I.
Introduction ^
Les défis liés aux technologies numériques sont de plus en plus traités comme des questions de souveraineté. L’exemple le plus frappant en Suisse est certainement le « cloud souverain ». Dans son rapport de 2020 sur le « Swiss Cloud », l’Unité de pilotage informatique de la Confédération identifie quatre critères liés à la souveraineté qu’une offre de cloud devrait satisfaire : un fournisseur majoritairement en mains suisses et ne dépendant pas économiquement d’autres pays, des données traitées uniquement en Suisse, pas d’obligation de communiquer des données avec des tiers autres que des membres du système judiciaire suisse et une organisation soumise au droit suisse dont le for serait en Suisse1. L’appel d’offre « Public Clouds Confédération » lancée fin 2020 conduit à une polémique portant à la fois sur les contraintes de cet appel2 et sur les sociétés l’ayant remporté (Amazon, IBM, Oracle, Microsoft et Alibaba).
Le 22 mai 2024, le Conseil fédéral présente son message concernant le crédit nécessaire à la mise en place du « Swiss Government Cloud » (SGC), une approche hybride multi-cloud prévue pour l’administration fédérale3. Le SGC comprend un cloud public (mis en œuvre par des fournisseurs privés externes) et un cloud privé (déployé et exploité dans un réseau interne fermé). Dans son message, le Conseil fédéral considère la souveraineté numérique comme l’une des exigences qu’un service en nuage doit remplir : « Lors de l’utilisation de services en nuage, il convient de toujours déterminer quelles exigences en matière de protection des données, de sécurité de l’information, de souveraineté numérique, de fonctionnalité et d’efficacité des coûts sont prépondérantes »4. Dans le même message, la souveraineté numérique est définie comme « souveraineté sur les informations et les données » et comme « autonomie opérationnelle ou d’exploitation » (principalement sous l’angle des compétences humaines)5.
Dans le cadre de cette contribution, le « cloud » est défini comme un type de services numériques utilisables sans contrainte de localisation en recourant à un pool de ressources configurables et disponibles via un accès en réseau6. Dans l’usage politique et public qui est fait du terme, il est utile de distinguer deux grandes acceptions. La première vise « le » ou « un » cloud (utilisé au singulier)7. Dans les débats publics, cette acception renvoie à l’idée d’un service de stockage de données. La deuxième acception porte sur un ensemble de services fournis en mode « cloud ». Les exemples sont nombreux (par ex. Microsoft 365, la suite bureautique fournie en cloud8). Cette distinction rejoint la distinction opérée entre un service d’infrastructure (Infrastructure-as-a-Service), une plateforme (Platform-as-a-Service) et les multiples exemples de Software-as-a-Service (SaaS)9. De manière générale, il est crucial de comprendre que les services en mode « cloud » vont clairement plus loin qu’un espace de stockage « passif ». En mars 2022, la Confédération écrit ainsi : « Pour la Confédération, le projet ‹ Public Clouds Confédération › vise moins à obtenir de l’espace de stockage supplémentaire pour les données qu’à permettre l’accès à une infrastructure très évolutive et à un large éventail de nouvelles technologies »10. Cette vision est concrétisée par le « Swiss Government Cloud »11.
Cette question du « cloud souverain » est une sous-catégorie d’un débat plus large portant sur la « souveraineté numérique » (digital sovereignty). Ce débat est au cœur de nombreuses publications scientifiques12, mais également d’initiatives politiques en Suisse13. En 2022, la conseillère aux Etats Heidi Z’Graggen (Le Centre) demande au Conseil fédéral d’affiner sa stratégie sur la souveraineté numérique14. Le rapport Stürmer, publié en juin 2024, esquisse des pistes de réponse aux questions du postulat15. A l’heure d’écrire ces lignes, le DFAE est en train de finaliser une réponse à ce postulat. En parallèle, la Chancellerie fédérale considère en 2023 la souveraineté numérique comme l’un des thèmes prioritaires de la mise en oeuvre de la stratégie « Suisse
numérique »16.
De manière générale, cette approche de « souveraineté numérique » déploie des effets à deux niveaux distincts. A un premier niveau juridique, le concept de souveraineté vise à ordonner, structurer et justifier certaines compétences d’une entité politique. Ainsi, lorsque les cantons romands lancent une réflexion sur le « cloud souverain » par l’intermédiaire de la conférence latine des directeurs du numérique, ils proposent un argument basé sur la souveraineté des cantons17.
