à réduire le choix des administrations à deux pôles — les hyperscalers d’un côté, les infrastructures on premise artisanales de l’autre — sans accorder d’attention aux solutions intermédiaires. Or, des alternatives existent et méritent d’être prises au sérieux, même si leur maturité et leur capacité à répondre aux besoins des grandes administrations restent à évaluer au cas par cas.
Infomaniak, hébergeur genevois certifié B Corp et détenu à 100 % par ses employés, développe ses propres logiciels sur des technologies ouvertes, hors de portée du CLOUD Act. Des solutions comme Nextcloud, Collabora ou le projet Open Desk offrent des suites collaboratives fonctionnelles pouvant être hébergées sur des infrastructures suisses ou européennes — Exoscale, Scaleway, OVHcloud —, avec un niveau de service professionnel.
L’argument central de l’article selon lequel les petites communes n’ont pas les compétences techniques pour gérer leurs propres clés de chiffrement est légitime et personne ne le contestera sérieusement. Mais la conclusion qu’il en tire — confier les données aux hyperscalers — commet un saut logique.
En effet, la mutualisation des compétences peut aussi se faire via des prestataires suisses ou européens soumis exclusivement au droit local, sans s’exposer aux risques extraterritoriaux du CLOUD Act. C’est précisément le modèle vers lequel tendent les initiatives comme le Swiss Government Cloud ou les centres cantonaux visant une souveraineté numérique. Autrement dit, le manque de compétences locales n’implique pas nécessairement un recours à un hyperscaler américain ; il appelle plutôt une mutualisation intelligente des ressources.
La situation juridique
L’article insiste sur les mécanismes contractuels — droits d’audit, clauses de résiliation, obligation d’information en cas de requête CLOUD Act. À mon avis, il sous-estime un problème structurel : le CLOUD Act autorise des non-disclosure orders (NDO) qui peuvent empêcher le fournisseur d’informer son client de l’existence même d’une requête. Concrètement, les clauses contractuelles prévoyant une information « immédiate » se heurtent alors à une interdiction légale de communiquer. L’article mentionne certes l’obligation pour le fournisseur d’« épuiser toutes les voies de recours », mais il ne discute pas de l’efficacité réelle de cette obligation face à un subpoena fédéral accompagné d’un ordre de confidentialité. La valeur d’une clause contractuelle face à une injonction d’un tribunal américain assortie d’un gag order est nulle. Microsoft a d’ailleurs indiqué dans un rapport pour le premier semestre 2025 que 31 % des demandes gouvernementales américaines étaient assorties de NDOs, ce qui démontre que ce n’est pas un phénomène marginal. Enfin, l’affaire Google de 2019 a démontré que les tribunaux américains peuvent refuser au fournisseur le droit d’informer l’entreprise cliente, et la réforme obtenue par Microsoft en 2017 (mémo Rosenstein) est une politique interne du Department of Justice, pas une loi, qui peut être révoquée d’un trait de plume par l’administration Trump.
Concernant l’art. 320 CP et la question des auxiliaires, l’article a raison de relever que la révision de 2023 de cette disposition a élargi la notion d’auxiliaire pour le secret de fonction. Cependant, privatim ne conteste pas tant la possibilité de recourir à des auxiliaires que les conditions dans lesquelles un tel recours est juridiquement sûr. L’insécurité juridique pointée par privatim porte sur l’étendue exacte de la notion d’auxiliaire lorsque le sous-traitant est une multinationale opérant dans des dizaines de juridictions, avec des chaînes de sous-traitance parfois opaques et longues. Cette question, la révision de 2023 ne l’a pas entièrement résolue.
Le traitement des risques
L’article reproche à privatim de se focaliser sur le risque de transfert transfrontière en négligeant les risques de cybersécurité. Ce reproche est en partie fondé. Mais l’article commet exactement le biais inverse.
En listant les cyberattaques subies par des administrations suisses (Xplain, Rolle, Montreux, Zollikofen, Villars-sur-Glâne), on construit un argumentaire en faveur des hyperscalers comme garants de la sécurité. Or, plusieurs de ces incidents concernent précisément des sous-traitants. L’affaire Xplain, notamment, illustre à merveille le risque inhérent à la sous-traitance — et ne constitue donc pas un argument en faveur de davantage de sous-traitance.
Par ailleurs, les hyperscalers ne sont pas immunisés contre les failles (même si, il faut bien l’admettre, ils ont les reins suffisamment solides pour dépenser des sommes astronomiques dans la sécurité de leur infrastructure et de leurs logiciels). La concentration massive de données chez un seul fournisseur crée un risque systémique différent, mais tout aussi réel : une faille chez Microsoft affecterait simultanément des centaines d’administrations. L’approche holistique que l’article réclame devrait aussi intégrer ce risque de concentration.
Le droit à l’intégrité numérique
L’article reproche encore à privatim de ne pas s’ancrer dans le droit en vigueur alors qu’il omet de mentionner une évolution constitutionnelle majeure.
Par exemple, à Genève, depuis le 18 juin 2023, l’art. 21A de la Constitution genevoise (Cst-GE) consacre le droit à l’intégrité numérique, adopté à 94,21 % par les votants. Neuchâtel a suivi en novembre 2024 avec 91,5 % de votes favorables. D’autres cantons sont en mouvement : Lucerne, où une motion a été déposée en juin 2025, ainsi que d’autres cantons où des initiatives populaires sont en cours.
