Suisse Quo Vadis ? La quête de souveraineté à l’ère du numérique

En juin 2022, l'Institut Edgelands a publié un rapport de diagnostic résumant les résultats de nos recherches sur les différents impacts de la transformation numérique sur le paysage genevois de la sécurité et de la surveillance. Pour compléter ce rapport, nous publierons une série de billets de blog développant certaines de nos idées clés concernant la numérisation de la sécurité et ajoutant plus de détails aux tendances émergentes que nous avons identifiées. Ce billet de blog fait partie de cette série.

‍

Comment la Confédération suisse doit-elle protéger ses valeurs, ses intérêts et vous, ses résidents, dans un espace numérique qui se transforme de plus en plus en un champ de bataille économique et géopolitique ? Comme l'ont montré la pandémie de Covid-19 et la cyberguerre en Ukraine, les infrastructures numériques, telles que les bases de données numériques de santé publique, les outils d'éducation en ligne et les cyberdéfenses pour les serveurs militaires, sont primordiales pour la sécurité nationale et la prospérité publique des pays à l'ère actuelle. Ce n'est que si les États disposent d'une autonomie et d'un contrôle suffisants sur ces infrastructures qu'ils peuvent récolter de manière indépendante les avantages économiques qui découlent de ces technologies émergentes et garantir de manière crédible le respect de votre vie privée et la protection des données collectées auprès de vous. Ce degré de surveillance, de contrôle et d'indépendance par rapport aux autres pays et aux entreprises internationales est communément appelé"souveraineté numérique".

‍

Toutefois, dans un monde économiquement globalisé où les chaînes de valeur et les infrastructures numériques sont interconnectées, la souveraineté numérique ne peut jamais être atteinte dans l'absolu, c'est-à-dire que les technologies numériques ne peuvent pas être développées entièrement sans apport extérieur ; la souveraineté reste plutôt un concept relatif. Ainsi, à l'ère du numérique, la souveraineté ne doit pas être assimilée à un manque d'intégration ou à du protectionnisme, mais plutôt à la capacité des États à gérer de manière autonome l'interdépendance technologique, conformément à leurs valeurs en matière de respect de la vie privée et de normes de protection des données.

‍

Dans le cas de la Suisse, la décision d'attribuer le marché public de plus de 100 millions de francs suisses pour une solution en nuage capable de stocker les données de l'administration fédérale à de grandes entreprises technologiques étrangères, à savoir Alibaba, Amazon, IBM, Microsoft et Oracle, a ravivé le débat sur la souveraineté numérique du pays. Pour l'heure, l'objectif déclaré est de stocker sur ces serveurs étrangers principalement des données non sensibles pour la vie privée, comme les cartes de swisstopo ou les modèles météorologiques de MeteoSuisse. Mais en fin de compte, le choix des données qui seront téléchargées dans le nuage est laissé à la discrétion des différents départements fédéraux, ce qui a suscité l'inquiétude des experts en matière de protection de la vie privée, des entreprises technologiques basées en Suisse et des responsables politiques. Ce fait a suscité l'inquiétude des experts en matière de protection de la vie privée, des entreprises technologiques basées en Suisse et des politiciens, qui se sont demandés si cette décision reflétait les valeurs et les intérêts de la Suisse et, surtout, si elle compromettait la protection de la vie privée et la sécurité des données en raison d'un manque de surveillance et de contrôle fédéral.

‍

Ce billet vise à replacer ces questions relatives à la souveraineté de la Suisse dans un contexte historique plus large et soutient que le dialogue sociétal à grande échelle qui a précédé la nationalisation des chemins de fer suisses par le gouvernement fédéral au 19ème siècle fournit des leçons essentielles pour le projet actuel d'un nuage suisse. Plus important encore, le cas historique de la nationalisation des chemins de fer suisses met en lumière l'importance de la consultation démocratique avant les décisions critiques en matière d'infrastructure, qui ont un impact direct sur les résidents suisses et des conséquences de grande portée pour les intérêts et les valeurs nationales.