A un deuxième niveau, l’approche par la souveraineté numérique agit comme un récit politique (framing) particulièrement puissant18. Dans les sciences de la communication, ces framing sont définis comme des « organizing principles that are socially shared and persistent over time, that work symbolically to meaningfully structure the social world »19. Comme l’expliquent Guenduez et Mettler dans leurs travaux sur les récits utilisés par les autorités publiques en matière d’intelligence artificielle, ces récits sont mobilisés afin de « create shared understandings, shape problem definitions as well as the ranges and types of solutions, and influence internal and external audiences’ perceptions, attitudes, and behaviors »20. Le recours à l’idée de souveraineté mobilise certains récits et déclenche certaines associations linguistiques, politiques mais également culturelles. L’administration cantonale et fédérale, mais également les élues et élus politiques à tous les niveaux sont à la fois déclencheurs de ce récit (ce que nous pourrions appeler sa mise en circulation dans l’espace public), et parties prenantes de ce récit21. Les défis identifiés, les arguments soulevés, les solutions esquissées : tous vont s’inscrire (en accord ou en critique) du cadre conceptuel de la souveraineté. La contribution que vous lisez en ce moment n’échappe pas à cet impact. Elle n’aurait peut-être jamais vu le jour sans un récit basé sur la souveraineté. Cette dimension de communication politique, et plus largement sociétale, est parfois sous-estimée par les juristes, qui ont des difficultés à l’intégrer dans une analyse classique22. Elle n’en reste pas moins très importante pour prendre la mesure des effets du choix conceptuel et normatif de recourir à la souveraineté pour aborder les défis du cloud et, plus largement, ceux du numérique.
Cette contribution prend les outils de la philosophie du droit pour interroger cette approche de « souveraineté numérique », à l’exemple du « cloud souverain ». La contribution poursuit un double objectif. Premièrement, elle veut redonner sa pleine valeur à la dimension théorique du récit de souveraineté. A ce titre, cette contribution apporte des éléments de réponse aux questions de définition soulevées par la Chancellerie fédérale dans son rapport de mise en œuvre 202323. Cette contribution vient compléter les analyses juridiques liées aux dimensions contractuelles et de protection des données des systèmes de cloud, à l’exemple de l’avis de droit de M. Schefer et P. Glass sur Microsoft36524. La contribution s’inscrit également en complément des analyses éthiques de ces systèmes25.
Deuxièmement, cette contribution souhaite faire apparaître les implications en matière de récit juridique et politique de l’approche par la souveraineté. A ce titre, la contribution proposera une vue d’ensemble des éléments souvent implicites dans le récit de souveraineté et visera ainsi à clarifier les niveaux d’éventuelles dissensions. La contribution formule une proposition quant aux caractéristiques des services cloud qu’un canton souverain devrait favoriser.
Cette contribution est organisée en deux parties. Dans un premier chapitre, la contribution définit la souveraineté comme étant un concept dynamique. Dans un deuxième chapitre, l’étude présente certaines caractéristiques que les services cloud choisis par une entité politique souveraine (par ex. un canton) devraient respecter. Cette proposition a pour ambition principale d’offrir une perspective générale d’analyse du récit de souveraineté. Le lectorat visé par cette contribution comprend ainsi les spécialistes du droit du numérique, les responsables dans les administrations cantonales et fédérale, ainsi que les élues et élus traitant des dossiers numériques. Elle s’adresse en deuxième priorité aux concepteurs d’offres de cloud souverain.
II.
Le concept de souveraineté ^
Cette section élabore une définition du concept de souveraineté. La section comprend deux sous-sections. La première propose une définition générale de la souveraineté en mobilisant une approche de philosophie du droit et de droit international. La deuxième spécifie de quelle manière cette définition contribue aux débats en cours.
La perspective choisie est celle d’un canton, à la suite des travaux entrepris par la conférence latine des directeurs du numérique. Cette réflexion sur la souveraineté peut bien entendu être conduite au niveau national (Suisse), ou régional (souveraineté numérique de l’UE). Dans un État comme la Suisse, il est néanmoins important de ne pas mener exclusivement une discussion au niveau national, là où la demande de souveraineté semble par défaut se déployer26. Afin de clarifier l’idée de souveraineté, il importe de revenir à la base conceptuelle d’un État fédéral : des entités souveraines (les cantons) qui décident de s’unir afin de fonder un État (la Confédération). Les cantons sont des entités politiques souveraines, dans les limites de l’Art. 3 Cst. féd. Cela signifie que certaines compétences peuvent, sur la base d’une décision justement souveraine, être ensuite transférées ou exercées de manière conjointe par plusieurs entités politiques27. Le message du Conseil fédéral sur le « Swiss Government Cloud » rend justice à l'importance des cantons en reconnaissant à la fois leurs demandes d’utilisateurs indépendants et celles de mutualisation des ressources28.
1.
Une tentative de définition ^
L’abondance de littérature sur la question de la « souveraineté » démontre la nécessité d’une certaine modestie dans l’approche choisie29. A ce titre, cette contribution veut avant tout clarifier comment appréhender l’expression « cloud souverain » et comment lier cette conception à l’idée d’un canton utilisant de manière souveraine certaines technologies.
