25.4530 · Interpellation · 2025-12-15
Département de l'économie, de la formation et de la recherche
L’avis relatif à l’intervention est disponible
Wortlaut
Je prie le Conseil fédéral de répondre aux questions suivantes :
Aujourd’hui, les infrastructures en nuage à usage potentiellement militaire ne sont soumises ni à la législation sur le contrôle des biens ni à celle sur le matériel de guerre. Qu’en pense le Conseil fédéral ?
Quelles sont les mesures en place qui garantissent que les services en nuage suisses ne soient pas utilisés à des fins militaires dans des États tiers sensibles sur le plan de la sécurité alors que la législation sur le contrôle des exportations ne couvre pas ce risque ?
Le Conseil fédéral prévoit-il d’intégrer à l’Arrangement de Wassenaar une réglementation plus précise des infrastructures en nuage ou du moins d’œuvrer activement dans ce sens ?
Quelles sont les réflexions en cours pour intégrer les services en nuage dans des mécanismes de contrôle et d’autorisation existants ?
Comment le Conseil fédéral compte-t-il garantir que la politique suisse de contrôle des exportations s’adapte au progrès technologique de façon à empêcher activement les abus, notamment dans le domaine militaire ?
Envisage-t-il la possibilité d’instaurer, pour les prestataires de services en nuage qui coopèrent avec des acteurs militaires ou du renseignement à l’étranger, l’obligation de déclarer cette activité ou d’obtenir une autorisation ?
Begründung
L’Arrangement de Wassenaar ne porte pas expressément, à ce stade, sur les infrastructures en nuage. En Suisse, la pratique ne les soumet ni à la loi du 13 décembre 1996 sur le contrôle des biens (RS 946.202) ni à la législation sur le matériel de guerre, pour autant qu’elles n’emploient pas de logiciels spécialement contrôlés. Il en résulte un vide juridique dans la mesure où une infrastructure numérique peut devenir accessible dans un État tiers en dehors de tout régime d’autorisation, même si un usage militaire est techniquement possible. À une époque où la guerre et les opérations de renseignement se déroulent de plus en plus dans l’univers numérique, ce vide juridique constitue un risque en matière de sécurité et de contrôle des exportations et contrevient à la neutralité suisse. Le contrôle des technologies relevant de la sécurité exige que les instruments juridiques s’adaptent à la réalité technique, car mieux vaut prévenir que guérir.
Stellungnahme des Bundesrates
1) Les services tels que la mise à disposition d’une infrastructure en nuage (Infrastructure as a Service, IaaS) et l’offre de plateformes (Platform as a Service, PaaS) ne constituent pas des exportations de technologies ou de logiciels au sens de la loi fédérale sur le matériel de guerre (LFMG, RS 514.51) ou de la loi sur le contrôle des biens (LCB, RS 946.202). De même, les données, modèles et résultats provenant d’un client étranger et stockés, traités ou téléchargés par ce dernier dans le cloud ne sont pas considérés comme exportés depuis la Suisse. Toutefois, si un prestataire de services en nuage offre des services logiciels (Software as a Service, SaaS) à des clients étrangers et que les logiciels concernés figurent dans les listes de biens annexées à l’ordonnance sur le matériel de guerre (OMG, RS 514.511) ou à l’ordonnance sur le contrôle des biens (OCB, RS 946.202.1), les contrôles à l’exportation s’appliquent. Il pourrait s’agir par exemple de logiciels destinés à la modélisation ou à la simulation de scénarios opérationnels militaires ou de logiciels conçus pour la conduite de cyberopérations (cf. ML21, annexe 3, OCB). La liste des biens à double usage prévoit elle aussi des contrôles spécifiques pour les logiciels, généralement lorsque ceux-ci sont liés à des biens contrôlés. À ce stade, le Conseil fédéral ne perçoit donc pas de nécessité urgente d’étendre ces contrôles.
3, 4 et 5) La Suisse coordonne ses contrôles à l’exportation avec d’autres États dans le cadre des régimes multilatéraux de contrôles à l’exportation. L’impact de l’informatique en nuage sur les contrôles à l’exportation est observé et traité depuis plusieurs années déjà dans le cadre de l’Arrangement de Wassenaar (WA). Le WA offre la possibilité d’échanger des informations sur les services en nuage soumis aux contrôles et de remédier aux éventuelles lacunes identifiées. Pour ce faire, le Secrétariat d'État à l'économie (SECO) est en contact avec l’industrie et les hautes écoles suisses et participe activement aux discussions du WA. Dans le domaine des biens militaires, les contrôles sont d’ores et déjà largement développés. Les contrôles des biens à double usage portent sur des technologies et des logiciels clairement délimités, classifiés selon des paramètres techniques. Les discussions menées dans le cadre du WA étant confidentielles, le Conseil fédéral ne peut fournir aucune information à leur sujet dans la présente réponse. Cependant, la réglementation des infrastructures en nuage (IaaS) dépasse le cadre des contrôles à l’exportation.
2 et 6) Pour proposer des services en nuage, il n’est actuellement pas nécessaire de disposer d’une autorisation spécifique en Suisse. Les entreprises doivent toutefois se conformer à des exigences juridiques générales telles que la protection des données, le droit des contrats et les réglementations sectorielles. À titre d’exemple, selon la loi fédérale sur les prestations de sécurité privées fournies à l’étranger (LPSP, RS 935.41), les prestations telles que le soutien logistique ainsi que le conseil ou la formation de personnel fournies à une force armée ou de sécurité étrangère sont soumises à une obligation de déclarer dès lors qu’elles sont en relation étroite avec les fonctions essentielles de ladite force armée ou de sécurité. Selon l’ordonnance sur les prestations de sécurité privées fournies à l’étranger (OPSP, RS 935.411), on entend notamment par soutien logistique la mise en place, l’exploitation ou la maintenance d’infrastructures. Les fonctions essentielles des forces armées consistent à défendre le pays et à préserver ses intérêts à l’aide de moyens militaires. Une relation étroite avec ces fonctions existe par exemple dès lors qu’une entreprise fournit des prestations visant spécifiquement à mettre en place ou à assurer la maintenance des infrastructures militaires cyber de la force armée. L’autorité compétente contrôle, pour toute activité dont elle a eu connaissance, s’il existe une relation étroite et donc une obligation de déclarer cette dernière au sens de la LPSP. Si une prestation entre en contradiction avec les buts de la LPSP (art. 1), elle est interdite.