Suisse Quo Vadis ? La quête de la souveraineté à l'ère numérique

En juin 2022, l'Edgelands Institute a publié un rapport de diagnostic résumant les résultats de nos recherches sur les différentes façons dont la transformation numérique a un impact sur le paysage de la sécurité et de la surveillance à Genève. Pour compléter ce rapport, nous publierons une série de billets de blog développant certaines de nos idées clés concernant la numérisation de la sécurité et ajoutant des détails supplémentaires aux tendances émergentes que nous avons identifiées. Ce billet de blog fait partie de cette série.

‍

Comment la Confédération suisse doit-elle préserver ses valeurs, ses intérêts et vous, ses habitants, dans un espace numérique qui se transforme de plus en plus en un champ de bataille économique et géopolitique ? Comme l'ont montré la pandémie de Covid-19 et la cyberguerre en Ukraine, les infrastructures numériques, telles que les bases de données numériques de santé publique, les outils d'éducation en ligne et les cyberdéfenses des serveurs militaires, sont primordiales pour la sécurité nationale et la prospérité publique des pays à l'ère actuelle. Ce n'est que si les États disposent d'une autonomie et d'un contrôle suffisants sur ces infrastructures qu'ils pourront récolter de manière indépendante les avantages économiques qui découlent de ces technologies émergentes, tout en préservant de manière crédible votre vie privée et en protégeant les données recueillies auprès de vous. Ce degré de surveillance, de contrôle et d'indépendance vis-à-vis des autres pays, ainsi que des sociétés internationales, est communément appelé"souveraineté numérique".

‍

Cependant, dans un monde économiquement globalisé avec des chaînes de valeur et des infrastructures numériques interconnectées, la souveraineté numérique ne peut jamais être atteinte au sens absolu, c'est-à-dire que les technologies numériques ne peuvent pas être développées entièrement sans apport extérieur, mais la souveraineté reste plutôt un concept relatif. Ainsi, à l'ère numérique actuelle, la souveraineté ne doit pas être assimilée à un manque d'intégration ou à du protectionnisme, mais doit plutôt être comprise comme la capacité des États à gérer de manière autonome l'interdépendance technologique en accord avec leurs valeurs en matière de normes de protection de la vie privée et des données.

‍

Dans le cas de la Suisse, la décision d'attribuer l'appel d'offres public de plus de 100 millions de francs suisses pour une solution cloud capable de stocker les données de l'administration fédérale à de grandes entreprises technologiques étrangères, à savoir Alibaba, Amazon, IBM, Microsoft et Oracle, a relancé le débat sur la souveraineté numérique du pays. Actuellement, l'objectif déclaré est de stocker principalement des données non sensibles à la vie privée sur ces serveurs étrangers, comme les cartes de swisstopo ou les modèles météorologiques de MétéoSuisse. Mais en fin de compte, les données qui seront téléchargées dans le nuage sont laissées à la discrétion des différents départements fédéraux, ce qui a suscité une grande inquiétude parmi les experts de la protection de la vie privée, les entreprises technologiques basées en Suisse et les politiciens. Cette situation a suscité l'inquiétude des spécialistes de la protection de la vie privée, des entreprises technologiques basées en Suisse et des politiciens, qui se sont demandé si cette décision reflétait les valeurs et les intérêts de la Suisse et, surtout, si elle compromettait la protection de la vie privée et la sécurité des données en raison du manque de surveillance et de contrôle de la part du gouvernement fédéral.

‍

Ce billet de blog vise à replacer ces questions relatives à la souveraineté de la Suisse dans un contexte historique plus large et soutient que le large dialogue sociétal qui a précédé la nationalisation des chemins de fer suisses par le gouvernement fédéral au XIXe siècle fournit des enseignements essentiels pour le projet actuel de nuage suisse. Plus important encore, le cas historique de la nationalisation des chemins de fer suisses souligne l'importance d'une consultation démocratique avant la prise de décisions critiques en matière d'infrastructure, qui ont un impact direct sur les résidents suisses et des conséquences de grande envergure pour les intérêts et les valeurs nationales.

