Les collectivités publiques sont nombreuses à utiliser des outils informatiques fournis par des prestataires externes. Ces solutions utilisent de plus en plus souvent la technologie de l’informatique en nuage (« cloud computing » en anglais) – ce qui pose la question de leur compatibilité avec la législation sur la protection des données. L’article que j’ai co-rédigé avec Marie-Laure Percassi et qui a été publié dans la Jusletter 29 septembre 2025 montre que les solutions en nuage sont en principe admissibles du point de vue de la protection des données, mais que d’autres obstacles – surtout politiques – peuvent s’opposer à leur utilisation.
Un point de situation
Suite à certains changements au niveau légal, les doutes qui existaient (en matière de protection des données et de secret de fonction) sur la légalité de l’utilisation des solutions d’informatique en nuage par les collectivités publiques ont désormais été levés. D’une part, les États-Unis ont été ajoutés à la liste des pays disposant d’une législation assurant un niveau de protection adéquat, de sorte qu’un outil dont l’utilisation implique un transfert de données personnelles vers une entreprise certifiée aux États-Unis peut être employé sans mettre en place des garanties ou des mesures supplémentaires. Ainsi, le CLOUD Act n’est plus un obstacle à l’utilisation d’outils fournis par des prestataires américains certifiés ou liés par des clauses contractuelles types. En l’état, et contrairement à ce qui prévalait sous l’ancienne LPD, l’exportateur peut se fier à la liste du Conseil Fédéral pour décider si un État offre ou non des garanties suffisantes. D’autre part, l’art. 320 CP a été modifié pour inclure les auxiliaires parmi les personnes soumises au secret de fonction. Une autorité peut par conséquent communiquer des données personnelles à des sous-traitants (qui sont des auxiliaires au sens de la disposition précitée) sans violer le secret de fonction.
Malgré ces changements, on observe toutefois encore une certaine réticence, de la part des autorités, à recourir à des solutions d’informatique en nuage, y compris par quelques législateurs cantonaux qui ont adopté des restrictions en violation du droit supérieur. Les arguments avancés pour expliquer pourquoi de telles solutions doivent être considérées avec circonspection ne résultent toutefois pas expressément de la législation en matière de protection des données personnelles ou de secret (de fonction ou professionnel). Il s’agit plutôt de considérations politiques, liées notamment à la souveraineté de l’État, ou de choix internes à l’administration. Cela ne signifie pas que ces réflexions ne sont pas pertinentes, mais il s’agit de critères politiques, éthiques ou de gouvernance, qui doivent être débattus dans ce contexte pour permettre un choix éclairé. Il ne s’agit pas d’interdictions légales.
L’article est librement accessible: Sylvain Métille / Marie-Laure Percassi, «Les collectivités publiques face à l’externalisation informatique», in Jusletter 29 Septembre 2025.