Suisse Quo Vadis ? La quête de souveraineté à l'ère numérique

En juin 2022, l'Edgelands Institute a publié un rapport de diagnostic résumant nos recherches sur les différents impacts de la transformation numérique sur le paysage de la sécurité et de la surveillance à Genève. En complément de ce rapport, nous publierons une série d'articles de blog développant certaines de nos principales conclusions concernant la numérisation de la sécurité et détaillant les tendances émergentes que nous avons identifiées. Cet article de blog fait partie de cette série.

‍

Comment la Confédération suisse devrait-elle protéger ses valeurs, ses intérêts et vous, ses résidents, dans un espace numérique qui se transforme de plus en plus en champ de bataille économique et géopolitique ? Comme l'ont montré la pandémie de Covid-19 et la cyberguerre en Ukraine, les infrastructures numériques, telles que les bases de données de santé publique numériques, les outils d'éducation en ligne et les cyberdéfenses des serveurs militaires, sont aujourd'hui primordiales pour la sécurité nationale et la prospérité publique des pays . Ce n'est qu'en disposant d'une autonomie et d'un contrôle suffisants sur ces infrastructures que les États pourront récolter de manière indépendante les bénéfices économiques découlant de ces technologies émergentes et garantir de manière crédible votre vie privée et la protection des données vous concernant. Ce degré de surveillance, de contrôle et d'indépendance vis-à-vis des autres pays, ainsi que des entreprises internationales, est communément appelé « souveraineté numérique ».

‍

Cependant, dans un monde économiquement globalisé, avec des chaînes de valeur et des infrastructures numériques interconnectées, la souveraineté numérique ne peut jamais être atteinte dans l'absolu. Autrement dit, les technologies numériques ne peuvent être développées entièrement sans apport extérieur. La souveraineté reste un concept relatif . Ainsi, à l'ère numérique actuelle, la souveraineté ne doit pas être assimilée à un manque d'intégration ou à un protectionnisme, mais plutôt à la capacité des États à gérer de manière autonome l'interdépendance technologique, conformément à leurs valeurs en matière de respect de la vie privée et de protection des données.

‍

Dans le cas de la Suisse, la décision d'attribuer l' appel d'offres public de plus de 100 millions de francs suisses pour une solution cloud capable de stocker les données de l'administration fédérale à de grandes entreprises technologiques étrangères, à savoir Alibaba, Amazon, IBM, Microsoft et Oracle, a ravivé le débat sur la souveraineté numérique du pays . Actuellement, l'objectif affiché est de stocker principalement des données non sensibles sur ces serveurs étrangers, telles que les cartes swisstopo ou les modèles météorologiques de MétéoSuisse . Mais en fin de compte, le choix des données à télécharger sur le cloud est laissé à la discrétion de chaque département fédéral, ce qui a suscité de nombreuses inquiétudes parmi les experts en protection de la vie privée, les entreprises technologiques suisses et les responsables politiques. Surtout, cela les a amenés à se demander si cette décision reflétait les valeurs et les intérêts suisses et, surtout, si elle compromettait la confidentialité et la sécurité des données en raison d'un manque de surveillance et de contrôle fédéral.

‍

Cet article de blog vise à replacer ces questions relatives à la souveraineté suisse dans un contexte historique plus large et soutient que le large dialogue sociétal qui a précédé la nationalisation des chemins de fer suisses par le gouvernement fédéral au XIXe siècle fournit des enseignements essentiels pour le projet actuel de cloud suisse. Plus important encore, le cas historique de la nationalisation des chemins de fer suisses souligne l'importance de la consultation démocratique avant toute décision cruciale en matière d'infrastructures, qui impacte directement les résidents suisses et a des conséquences profondes sur les intérêts et les valeurs nationales.