‍

La participation démocratique ouverte et inclusive est essentielle pour la légitimité du système de démocratie semi-directe de la Suisse, carle contrôle politique incombe en dernier ressort à l'électeur, qui peut intervenir à divers moments du processus législatif, par exemple par le biais d'initiatives populaires ou de référendums. Le deuxième pilier du système politique suisse est sa structure fédérale, dans laquelle les 26 cantons conservent un degré élevé d'autonomie politique, par exemple en matière d'éducation, de santé et de police. Pour cette raison, le billet de blog examine également la marge de manœuvre laissée au canton et à la ville de Genève pour trouver son approche de la souveraineté à l'ère numérique et souligne comment ces initiatives pourraient servir de base aux discussions au niveau national.

‍

Des chemins de fer aux nuages numériques : L'évolution des conceptions de la souveraineté suisse

‍

Les conceptions de ce que les États considèrent comme essentiel pour leur souveraineté et leur sécurité nationales ont évolué au fil des siècles. La Suisse, par exemple, a longtemps considéré que son système ferroviaire était d'une importance capitale pour son développement économique et social, et les avantages qui en découlent continuent de façonner le pays tel que nous le connaissons aujourd'hui. Cependant, jusqu'à la fin du XIXe siècle, le système ferroviaire suisse était géré par plusieurs prestataires privés, sous la souveraineté des cantons et avec l'aide d'importants investissements étrangers, notamment de la France voisine. Ce n'est qu'après que la guerre franco-allemande (1870-1871) eut mis en évidence les lacunes et les incohérences du système ferroviaire privé, dues à un manque de surveillance et de coordination centralisées, que la nationalisation des chemins de fer par le gouvernement fédéral devint un enjeu politique. En nationalisant le système ferroviaire, le gouvernement fédéral espérait être mieux préparé aux chocs politiques futurs, augmenter son offre économique nationale et réduire la dépendance à l'égard des investissements massifs de capitaux étrangers dans les infrastructures suisses qui rendaient le pays vulnérable aux influences étrangères.

‍

En 1898, dans un acte politique historique, une majorité écrasante de citoyens suisses a voté en faveur d'une loi fédérale visant à nationaliser les chemins de fer et à les soumettre ainsi au contrôle et à la surveillance de l'État suisse. Si le coût de la nationalisation du système ferroviaire a entraîné des dettes financières à court terme, la coordination et la surveillance centralisées ont augmenté l'efficacité et la sécurité du chemin de fer à long terme en réduisant les incohérences et en appliquant des normes communes. Pour les résidents suisses d'aujourd'hui, qui sont fiers de leurs Chemins de fer fédéraux suisses CFF et de leurs prestigieux projets d'infrastructure, tels que le tunnel de base du Saint-Gothard, l'idée qu'il s'agissait autrefois d'un système ferroviaire privé guidé par des capitaux et des intérêts étrangers semble incroyable.

‍

Cependant, ce qui semble impensable dans le cas des chemins de fer aujourd'hui, se produit avec l'infrastructure de stockage en nuage, à savoir que des géants technologiques étrangers sont chargés de stocker les données de l'administration suisse sur leurs serveurs**, sans un large débat public sur les graves problèmes de sécurité nationale et de confidentialité des données que pose le projet.** Par exemple, la procédure d'appel d'offres public avait déjà été orientée vers ces grandes entreprises technologiques internationales, avec des exigences telles que des centres de données devant être répartis sur au moins trois continents, ce qui a dissuadé les petits candidats basés en Suisse. Cette décision a provoqué un énorme tollé, surtout après avoir appris que les autorités compétentes avaient ignoré les recommandations du préposé fédéral à la protection des données d'inclure des exigences en matière de respect de la vie privée dans l'appel d'offres public. En outre, selon une enquête de la Republik, l'administration fédérale a minimisé son contrôle limité sur le traitement des données stockées hors de la juridiction suisse dans des pays aux normes de protection des données plus laxistes et les effets potentiellement négatifs de cette situation sur la sécurité des données et la vie privée.