‍

Une participation démocratique ouverte et inclusive est essentielle pour la légitimité du système démocratique semi-direct de la Suisse, carle contrôle politique incombe en dernier ressort à l'électeur, qui peut intervenir à différents stades du processus législatif, par exemple par le biais d'initiatives populaires ou de référendums. Le deuxième pilier du système politique suisse est sa structure fédérale, dans laquelle les 26 cantons conservent un degré élevé d'autonomie en matière d'élaboration des politiques, par exemple dans les domaines de l'éducation, de la santé et de la police. Pour cette raison, le billet de blog examine également la marge de manœuvre laissée au canton et à la ville de Genève pour trouver son approche de la souveraineté à l'ère numérique et souligne comment ces initiatives pourraient servir de base à des discussions au niveau national.

‍

Des chemins de fer aux nuages numériques : L'évolution des conceptions de la souveraineté suisse

‍

Les conceptions de ce que les États considèrent comme essentiel pour leur souveraineté et leur sécurité nationales ont évolué au fil des siècles. La Suisse, par exemple, a longtemps considéré que son système ferroviaire était d'une importance capitale pour son développement économique et social, et les avantages qui en découlent continuent de façonner le pays tel que nous le connaissons aujourd'hui. Cependant, jusqu'à la fin du XIXe siècle, le système ferroviaire suisse était géré par plusieurs prestataires privés sous la souveraineté des cantons et avec l'aide d'investissements étrangers substantiels, notamment de la France voisine. Ce n'est qu'après la guerre franco-allemande (1870-1871), qui a mis en évidence les lacunes et les incohérences du système ferroviaire privé dues à l'absence de contrôle et de coordination centralisés, que la nationalisation des chemins de fer par le gouvernement fédéral est devenue un enjeu politique. En nationalisant le système ferroviaire, le gouvernement fédéral espérait être mieux préparé aux chocs politiques futurs, augmenter son offre économique nationale et réduire la dépendance à l'égard des investissements massifs de capitaux étrangers dans les infrastructures suisses, qui rendaient le pays vulnérable à l'influence étrangère.

‍

En 1898, dans un acte politique historique, une majorité écrasante de citoyens suisses a voté en faveur d'une loi fédérale visant à nationaliser les chemins de fer et à les soumettre ainsi au contrôle et à la surveillance de l'État suisse. Bien que le coût de la nationalisation du système ferroviaire ait entraîné des dettes financières à court terme, la coordination et la surveillance centralisées ont augmenté l'efficacité et la sécurité des chemins de fer à long terme en réduisant les incohérences et en mettant en œuvre des normes communes. Pour les Suisses d'aujourd'hui, qui sont fiers de leurs Chemins de fer fédéraux suisses CFF et de leurs prestigieux projets d'infrastructure, tels que le tunnel de base du Saint-Gothard, l'idée qu'il s'agissait autrefois d'un système ferroviaire privé guidé par des capitaux et des intérêts étrangers semble inconcevable.

‍

Cependant, ce qui semble impensable dans le cas des chemins de fer aujourd'hui, se produit avec l'infrastructure de stockage en nuage, à savoir que des géants technologiques étrangers sont engagés pour stocker les données de l'administration suisse sur leurs serveurs**, sans un large débat public sur les graves problèmes de sécurité nationale et de confidentialité des données du projet.** Par exemple, la procédure d'appel d'offres public avait déjà été orientée vers ces grandes entreprises technologiques internationales, avec des exigences telles que les centres de données devant être répartis sur au moins trois continents, ce qui a effectivement dissuadé les candidats plus petits, basés en Suisse. Cette décision a provoqué un tollé général, surtout lorsqu'il est apparu que les autorités compétentes avaient ignoré les recommandations du délégué fédéral à la protection des données d'inclure des exigences en matière de protection de la vie privée dans l'appel d'offres. En outre, selon une enquête du Republik, l'administration fédérale a minimisé son contrôle limité sur le traitement des données stockées en dehors de la juridiction suisse dans des pays aux normes de protection des données plus laxistes et les effets potentiellement négatifs de cette situation sur la sécurité des données et la protection de la vie privée.

