La souveraineté nationale peut-elle s’accommoder d’un cloud américain ?
10 septembre 2021 à 09:03
Etienne Wery
Avocat-associé @ Ulys
Des citoyens suisses demandent un référendum destiné à revenir sur un appel d’offres octroyant à des prestataires américains et chinois le contrat destiné à créer un « swiss cloud ». Ils mettent en avant les risques pour la souveraineté nationale et veulent inscrire le principe de la souveraineté numérique dans la Constitution.
En avril 2020, le Conseil fédéral lançait un projet de « Swiss Cloud » dans le but, selon le communiqué officiel de la Confédération, « d’améliorer la souveraineté de la Suisse en matière de données et réduire la dépendance de notre pays par rapport aux prestataires internationaux de services ».
Le cahier des charges prévoyait notamment, dans un objectif de sécurité informatique, un stockage éclaté géographiquement sur 3 continents. En raison de cette contrainte, aucun prestataire suisse n’a été en mesure de soumettre une offre recevable.
En juin 2021, le conseil fédéral attribue le marché à quatre prestataires américains et un chinois.
Plusieurs citoyens s’en émeuvent et souhaitent profiter de l’occasion pour ouvrir un débat national sur la souveraineté numérique. Leurs demandes ?
Revenir sur le marché attribué à des opérateurs étrangers ;
Constituer sous la houlette du conseil fédéral, une plate-forme regroupant les acteurs suisses du cloud de façon à permettre le développement d’une alternative suisse offrant un même niveau de qualité sur le plan technique et de la sécurité, tout en assurant la souveraineté numérique nationale ;
Une votation (référendum) destinée à inscrire dans la constitution le principe de la souveraineté numérique suisse.
Souveraineté numérique ?
Au-delà du cas Suisse, qui ne manque pas d’intérêt, la question sous-jacente est extrêmement importante.
Il n’est plus possible de faire l’impasse sur la question de la souveraineté numérique. Cette notion ne peut plus se cantonner au seul domaine militaire ; elle doit englober la transformation digitale globale de l’ensemble de la société sur tous les plans, notamment :
politique (voy. les élections américaines ou le Brexit, pollués par des interventions extérieures) ;
civiles (voy. les risques de paralysie de l’État lorsqu’un virus atteint des systèmes informatiques essentiels) ;
sécuritaires (voy. les attaques informatiques à l’encontre de centrales nucléaires) ;
Il n’y a plus un pan de notre société qui échappe à la question de la souveraineté numérique.
Le mauvais exemple américain
Quel est le risque en définitive ?
Il y a évidemment tous ces risques liés à une agression au sens large du terme :
Le cas Huawei : entre déclarations politiques et arrestations de certains responsables (pour des motifs réels ou simplement comme moyen de pression ?), on ne sait toujours pas si la chine est en mesure de capter les conversations en dehors de son territoire.
Alors que le Royaume-Uni était encore dans l’Union européenne, il espionnait allègrement les Etats membres ; que fera-t-il maintenant qu’il est délié de toute obligation de loyauté ?
Et la Chine ? Selon certains rapports, elle pratiquerait l’espionnage industriel à grande échelle grâce aux backdoors dont le gouvernement disposerait dans plusieurs applications chinoises extrêmement populaires. On rappelle que, à tort ou à raison, c’est ce qui a amené Washington à interdire TikTok aux États-Unis. Quant à la Russie, n’en parlons pas …
Au-delà de ces hypothèses agressives, il y a le risque de voir des puissances étrangères utiliser les armes juridiques dont elles disposent selon leur propre législation, pour accéder à des informations qui concernent des entreprises, des citoyens ou des Etats étrangers. Nulle fraude, nulle attaque : simplement le recours à une procédure légale permettant à l’État de prendre connaissance d’une information détenue par une de ses entreprises.
Pure fiction ? Pas tant que ça. A titre d’exemples :
Il y a 2 ans, Microsoft a mené une guerre juridique totale contre le gouvernement américain et le FBI. Dans le cadre d’une réquisition judiciaire, Microsoft transmet toutes les données du client concerné qui sont hébergées sur les serveurs situés aux États-Unis, mais refuse de transmettre les données hébergées sur les serveurs localisés en Irlande (données dites non-américaines). Voy notre actu à ce sujet).
Afin de faire pression sur les entreprises non-américaines qui font du commerce avec l’Iran (commerce légal au regard de leur droit national mais en violation du blocus américain), le gouvernement US n’hésite pas à recueillir, au travers des plates-formes de cloud américaines, toutes les informations disponibles sur les échanges économiques existants.
Il y a quelques années, dans le dossier Swift, les États-Unis n’ont pas hésité à tordre toutes les notions juridiques de façon à obtenir via l’établissement américain de Swift, des informations sur des banques et des transactions non-américaines.
Bref, la question de la souveraineté nationale est aujourd’hui fondamentale.
Savoir si la solution réside dans la création d’un cloud purement national est un débat qui concerne plutôt les moyens à mettre en œuvre. L’objectif, lui, doit être clair et affirmé, et c’est là que réside le mérite principal de l’initiative suisse.