Le gouvernement suisse essaie de migrer l’ensemble de son infrastructure vers Microsoft 365… mais fait face à un problème de taille en matière de confidentialité.
Cette situation est née de sa décision de promouvoir la mise en place d’interfaces standardisées interopérables, tant pour renforcer la compétitivité des entreprises que pour faciliter la prise de décisions fondées sur les données.
C’est dans cette optique qu’il a démarré sa migration vers Microsoft 365. Mais cela pose un problème de confidentialité.
Ou comme le déclare Gerhard Andrey, conseiller national écologiste (FR) : « Avec sa stratégie cloud, le gouvernement a identifié trois piliers : les données qui ne sont pas sensibles et peuvent être gérées par des géants étrangers, les données assez sensibles qui peuvent être traitées dans un cadre juridique fiable par les entreprises, pour autant que les serveurs soient en Suisse, et enfin les données dont la sensibilité requiert une gestion par un acteur souverain. »
Je parie que vous allez dire « non ». Après tout, la sécurité des données, vous connaissez : vous avez des mots de passe et savez à tout moment qui peut ou non accéder à vos données, n’est-ce pas ?
Mais je parie aussi que vous avez tort.
Parce que ces trois acteurs principaux n’adressent pas vraiment la question de juridiction en matière de données. Vous n’avez peut-être pas souvent entendu le terme « juridiction des données », mais je suis presque certain que vous avez entendu parler de « localisation géographique des données ».
Et c’est logique, car jusqu’à l’affaire Microsoft v États-Unis en 2015 (et plus tard l’adoption de l’US Cloud Act), la localisation géographique des données était au centre de toutes les préoccupations, au point où elle était même considérée comme étant aussi importante que la juridiction des données.
La juridiction des données correspond essentiellement aux règles qui déterminent quelles autorités ont le droit légitime d’accéder à des données privées.
Et cela est important. En fait, cela a beaucoup plus d’importance que la localisation géographique des données (dont on entend beaucoup parler).
Parce que depuis dix ans, Amazon, Microsoft et Google construisent des centres de données dans de nombreux pays et territoires, à un coût très élevé, afin de satisfaire aux lois locales sur la protection de la vie privée.
Mais depuis, le Congrès et les tribunaux américains ont décidé que les entreprises américaines peuvent accéder à n’importe quoi, depuis n’importe où, tant qu’elles traitent avec une société américaine.
Ces entreprises (parmi beaucoup d’autres) ont donc déployé des efforts importants pour mettre la localisation des données au centre de toutes nos réflexions, alors qu’en réalité, seule la juridiction des données compte désormais.
Et aucun gouvernement ne veut admettre que ces entreprises américaines et, moyennant un mandat, les services de renseignement et les tribunaux américains sont en mesure de consulter librement les données de ses citoyens.
Voici notre avis : rien n’empêche la Suisse de confier l’hébergement de ses données à des entreprises 100 % suisses, comme Penta.
De plus, Microsoft doit dissocier ses services… c’est-du moins ce que l’entreprise a annoncé face aux démarches antitrust de l’UE.
Mais ce changement (qui est désormais obligatoire) signifie que nous (les entreprises suisses) pouvons maintenant offrir Microsoft 365 au sein de notre propre infrastructure 100 % suisse. L’avantage pour nos clients est qu’ils n’auront plus à traiter qu’avec une seule autorité : la justice genevoise.
Si cela vous fait penser au secret bancaire suisse, c’est parce que c’est exactement la même chose. Et, comme dans le cas du secret bancaire en Suisse, les employés de Penta doivent signer un contrat indiquant qu’en cas de violation ils seront personnellement tenus responsables et risquent d’être poursuivis en justice. Si vous avez des questions à ce sujet ou si vous souhaitez en discuter plus en détail, contactez-nous.