Cloud public et souveraineté digitale: contradiction ou choix stratégique?

La question de la souveraineté: qui garde le contrôle des données?

Pendant longtemps, les discussions sur la migration stratégique des charges de travail vers le cloud se sont concentrées sur des aspects essentiellement techniques. Où les données sont-elles sauvegardées? Quelle est la disponibilité de la plateforme? Quel degré de maîtrise perdure sur l’infrastructure et l’exploitation? Aujourd’hui, le débat sur la souveraineté va bien au-delà. Il ne s’agit plus seulement de savoir où les données sont sauvegardées, mais de déterminer qui peut y accéder et dans quel cadre juridique.

Ce qui relevait autrefois principalement de considérations techniques («Où sont stockées les données?» ou «La solution est-elle fiable?») est devenu une question d’ordre juridique et politique: «Qui peut accéder aux données, et selon quelles règles de droit?».

Avec l’entrée en vigueur de la nouvelle loi sur la protection des données (nLPD) en Suisse, le renforcement des exigences du RGPD dans l’Union européenne, ainsi que les évolutions géopolitiques récentes, le cadre de cette discussion a profondément changé.

Cela étant, la question de la souveraineté des données peut être analysée de manière objective et fondée sur les risques.

Pour les CIO, les décideuses et les décideurs au sein des PME en Suisse, la situation se présente aujourd’hui de manière concrète: Microsoft Azure exploite des centres de données à Zurich et à Genève, ce qui permet généralement de conserver les données sur le territoire suisse. Cependant, la localisation des données ne suffit plus comme seul critère d’évaluation. Le point déterminant est désormais le droit auquel est soumis le fournisseur de cloud.

 

Qu'est-ce que le US CLOUD Act?

Dans le débat public, le CLOUD Act est souvent perçu comme un motif d’inquiétude générale vis-à-vis des solutions de cloud public. Une analyse objective permet toutefois de nuancer largement cette perception.

Le CLOUD Act est une loi fédérale américaine qui, dans le cadre d’enquêtes en cours et sous certaines conditions, autorise les autorités pénales américaines à accéder aux données détenues par des entreprises américaines, indépendamment du lieu où ces données sont physiquement stockées. Étant donné que Microsoft est une entreprise américaine, Microsoft Azure entre en principe dans le champ d’application de cette loi. L’élément déterminant pour bien comprendre sa portée est le suivant: selon l’Office fédéral de la justice, le CLOUD Act vise des infractions graves («serious crimes») et ne constitue pas un instrument de surveillance généralisée.

En pratique, ce mécanisme est rarement activé. Le rapport de transparence publié par Microsoft montre que la grande majorité des clientes et clients n’a jamais été concernée par des demandes d’accès émanant d’autorités. Les cas de production de données de contenu concernant des clientes et clients Enterprise étrangers restent très limités, généralement à quelques cas par semestre. Par ailleurs, il existe des garde-fous juridiques importants : selon l’Office fédéral de la justice, une production de données sur la base du CLOUD Act n’est compatible avec le droit suisse ou européen qu’à titre exceptionnel. Dans ce contexte, Microsoft, en tant que Communication Service Provider (CSP), a l’obligation de contester ces demandes lorsque cela est juridiquement justifié.

Cette approche s’inscrit dans l’initiative « Defending Your Data », lancée en 2020 et intégrée contractuellement dans le Data Protection Addendum (DPA) de Microsoft. Concrètement, Microsoft s’engage à contester systématiquement toute demande d’accès aux données lorsqu’elle présente des failles juridiques ou qu’elle entre en conflit avec le droit européen. En complément, Microsoft prévoit des indemnisations financières si des données devaient être produites en violation du RGPD.

Cette pratique de contestation est établie : au cours des dernières années, Microsoft a déjà, à plusieurs reprises, engagé et remporté des procédures judiciaires contre des ordonnances de confidentialité ou de production. Ces engagements sont formalisés dans l'avenant relatif à la protection des données (DPA) de Microsoft concernant ses produits et services. Le dernier avenant au DPA datant de septembre 2025 comprend une annexe supplémentaire destinée aux clients du secteur public, qui définit des obligations supplémentaires et inclut explicitement la Suisse vu son appartenance à l’Association européenne de libre-échange (AELE).

