Source et contexte: Privatim (association des préposés suisses à la protection des données) publie une prise de position sur l’usage de solutions SaaS par les organes publics suisses, alors que le recours aux clouds publics et aux hyperscalers s’intensifie.
Privatim rappelle la responsabilité particulière des autorités en matière de protection des données et de sécurité de l’information et exige une analyse de risques au cas par cas avant toute externalisation vers le cloud ☁️.
Principaux motifs d’inadmissibilité pour des données personnelles sensibles ou soumises au secret dans des SaaS internationaux (ex. M365) :
- Absence de véritable chiffrement de bout en bout empêchant l’accès du fournisseur aux données en clair.
- Manque de transparence des acteurs mondiaux sur la mise en œuvre des mesures techniques, la gestion des changements/versions et la chaîne de sous-traitance, avec conditions contractuelles modifiables unilatéralement.
- Perte de contrôle intrinsèque au modèle SaaS : l’autorité ne peut pas influencer la probabilité d’atteintes aux droits fondamentaux et ne peut réduire que la gravité en évitant la divulgation hors de son contrôle.
- Insécurité juridique sur le transfert de données couvertes par des secrets légaux (secret professionnel, de fonction), l’auxiliariat ne s’appliquant pas à « tout tiers ».
- Extraterritorialité du CLOUD Act (USA) 🇺🇸: fournisseurs américains pouvant être contraints de remettre des données aux autorités US, même stockées en Suisse, hors entraide judiciaire internationale.
Conclusion de Privatim 🔐: L’usage de SaaS internationaux par des organes publics pour des données sensibles ou soumises au secret n’est acceptable que si les données sont chiffrées par l’organe et que le fournisseur n’a aucun accès aux clés.
Type d’article et objectif: recommandation de sécurité; prise de position visant à encadrer l’externalisation cloud du secteur public suisse.
🔗 Source originale : https://www.privatim.ch/fr/resolution-sur-lexternalisation-du-traitement-des-donnees-dans-le-cloud/