Ces évolutions constitutionnelles ont à mon avis les conséquences suivantes sur le débat qui nous occupe.
Premièrement, ce droit opère un changement de paradigme. Il ne s’agit plus seulement de vérifier la conformité d’un traitement au sens du droit de la protection des données, mais de garantir un droit fondamental des administrés. Comme l’analyse Timur Acemoglu, la reconnaissance de l’intégrité numérique entend faire des données personnelles des éléments constitutifs de la personne humaine, avec des droits inaliénables — un registre bien différent de la simple analyse de risques exigée par la protection des données.
Deuxièmement, l’art. 21A al. 3 Cst-GE crée, pour les organes publics genevois, l’exigence d’un niveau de protection adéquat pour tout traitement étatique à l’étranger. On peut soutenir que cette exigence de rang constitutionnel ne se réduit pas nécessairement à un renvoi mécanique à l’Annexe 1 OPDo — la question est doctrinalement ouverte. Si cette lecture devait prévaloir, un droit fondamental imposerait aux autorités genevoises une appréciation autonome et contextuelle, d’autant plus lorsque les prémisses de la décision d’adéquation fédérale (et européenne) sont fragilisées, comme je l’ai indiqué plus haut.
Troisièmement, l’art. 21A al. 4 Cst-GE impose une obligation constitutionnelle positive de promouvoir la souveraineté numérique. L’État genevois ne peut pas se contenter de constater que le recours à un hyperscaler est juridiquement licite ; il doit activement contribuer au développement d’alternatives souveraines. L’article, en présentant toute restriction au recours d’hyperscalers comme « contreproductive », se trouve en tension directe avec cette obligation constitutionnelle.
L’analyse du droit à l’intégrité numérique par la doctrine relève qu’il englobe celui de protéger au mieux ses propres données et communications électroniques, notamment en utilisant un chiffrement de bout en bout. C’est très exactement ce que privatim exige dans sa résolution. L’exigence de privatim n’est dès lors pas une lubie « déconnectée du droit en vigueur » — elle trouve un ancrage constitutionnel direct dans le droit cantonal genevois et neuchâtelois. D’autres cantons s’engagent dans la même voie. Au niveau fédéral, en revanche, le Conseil national a refusé en décembre 2023, par 118 voix contre 65, de donner suite à une initiative parlementaire visant à inscrire l’intégrité numérique dans la Constitution fédérale. L’ancrage fédéral reste donc un horizon plausible, mais pas acquis.
La légitimité de privatim
L’article consacre une section entière à rappeler que privatim est une « association de droit privé » dont les résolutions ne sont pas juridiquement contraignantes. C’est exact sur le plan formel. Mais l’insistance sur ce point semble viser un autre objectif : délégitimer l’institution elle-même.
Rappelons ce qu’est réellement privatim. Il s’agit de l’association qui réunit l’ensemble des préposés cantonaux à la protection des données et le Préposé fédéral à la protection des données et à la transparence (PFPDT) — c’est-à-dire les autorités de surveillance compétentes dans le domaine. Que leurs prises de position n’aient pas force de loi au sens strict ne diminue en rien leur pertinence comme expression de la doctrine des régulateurs. L’article traite privatim presque comme un acteur associatif quelconque, alors qu’il s’agit de la voix collective des autorités suisses de protection des données.
Conclusion
L’article de swissprivacy.law produit à n’en pas douter une critique juridiquement compétente sur certains points. L’importance de la cybersécurité pour les petites communes, la révision de l’art. 320 CP concernant les auxiliaires et la nécessité d’une appréciation globale des risques sont des arguments parfaitement recevables et il serait malhonnête de ma part de ne pas le reconnaître.
Cependant, la contribution souffre d’une vision tunnel, centrée sur le droit positif suisse tel qu’il existait en 2024, sans intégrer les bouleversements politiques américains de 2025, les enjeux de souveraineté numérique, l’existence d’alternatives viables, le(s) droit(s) constitutionnel(s) cantonal(-aux) émergent(s), les risques économiques de la dépendance.
Dans un environnement géopolitique où les garanties institutionnelles américaines sont activement déstabilisées — y compris par voie judiciaire, comme le montre l’incertitude qui entoure l’avenir du PCLOB —, où l’administration Trump a construit grâce au DOGE un appareil de surveillance des données fédérales sans précédent, et où les cantons suisses inscrivent la souveraineté numérique dans leurs constitutions à plus de 90 % des voix exprimées, la position de privatim — exiger un chiffrement dont le fournisseur de services cloud ne détient pas la clé — apparaît moins comme une posture conservatrice déconnectée que comme une mesure de précaution raisonnable face à un risque avéré et croissant. Est-ce la bonne mesure ? Peut-être. Est-elle suffisante ? Clairement pas.
Le vrai danger pour les données des administrés n’est peut-être ni le cloud, ni l’inaction numérique — comme le laisse entendre le titre de l’article de swissprivacy.law – mais l’incapacité à penser la question au-delà du seul prisme de la conformité au droit positif. La résolution de privatim, en se concentrant sur le chiffrement et la protection des données, n’aborde ni la dépendance économique, ni la résilience des infrastructures, ni la gouvernance démocratique du numérique. L’article de swissprivacy.law, en réduisant le débat au cadre légal existant, n’intègre pas davantage les mutations géopolitiques, constitutionnelles et technologiques qui redéfinissent les termes du problème. C’est pourtant dans cet espace — entre la conformité juridique et la vision stratégique — que se joue l’avenir numérique des administrations suisses.