À ces garanties juridiques s’ajoutent des mécanismes techniques de protection, qui seront examinés plus en détail par la suite. L’ensemble de ces mesures, juridiques et techniques, fait d’Azure une base solide pour les entreprises suisses qui ne considèrent pas que l’usage du cloud est incompatible avec la souveraineté digitale. Toutefois, avant d’aborder ces aspects techniques, une question plus fondamentale mérite d’être posée: si ce n’est pas Azure, quelles alternatives réalistes s’offrent aux entreprises suisses?

 

Microsoft Azure est-il encore incontournable dans le paysage des entreprises suisses?

La réalité parle d’elle-même : aujourd’hui, plus de 50’000 clientes et clients en Suisse utilisent les services cloud de Microsoft en production, alors qu’ils n’étaient qu’une trentaine d’Early Adopters lors du lancement des régions suisses en 2019. Parmi les utilisateurs figurent des acteurs majeurs tels que des banques comme UBS, des assureurs comme AXA, La Mobilière ou Swiss Re, ainsi qu’une grande partie de l’administration fédérale. En 2021, celle-ci a d’ailleurs intégré Microsoft dans les contrats-cadres de l’OMC 20007, avec application du droit suisse et for juridique en Suisse.

Microsoft renforce par ailleurs son engagement sur le marché suisse avec des investissements substantiels. En juin 2025, l’entreprise a annoncé un investissement supplémentaire de 400 millions de dollars pour moderniser ses quatre centres de données de Zurich et Genève, notamment en y intégrant des infrastructures d’intelligence artificielle de pointe. Depuis 2019, Microsoft a également mis à disposition plus de 30 millions de francs de ressources technologiques au bénéfice de plus de 1’500 start-up suisses, contribuant ainsi, selon l’entreprise, à la création de plus de 11’000 places de travail. Parallèlement, l’utilisation d’Azure OpenAI en Suisse connaît une croissance marquée depuis mi-2023. Aujourd’hui déjà, les utilisatrices et utilisateurs Microsoft en Suisse sont déjà environ 31 % à faire appel à des outils d’IA, une proportion en constante augmentation.

Toute personne qui adhère à l’idée d’une « souveraineté assurée par son propre centre de données » devrait également prendre en compte la réalité opérationnelle des environnements on‑premises. En Suisse, le nombre de cyberattaques signalées a augmenté de 113 % au premier trimestre 2025. Parallèlement, environ 80 cas de rançongiciel ont été recensés au second semestre 2025, soit une hausse de 59 % par rapport à l’année précédente.

Les PME sont elles aussi concernées : selon l’étude « Cybersécurité des PME 2025 », une PME suisse sur 25 a été victime d’une cyberattaque au cours des trois dernières années, et 73 % des entreprises touchées ont subi des pertes financières. Dans ce contexte, une configuration Azure professionnelle, intégrant notamment Defender for Cloud, Microsoft Sentinel et des politiques d’accès conditionnel, permet aujourd’hui d’atteindre un niveau de sécurité que de nombreux environnements on‑premises classiques ne peuvent offrir qu’au prix d’un investissement humain et financier conséquent.

Le principal enjeu n’est toutefois pas technologique, mais lié au marché du travail. D’ici 2033, la Suisse aura besoin d’environ 128’600 spécialistes ICT supplémentaires, avec un déficit estimé à quelque 54’400 personnes malgré les efforts de formation et d’immigration. Les plateformes de cloud public permettent de réduire la charge liée à l’administration des serveurs, au profit d’une gestion plus coordonnée de leurs services. Selon McKinsey, la migration vers le cloud peut générer un gain de productivité de 38 % pour le développement et la maintenance des applications, tout en améliorant l’efficacité des coûts d’environ 29 %. Les plateformes de cloud public constituent ainsi l’une des réponses les plus évolutives à une pénurie structurelle de compétences qui continuera de marquer durablement l’économie suisse.

Dans ce contexte, la véritable question de souveraineté revient au premier plan: comment réduire le risque résiduel grâce à des mesures techniques ciblées, de manière à le rendre acceptable au regard des bénéfices opérationnels?

 

Quelles mesures techniques permettent de réduire le risque résiduel en matière de souveraineté?

En pratique, trois leviers techniques se révèlent particulièrement efficaces. Ils sont indépendants les uns des autres et peuvent être combinés.