En bref, une entité politique est souveraine si elle possède un ensemble de compétences (de jure) et de capacités (de facto) de choix et d’action qui garantit son auto-détermination. Cet ensemble doit donc être compris comme étant étroitement lié au droit à l’auto-détermination des citoyennes et citoyens30. Un passage par le droit international est utile pour illustrer ce lien. Comme l’explique la Cour internationale de justice à travers sa jurisprudence sur le droit des peuples à l’auto-détermination, l’exigence fondamentale porte sur le « need to pay regard to the free and genuine expression of the will of the people concerned »31. Afin de garantir la capacité des membres (les citoyennes et citoyens) à être auto-déterminés, l’entité politique elle-même doit être auto-déterminée et doit donc être en mesure d’exercer un ensemble de compétences et capacités32. L’exercice de la souveraineté est ainsi la condition de l’autonomie, elle-même ancrée dans le droit des membres de l’entité politique à disposer d’eux-mêmes. La question du « contrôle » exercé par l’entité souveraine est au cœur de cette dimension33. En droit international, les dimensions « interne » et « externe » de la souveraineté reflètent cette exigence de contrôle34. Ainsi, une entité n’est pas souveraine si elle n’a pas ces compétences et ces capacités, notamment si elle est à la merci d’autres entités politiques (cantons « riches », Confédération, Union européenne, etc.) ou d’entreprises privées.
Ainsi, la souveraineté décrit un ensemble de compétences et de capacités qu’une entité politique devrait posséder pour réaliser les missions qui sont exigées par la volonté des citoyennes et citoyens. Par exemple, un canton doit pouvoir décider de manière autonome comment il organise son système scolaire. Le canton a besoin de cette compétence et de cette capacité pour être un « bon » canton, au sens d’être en capacité de réaliser les missions formulées par ses citoyennes et citoyens.
J’emprunte cette approche et cette dénomination au philosophe du droit T. Endicott qui réfléchit à la souverainté pour un État : « So the content of sovereignty is determined by the powers and the forms of independence that a state needs in order to be a good state »35. L’utilisation du qualificatif « good state » ne doit pas être considéré comme reposant sur une conception substantielle du bien. A ce titre, « good » peut être remplacé par d’autres adjectifs indiquant un souhait, une qualité normative vers laquelle tendre (par ex. juste ou légitime). Cette qualité normative se définit par rapport à la responsabilité de l’entité politique vis-à-vis de sa population et des autres entités politiques : « A political community is a form of relationship among the people of a territory. The state has responsibility for a community (that is, responsibility for a relationship among the people of its territory), and for peace, order, and good government within the community. And the state has responsibility to act as a member of the international community. A good state is one that carries out these responsibilities well. »36 En d’autres mots, la souveraineté rassemble donc toutes les compétences et capacités dont aurait théoriquement besoin une entité politique pour être à la hauteur de ce qu’on attend d’elle, en d’autres mots, pour être une « bonne » (juste/légitime) entité politique (et ce aussi bien vers l’interne que vers l’externe)37.
Mais qui détermine cet ensemble de compétences et capacités ? Cette question est au cœur d’une des difficultés conceptuelles majeures du concept de souveraineté. L’ensemble de ces compétences et capacités (la souveraineté) semble être premier, car c’est sur cette base que les entités politiques (les cantons ou les États) entrent en relation et négocient les conditions de leur coopération. Mais pour garantir une condition d’égalité entre ces entités politiques, il est nécessaire que cette souveraineté soit définie avant, c’est-à-dire comme un pré-requis nécessaire à la négociation. En droit international, ce paradoxe rappelle que le droit international lui-même repose sur les modalités de relation choisies par des États souverains considérés comme des égaux, souveraineté elle-même déterminée par le droit international38.
Cette courte contribution n’est pas le lieu pour aborder en détails cette difficulté fondamentale. De manière pragmatique, il est possible de résoudre une partie des tensions en appréhendant ce paradoxe comme un « équilibre réflectif » à la manière de Rawls39. Une première proposition de compétences et capacités garanties de manière égale est formulée, puis on cherche à faire advenir un consensus dynamique entre les différentes entités. L’évolution permanente du référentiel de la souveraineté (notamment son contenu) peut ainsi être lu comme transformation de cet équilibre dynamique.
Cette approche de la souveraineté nous amène donc à une question fondamentale : de quoi un État/un canton a-t-il besoin pour être un État/canton qu’on peut qualifier de « bon »? Cette question démontre que le contenu de la souveraineté, c.-à-d. l’ensemble des compétences et capacités, est structurellement sujet à débat. Cette approche ne renvoie pas à une liste fixe d’éléments qui « feraient » la souveraineté. Bien à l’inverse, elle renvoie à la qualification nécessairement dynamique d’un « bon » canton capable de rendre justice aux missions confiées par ses citoyennes et citoyens.
Le contenu est sujet à débat à deux niveaux qu’il faut distinguer. Premièrement, les domaines de la souveraineté peuvent évoluer. Il s’agit ici de définir les domaines d’action publique où l’entité politique a besoin de compétences et capacités. La Suisse connait bien ce débat sur la souveraineté des cantons et le transfert de compétences/capacités vers la Confédération. Deuxièmement, la modalité de l’exercice de cette compétence est à définir. La question porte alors sur les conditions d’action, plus que sur les domaines de la souveraineté.
Ces deux niveaux reflètent des types de risques différents pour la souveraineté. Au premier niveau, l’entité politique n’est pas souveraine si elle n’a aucun domaine où elle peut exercer sa souveraineté. Au deuxième niveau, l’entité peut être souveraine quant aux domaines, mais non-souveraine car elle est soumise à un contrôle exercé par d’autres40.