‍

Une participation démocratique ouverte et inclusive est essentielle à la légitimité du système démocratique semi-direct suisse, car le contrôle politique revient en dernier ressort aux électeurs, qui peuvent intervenir à différents stades du processus législatif, par exemple par le biais d'initiatives populaires ou de référendums. Le deuxième pilier du système politique suisse est sa structure fédérale, où les 26 cantons conservent une large autonomie en matière d'élaboration des politiques, notamment dans les domaines de l'éducation, de la santé et de la police. C'est pourquoi ce billet de blog examine également la marge de manœuvre laissée au canton et à la ville de Genève pour définir leur approche de la souveraineté à l'ère numérique et souligne comment ces initiatives pourraient servir de base aux discussions au niveau national.

‍

Des chemins de fer aux nuages numériques : évolution des conceptions de la souveraineté suisse

‍

Les conceptions de ce que les États considèrent comme essentiel à leur souveraineté et à leur sécurité nationales ont évolué au fil des siècles. La Suisse, par exemple, a longtemps considéré son réseau ferroviaire comme primordial pour son développement économique et social , et les bénéfices qui en découlent continuent de façonner le pays tel que nous le connaissons aujourd'hui. Cependant, jusqu'à la fin du XIXe siècle, le réseau ferroviaire suisse était géré par plusieurs prestataires privés sous la souveraineté des cantons et avec le soutien d' importants investissements étrangers, notamment de la France voisine . Ce n'est qu'après que la guerre franco-allemande (1870-1871) eut mis en évidence les lacunes et les incohérences du réseau ferroviaire privé, résultant d'un manque de supervision et de coordination centralisées, que la nationalisation des chemins de fer par le gouvernement fédéral devint un enjeu politique. En nationalisant le réseau ferroviaire, le gouvernement fédéral espérait mieux se préparer aux chocs politiques futurs, accroître son approvisionnement économique national et réduire la dépendance à l'égard des investissements étrangers massifs dans les infrastructures suisses, qui rendaient le pays vulnérable aux influences étrangères.

‍

En 1898, dans un acte politique historique, une écrasante majorité des citoyens suisses votèrent en faveur d'une loi fédérale visant à nationaliser les chemins de fer et à les soumettre ainsi au contrôle et à la surveillance de l'État suisse. Si le coût de la nationalisation du réseau ferroviaire entraîna une accumulation de dettes financières à court terme, la coordination et la surveillance centralisées renforcèrent l'efficacité et la sécurité du réseau à long terme en réduisant les incohérences et en mettant en œuvre des normes communes. Pour les Suisses d'aujourd'hui, fiers de leurs Chemins de fer fédéraux suisses (CFF) et de leurs prestigieux projets d'infrastructure, comme le tunnel de base du Saint-Gothard, l'idée qu'il s'agissait autrefois d'un réseau ferroviaire privé, guidé par des capitaux et des intérêts étrangers, paraît invraisemblable.

‍

Français Cependant, ce qui semble impensable dans le cas des chemins de fer aujourd'hui se produit avec l'infrastructure de stockage en nuage, à savoir que des géants technologiques étrangers sont chargés de stocker les données de l'administration suisse sur leurs serveurs**, sans un large débat public sur les graves préoccupations de sécurité nationale et de confidentialité des données du projet.** Par exemple, la procédure d'appel d'offres public était déjà orientée vers ces grandes entreprises technologiques internationales, avec des exigences telles que des centres de données répartis sur au moins trois continents , ce qui dissuade effectivement les candidats plus petits basés en Suisse. Cette décision a provoqué un énorme tollé public, en particulier après qu'il a été révélé que les autorités compétentes ont ignoré les recommandations du préposé fédéral à la protection des données d'inclure des exigences de confidentialité dans l'appel d'offres public . En outre, selon une enquête de la Republik, l'administration fédérale a minimisé sa surveillance limitée sur le traitement des données stockées hors de la juridiction suisse dans des pays aux normes de protection des données plus laxistes et les effets potentiellement négatifs de cela sur la sécurité des données et la confidentialité.