‍

Ce manque apparent de souveraineté numérique a des conséquences importantes tant au niveau national qu'individuel : Au niveau national, la décision d'externaliser le stockage des données de l'administration fédérale à des entreprises technologiques américaines et chinoises augmente le risque que l'accès des autorités suisses soit coupé ou que les mesures de sécurité soient compromises pour des raisons économiques ou géopolitiques. Comme l'ont montré les récentes attaques de logiciels malveillants russes dirigées contre les infrastructures numériques et les centres de données critiques ukrainiens, l'accès sans compromis aux données administratives est une question de sécurité nationale car il est essentiel pour coordonner les efforts politiques et militaires. Dans le cas de la Suisse, la perte d'accès aux prévisions et aux avertissements météorologiques de MétéoSuisse aurait un impact négatif sur la sécurité de l'espace aérien , car des aéroports comme Zurich et Genève dépendent de ces prévisions pour coordonner en toute sécurité le trafic aérien en Suisse.

‍

Bien que potentiellement préjudiciable à la sécurité nationale de la Suisse, le projet de cloud de l'administration fédérale pourrait également avoir des conséquences importantes pour votre vie privée et la sécurité de vos données si certaines autorités publiques décidaient à l'avenir de stocker dans le cloud les données générées par les interactions entre les résidents et l'administration. Par exemple, en vertu de la loi dite CLOUD ACT, les données des résidents suisses stockées sur les serveurs d'entreprises technologiques basées aux États-Unis, telles que Microsoft ou Amazon, pourraient être consultées par les autorités fédérales américaines par le biais d'un mandat ou d'une assignation, même si ces serveurs sont situés sur un sol étranger. Dans ce cas, les législateurs suisses ont une surveillance et un contrôle limités sur le traitement de vos données et perdent une partie de leur autonomie pour gérer leur interdépendance technologique vis-à-vis des grandes entreprises technologiques internationales. Par conséquent, les autorités suisses ne pourraient pas empêcher les services de renseignement étrangers d'accéder aux données que le gouvernement suisse a recueillies auprès de vous, avec des conséquences potentiellement préjudiciables pour la confidentialité de vos données.

‍

Dans l'ensemble, la comparaison entre le développement du réseau ferroviaire fédéral suisse et le projet de stockage en nuage de la Confédération révèle trois parallèles significatifs quant à leur importance pour la prospérité économique et la sécurité nationale de la Suisse : Le premier parallèle économique concerne le fait que, comme la construction des chemins de fer au 19e siècle, le développement des technologies du cloud aujourd'hui promet des avantages économiques substantiels pour le secteur informatique local et stimule l'innovation et le développement technologiques. Un deuxième parallèle concerne la sécurité nationale car, à l'instar de l'importance cruciale des chemins de fer pour l'approvisionnement économique national et à des fins militaires, l'accès aux données des autorités publiques et leur protection sont primordiaux pour que la Suisse puisse se gouverner efficacement et préserver sa sécurité nationale et sa prospérité publique. Un troisième parallèle concerne les avantages pour la sécurité d'une approche cohérente et coordonnée des grands projets d'infrastructure, comme en témoigne l'efficacité et la robustesse accrues du système ferroviaire suisse après la nationalisation.

‍

Tout comme le système ferroviaire privé incohérent qui existait avant la nationalisation, la cybersécurité et la protection des données en Suisse sont principalement entre les mains des municipalités, sans coordination adéquate avec les niveaux cantonal et fédéral. Par exemple, les informations relatives à la sécurité sociale et aux cartes de crédit de plus de 5 000 habitants du village de Rolle ont été rendues publiques sur le Dark Net après que les serveurs de la municipalité ont été piratés l'année dernière et que les informations qui y étaient stockées ont été divulguées. Comme l'ont fait valoir certains parlementaires nationaux, une coordination et une normalisation accrues des normes de cybersécurité et de protection des données concernant les infrastructures numériques vitales, telles que les services en nuage, permettraient d'accroître considérablement la sécurité numérique de la Suisse.