En résumé, définir le contenu de la souveraineté est un exercice sans cesse à recommencer qui doit porter sur les missions essentielles du canton (son « cahier des charges ») et sur sa capacité de choix et d’action autonomes. A travers tous ses domaines d’activités, le canton veut éviter de perdre sa capacité de choix et d’action autonomes (par exemple par un effet de non-retour de certains choix) ou éviter d’être pris dans des relations de dépendance ayant pour effet de réduire drastiquement sa capacité de choix et d’action41.
2.
Contribution aux débats en cours ^
Cette tentative de définition inspirée de la philosophie du droit contribue de deux manières principales aux nombreux débats en cours.
Premièrement, elle permet de faire apparaitre que de nombreuses controverses sur le cloud souverain sont en fait des controverses sur l’idée même de souveraineté et son contenu. De nombreuses approches d’inspiration empirique travaillent avec l’idée d’une liste (la souveraineté inclue X, Y, Z, …), cherchant ainsi à catégoriser puis mesurer la souveraineté (par rapport à un standard idéal)42. L’argument proposé ici reconnait pleinement que déterminer le contenu de la souveraineté exige de qualifier d’abord ce qui est attendu d’un « bon » canton. Cette proposition repose sur une série de principes considérés comme essentiels au « bon » canton. L’intérêt de cette approche est de clarifier les différents niveaux de désaccords et critiques possibles, contribuant par là-même à la qualité du débat juridique et politique sur les exigences de souveraineté numérique43. Selon la typologie proposée par Fratini et al., cette approche est caractéristique d’un « rights-based model of digital sovereignty »44. Dans cette conception, la souveraineté est un moyen (ensemble de compétences et capacités) de réaliser une série d’objectifs (les missions d’un « bon » canton). Il est important de noter que cette approche est réservée à une entité politique, du fait de son lien avec l'idéal d'autonomie des membres. Les relations au sein d'une entreprise étant incomparables avec les relations entre les citoyens et leur Etat, l'idée de souveraineté ne devrait pas s'appliquer aux entreprises. Néanmoins, certaines contributions au débat public parlent de « souveraineté numérique des entreprises »45. C'est une belle illustration de l'effet du récit de la souveraineté, qui tend à rapprocher les entités qui pourraient être dites souveraines des communautés politiques (cantons/Etat/UE)46.
Deuxièmement, cette approche considère la souveraineté avant tout dans une perspective fonctionnelle. L’importance de la capacité de contrôle apparait particulièrement forte à l’aune de cette approche fonctionnelle. Cette capacité est au cœur des réflexions sur la capacité du canton à identifier, puis potentiellement à réviser, certains de ses choix stratégiques47. Cette capacité de contrôle peut d’ailleurs parfois justifier des choix de politique publique qui dépassent la question des services cloud. Certaines politiques publiques vont permettre de créer un environnement institutionnel et technique qui offre une capacité de contrôle, comme le développement d’infrastructure (data center), d’outils numériques développés de manière interne, d’écosystèmes à la jonction de la recherche et de la politique industrielle, mais également de compétences (know-how)48.
Le lien entre territoire et souveraineté doit également être analysé à la lumière de ce prisme fonctionnel. D’une part, le territoire est important car les attributs de la souveraineté sont conférés à une entité politique ayant une existence territoriale. D’autre part, le contenu et la modalité d’exercice de la souveraineté exigent une forme de contrôle sur ce territoire, ce afin de réaliser les missions identifiées. A ce titre, les technologies numériques ont complexifié les débats, mais le paradigme territorial reste toujours d’actualité. Comme le notent Pohle et Thiel, le discours des années 90 sur le « cyberespace » qui échapperait de manière ontologique à la dimension territoriale a perdu son attractivité49. En matière de discours politique, un numérique présenté comme « dématérialisé » (l’analogie du cloud/nuage) continue à faire écho à des outils numériques qui créeraient une forme de territoire hors espace. Mais ce genre de discours doit être évité, toutes les infrastructures rendant les technologies numériques possibles et tous les utilisateurs de ces mêmes technologies ont une existence géographiquement localisée, ou à tout le moins localisables50.
III.
Le « bon » canton et ses services cloud ^
Cette section poursuit l’argument en présentant certaines caractéristiques que les services cloud choisis par un canton souverain devraient respecter. Pour ce faire, comme expliqué plus haut, il faut clarifier les compétences et capacités qu’un canton souverain devrait posséder afin de remplir ses missions de « bon » canton.
Cette section est organisée en deux sous-sections. La première explique la méthode hybride retenue pour aborder la qualification du « bon » canton. En adéquation avec la définition du cloud proposée, la deuxième section se focalise sur les conditions nécessaires en matière de services cloud.
1.
Proposition de valeurs et principes pour un « bon » canton ^
Le défi principal de l’approche proposée consiste à identifier les contours d’un « bon » canton. Pour rappel, l’argument peut être discuté de manière similaire au niveau national (le « bon » État). En bref, qu’est-ce qui est attendu d’un canton, respectivement de la Confédération là où elle exerce ses compétences ? C’est de cette qualification que découleront les exigences liées à la sauvegarde de sa souveraineté.
