Lexipedia

21.4019 · Interpellation · 2021-09-16

Chancellerie fédérale

Liquidé

Wortlaut

La Confédération a annoncé, il y a quelques semaines, que quatre entreprises américaines et chinoises avaient remporté des marchés pour la fourniture de services informatiques en nuage.

Dans son guide pour l'examen de la licéité de la communication transfrontière de données, le PFPDT indique qu'il faut prévoir des mesures techniques et organisationnelles pour empêcher l'accès des autorités de pays tiers aux données personnelles, si les garanties concernant les droits fondamentaux suisses ne sont pas fournies dans lesdits pays (comme aux USA ou en Chine). Cette règle est conforme au droit en vigueur et s'applique à toutes les données personnelles stockées en nuage, qu'elles soient sensibles ou non.

1. Il n'existe pas vraiment de moyens techniques répandus et éprouvés pour empêcher un tel accès des autorités dans le nuage public, dès lors qu'on ne veut pas limiter la prestation à un simple stockage de données. Le Conseil fédéral envisage-t-il néanmoins que les données personnelles stockées dans le nuage public soient traitées par les entreprises qui ont remporté un marché pour la gestion d'un tel nuage ? Dans l'affirmative : part-il du principe que le stockage et le traitement de données personnelles à l'étranger sont possibles même sans mesures techniques spéciales qui empêchent efficacement l'accès des autorités ?

2 Une mesure organisationnelle permettant d'empêcher efficacement l'accès des autorités depuis l'étranger consiste à ne pas confier la gestion des services en nuage à des sociétés basées dans des pays qui ne sont pas considérés comme sûrs, mais d'en confier la gestion fiduciaire à des sociétés sises dans des pays sécurisés (EEE, Suisse). Que pense le Conseil fédéral de cette possibilité ?

3. S'est-il octroyé, dans l'appel d'offres, les droits de contrôle légalement requis et sous quelle forme concrète ?

4. Quels types d'applications spécifiques envisage-t-il pour l'utilisation du nuage public ?

5. Comment se compose le montant de l'adjudication qui s'élève à 110 millions de francs sur 5 ans ?

6. Les centres de données sont très énergivores. Lors de l'attribution concrète des tâches, la Confédération favorisera-t-elle les centres de données qui fonctionnent avec de l'énergie renouvelable ? Cet élément a-t-il été pris en compte dans l'appel d'offres ? Si ce n'est pas le cas, pourquoi ?

Stellungnahme des Bundesrates

1. Lorsque des données sont traitées dans des nuages publics, des mesures techniques, organisationnelles et juridiques doivent, si nécessaire, être prises sur la base de l'analyse des risques et du besoin de protection (par ex. chiffrement des données et anonymisation ou pseudonymisation des données personnelles). L'évolution est en outre très rapide en ce qui concerne le traitement de données sécurisé avec, par exemple, l'informatique de confiance qui permet de traiter des données sensibles dans des processeurs isolés.

2. Un modèle de gestion fiduciaire est effectivement envisageable pour autant qu'il ne péjore pas significativement les fonctionnalités, la rapidité d'innovation et les questions financières. Le Conseil fédéral n'a pas encore examiné ce modèle en profondeur.

3. Lorsque de traitement de données personnelles est confié à un tiers, l'art. 10a, al. 2, LPD dispose que le mandant doit en particulier s'assurer que le tiers garantit la sécurité des données. Les exigences qui en résultent sont réglées contractuellement, en particulier les mesures techniques et organisationnelles. Elles peuvent être remplies au moyen d'une certification (par ex. ISO27001) ou d'un engagement à réaliser des audits (par ex. SOC-2, type II). Dans l'appel d'offres, les soumissionnaires devaient fournir la preuve qu'ils étaient titulaires d'une telle certification ou qu'ils disposaient des résultats d'audit. D'autres exigences seront incluses dans les contrats-cadres qui doivent encore être élaborés.

4. Actuellement, les services en nuages publics sont utilisés par exemple pour publier les cartes de swisstopo dans une application pour smartphone ou sur Internet.

Il faudra définir cas par cas les applications qui seront gérées dans des nuages publics en vérifiant à chaque fois si les conditions requises sont réunies, en particulier sur le plan juridique. Il faut tenir compte du fait que de grands fournisseurs proposent de plus en plus leurs logiciels standards uniquement à partir de nuages publics. L'acquisition de nuages publics devient donc une condition nécessaire pour que l'administration fédérale puisse utiliser ces logiciels.

5. Le montant de l'adjudication (110 millions de francs, avec plafond des coûts) a été calculé en fonction des valeurs empiriques concernant de précédentes acquisitions de prestations en nuage externes publiques et internes privées, et sur des estimations des départements et de la Chancellerie fédérale augmentées de 10 % en prévision des besoins de l'administration fédérale décentralisée. Il est prévu pour une période de 5 ans. Tous les services sont facultatifs. Il n'y a pas d'obligation d'achat.

6. Ce point n'a pas été pris en compte lors de l'appel d'offres. De nombreux fournisseurs de nuages publics se sont fixé l'objectif de faire fonctionner leurs centres de calculs avec des énergies renouvelables d'ici 2025. C'est également le cas de ceux qui ont remporté le marché.

Réponse du Conseil fédéral.