15.3396 · Interpellation · 2015-05-04
Département des finances
Liquidé
Wortlaut
Je pose au Conseil fédéral les questions suivantes :
1. Quels types de données sont concernés par l'appel d'offre remporté par Hewlett Packard évoqué dans le développement ?
2. Quelles garanties le Conseil fédéral a-t-il obtenu pour que ces données ne soient pas divulguées aux services de renseignement d'autres États, en particulier des États-Unis ?
3. Comment le Conseil fédéral compte-t-il s'assurer que ces garanties seront respectées ? Quelles sanctions sont le cas échéant prévues ?
4. Le communiqué de presse du 23 avril 2015 évoque le "respect des directives de l'administration fédérales". À quelles directives est-il fait allusion ?
5. Où les données seront-elles stockées ? Seront-elles en tout temps soumises exclusivement à la législation suisse ?
6. Si les données sont exclusivement stockées en Suisse, le Conseil fédéral peut-il garantir que des copies ne seront pas transférées dans d'autres pays ?
7. Qu'adviendrait-il des données en cas de faillite de l'hébergeur (cf. réponse du Conseil fédéral à ma question 14.1064)?
8. Pourquoi avoir recours à des entreprises privées étrangères ? Pourquoi un développement à l'interne ou le recours à une entreprise suisse n'ont-ils pas été possible ?
9. Pourquoi l'Office fédéral de l'informatique (OFIT) n'a-t-il pas fait valoir les exceptions prévues à l'art. 3, al. 2, LMP ?
Begründung
L'OFIT a adjugé le 23 avril deux mandats correspondants pour un montant total de 197 millions de francs. Le nuage sera développé avec l'entreprise Hewlett Packard. Le projet d'entrepôt de données se fera avec l'entreprise Teradata pour un montant de 137 millions de francs.
Hewlett Packard est une entreprise étatsunienne. Teradata (Schweiz) GmbH est une filiale d'une entreprise étatsunienne. Or, selon les législations antiterroristes de ce pays (par ex. FISA, cf. interpellation 13.3033), ces entreprises peuvent être amenées à transmettre toutes les données en leur possession aux services de renseignement, sans en avertir les détenteurs. Il convient d'éviter que des données de la Confédération subissent ce sort.
Stellungnahme des Bundesrates
Il convient de souligner en préambule que l'Office fédéral de l'informatique (OFIT) a acheté, dans le sillage de l'appel d'offres concerné, une plate-forme d'informatique en nuage propre à la Confédération, qu'il gérera lui-même. Contrairement à ce que les questions laissent entendre, il ne s'agit donc pas d'une plate-forme publique d'informatique en nuage qui serait gérée par un fournisseur externe.
1. En sa qualité de fournisseur de prestations, l'OFIT mettra à la disposition de tous ses prestataires (offices fédéraux intéressés et autres unités d'organisation de la Confédération) une plate-forme privée offrant des services standardisés d'informatique en nuage, par exemple des serveurs virtuels. Le choix des données qui seront gérées sur cette plate-forme appartient aux unités d'organisation concernées ; on peut partir de l'idée que des données tant non classifiées que classifiées "Interne" et "Confidentiel" y seront traitées ou stockées. Cette plate-forme remplacera prochainement une installation similaire, que l'OFIT exploite déjà dans ses centres de calcul en recourant à la technologie Hewlett Packard. De nouvelles fonctions seront mises à la disposition des clients de l'OFIT, qui offriront davantage de souplesse et de possibilités d'automatisation dans la configuration et l'utilisation de la plate-forme.