‍

Ce manque apparent de souveraineté numérique a des conséquences importantes tant au niveau national qu'individuel : au niveau national, la décision d'externaliser le stockage des données de l'administration fédérale à des entreprises technologiques américaines et chinoises augmente le risque de coupure d'accès des autorités suisses ou de compromission des mesures de sécurité pour des raisons économiques ou géopolitiques . Comme l'ont montré les récentes attaques de logiciels malveillants russes dirigées contre des infrastructures numériques et des centres de données ukrainiens critiques , l'accès sans compromis aux données administratives est une question de sécurité nationale car il est essentiel à la coordination des efforts politiques et militaires. Dans le cas de la Suisse, la perte d'accès aux prévisions météorologiques et aux alertes de MétéoSuisse aurait un impact négatif sur la sécurité de l'espace aérien , car des aéroports comme Zurich et Genève s'appuient sur ces prévisions pour coordonner en toute sécurité le trafic aérien en Suisse .

‍

Bien que potentiellement préjudiciable à la sécurité nationale suisse, le projet de cloud de l'administration fédérale pourrait également avoir des conséquences importantes sur votre vie privée et la sécurité de vos données si certaines autorités publiques décidaient à l'avenir de stocker dans le cloud les données générées par les interactions entre résidents et gouvernement . Par exemple, en vertu du CLOUD ACT , les données des résidents suisses stockées sur les serveurs d'entreprises technologiques américaines telles que Microsoft ou Amazon pourraient être consultées par les forces de l'ordre fédérales américaines sur mandat ou assignation, même si ces serveurs sont situés à l'étranger. Dans ce cas, les législateurs suisses disposent d'une surveillance et d'un contrôle limités sur le traitement de vos données et perdent une partie de leur autonomie pour gérer leur interdépendance technologique vis-à-vis des grandes entreprises technologiques internationales. Par conséquent, les autorités suisses ne pourraient pas empêcher les services de renseignement étrangers d'accéder aux données que le gouvernement suisse a collectées auprès de vous, avec des conséquences potentiellement préjudiciables pour la confidentialité de vos données.

‍

Français Pris ensemble, la comparaison entre le développement du système ferroviaire fédéral suisse et le projet de stockage en nuage de la Confédération révèle trois parallèles significatifs concernant leur importance pour la prospérité économique et la sécurité nationale de la Suisse : Le premier parallèle économique concerne le fait que, tout comme la construction des chemins de fer au 19e siècle, le développement des technologies en nuage offre aujourd'hui la promesse d'avantages économiques substantiels pour le secteur informatique local et stimule l'innovation et le développement technologiques. Un deuxième parallèle concerne la sécurité nationale car, tout comme l'importance cruciale des chemins de fer pour l'approvisionnement économique national et les fins militaires, l'accès aux données des autorités publiques et leur protection sont primordiaux pour que la Suisse puisse se gouverner efficacement et préserver sa sécurité nationale et la prospérité publique. Un troisième parallèle concerne les avantages en matière de sécurité d'une approche cohérente et coordonnée des grands projets d'infrastructure, comme en témoigne l'efficacité et la robustesse accrues du système ferroviaire suisse après la nationalisation.

‍

À l'instar du système ferroviaire privé incohérent qui existait avant la nationalisation, la cybersécurité et la protection des données en Suisse sont principalement du ressort des communes, sans coordination adéquate avec les niveaux cantonal et fédéral. Par exemple, les informations relatives à la sécurité sociale et aux cartes de crédit de plus de 5 000 habitants du village de Rolle ont été rendues publiques sur le Dark Net après le piratage des serveurs de la commune l'année dernière et la fuite des informations qui y étaient stockées. Comme l'ont soutenu certains parlementaires nationaux, une coordination et une normalisation accrues des normes de cybersécurité et de protection des données concernant les infrastructures numériques vitales , telles que les services cloud, renforceraient considérablement la sécurité numérique de la Suisse.

