Lexipedia

Renforcer la souveraineté numérique de la Suisse en concluant avec les États-Unis un accord bilatéral portant sur le Cloud Act

25.4679 · Interpellation · 2025-12-18

Département de justice et police

Liquidé

Wortlaut

Dans le débat sur la souveraineté numérique de la Suisse et l’utilisation des services en nuage, la sécurité juridique est un facteur extrêmement important pour les utilisateurs publics et privés.

En 2018, les États-Unis ont adopté le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), qui a entraîné une insécurité juridique pour les utilisateurs de technologies en nuage. Cette loi autorise les autorités américaines de poursuite pénale, dans le cadre de la prévention, de l’investigation, de l’élucidation et de la poursuite concernant les infractions pénales graves, à accéder aux preuves, c’est-à-dire aux données stockées par les fournisseurs de services de communication ayant leur siège aux États-Unis, peu importe que les données soient stockées aux États-Unis ou par exemple dans l’UE ou en Suisse, notamment via des filiales européennes. Elle dispose ainsi d’un champ d’application extraterritorial.

On peut lire dans le rapport du Conseil fédéral du 26 novembre 2025 intitulé « Souveraineté numérique de la Suisse » que ce dernier a chargé le DFJP, le 9 avril 2025, de se pencher sur l’élaboration d’une base légale qui réponde aux défis auxquels sont confrontées les autorités de poursuite pénale dans le cadre de l’obtention de données électroniques transfrontalières.

Le Royaume-Uni a déjà conclu en 2019 un accord bilatéral avec les États-Unis dans le cadre du CLOUD Act, accord qui a abouti à une augmentation considérable de la sécurité juridique : ainsi, l’accès des autorités américaines d’instruction pénale aux données du secteur public est, de facto, exclu. Un accord permettrait également d’instaurer des droits réciproques pour les autorités suisses d’instruction pénale, ce qui accélérerait considérablement les enquêtes pénales concernant les preuves électroniques. Pour les mêmes raisons, l’Australie a signé avec les États-Unis, en 2021, un accord portant sur le CLOUD Act.

Je prie le Conseil fédéral de bien vouloir répondre aux questions suivantes :

  • Pourquoi la Suisse n’a-t-elle pas encore entamé de négociations avec les États-Unis en vue de conclure un accord bilatéral portant sur le CLOUD Act ?

  • Dans quelle mesure l’accord entre le Royaume-Uni et les États-Unis portant sur l’accès aux données pourrait-il servir de modèle à la Suisse ?

  • Pourquoi le Conseil fédéral souhaite-t-il uniquement procéder à un examen et ne considère-t-il pas qu’une procédure accélérée serait plus appropriée pour renforcer la sécurité juridique dans le domaine électronique et accélérer la capacité d’innovation et la transformation numérique de la Suisse ?

Stellungnahme des Bundesrates

1. L’objet principal du CLOUD Act est de permettre aux autorités de poursuite pénale américaines d’accéder aux données stockées en dehors des États-Unis dans le cadre de leurs procédures pénales, y compris lorsqu’elles sont stockées sur un serveur à l’étranger. Comme cette nouvelle possibilité d’accès est souvent en conflit avec le droit du lieu où les données sont stockées, les États-Unis proposent à d’autres États, pour autant qu’ils remplissent certaines normes en matière d’État de droit, de conclure un accord (executive agreement) également régi par le CLOUD Act. En concluant un tel accord, l’État partenaire accepte que les autorités de poursuite pénale américaines accèdent aux données stockées sur son territoire par des fournisseurs de service. En retour, l’État partenaire a l’assurance que ses autorités de poursuite pénales pourront adresser des injonctions de production aux fournisseurs de service se trouvant aux États-Unis.