Deux manières d’approcher cette question sont envisageables. D’une part, il est possible de chercher une base commune au sein des cantons, par exemple via une approche comparative51. L’hypothèse serait ensuite que les principes, exigences ou missions les plus partagés soient ceux qui devraient profiter d’une présomption de légitimité. En d’autres mots, si tous les cantons ou une vaste majorité posent comme essentiel le principe Y ou la mission X, alors on supposera qu’Y/X est légitime à figurer dans le « cahier des charges » des cantons. Ils font partie intégrante de ce que signifie être un « bon » canton.
D’autre part, il est possible de proposer une approche normative. Celle-ci proposerait une série d’exigences et de missions justifiées à l’aune de principes considérés comme fondamentaux. L’argument se construirait alors sur un ou plusieurs axiomes (par ex. la protection de la dignité humaine).
L’approche retenue dans cette courte contribution est hybride. Elle est normative dans la mesure où elle se construit sur un ensemble de principes supposés fondamentaux pour une entité politique comme un canton. Mais elle est empirique dans le sens où elle réfère à des constitutions cantonales afin de montrer que les principes et objectifs identifiées ont également une pertinence juridique déjà largement reconnue52. Cette contribution ne peut faire une étude comparative complète des constitutions cantonales. Elle offre ainsi seulement des références vers les quatre constitutions cantonales les plus récemment révisées, à savoir la Constitution d’Appenzell R. int. (acceptée en 202453), genevoise (2012), schwytzoise (2010) et lucernoise (2007). Cet échantillon n’a pas d’ambition de représentativité particulière. Il prend les constitutions les plus récentes en faisant l’hypothèse que les défis liés aux technologies numériques ont été thématisés lors du processus de révision54. Cet échantillon vise tout au plus à créer une présomption de légitimité des principes identifiés.
A titre de proposition, les principes suivants sont considérés comme fondamentaux pour être un « bon » canton :
- Souveraineté comme ensemble de compétences visant à réaliser les choix des citoyennes et citoyens (en lien avec la démocratie)55
- Protection des droits et libertés fondamentales, notamment les éléments en lien avec la liberté individuelle, la protection des données et l’auto-détermination informationnelle56
- Limitation de l’impact environnemental des actions des autorités publiques57
- Capacité de documenter et d’archiver les décisions et actions des autorités publiques58
- Principe de légalité et capacité de justifier les choix des autorités publiques59
Ces principes forment la base de la réflexion sur un canton souverain, respectivement l’État souverain. Le défi est maintenant de préciser ces principes sous forme d’exigences plus spécifiques. Cet effort de précision fera apparaitre une vue d’ensemble des compétences et capacités souvent implicites dans l’idée de souveraineté. De manière générale, comme expliqué par Fratini et al., il est logique que l’approche choisie (décrite comme « rights-based ») amène structurellement à se focaliser sur comment protéger les intérêts des citoyennes et citoyens, et de l’ensemble de la vie sociale. A ce titre, cette approche de la souveraineté est proche du courant du constitutionnalisme numérique60. Néanmoins, séparer le plus clairement possible ces différents niveaux d’analyse permet de clarifier là où se trouvent les critiques et malentendus potentiels. Avec le prochain chapitre, on verra ainsi apparaitre une structure à trois niveaux : 1) définition des principes fondamentaux liés au « bon » canton, 2) spécification des missions essentielles de ce « bon » canton et 3) qualification des demandes spécifiques en termes techniques, organisationnelles ou contractuelles.
2.
Les exigences d’un canton souverain en matière de cloud ^
Cette sous-section est structurée sur deux niveaux qui visent à prolonger la réflexion sur les principes fondamentaux du « bon » canton. Le premier niveau propose certaines missions essentielles (dans l’encadré), le deuxième niveau identifie les demandes spécifiques concrètes. En identifiant certaines questions de nature politico-juridique (dans une catégorie « à définir ») et certains risques (dans une catégorie « risques potentiels »), ce deuxième niveau permet de structurer les différentes composantes du récit basé sur la souveraineté61. Les « risques potentiels » mettent notamment en lumière les circonstances où la souveraineté est en danger.
a. Contrôle des données : le canton souverain gère de manière responsable les données qui sont sous son contrôle. |
Cette première mission essentielle renvoie à l’importance de la souveraineté sur les données. Trois précisions s’imposent : quels types de données sont concernés, que veut dire « gérer » et que veut dire « de manière responsable »62.
Premièrement, le canton doit ici cartographier les données stockées/utilisées dans son infrastructure de données et via les services utilisés en mode cloud. Il juge ensuite de la criticité de ces données. La criticité s’établit en priorité de manière juridique (principalement à la lumière du droit de la protection des données63). De manière subsidiaire, dans la mesure où les obligations juridiques lui confèrent une marge d’appréciation et d’action, le canton peut fixer une hiérarchie de criticité, par exemple eu égard aux données qu’il peut utiliser via des services cloud. Ce type de criticité subsidiaire est important dans les analyses de risques, notamment en référence à deux principes forts : les droits fondamentaux en jeu (citoyennes et citoyens, mais également collaboratrices et collaborateurs des autorités publiques) et les intérêts fondamentaux de l’État (informations essentielles au bon fonctionnement des autorités publiques)64. Suivant la criticité des données en jeu, différents niveaux d’exigence technique ou organisationnelle peuvent ensuite s’appliquer. A titre d’exemples, les mesures techniques peuvent porter sur l’anonymisation, la pseudonymisation ou le cryptage des données avant transfert/usage via des services cloud65. Au niveau organisationnel, on peut imaginer des mesures de type « fire-wall » pour limiter l’accès à certaines données à certains services et/ou niveaux de compétence institutionnelle.