‍

Si ces parallèles économiques et sécuritaires montrent que les implications de la décision de faire appel à des entreprises technologiques étrangères pour le projet de cloud de l'administration fédérale sont effectivement comparables à celles du système ferroviaire privé avant sa nationalisation, la différence cruciale réside dans le fait que la décision de récupérer la propriété du système ferroviaire suisse s'est accompagnée d'un large débat public sur les avantages et les inconvénients potentiels de la nationalisation. Malheureusement, un débat comparable sur les implications en matière de souveraineté numérique du projet actuel d'infrastructure en nuage est largement absent des discussions actuelles, même si des alternatives à l'externalisation des services en nuage à de grandes entreprises technologiques internationales existent. Par exemple, des solutions de cloud computing open-source robustes et fiables, comme Openstack, sont utilisées par le CERN et la NASA et pourraient également être adaptées pour répondre aux normes de sécurité des données et de confidentialité de l'administration fédérale. Cependant, le discours de la Confédération sur l'infrastructure en nuage a jusqu'à présent ignoré ces options alternatives comme étant technologiquement et financièrement irréalisables, même si l'énorme tollé public qui a suivi l'annonce témoigne de la popularité de ces options parmi les entreprises technologiques basées en Suisse et le grand public. Par conséquent, la section suivante se concentre sur les initiatives pionnières en matière de cloud computing aux niveaux intercantonal et cantonal, qui sont riches d'enseignements pour le débat national sur la souveraineté numérique de la Suisse.

‍

Genève : Une ville coincée entre la souveraineté numérique et l'absence d'alternatives

‍

Contrairement au projet de cloud de l'administration fédérale, la Ville et le Canton de Genève tentent activement de réduire leur dépendance vis-à-vis des entreprises technologiques étrangères en soutenant le projet de cloud souverain suisse porté par les cantons romands et en mettant en place son infrastructure de cloud souverain pour stocker les données de l'administration publique. Au niveau intercantonal, la Conférence latine des directeurs du numérique (CLND) poursuit activement le développement d'un cloud souverain, basé en Suisse, pour les cantons francophones et italophones. Dans une interview accordée au Blick, l'ancienne présidente de la CLND, Nuria Gorrite, a exprimé son inquiétude face à la romantisation généralisée des services en nuage qui donnent l'impression que "les données flottent dans l'air", occultant ainsi l'importance de la souveraineté et de la territorialité à l'ère du numérique. Selon Mme Gorrite, la numérisation des administrations publiques ne justifie aucun changement dans les responsabilités de l'État, et elle demande rhétoriquement si l'on pourrait imaginer que les archives analogiques de l'administration fédérale suisse soient externalisées à Pékin.

‍

Au niveau cantonal, l'Office cantonal des systèmes d'information et de la numérisation (OCSIN) de Genève a décidé de ne pas utiliser les services de cloud public gérés par des entreprises technologiques telles que Microsoft et Amazon et a choisi de développer son service de cloud privé. Andreas Felix, expert en informatique à l'OCSIN, explique que le cloud de l'administration publique genevoise sera donc entièrement développé en interne pour des raisons de confidentialité des données. Cela signifie que les données collectées à partir des interactions entre les résidents et l'administration à Genève sont stockées et traitées sur des serveurs souverains et ne peuvent être consultées que par le personnel autorisé. Ensemble, l'initiative de cloud souverain des cantons latins de Suisse, ainsi que le développement d'un cloud privé par l'administration publique à Genève, démontrent la faisabilité financière et technologique de projets qui n'impliquent pas de grandes entreprises technologiques. Ces initiatives pourraient servir de base à une discussion sur la souveraineté numérique de la Suisse au niveau national, car elles constituent des options alternatives qui sont restées marginales dans le débat national jusqu'à présent.