2./3. La plate-forme d'informatique en nuage sera exploitée dans les centres de calcul de l'OFIT par des membres du personnel de cet office, ce qui est optimal du point de vue du respect des directives de l'administration fédérale, notamment en ce qui concerne la sécurité. Hewlett Packard ne met que le matériel à disposition. Pour réduire davantage le risque de fuite de données, les interventions du fournisseur au titre de la maintenance seront effectuées de manière à permettre une surveillance des travaux. Pour cette raison, les garanties apportées par Hewlett Packard, qui sont celles que la Confédération exige habituellement des fournisseurs de matériel informatique, suffisent dans le cas présent. Il en serait par exemple autrement pour des prestations de services gérées par le fournisseur. Ces garanties incluent le respect de l'obligation de garder le secret et d'assurer la protection des données, qui sont définis comme des critères obligatoires dans le projet de contrat joint à l'appel d'offres, critères que Hewlett Packard a acceptés. De plus, en cas de vol de données, les dispositions du droit pénal s'appliquent (par ex. les art. 143bis et 144bis du Code pénal).
4. Les directives évoquées incluent en particulier les directives du Conseil fédéral du 14 août 2013 concernant la sécurité des TIC dans l'administration fédérale, qui ont été révisées et dont la nouvelle version (directives du 1er juillet 2015) entrera en vigueur le 1er janvier 2016. Elles comprennent en outre les exigences de l'UPIC en matière de sécurité informatique (voir www.isb.admin.ch > Thèmes > Sécurité > Bases de sécurité > Lignes directrices relatives à la sécurité). De plus, la législation suisse en la matière doit être respectée, par exemple l'ordonnance du 9 décembre 2011 sur l'informatique dans l'administration fédérale (OIAF ; RS 172.010.58), l'ordonnance du 4 juillet 2007 concernant la protection des informations (OPrI ; RS 510.411), la loi du 19 juin 1992 sur la protection des données (LPD ; RS 235.1), l'ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD ; RS 235.11) et la loi du 21 mars 1997 sur l'organisation du gouvernement et de l'administration (LOGA ; RS 172.010). Le 29 janvier 2014, le Conseil fédéral a décidé de fixer des principes visant à limiter le risque d'espionnage par des services de renseignement agissant par le biais de fournisseurs de prestations informatiques instrumentalisés. A titre de nouvel élément de la procédure de sécurité informatique, on teste depuis la fin de 2014 une méthode de contrôle pour les marchés sensibles. La méthode de gestion des risques d'espionnage a été intégrée aux nouvelles directives concernant la sécurité informatique dans l'administration fédérale. Dans le cadre de ces travaux, l'acquisition de la plate-forme d'informatique en nuage a également été examinée, et les solutions retenues sur les plans de l'organisation et de la sécurité technique ont été jugées pertinentes.
5./6. Les données se trouvent sur la plate-forme d'informatique en nuage exploitée dans les centres de calcul de l'OFIT par le personnel de cet office. Elles demeurent donc constamment soumises au droit suisse. Les interventions du fournisseur au titre de la maintenance sont effectuées de manière à permettre une surveillance des travaux. On réduit ainsi le risque d'une fuite de données. Toutefois, chaque plate-forme restant exposée à un risque résiduel de fuite de données, aucune garantie formelle ne peut être fournie quant à l'inexistence d'un tel risque.
7. En l'absence de tout enregistrement externe de données auprès d'une entreprise privée, la question concernant une éventuelle faillite de l'hébergeur ne se pose pas.
8./9. D'une part, il convient de relever que, pour ce qui touche à la technologie concernée par l'appel d'offres, notamment pour ce qui est du matériel, il n'existe aucun fabricant suisse produisant l'intégralité des systèmes en Suisse. D'autre part, il faut se rappeler que les marchés publics de l'administration fédérale sont soumis aux dispositions de l'OMC, elles-mêmes fondées sur le principe de la non-discrimination.
En vertu d'une jurisprudence constante, l'application de la clause d'exception conformément à l'art. 3, al. 2, de la loi fédérale du 16 décembre 1994 sur les marchés publics (RS 172.056.1) doit répondre à des exigences très sévères. Il faut prouver que l'on a étudié des solutions de rechange entraînant moins de distorsions de concurrence, et que ces solutions ne se sont pas révélées appropriées parce qu'elles ne permettaient pas de réduire suffisamment les risques. Dans le cas présent, une exception de cette nature ne peut se justifier.
Réponse du Conseil fédéral.