L’Office fédéral de la justice (OFJ) a examiné le CLOUD Act et la possibilité de conclure un accord avec les États-Unis et a rédigé pour ce faire le rapport du 17 septembre 2021 sur le CLOUD Act (loi Cloud). Le rapport conclut que les procédures prévues dans le CLOUD Act, qui trouvent leur origine dans le système anglo-saxon de common law, sont difficilement compatibles avec les normes de droit suisse relatives aux droits fondamentaux et à la protection des données. L’Union européenne (UE) est parvenue à la même conclusion. Elle a élaboré de son côté un système transfrontalier d’accès aux données dans le cadre des procédures pénales (législation e-evidence de l’UE). L’OFJ a également évalué cette solution et a rédigé le rapport du 24 octobre 2023 sur le projet e-evidence de l’UE. Ce dernier reprend les modes de fonctionnement des systèmes pénaux qui trouvent application sur le continent européen. La protection juridique et la protection des données se fondent sur les normes européennes.

Le Conseil fédéral est parvenu à la conclusion que le système de l’UE est davantage conciliable avec le droit suisse et que la Suisse s’orientera donc vers ce système. Lors de sa séance du 9 avril 2025, il a chargé le Département fédéral de justice et police d’étudier la création des bases légales requises et d’évaluer si une collaboration plus étroite avec l’UE était possible. En fonction de l’avancée des travaux, il sera possible d’envisager dans un deuxième temps un accord avec les États-Unis qui règlerait les interactions entre les systèmes e-evidence et CLOUD Act. Les informations sur l’état du projet et les deux rapports de l’OFJ sur le CLOUD Act et sur le projet e-evidence sont disponibles sur : https://www.bj.admin.ch/bj/fr/home/sicherheit/gesetzgebung/e-evidence.html.

2. Jusqu’à présent seuls deux États appliquant le droit anglo-saxon (le Royaume-Uni et l’Australie) ont conclu avec les États-Unis un accord portant sur le CLOUD Act. Comme la Suisse est un État ayant un système juridique continental, elle devrait probablement négocier un accord nettement plus complet, notamment en matière de protection juridique, de protection des droits fondamentaux et de protection des données. C’est pourquoi il semble peu probable que l’accord entre le Royaume-Uni et les États-Unis puissent servir de modèle à la Suisse. De plus amples informations à ce sujet se trouvent dans le rapport de l’OFJ sur le CLOUD Act.

En plus du CLOUD Act, les lettres de sécurité nationale (National Security Letters ou NSL) et la section 702 du Foreign Intelligence Surveillance Act (FISA) représentent un problème majeur pour la souveraineté numérique de la Suisse, pour l’autodétermination numérique de sa population et pour la protection des données. Ces instruments permettent aux autorités américaines d’accéder aux données des personnes non américaines stockées auprès de fournisseurs de services en nuage américains, et ce sans qu’un juge ne l’ait ordonné au cas par cas et avec une obligation stricte de maintien du secret envers les clients concernés. Il n’est pas prévu de conclure des accords bilatéraux et multilatéraux dans le cadre des NSL et de la section 702, car elles servent expressément à assurer la sécurité nationale des États-Unis. Un éventuel accord portant sur le CLOUD Act ne restreindrait pas ces droits d’accès et ne permettrait pas non plus de les réglementer de manière transparente. Ainsi, le risque d’un accès extraterritorial aux données suisses demeure, même si les données sont localisées formellement ou s’il existe des mécanismes de protection contractuelles.

3. La conclusion d’un accord portant sur le CLOUD Act diminuerait considérablement la souveraineté de la Suisse. Les autorités de poursuite pénale américaines auraient des droits d’accès très larges sur les données stockées en Suisse. Une telle décision ne doit pas être prise à la légère. Si la Suisse faisait cavalier seul, les relations avec d’autres partenaires importants (par exemple avec l’UE concernant l’accès au marché et l’adéquation de la protection des données) seraient compromises. La sécurité juridique serait renforcée pour certains fournisseurs de service, surtout ceux basés aux États-Unis. Toutefois, le fait que les autorités de poursuite pénale américaines puissent accéder aux données créerait une grande insécurité juridique pour de nombreuses autres entreprises du numérique quant à l’accès au marché européen et quant aux possibles atteintes à la sphère privée des personnes qui stockent des données en Suisse. Un examen minutieux est donc nécessaire avant de prendre une quelconque décision sur les prochaines étapes.