‍

Ce manque apparent de souveraineté numérique a des conséquences importantes tant au niveau national qu'au niveau individuel : Au niveau national, la décision d'externaliser le stockage des données de l'administration fédérale à des entreprises technologiques américaines et chinoises augmente le risque que l'accès des autorités suisses soit coupé ou que les mesures de sécurité soient compromises pour des raisons économiques ou géopolitiques. Comme l'ont montré les récentes attaques de logiciels malveillants russes dirigées contre des infrastructures numériques et des centres de données critiques ukrainiens, l'accès sans compromis aux données administratives est une question de sécurité nationale, car il est essentiel pour coordonner les efforts politiques et militaires. Dans le cas de la Suisse, la perte d'accès aux prévisions météorologiques et aux alertes de MétéoSuisse aurait un impact négatif sur la sécurité de l'espace aérien , car les aéroports de Zurich et de Genève dépendent de ces prévisions pour coordonner en toute sécurité le trafic aérien en Suisse.

‍

Bien que potentiellement préjudiciable à la sécurité nationale de la Suisse, le projet de cloud de l'administration fédérale pourrait également avoir des conséquences importantes pour votre vie privée et la sécurité de vos données si certaines autorités publiques décidaient à l'avenir de stocker dans le cloud les données générées par les interactions entre les résidents et l'administration. Par exemple, en vertu de la loi dite " CLOUD ACT", les données des résidents suisses stockées sur les serveurs d'entreprises technologiques basées aux États-Unis, telles que Microsoft ou Amazon, pourraient être consultées par les autorités fédérales chargées de l'application de la loi aux États-Unis au moyen d'un mandat ou d'une citation à comparaître, même si ces serveurs sont situés sur un sol étranger. Dans ce cas, les législateurs suisses ont une surveillance et un contrôle limités sur le traitement de vos données et perdent une partie de leur autonomie dans la gestion de leur interdépendance technologique vis-à-vis des grandes entreprises technologiques internationales. Par conséquent, les autorités suisses ne pourraient pas empêcher les services de renseignement étrangers d'accéder aux données que le gouvernement suisse a collectées auprès de vous, ce qui pourrait avoir des conséquences néfastes sur la confidentialité de vos données.

‍

La comparaison entre le développement du réseau ferroviaire fédéral suisse et le projet de stockage en nuage de la Confédération révèle trois parallèles significatifs quant à leur importance pour la prospérité économique et la sécurité nationale de la Suisse : Le premier parallèle économique concerne le fait que, comme la construction des chemins de fer au 19e siècle, le développement des technologies en nuage promet aujourd'hui des avantages économiques substantiels pour le secteur informatique local et stimule l'innovation et le développement technologiques. Un deuxième parallèle concerne la sécurité nationale car, à l'instar de l'importance cruciale des chemins de fer pour l'approvisionnement de l'économie nationale et à des fins militaires, l'accès aux données des autorités publiques et leur protection sont primordiaux pour que la Suisse puisse se gouverner efficacement et préserver sa sécurité nationale et la prospérité de la population. Un troisième parallèle concerne les avantages en termes de sécurité d'une approche cohérente et coordonnée des grands projets d'infrastructure, comme en témoigne l'efficacité et la robustesse accrues du système ferroviaire suisse après la nationalisation.

‍

À l'instar du système ferroviaire privé incohérent qui existait avant la nationalisation, la cybersécurité et la protection des données en Suisse sont principalement entre les mains des municipalités, sans coordination adéquate avec les niveaux cantonal et fédéral. Par exemple, les informations relatives à la sécurité sociale et aux cartes de crédit de plus de 5 000 habitants du village de Rolle ont été rendues publiques sur le Dark Net après que les serveurs de la municipalité ont été piratés l'année dernière et que les informations qui y étaient stockées ont été divulguées. Comme le soutiennent certains parlementaires nationaux, une coordination et une normalisation accrues des normes de cybersécurité et de protection des données concernant les infrastructures numériques vitales, telles que les services en nuage, permettraient d'accroître considérablement la sécurité numérique de la Suisse.