Deuxièmement, la question de la « gestion » responsable des données dans le contexte de services cloud va plus loin qu’un simple stockage passif de données. Les services cloud doivent transmettre des données, les traiter et, pour un temps variable, les stocker. En complément de la question de ce cycle d’utilisation des données (transmission, traitement, stockage, puis suppression), c’est la question du contrôle de l’accès aux données qui est centrale pour la gestion responsable par le canton. Il est intéressant de noter que le vocabulaire lié à la possession ou à la propriété des données n’est pas le plus pertinent pour appréhender cette gestion responsable via des services cloud66. Les données sont importantes car elles permettent de créer et d’extraire des informations. Etre propriétaire de certaines données sans être capable de contrôler l’accès à ces données et l’extraction d’informations y afférente n’est pas satisfaisant du point de vue de la souveraineté. Pour une institution publique, c’est donc la capacité de contrôler qui a accès selon quelles conditions à quelles données (et donc aux informations contenues) qui est au cœur de la gestion responsable des données.
Troisièmement, l’idée de responsabilité est centrale pour guider le canton dans toutes les situations où il possède une marge d’appréciation quant aux compétences que lui fournit la base légale, par exemple dans le processus d’achat de certaines solutions cloud67. En plus du respect des règles juridiques applicables68, le « bon » canton devrait être en mesure de justifier son action vis-à-vis des citoyennes et citoyens. Cette dimension de justifiabilité porte sur l’opportunité d’acheter des services cloud (voir point b ci-dessous), mais également sur les conditions de cet achat et de l’utilisation des services. Cette question est souvent traitée au prisme d’une analyse de risques69. Plus généralement, le canton doit être en mesure d’identifier les conflits entre plusieurs objectifs de politique publique et proposer un arbitrage cohérent et argumenté entre ces objectifs. L’exemple des engagements pris en matière de durabilité est ici pertinent70. La qualité de ce travail de justification est en jeu71.
Afin d’être un canton souverain, le canton doit ainsi garantir les actions suivantes :
- L’intégrité des données est protégée. Tout a été mis en place pour éviter qu’elles ne puissent être détruites ou volées. L’accès aux données est impossible pour les acteurs non-autorisés (mesures techniques/organisationnelles).
- A définir : pour chaque type de données (selon leur criticité), quels sont les niveaux d’autorisation souhaitables ? Quelles mesures techniques (p. ex. cryptage) sont envisageables pour garantir l’intégrité des données ?
- Risques potentiels : destruction accidentelle ou volontaire ; accès non-autorisé aux données par le fournisseur du cloud/un acteur étatique auquel le fournisseur est soumis (dépendant de la juridiction de certains acteurs, ex. USA72)
- Les données sont accessibles par les acteurs autorisés. Le canton peut y avoir accès de manière efficace, dans le cadre de ses missions. La capacité d’archivage du canton est garantie.
- A définir : pour chaque type de données, quel est le catalogue des besoins spécifiques en termes d’accès/utilisation, également du point de vue des droits de consultation des citoyennes et citoyens ?
- Risques potentiels : le canton n’a plus accès aux données pour des raisons techniques (défaillances) ; le canton perd sa capacité d’archiver les informations pertinentes.
- Les services choisis minimisent l’impact environnemental du canton, ou à tout le moins ne l’augmente pas.
- A définir : quels sont les principaux impacts environnementaux des services cloud ?
- Risques potentiels : le service cloud choisi impacte de manière disproportionnée son environnement (notamment en termes de ressources énergétiques/territoire)
b. Opportunité d’utilisation et réactivité : le canton souverain n’utilise des services cloud que lorsqu’il en tire un avantage quantifiable et à condition qu’il puisse réagir en cas de problèmes et/ou en cas de nouvelles opportunités. |
L’utilisation des services cloud par le canton souverain doit répondre à un besoin identifié. De plus, le canton souverain reste en situation de contrôle vis-à-vis du fournisseur du cloud et de la technologie proposée. Il garde le contrôle sur l’utilisation du cloud, mais également sur sa capacité à changer de fournisseur et/ou à faire évoluer l’offre technologique. Selon Fratini et al., cette capacité de réaction est l’un des défis de l’approche « rights-based » à la lumière des débats préalables qu’elle exige et des contraintes qu’elle met en place73.
Afin d’être un canton souverain, le canton doit ainsi garantir les actions suivantes :
- Les services cloud sont utilisés avec un objectif quantifiable, par ex. ces services permettent au canton de mieux remplir ses missions (gain opérationnel). Ces services permettent d’économiser des ressources financières (gain financier).
