Navigation
Les derniers articles
Suivez en direct

Privatim : pas de cloud SaaS international pour données publiques sensibles

Une illustration symbolise le rejet du cloud pour les données sensibles, avec des éléments graphiques de sécurité indiquant un stockage local ou isolé.
Privatim estime que les organes publics ne devraient pas confier des données sensibles ou secrètes à des SaaS internationaux, sauf chiffrement sous clé exclusive.

TL;DR : L’essentiel

  • Privatim juge, dans la plupart des cas, non admissible l’externalisation de données personnelles sensibles ou couvertes par une obligation légale de secret vers des solutions SaaS de grands fournisseurs internationaux.
  • La résolution pointe l’absence fréquente de chiffrement empêchant l’accès du fournisseur aux données en clair, et un déficit de transparence rendant difficiles audits, gestion des changements, contrôle des collaborateurs et sous-traitants.
  • Les éditeurs peuvent modifier périodiquement et unilatéralement les conditions contractuelles, accentuant la perte de contrôle.
  • L’organe public ne maîtrise pas la probabilité d’atteinte aux droits fondamentaux, seulement sa gravité.

L’attractivité du cloud public repose sur l’élasticité et les économies d’échelle, mais Privatim rappelle que l’externalisation ne transfère pas la responsabilité : le cadre est posé dans la résolution sur l’externalisation du traitement des données dans le cloud.

Une ligne rouge : données sensibles et secrets, contrôle jugé insuffisant

Le raisonnement de Privatim revient sur un constat technique souvent mal compris : chiffrer “dans le cloud” ne signifie pas automatiquement que le fournisseur ne peut jamais lire les données. La résolution souligne que la plupart des solutions SaaS ne proposent pas encore un chiffrement qui empêcherait réellement le fournisseur d’accéder aux données en clair. Pour un public non initié, la nuance est essentielle. Un service peut chiffrer les échanges réseau et chiffrer les disques, tout en gardant la capacité de déchiffrer lors du traitement, par conception, afin d’offrir recherche, indexation, collaboration ou automatisation.

Ensuite, le texte pointe une fragilité de gouvernance qui dépasse la seule cryptographie : le niveau de transparence offert par des acteurs mondiaux est jugé insuffisant pour permettre à une autorité suisse de vérifier durablement le respect des obligations contractuelles en matière de protection et de sécurité. Cette difficulté ne concerne pas seulement les contrôles ponctuels ; elle touche la réalité quotidienne d’un SaaS : gestion des changements, évolutions de versions, pratiques opérationnelles, engagement et contrôle des collaborateurs, ainsi que la maîtrise des sous-traitants.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

À cette opacité s’ajoute un facteur structurel : la capacité de certains fournisseurs à adapter périodiquement et unilatéralement des conditions contractuelles. Même si les contrats initiaux paraissent compatibles avec des exigences publiques, la stabilité dans le temps devient un risque. La résolution traduit cette accumulation en une formule sans ambiguïté : l’utilisation d’applications SaaS s’accompagne d’une perte de contrôle considérable.

Le point le plus politique, au sens de la protection des droits, l’organe public ne peut agir que sur la gravité potentielle, en limitant ce qui sort de son domaine de contrôle. Autrement dit, lorsque l’incertitude sur l’environnement d’exécution est trop forte, l’unique variable réellement maîtrisable reste l’exposition des données.

Enfin, la résolution isole le cas des données soumises à une obligation légale de garder le secret. Ici, le sujet n’est pas seulement “un fournisseur est-il fiable ?”. Il devient “un transfert est-il juridiquement admissible ?”. Le texte rappelle qu’il n’est pas possible de faire appel à tout tiers comme auxiliaire, même si certaines règles pénales imposent aussi aux auxiliaires une obligation de silence. Cette précision dessine un angle mort fréquent : un engagement contractuel de confidentialité ne suffit pas forcément à rendre le transfert licite.

La condition “clé hors d’atteinte” : le chiffrement comme barrière réelle

Au milieu de ces freins, privatim ménage une seule porte d’entrée, très étroite. L’usage de solutions SaaS internationales pour des données personnelles sensibles ou soumises au secret est envisageable uniquement si deux conditions cumulatives sont respectées : les données doivent être chiffrées par l’organe responsable lui-même, et le fournisseur de cloud ne doit pas avoir accès à la clé.

Cette exigence change la nature de la confiance. Tant que le fournisseur détient la clé, il détient la capacité de rendre les données lisibles, que ce soit pour assurer le service, pour répondre à une demande légale dans son pays, ou à la suite d’une compromission. À l’inverse, si la clé reste exclusivement sous contrôle de l’organe public, la donnée hébergée devient, pour le fournisseur, un contenu inexploitable.