‍

Si ces parallèles en matière d'économie et de sécurité montrent que les implications de la décision d'engager des entreprises technologiques étrangères pour le projet de cloud de l'administration fédérale sont en effet comparables à celles du système ferroviaire privé avant la nationalisation, la différence cruciale réside dans le fait que la décision de récupérer la propriété du système ferroviaire suisse s'est accompagnée d'un large débat public sur les avantages et les inconvénients potentiels de la nationalisation. Malheureusement, un débat comparable sur les implications de la souveraineté numérique du projet actuel d'infrastructure en nuage est largement absent des discussions actuelles, même s'il existe des alternatives à l'externalisation des services en nuage auprès de grandes entreprises technologiques internationales. Par exemple, le CERN et la NASA utilisent des solutions d'informatique en nuage à source ouverte robustes et fiables, telles qu'Openstack, qui pourraient également être adaptées pour répondre aux normes de l'administration fédérale en matière de sécurité des données et de protection de la vie privée. Cependant, le discours de la Confédération sur l'infrastructure en nuage a jusqu'à présent ignoré ces options alternatives, les jugeant technologiquement et financièrement irréalisables, même si l'énorme tollé public qui a suivi l'annonce montre la popularité de ces options parmi les entreprises technologiques basées en Suisse et le grand public. C'est pourquoi la section suivante se concentre sur les initiatives pionnières en matière de "cloud" aux niveaux intercantonal et cantonal, qui sont riches d'enseignements pour le débat national sur la souveraineté numérique de la Suisse.

‍

Genève : Une ville prise en étau entre la souveraineté numérique et l'absence d'alternatives

‍

Contrairement au projet de cloud de l'administration fédérale, la Ville et le Canton de Genève tentent activement de réduire leur dépendance vis-à-vis des entreprises technologiques étrangères en soutenant le projet de cloud souverain suisse porté par les cantons romands et en mettant en place son infrastructure de cloud souverain pour stocker les données de l'administration publique. Au niveau intercantonal, la Conférence latine des directeurs du numérique (CLND) poursuit activement le développement d'un cloud souverain basé en Suisse pour les cantons francophones et italophones. Dans une interview accordée au Blick, l'ancienne présidente de la CLND, Nuria Gorrite, a fait part de son inquiétude face à la banalisation des services de cloud computing qui donnent l'impression que "les données flottent dans l'air", occultant ainsi l'importance persistante de la souveraineté et de la territorialité à l'ère du numérique. Selon Mme Gorrite, la numérisation des administrations publiques ne justifie aucun changement dans les responsabilités de l'État, et elle demande rhétoriquement si l'on pourrait imaginer que les archives analogiques de l'administration fédérale suisse soient délocalisées à Pékin.

‍

Au niveau cantonal, l'Office cantonal des systèmes d'information et de la numérisation (OCSIN) de Genève a décidé de ne pas utiliser les services de cloud public gérés par des entreprises technologiques telles que Microsoft et Amazon et a choisi de développer son propre service de cloud privé. Andreas Felix, informaticien à l'OCSIN, explique que le cloud de l'administration genevoise sera donc entièrement développé en interne pour des raisons de confidentialité des données. Cela signifie que les données collectées lors des interactions entre les résidents et l'administration à Genève sont stockées et traitées sur des serveurs souverains et ne peuvent être consultées que par le personnel autorisé. Pris ensemble, l'initiative de cloud souverain des cantons latins de Suisse, ainsi que le développement d'un cloud privé par l'administration publique à Genève, démontrent la faisabilité financière et technologique de projets qui n'impliquent pas les grandes entreprises technologiques. Ces initiatives pourraient servir de base à une discussion sur la souveraineté numérique de la Suisse au niveau national, car elles constituent des options alternatives qui ont été marginales dans le débat national jusqu'à présent.