- A définir : quels sont les avantages quantifiables du service cloud ?
- Risques potentiels : le service cloud représente une « mode » sans avantage clair/ une démarche imposée par des fournisseurs (produits « croisés »)
- Les services cloud peuvent être (ré)-adaptés aux besoins concrets du canton.
- A définir : quelle est la marge d’adaptation nécessaire à chaque service ?
- Risques potentiels : le service cloud représente la technologie à un temps T, sans possibilité d’adapter l’offre selon l’évolution technologique
- Les contrats d’utilisation prévoient des clauses de sortie et de transfert vers d’autres fournisseurs (décommissionnement)74. Les données stockées peuvent être transposées vers un nouveau fournisseur de manière aussi simple que possible.
- A définir : quel est le prix acceptable pour conserver une possibilité de sortie ?
- Risques potentiels : conditions contractuelles rendant de facto impossible le transfert vers d’autres fournisseurs ; blocage technique de la portabilité/interopérabilité des données
- Le for applicable en cas de conflit juridique est en Suisse.
c. Analyse de risques : le canton souverain travaille avec des partenaires ayant eux mêmes des bonnes pratiques. |
Le canton souverain collabore avec des partenaires ayant eux-mêmes des bonnes pratiques. Il cherche ainsi à éviter des risques pour ses citoyennes et citoyens75.
Afin d’être un canton souverain, le canton doit ainsi garantir les actions suivantes :
- Le canton ne travaille pas avec des partenaires aux pratiques problématiques.
- A définir : quelles sont les pratiques qui sont des lignes rouges ?
- Risques potentiels : le canton collabore avec des partenaires robustes sur le plan technique mais impliqués dans des pratiques très problématiques en leur sein/auprès d’autres entreprises/États-tiers
- Le canton ne travaille pas avec des partenaires sous contrôle d’État-tiers.
- A définir : quel est le critère pour évaluer le niveau de contrôle exercé par un État-tiers?
- Risques potentiels : le canton collabore avec des partenaires privés sous contrôle (actuel/potentiel) d’un État-tiers, avec de possibles conflits d’intérêts pour le stockage/traitement de données en lien avec les autoriités publiques suisses
d. Fédéralisme : le canton souverain conserve sa capacité d’action selon les compétences qui sont les siennes. |
L’utilisation de services cloud ne doit pas modifier en profondeur les compétences cantonales (de facto ou de jure).
Afin d’être un canton souverain, le canton doit ainsi garantir les actions suivantes :
- L’utilisation d’un service cloud qui exigerait/participerait d’une nouvelle attribution de compétences doit être traitée comme un changement de compétence et analysée comme telle.
- A définir : comment distinguer entre une nécessaire coordination et un transfert de facto de compétences ?
- Risques potentiels : afin d’utiliser un service cloud, nécessité de mise en commun des données des communes du canton/des cantons (transformation de l’équilibre des compétences communes-cantons-confédération)
IV.
Conclusion : le récit souverain ^
Cette contribution poursuit deux objectifs principaux : redonner sa pleine valeur à la dimension théorique du récit de la souveraineté et faire apparaître sous forme de vue d’ensemble les implications en matière de récit juridique et politique de l’approche par la souveraineté. Les sections précédentes proposent une tentative de qualification du « bon » canton et, sur cette base, des prérogatives souveraines de ce canton. Dans sa structure, l’argument peut être développé au-delà de la seule question du cloud pour appréhender d’autres outils numériques. L’argument peut également être développé pour différents types d’entités politiques : canton, État ou entité régionale comme l’UE. La structure à trois niveaux reste similaire : 1) définition des principes fondamentaux liés au « cahier des charges » de l’entité politique, 2) spécification des missions essentielles de la « bonne » entité politique et 3) qualification des demandes en termes techniques, organisationnelles ou contractuelles. Ces trois niveaux sont autant de niveaux de désaccords possibles. Cette distinction permet de clarifier si le désaccord porte sur une définition divergente de la souveraineté et de ses prérogatives ou sur sa traduction en exigences techniques.
Dans la perspective d’un canton (ou d’un consortium de cantons), l’approche proposée par la souveraineté pose la difficulté des arbitrages nécessaires dans une situation non-idéale. En situation idéale, le canton aurait une infinité de ressources à disposition, les solutions disponibles sur le marché seraient nombreuses et de bonne qualité et les prestataires de services seraient eux-aussi nombreux, évitant des situations de « lock-in » technologiques ou organisationnelles. Dans cette situation idéale, le catalogue de prérogatives souveraines pourrait être utilisé comme un canevas pour l’achat de services cloud.
Néanmoins, la situation n’est pas idéale et les choix concrets exigent des arbitrages difficiles. Pour les pouvoirs publics, il s’agit avant tout de rester en capacité de justifier les choix effectués. Pour chaque exigence identifiée, sur quelles bases se justifie un éloignement de l’idéal décrit dans la vue d’ensemble précédente ? Au moins trois bases distinctes sont envisageables. La conclusion de cette contribution doit se limiter à tenter d’identifier les implications principales des réflexions proposées plus haut. Il est à noter que certains défis font l’objet d’une large littérature et d’une riche jurisprudence en matière de marchés publics76.