Le concept se rapproche du “chiffrement avec sa propre clé” et du principe bring-your-own-key (BYOK). BYOK désigne une approche où la clé cryptographique n’est pas générée, stockée et administrée par le fournisseur, mais par l’organisation cliente. L’objectif n’est pas seulement d’“ajouter du chiffrement” ; il est de conserver la capacité de gouverner la clé : création, stockage, rotation (remplacement périodique), révocation (invalidation), et contrôle strict des accès. Le bénéfice opérationnel est double : réduire l’exposition du contenu en clair hors du périmètre de contrôle, et éviter qu’un changement contractuel, une erreur d’exploitation ou une contrainte externe côté fournisseur ne transforme un hébergement en accès.

Ce cadrage n’efface pas les contraintes fonctionnelles. Beaucoup de services SaaS doivent manipuler des données en clair pour fournir des fonctions avancées. Plus le service est “intelligent” (recherche, tri, corrélation, détection de doublons, automatisation), plus la tension augmente entre fonctionnalités et impossibilité d’accès au contenu. Dans cette logique, l’exigence “clé hors d’atteinte” peut conduire à segmenter les usages : certaines données restent dans un périmètre maîtrisé, d’autres sont envoyées chiffrées de bout en bout côté autorité, ou des traitements sont redessinés pour éviter d’exposer des secrets à un tiers.

Le texte ajoute aussi une dimension extraterritoriale concrète : le CLOUD Act, en vigueur depuis 2018, peut contraindre des fournisseurs américains à fournir des données de clients aux autorités américaines sans suivre les règles de l’entraide judiciaire internationale, y compris lorsque les données sont stockées dans des centres de calculs en Suisse. Dans ce contexte, l’absence d’accès du fournisseur à la clé devient une manière de déplacer le problème : plutôt que de miser sur une localisation géographique, la protection repose sur une impossibilité technique de livrer des données en clair.

Ce que la résolution change dans les arbitrages publics suisses

Le texte invite à renverser une séquence de décision trop fréquente. Le réflexe consiste souvent à choisir d’abord un outil, puis à adapter les processus, puis à découvrir la nature réelle des données impliquées. La résolution pousse à l’inverse : cartographier les types de données et leurs contraintes (sensibilité, secret, exigences légales), analyser les risques dans chaque cas, puis choisir des mesures qui ramènent le risque à un niveau acceptable.

Dans ce cadre, l’arbitrage ne se limite pas à “cloud” contre “pas cloud”. Il devient “quelles données peuvent sortir, dans quelles conditions prouvables, avec quels contrôles, et avec quel niveau d’indépendance vis-à-vis du fournisseur”. La perte de contrôle décrite par privatim n’est pas une abstraction : elle recouvre la capacité réelle à vérifier ce qui se passe, à maîtriser la chaîne de sous-traitance, à anticiper des changements non négociables et à garantir, dans la durée, la conformité à des obligations publiques.

Un angle mort mérite d’être gardé en tête : la condition cryptographique n’est pas un remède universel. Le chiffrement protège le contenu, mais pas nécessairement les métadonnées, la gestion des identités et des accès, la configuration des comptes, ni la qualité des journaux d’audit. Autrement dit, même si le fournisseur ne peut pas lire les fichiers, un incident peut encore exposer des informations périphériques ou provoquer des perturbations de service. La résolution, d’ailleurs, insiste sur des éléments qui ne sont pas réductibles au chiffrement : transparence, contrôle des changements, gestion des sous-traitants, stabilité contractuelle.

Un contrepoint, tout aussi réel, s’impose : des acteurs industriels peuvent offrir une robustesse d’infrastructure et une capacité d’exploitation difficiles à reproduire localement. La résolution ne nie pas l’attractivité du modèle ni les bénéfices d’échelle. Elle place simplement le curseur ailleurs, sur la responsabilité publique, la protection de données sensibles, et la possibilité de démontrer la conformité, même lorsque le fournisseur opère à l’international.

La mise en perspective finale tient dans un principe unique : pour les données personnelles sensibles et les données soumises au secret, la compatibilité avec un SaaS international ne se joue pas sur une promesse de sécurité générique, mais sur une maîtrise cryptographique et une gouvernance qui empêchent l’accès du fournisseur à la clé. À défaut, l’externalisation fait sortir les données d’un domaine contrôlable, alors même que la responsabilité, elle, reste intégralement du côté de l’autorité.

A lire aussi

Face à Microsoft 365, la Suisse s’interroge sur sa souveraineté numérique

Le recours au cloud Microsoft 365 agite les cantons suisses : entre innovation et contrôle, la souveraineté numérique devient un enjeu stratégique.

Lire la suite sur dcod.ch
Face à Microsoft 365, la Suisse s’interroge sur sa souveraineté numérique

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.