‍

Cependant, comme l'ont révélé nos entretiens avec les principaux fonctionnaires de la ville et du canton de Genève, les unités infranationales ont également du mal à gérer de manière autonome leur interdépendance technologique vis-à-vis des entreprises technologiques internationales. Comme l'a montré notre rapport analytique, la marge de manœuvre de l'administration publique concernant le choix des technologies et des services numériques est fortement limitée à la fois par le monopole des grandes entreprises technologiques et par leur lobbying constant par le biais de canaux formels et informels. Par exemple, en raison du manque d'alternatives efficaces, compatibles et abordables, le canton de Genève a fini par acquérir Office 365, la suite Microsoft, comme programme par défaut pour tous ses collaborateurs. En plus de ce caractère incontournable des outils et services des grandes entreprises technologiques, des sociétés telles que Microsoft ont également des représentants dans les conseils d'administration d'initiatives apparemment neutres et basées en Suisse, telles que Digital Switzerland et le Cyber Peace Institute. Comme nous l'avons entendu dans l'un de nos entretiens, ces organisations "bombardent" ensuite l'administration publique d'offres pour leur fournir des services numériques gratuits, grâce auxquels Microsoft espère gagner en légitimité et en crédibilité. Cet exemple met en évidence la difficulté pour les administrations cantonales de conserver leur souveraineté à l'ère numérique.

‍

Une voie à suivre : La nécessité d'un débat public sur notre future souveraineté numérique

‍

Il ressort de ce qui précède qu'en dépit de la domination du marché par les grandes entreprises technologiques et des tentatives de lobbying persistantes, les autorités publiques genevoises tentent d'affirmer un certain degré de souveraineté numérique en ce qui concerne le stockage et le traitement des données des résidents. Cependant, de nombreux résidents ne sont pas conscients de l'importance d'une infrastructure numérique souveraine et, inversement, ne s'inquiètent pas des risques liés à la sécurité des données et à la protection de la vie privée qu'implique le stockage de leurs données sur les serveurs d'entreprises technologiques étrangères. Ce blog a soutenu qu'à l'instar du débat du XIXe siècle sur la nationalisation du système ferroviaire privé par le gouvernement fédéral, le développement d'une infrastructure numérique nationale essentielle devrait s'accompagner d'un vaste dialogue social sur les questions de sécurité nationale et de souveraineté associées à l'externalisation ou non de ces services. Deux discussions de ce type, ouvertes à tous et menées par les parties prenantes, sont en cours au niveau cantonal et au niveau fédéral.

‍

Au niveau de la ville de Genève, Edgelands a lancé OPPi, une enquête participative sur l'impact de la transformation numérique sur la sécurité et la surveillance dans la ville. Les habitants ont été encouragés à remplir le questionnaire pour exprimer leurs opinions sur ces sujets et voir si d'autres personnes sont d'accord ou non avec eux. Leurs réponses aux questions sur la sécurité des données et la souveraineté numérique permettront à Edgelands d'identifier les principaux clivages concernant ces questions, et cette carte d'opinion crowdsourcée servira ensuite de base de discussion pour les discussions politiques, académiques et autres discussions participatives qu'Edgelands accueillera au cours des mois suivants. Les discussions sur les conséquences potentiellement négatives de la perte de souveraineté numérique des autorités publiques vis-à-vis des entreprises technologiques internationales, telles que des normes de protection des données plus laxistes et une surveillance limitée, permettent de sensibiliser les habitants de Genève à cette question et de les rendre plus attentifs à l'insécurité numérique.

‍

Au niveau fédéral, des entrepreneurs, des associations et des chercheurs suisses appellent à la création d'un "nuage suisse" souverain en mains suisses, contrairement aux plans du Conseil fédéral. D'une part, leur initiative populaire appelle à atteindre la souveraineté numérique suisse en mobilisant les acteurs suisses du cloud, tels que les entreprises et les universités, pour mener une étude de faisabilité ouverte et complète sur un "cloud souverain suisse". D'autre part, leur initiative vise à permettre aux résidents suisses d'avoir leur mot à dire sur la souveraineté de la Suisse à l'ère numérique et demande que les principes de base de la souveraineté numérique soient inclus dans la constitution fédérale.

‍

En résumé, les activités d'Edgelands à Genève, ainsi que l'initiative populaire nationale sur la souveraineté numérique, visent à impliquer les résidents de Genève et de Suisse dans une discussion publique sur l'étendue et l'opportunité de la souveraineté numérique, à l'image du débat sur la nationalisation du système ferroviaire suisse il y a plus de 100 ans. Les décisions concernant votre vie privée et la sécurité de vos données ne devraient pas être prises sans votre participation active aux discussions entourant la souveraineté numérique de Genève et de la Suisse. C'est à vous de décider où ces débats nous mèneront !

‍