 

Levier 1: chiffrement avec contrôle des clés

Le chiffrement permet de réduire considérablement les risques résiduels en matière de souveraineté, à condition de concevoir la gestion des clés de manière que le fournisseur cloud n’y ait aucun accès, ou seulement un accès très limité. L’administration fédérale recommande notamment des approches telles que « Bring Your Own Key » ou « Keep/Hold Your Own Key ». La question centrale est de savoir qui détient réellement le contrôle des clés. Les solutions les plus efficaces sont celles où les clés ne sont pas uniquement contrôlées par le fournisseur cloud. Pour les niveaux de sécurité les plus élevés, le Double Key Encryption (DKE) apporte une protection supplémentaire : deux clés distinctes sont nécessaires pour déchiffrer les données, dont l’une reste exclusivement détenue par la cliente ou le client. Sur le plan technique, Microsoft n’est pas en mesure de déchiffrer les contenus de façon autonome. Dans la mesure où le CLOUD Act ne prévoit aucune obligation de déchiffrer des données chiffrées du côté du client, ces mécanismes figurent parmi les mesures de protection les plus efficaces, notamment pour les données de santé, les informations financières ou les secrets d’affaires sensibles.

 

Levier 2: transparence des accès et Privileged Identity Management

Avec Customer Lockbox, les clientes ou clients peuvent exiger que les collaboratrices et collaborateurs du support Microsoft ne puissent accéder à leurs données qu’après avoir obtenu une autorisation explicite. Combiné à Microsoft Entra Privileged Identity Management (PIM), aux accès just-in-time et à des journaux d’audit (audit trails) complets, ce dispositif crée un niveau de contrôle qui fait souvent défaut dans les environnements on-premises traditionnels, notamment lorsque des administrateurs internes disposent d’accès directs étendus.

 

Levier 3: souveraineté hybride avec Azure Arc et Azure Local

Toutes les charges de travail n’ont pas vocation à être migrées vers le cloud public et ce n’est pas nécessaire. Azure Arc permet la gestion centralisée des ressources on-premises, des environnements edge ou même d’autres clouds, tout en appliquant des politiques homogènes de gouvernance, de sécurité et de conformité. Azure Local complète cette approche en apportant une plateforme cohérente avec le cloud, mais déployée au sein de l’infrastructure propre de l’entreprise. La question stratégique « cloud public ou cloud privé » se pose désormais de manière plus pragmatique : où faut-il placer quelle charge de travail et pour quelles raisons ?

Ces trois leviers définissent les principales possibilités techniques. Leur sélection et leur intégration adaptées dans les environnements existants restent toutefois complexes et requièrent une expertise spécifique.

 

Comment BDO Digital vous accompagne

La souveraineté digital n’est pas un produit que l’on peut acheter. Elle résulte de l’interaction entre l’architecture, les contrats et la gestion opérationnelle. BDO Digital accompagne les entreprises suisses sur ce parcours grâce à deux lignes de services complémentaires.

 

Stratégie Cloud & Architecture

La démarche commence par un diagnostic d’ordre technique et stratégique:

• Quelles charges de travail sont adaptées à quels types d’architectures cloud?
• Quels mécanismes de protection Microsoft (BYOK/HYOK, DKE, Customer Lockbox, Azure Arc) correspondent aux différents cas d’usage?
• À quoi ressemble une feuille de route qui articule efficacement objectifs commerciaux, exigences de sécurité et environnement IT existant?

Ce travail aboutit à une stratégie cloud concrète et facilement applicable, avec des choix clairs en matière d’architecture et un plan de mise en œuvre structuré, distinguant de manière ciblée les charges de travail publiques, hybrides et privées.

 

Migration & Modernisation

Lors de la mise en œuvre, la migration vers les régions Azure suisses est étroitement liée à une démarche de modernisation. Un simple lift-and-shift n’est généralement pas viable à long terme. Ce sont surtout les architectures PaaS modernes qui permettent de réduire durablement les coûts d’exploitation et de créer les bases nécessaires à l’utilisation productive de l’IA, notamment avec Azure OpenAI. Azur Arc s’utilise dans les environnements hybrides. Les concepts de type Hold Your Own Key sont implémentés pour les données réglementées. Les standards établis sont Customer Lockbox et Privileged Identity Management. Le résultat consiste en une plateforme où la souveraineté digitale n’est pas perçue comme un frein, mais comme un principe d’architecture et de conception pleinement maîtrisé.

Grâce à cette approche, BDO Digital aide les entreprises à aborder la question de la souveraineté de manière objective, fondée sur les risques et solidement ancrée dans la technologie.