‍

Si ces parallèles économiques et sécuritaires illustrent que les implications de la décision de faire appel à des entreprises technologiques étrangères pour le projet cloud de l'administration fédérale sont comparables à celles du réseau ferroviaire privé avant la nationalisation, la différence essentielle réside dans le fait que la décision de reprendre la propriété du réseau ferroviaire suisse s'est accompagnée d'un large débat public sur les avantages et les inconvénients potentiels de la nationalisation. Malheureusement, un débat comparable sur les implications du projet actuel d'infrastructure cloud en termes de souveraineté numérique est largement absent des discussions actuelles, même s'il existe des alternatives à l'externalisation des services cloud auprès de grandes entreprises technologiques internationales. Par exemple, des solutions de cloud computing open source robustes et fiables, telles qu'Openstack , sont utilisées par le CERN et la NASA et pourraient également être personnalisées pour répondre aux normes de sécurité et de confidentialité des données de l'administration fédérale. Cependant, le discours de la Confédération sur l'infrastructure cloud a jusqu'à présent ignoré ces options alternatives, les jugeant technologiquement et financièrement irréalisables , même si le tollé général suscité par l'annonce témoigne de la popularité de ces options auprès des entreprises technologiques suisses et du grand public. La section suivante se concentrera donc sur les initiatives pionnières en matière de cloud aux niveaux intercantonal et cantonal, qui contiennent des enseignements importants pour le débat national autour de la souveraineté numérique de la Suisse.

‍

Genève : une ville prise entre souveraineté numérique et manque d'alternatives

‍

Contrairement au projet de cloud de l'administration fédérale, la Ville et le Canton de Genève s'efforcent activement de réduire leur dépendance aux entreprises technologiques étrangères en soutenant le projet de cloud suisse souverain porté par les cantons romands et en mettant en place leur infrastructure de cloud souverain pour stocker les données de l'administration publique. Au niveau intercantonal, la Conférence latine des directeurs du numérique (CLND) poursuit activement le développement d'un cloud suisse souverain pour les cantons romands et italophones. Dans une interview accordée au Blick , l'ancienne présidente de la CLND, Nuria Gorrite, a exprimé son inquiétude face à la vision romantique généralisée des services cloud, qui donne l'impression que « les données flottent dans l'air », occultant ainsi l'importance persistante de la souveraineté et de la territorialité à l'ère numérique. Selon Gorrite, la numérisation des administrations publiques ne justifie aucun changement dans les responsabilités de l'État, et elle se demande s'il est envisageable d'externaliser les archives analogiques de l'administration fédérale suisse à Pékin.

‍

Au niveau cantonal, l'Office cantonal des systèmes d'information et de la numérisation (OCSIN) de Genève a renoncé à utiliser les services de cloud public d'entreprises technologiques telles que Microsoft et Amazon, préférant développer son propre service de cloud privé. Andreas Felix, expert informatique à l'OCSIN, explique que le cloud de l'administration publique genevoise sera donc entièrement développé en interne pour des raisons de confidentialité des données . Cela signifie que les données collectées lors des interactions entre les habitants et l'administration à Genève sont stockées et traitées sur des serveurs souverains et ne sont accessibles qu'au personnel autorisé. Prises ensemble, l'initiative de cloud souverain des cantons latins en Suisse, ainsi que le développement d'un cloud privé par l'administration publique genevoise, démontrent la faisabilité financière et technologique de projets sans l'implication des grandes entreprises technologiques. Ces initiatives pourraient servir de base à une discussion sur la souveraineté numérique de la Suisse au niveau national, car elles constituent des options alternatives jusqu'ici marginales dans le débat national.

‍

Cependant, comme l'ont révélé nos entretiens avec des responsables publics clés de la ville et du canton de Genève, les collectivités territoriales peinent elles aussi à gérer de manière autonome leur interdépendance technologique vis-à-vis des entreprises technologiques internationales. Comme l'a constaté notre rapport d'analyse, la marge de manœuvre de l'administration publique en matière de choix de technologies et de services numériques est fortement limitée par le monopole des grandes entreprises technologiques et leur lobbying constant, tant par des canaux formels qu'informels. Par exemple, faute d'alternatives efficaces, compatibles et abordables, le canton de Genève a finalement choisi Office 365, la suite Microsoft, comme logiciel par défaut pour tous ses collaborateurs. Outre cette inéluctabilité des outils et services des grandes entreprises technologiques, des entreprises comme Microsoft ont également des représentants au sein des conseils d'administration d'initiatives suisses apparemment neutres, telles que Digital Switzerland et le Cyber Peace Institute . Comme nous l'avons entendu lors d'un de nos entretiens, ces organisations bombardent ensuite l'administration publique de propositions de services numériques gratuits, grâce auxquelles Microsoft espère gagner en légitimité et en crédibilité. Cet exemple met en évidence la difficulté à laquelle sont confrontées les administrations cantonales dans leur quête de souveraineté à l’ère numérique.

