Lexipedia

25.4575 · Interpellation · 2025-12-17

Département de l'environnement, des transports, de l'énergie et de la communication

L’avis relatif à l’intervention est disponible

Wortlaut

L’actualité géopolitique et économique récente démontre que la Suisse doit renforcer sa souveraineté numérique et réduire sa dépendance à l’égard de services en nuage (services cloud) étrangers.

Or, selon un article publié à la fin du mois de novembre sur le site d’information watson.ch, La Poste suisse semble avoir fait un choix paradoxal en adoptant une stratégie dite «Cloud First».

La Poste prévoit, en effet, de migrer jusqu’à 95% de ses traitements de données vers les infrastructures cloud de géants américains tels que Microsoft et Amazon au détriment de ses centres de données. Une telle orientation accroît la dépendance de La Poste vis-à-vis d’acteurs soumis au droit américain, en particulier au US Cloud Act, lequel permet aux autorités américaines d’exiger la transmission de données détenues par des entreprises américaines, indépendamment du lieu d’hébergement de ces données, y compris lorsqu’elles se trouvent en Europe.

Cette évolution s’inscrit dans un contexte marqué par une réduction drastique des infrastructures informatiques propres de La Poste et par la délocalisation d’emplois au Portugal. La Poste semble ainsi conduire sa politique numérique sans véritable considération pour les intérêts supérieurs de notre pays alors même que la Confédération en est l’actionnaire unique.

Cette situation est d’autant plus incompréhensible que l’Office fédéral de l’informatique et de la télécommunication a été chargé de mettre en place le Swiss Government Cloud, une infrastructure en nuage destinée à répondre aux besoins de l’administration fédérale d’ici à 2032.

1. Le Conseil fédéral estime-t-il que l’approvisionnement de base en services cloud en Suisse devrait gagner en indépendance vis-à-vis de prestataires étrangers?

2. Quelle stratégie concrète le Conseil fédéral entend-il poursuivre afin de garantir et de renforcer durablement la souveraineté numérique de la Suisse?

3. Le Conseil fédéral considère-t-il comme admissible que La Poste confie l’essentiel de ses traitements de données à des infrastructures cloud de géants américains?

4. La décision de La Poste de déléguer une part massive des traitements de données à des infrastructures américaines, n’est-elle pas de nature stratégique et politique ? Dans l’affirmative, le Conseil fédéral ne devrait-il pas intervenir plus activement, notamment par le biais des objectifs stratégiques qu’il fixe à La Poste?

Stellungnahme des Bundesrates

1., 2. Fin novembre 2025, le Conseil fédéral a défini la souveraineté numérique pour la Suisse dans un rapport en réponse au postulat 22.4411 Z’graggen « Stratégie Souveraineté numérique de la Suisse ». Dans ce cadre, un groupe de travail interdépartemental Souveraineté numérique a notamment été mis en place. Il sera chargé, entre autres, d’identifier les risques en matière de politique de sécurité pour les ressources numériques de la Confédération et d’élaborer des recommandations visant à renforcer la souveraineté numérique de la Suisse. Ces recommandations peuvent également inclure l’adaptation des bases légales, de la gestion des risques ou des mesures technologiques. Si la nécessité d’agir se fait sentir, une adaptation des objectifs stratégiques du Conseil fédéral pour les entreprises liées à la Confédération, telles que la Poste, pourrait également être envisagée.Par ailleurs, le Conseil fédéral a adopté mi-décembre 2025 la version 2026 de la stratégie Suisse numérique, dans laquelle il a défini la souveraineté numérique comme l’un des thèmes prioritaires. L’administration fédérale prévoit ainsi de cibler les améliorations à apporter à sa souveraineté numérique et à sa résilience en cas de crise de manière à maintenir sa capacité à résister et à agir. 3., 4. En tant que propriétaire, le Conseil fédéral pilote la Poste en lui assignant des objectifs stratégiques. Il n’exerce en principe pas d’influence sur les affaires opérationnelles. Le traitement et la sécurité des données relèvent de la responsabilité de la Poste. Le Conseil fédéral attend toutefois de la Poste qu’elle garantisse à tout moment et intégralement la sécurité des données dans le cadre de ses activités en Suisse et à l’étranger, ainsi que le respect des prescriptions légales et réglementaires en la matière. Selon les informations fournies par la Poste, le traitement des données s’effectue à différents endroits. D’une part, dans ses propres centres de calcul en Suisse, en particulier lorsque cela est requis par le cadre réglementaire ou légal et en raison de la sensibilité des données. À titre d’exemple, dans le cas du vote électronique, toutes les données doivent être traitées et conservées en Suisse par des entreprises sous contrôle suisse. De même, dans le cas du courrier numérique, qui fera partie du service universel à partir d’avril 2026, les données doivent être traitées en Suisse en application du droit suisse et l’infrastructure technique (p. ex. les serveurs, les centres de données) doit être physiquement située en Suisse et contrôlée par des entreprises suisses. D’autre part, la Poste utilise les services cloud d’Amazon Web Services (AWS) et de Microsoft Azure en Suisse et dans les pays européens. La Poste souhaite ainsi accroître son efficacité, proposer des services innovants et faire avancer la transformation numérique. Selon la Poste, le fait que les données soient en mouvement et se trouvent à différents endroits renforce la sécurité. La Poste s’engage envers ses clients à respecter à tout moment l’ensemble des dispositions applicables en matière de traitement des données. Grâce à un chiffrement de bout en bout (y compris la gestion des clés par la Poste), à des garanties contractuelles stipulant que, dans la mesure où cela est juridiquement possible, aucune donnée ne sera transférée aux États-Unis et que les fournisseurs de cloud s’opposeront par tous les moyens juridiques disponibles aux demandes d’accès des autorités étrangères, la Poste réduit les risques liés à l’utilisation de solutions cloud. La Poste prévoit d’agrandir son site informatique à Lisbonne, mais cela n’entraînera pas de licenciements en Suisse ni de délocalisation d’emplois. Sur les quelque 500 postes vacants attendus au cours des cinq prochaines années, environ 130 devraient être pourvus à l’étranger. La Suisse restera toutefois le site principal pour les services informatiques. Ainsi, environ 250 postes informatiques ont été créés en Suisse depuis 2020.