La Conférence suisse des préposés à la protection des données met en garde contre le stockage de données sensibles des administrations dans des clouds étrangers. Elle plaide pour des solutions mieux contrôlées, notamment suisses ou européennes.

Les administrations suisses devraient éviter de confier leurs données sensibles à des solutions cloud étrangères. C’est le message porté par Privatim, la Conférence des préposés à la protection des données, qui a récemment adopté une résolution en ce sens. En cause: des centres de stockage souvent situés hors de Suisse ou détenus par des groupes étrangers.

Martine Stoffel, préposée à la protection des données du canton de Fribourg et représentante de Privatim, a expliqué lundi dans Forum que cette résolution vise avant tout à alerter: “La Conférence des préposés à la protection des données suisses a voulu lancer une alerte et rendre attentif aux risques qu’on voit lorsqu’on stocke des données sensibles dans des solutions cloud type SaaS, donc des clouds publics, chez lesquels les autorités suisses peuvent louer des parties de cloud pour y stocker ou y traiter les données sensibles de leurs citoyens”, a-t-elle précisé.

Des données sensibles sous contrôle

Selon Martine Stoffel, l’externalisation comporte plusieurs risques. Les solutions de cloud public n’offrent pas toujours un chiffrement de bout en bout garantissant que les fournisseurs n’aient pas accès aux données. Et la multiplication des sous-traitants complique aussi la traçabilité et les contrôles.

A l’inverse, un stockage local ou dans un cloud suisse permettrait une meilleure surveillance. Dans ce contexte, Privatim recommande de classifier les données et de réserver les clouds publics aux informations non sensibles.

“Les données sur la santé, les opinions religieuses ou les sanctions prises contre des personnes ne doivent pas être externalisées dans des clouds”, relève Martine Stoffel.

Pas d’abandon total des clouds

La résolution ne préconise toutefois pas d’abandonner totalement le cloud. Les données publiques peuvent continuer à y être stockées, les risques étant jugés différents.

Pour les données les plus sensibles, plusieurs alternatives existent: les clouds suisses ou européens, le stockage local ou le chiffrement avec une gestion des clés exclusivement par l’autorité publique.

La dépendance aux grands acteurs du numérique reste néanmoins un défi, alors que leurs outils sont largement utilisés dans les administrations. Pour la préposée à la protection des données du canton de Fribourg, cela implique un travail supplémentaire de tri et de gestion, mais pas nécessairement un renoncement à ces solutions.

Enfin, Martine Stoffel rappelle le risque juridique lié au Cloud Act, qui permet aux autorités américaines d’accéder à des données stockées par des entreprises américaines, y compris lorsque les serveurs se trouvent hors des États-Unis.

Propos recueillis par Thibaut Schaller

Adaptation web: ther