‍

Une voie à suivre : la nécessité de débats publics sur notre future souveraineté numérique

‍

Il ressort de ce qui précède que, malgré la domination du marché par les grandes entreprises technologiques et leurs tentatives persistantes de lobbying, les autorités publiques genevoises tentent d'affirmer une certaine souveraineté numérique concernant le stockage et le traitement des données des résidents. Cependant, de nombreux résidents ignorent l'importance d'une infrastructure numérique souveraine et, à l'inverse, ne se soucient pas des risques pour la sécurité et la confidentialité des données liés au stockage de leurs données sur les serveurs d'entreprises technologiques étrangères. Ce blog a soutenu que, à l'instar du débat du XIXe siècle autour de la nationalisation du système ferroviaire privé par le gouvernement fédéral, le développement d'infrastructures numériques nationales critiques devrait s'accompagner d'un large dialogue social sur les questions de sécurité nationale et de souveraineté liées à l'externalisation ou non de ces services. Il est crucial de noter que deux discussions inclusives de ce type, menées par les parties prenantes, sont en cours aux niveaux cantonal et fédéral.

‍

À l'échelle de la ville de Genève, Edgelands a lancé OPPi , une enquête participative sur l'impact de la transformation numérique sur la sécurité et la surveillance en ville. Les habitants ont été encouragés à répondre à l'enquête pour exprimer leur opinion sur ces sujets et constater si d'autres personnes sont d'accord ou non avec eux. Leurs réponses aux questions sur la sécurité des données et la souveraineté numérique permettront à Edgelands d'identifier les principaux clivages sur ces questions. Cette cartographie participative servira ensuite de base de discussion pour les discussions politiques, universitaires et autres qu'Edgelands accueillera au cours des prochains mois. Il est crucial de discuter des conséquences potentiellement néfastes de la perte de souveraineté numérique des autorités publiques vis-à-vis des entreprises technologiques internationales, telles que des normes de protection des données plus laxistes et une surveillance limitée, afin de sensibiliser les Genevois à cette question et de les sensibiliser davantage aux insécurités numériques.

‍

Au niveau fédéral, des entrepreneurs, associations et chercheurs suisses réclament la création d'un « Cloud suisse » souverain, aux mains de la Suisse, contrairement aux projets du Conseil fédéral. D'une part, leur initiative populaire appelle à la souveraineté numérique suisse en mobilisant les acteurs du cloud suisse, tels que les entreprises et les universités, afin de mener une étude de faisabilité ouverte et complète sur un « Cloud suisse souverain ». D'autre part, leur initiative vise à donner aux citoyens suisses leur mot à dire sur la souveraineté de la Suisse à l'ère numérique et exige que les principes fondamentaux de la souveraineté numérique soient inscrits dans la Constitution fédérale.

‍

En résumé, les activités d'Edgelands à Genève, ainsi que l'initiative populaire nationale sur la souveraineté numérique, visent à impliquer les Genevois et les Suisses dans un débat public sur l'étendue et l'opportunité de la souveraineté numérique, à l'image du débat sur la nationalisation du réseau ferroviaire suisse il y a plus de 100 ans. Aucune décision concernant votre vie privée et la sécurité de vos données ne devrait être prise sans votre participation active aux discussions sur la souveraineté numérique de Genève et de la Suisse. C'est à vous de décider où ces débats nous mènent !

‍