Si le recours à des services informatiques fournis en ligne est devenu courant, il n’en demeure pas moins soumis à des règles particulièrement strictes lorsque le client est l’administration. Si les exigences en matière de protection des données peuvent généralement être respectées dans le cadre de la négociation du contrat de services, il en va différemment du secret de fonction qui empêche dans la majorité des cas purement et simplement tout traitement de données hors de Suisse.
J’ai traité de ces question ainsi que de quelques particularités des contrats informatiques dans l’article «L’utilisation de l’informatique en nuage par l’administration publique» paru dans la revue AJP/PJA 6/2019, désormais librement accessible en ligne.
Mise à jour 26 septembre 2024
La situation juridique a sensiblement changée depuis la publication de cet article en 2019: il est aujourd’hui beaucoup plus facile de recourir à l’informatique en nuage tant pour les privés que les organes cantonaux et fédéraux.
La notion d’auxiliaire a été ajoutée à l’art. 320 CP le 1er janvier 2023 et le Conseil fédéral a précisé qu’il n’y avait pas de violation du secret de fonction lorsque des informations protégées sont communiquées à un auxiliaire en Suisse ou à l’étranger (BO 2022 N 353 s). De plus, la reconnaissance des États-Unis comme un État offrant un niveau de protection adéquat (pour les entreprises ayant adhéré au Swiss-U.S. Data Privacy Framework) et la Désignation de la Suisse le 7 juin 2024 en tant qu’État bénéficiant du mécanisme de recours à deux niveaux comprenant l’accès à la Cour d’examen en matière de protection des données (ainsi que les garanties découlant du Décret exécutif 14086 du 7 octobre 2022), permettent désormais une communication de données personnelles aux États-Unis dans le respect de la LPD.