Choix du cloud de Microsoft par le canton de Zurich: les Préposés suisses à la protection des données réagissent
La décision du Conseil d'Etat zurichois d'autoriser l'utilisation du service cloud Microsoft 365 pour l'administration suscite des critiques de la part de la Conférence des Préposé(e)s suisses à la protection des données.
Au printemps de cette année, le Conseil d'Etat du canton de Zurich a autorisé l'utilisation de Microsoft 365 (M365) pour l'administration. Cette décision s'applique à toutes les autorités soumises à la stratégie cantonale en matière de TIC ainsi qu'à la police cantonale. Une décision qui ne fait pas l’unanimité chez les spécialistes de la privacy. La Conférence des Préposé(e)s suisses à la protection des données (Privatim) a publié il y a peu sa réaction, mettant notamment en garde contre le risque de considérer la décision du Conseil d'Etat comme «un feu vert à la mise en place de M365 dans l’administration». Selon Privatim, il faudrait plutôt considérer que les autorités délèguent la tâche d'analyse des bases légales aux différents organes publics.
Selon Privatim, les motifs de la décision du Conseil d'Etat zurichois sont mal équilibrés. L’organe exécutif constate par exemple que les solutions cloud ne présentent en principe pas de risques plus élevés pour la sécurité des informations et la protection des données que les solutions sur site. Autre constat: les risques de divulgation d'informations confidentielles par des accès non autorisés et illégaux seraient plus faibles avec une solution cloud que lorsque les données sont conservées sur site. «Cette affirmation n’est pas pertinente au vu des divers risques supplémentaires», selon Privatim. Qui précise que l'aspect de la perte de contrôle n'est pas suffisamment pris en compte. Et d’ajouter qu’il est du devoir des organes publics de clarifier les différents risques qui pèsent sur les droits fondamentaux des personnes concernées et de prendre les mesures qui s’imposent pour minimiser la perte de contrôle. Le risque résiduel devrait être assumé par le Conseil d'Etat, écrit Privatim en se référant à une fiche d'information publiée en février 2022.
Le Cloud Act reste illégal
«De plus, il faut expliquer comment on peut contrebalancer les nouveaux risques par les avantages, auxquels on ne peut renoncer, du service du Cloud par rapport à une solution équivalente on premise et aux produits à faible risque d’autres fournisseurs. Mais il n’y a ici ni prise de risque, ni analyse circonstanciée des risques, ni motifs évidents», explique encore Privatim dans sa prise de position. Avant d'aborder la question du de l'accès possible des autorités de poursuite pénale américaines aux données stockées dans le nuage, sur la base du Cloud Act local. Dans sa décision, le Conseil d'Etat zurichois avait argumenté qu'un tel scénario était hautement improbable dans la pratique. Reste qu’un tel accès est illégal en Suisse et viole la protection des données, rétorque Privatim, et ce indépendamment de sa probabilité statistique.
Comme le canton de Zurich, la Suva a opté pour une approche basée sur les risques pour décider de la viabilité d’un passage à Microsoft 365. Un choix qui n’a pas vraiment plu au Préposé fédéral à la protection des données...