‍

Cependant, comme l'ont révélé nos entretiens avec des fonctionnaires clés de la ville et du canton de Genève, les unités infranationales ont également du mal à gérer de manière autonome leur interdépendance technologique vis-à-vis des entreprises technologiques internationales. Comme l'a révélé notre rapport analytique, la marge de manœuvre de l'administration publique concernant le choix des technologies et des services numériques est fortement limitée à la fois par le monopole des grandes entreprises technologiques et par leur lobbying constant par le biais de canaux formels et informels. Par exemple, faute d'alternatives efficaces, compatibles et abordables, le canton de Genève a fini par se procurer Office 365, la suite Microsoft, comme programme par défaut pour tous ses collaborateurs. Outre ce caractère incontournable des outils et services des grandes entreprises technologiques, des sociétés telles que Microsoft ont également des représentants dans les conseils d'administration d'initiatives suisses apparemment neutres, telles que Digital Switzerland et le Cyber Peace Institute. Comme nous l'avons entendu dans l'un de nos entretiens, ces organisations "bombardent" ensuite l'administration publique d'offres pour lui fournir des services numériques gratuits, grâce auxquels Microsoft espère gagner en légitimité et en crédibilité. Cet exemple met en lumière la difficulté pour les administrations cantonales de conserver leur souveraineté à l'ère du numérique.

‍

Une voie à suivre : La nécessité d'un débat public sur notre future souveraineté numérique

‍

Il ressort de ce qui précède que, malgré la domination du marché par les grandes entreprises technologiques et les tentatives persistantes de lobbying, les autorités publiques genevoises tentent d'affirmer un certain degré de souveraineté numérique en ce qui concerne le stockage et le traitement des données des résidents. Cependant, de nombreux résidents ne sont pas conscients de l'importance d'une infrastructure numérique souveraine et, à l'inverse, ne s'inquiètent pas des risques liés à la sécurité des données et au respect de la vie privée qu'implique le stockage de leurs données sur les serveurs de sociétés technologiques étrangères. Ce blog a soutenu qu'à l'instar du débat du 19e siècle entourant la nationalisation du système ferroviaire privé par le gouvernement fédéral, le développement d'une infrastructure numérique nationale essentielle devrait s'accompagner d'un large dialogue social sur les questions de sécurité nationale et de souveraineté associées à l'externalisation ou non de ces services. Il est essentiel de noter que deux discussions de ce type, menées par les parties prenantes, sont en cours au niveau cantonal et fédéral.

‍

Au niveau de la ville de Genève, Edgelands a lancé OPPi, une enquête participative sur l'impact de la transformation numérique sur la sécurité et la surveillance dans la ville. Les habitants ont été encouragés à remplir le sondage pour exprimer leur opinion sur ces sujets et peuvent voir si d'autres personnes sont d'accord ou non avec eux. Leurs réponses aux questions sur la sécurité des données et la souveraineté numérique permettront à Edgelands d'identifier les principaux clivages concernant ces questions, et cette carte d'opinion crowdsourcée servira ensuite de base de discussion pour les discussions politiques, universitaires et autres discussions participatives qu'Edgelands accueillera au cours des mois suivants. De manière cruciale, les discussions autour des conséquences potentiellement négatives de la perte de souveraineté numérique des autorités publiques vis-à-vis des entreprises technologiques internationales, telles que des normes de protection des données plus laxistes et une surveillance limitée, sensibilisent à cette question et rendent les résidents de Genève plus attentifs aux insécurités numériques.

‍

Au niveau fédéral, des entrepreneurs, associations et chercheurs suisses appellent à la création d'un "Cloud suisse" souverain en mains suisses, contrairement aux plans du Conseil fédéral. D'une part, leur initiative populaire demande d'atteindre la souveraineté numérique suisse en mobilisant les acteurs suisses du cloud, tels que les entreprises et les universités, pour mener une étude de faisabilité ouverte et complète sur un "cloud souverain suisse". D'autre part, leur initiative vise à permettre aux résidents suisses d'avoir leur mot à dire sur la souveraineté de la Suisse à l'ère numérique et demande que les principes de base de la souveraineté numérique soient inclus dans la constitution fédérale.

‍

En résumé, les activités d'Edgelands à Genève, ainsi que l'initiative populaire nationale sur la souveraineté numérique visent à impliquer les résidents de Genève et de la Suisse dans un débat public sur l'étendue et l'opportunité de la souveraineté numérique, à l'image du débat sur la nationalisation du système ferroviaire suisse il y a plus de 100 ans. Les décisions concernant votre vie privée et la sécurité de vos données ne devraient pas être prises sans votre participation active aux discussions sur la souveraineté numérique de Genève et de la Suisse. C'est à vous de voir où ces débats nous mèneront !

‍