La première base de justification porte sur un conflit de principes/objectifs de politique publique où plusieurs exigences toutes potentiellement connectées à la souveraineté entrent en conflit. Cette situation reflète un arbitrage politique classique entre différentes ambitions. Le point central est ici de reconnaitre la dimension véritablement politique des débats technologiques, notamment la définition des exigences techniques et l’arbitrage entre des solutions ayant chacune leurs défis spécifiques.
La deuxième base de justification porte sur une contrainte budgétaire où l’idéal décrit serait techniquement atteignable, mais hors de portée financière. Cette situation amène des débats intéressants sur la mutualisation des ressources financières limitées (pooling)77. Les communes, puis à leur tour les cantons et les États, sont invités à unir leurs forces pour rendre possible la création d’outils numériques adaptés à leurs besoins (et non aux opportunités économiques des fournisseurs privés). Cet appel à la mutualisation des ressources représente l’un des défis les plus importants pour la structure institutionnelle suisse (commune-canton-Confédération)78. Ce débat est connu des situations nécessitant des investissements importants (infrastructure), mais il prend ici une dimension transversale allant directement au cœur des politiques publiques au niveau communal et cantonal.
La troisième situation comprend différentes constellations de problèmes pratiques. L’un des défis les plus importants porte sur la structure du marché des offres technologiques et sur la quantité et qualité des offres disponibles. Certaines exigences formulées par un canton souverain n’existent souvent pas sur le marché actuel. Demander aux fournisseurs de développer des solutions spécifiques amène immanquablement des défis budgétaires. Dans le même temps, cette mutualisation des exigences et des ressources permet de faire monter en maturité les offres commerciales et participe ainsi d’une amélioration des solutions technologiques disponibles79.
Dr. Johan Rochel, Université de Fribourg/EPFL, johan.rochel@unifr.ch.
Je remercie Catherine Pugin et Alexander Barclay pour leurs remarques critiques sur une première version des réflexions proposées ici.
Bibliographie
- AWK, Étude d’opportunités pour un cloud souverain, Mandat de la Conférence latine des directrices et directeurs cantonaux du numérique, 2023.
- Baischew, Dajan/Kroon, Peter/Lucidi, Stefano/Märkel, Christian/Sörries, Bernd, Digital sovereignty in Europe : A first benchmark, 2020.
- Basu, Arindrajit, Defending the « S Word » : The Language of Digital Sovereignty Can be a Tool of Empowerment, Carnegie Endowment for International Peace, 2023.
- Benhamou, Yaniv/Bernard, Frédéric/Cédric, Durand, Digital Sovereignty in Switzerland : the laboratory of federalism, Risiko & Recht, 1(1), 2023.
- Besson, Samantha, Sovereignty, Max Planck Encyclopedia of Public International Law, 2012.
- Blonski, Dominika, Cloud – alles Risiko?, Schweizerische Juristen Zeitung, 119(1), 2023.
- Breitenfeldt, Friedo/Jordan, Sylvain, Atteinte à l’indépendance de la Confédération, Pratique juridique actuelle, 2022.
- Buser, Denise, Kantonales Staatsrecht, Basel 2011.
- Daskal, Jennifer C., The Un-Territoriality of Data, Yale Law Journal, 2015.
- Dauag, Apollo, DIMITRI, Der Zivilprozess gegen den Cloud Provider : Unter besonderer Berücksichtigung des Beweisrechts der Schweizerischen Zivilprozessordnung, Zürich 2022.
- de Bruin, Boudewijn/Floridi Luciano, The Ethics of Cloud Computing, Sci Eng Ethics, 23(1), 2017.
- de Gregorio, Giovanni, Digital Constitutionalism in Europe : Reframing Rights and Powers in the Algorithmic Society, Cambridge 2022.
- Dzamko-Locher, Daniel, Überlegungen zu Recht und Risiko bei behördlicher Cloudnutzung, in : Métille, Sylvain (Hrsg.), L’informatique en nuage, Bern 2022.
- Edler, Jakob/Blind, Knut/Kroll, Henning/Schubert, Torben, Technology Sovereignty as an Emerging Frame for Innovation Policy. Defining Rationales, Ends and Means, Research Policy, 52(6), 2023.
- Endicott, Timothy, The Logic of Freedom and Power, in : Besson, Samantha/Tasioulas, John (Hrsg.), The Philosophy of International Law, Oxford 2010.
- Flear, Mark L., Expectations as Techniques of Legitimation? Imagined Futures Through Global Bioethics Standards for Health Research, Journal of Law and the Biosciences, 8(2), 2021.
- Floridi, Luciano, The Fight for Digital Sovereignty : What It Is, and Why It Matters, Especially for the EU, Philosophy & Technology, 33(3), 2020.
- Fratini, Samuele/Hine, Emmie/Novelli, Claudio/Roberts, Huw/Floridi, Luciano, Digital Sovereignty : A Descriptive Analysis and a Critical Evaluation of Existing Models, SSRN Electronic Journal, 2024.
- Guenduez, Ali A./Mettler, Tobias, Strategically Constructed Narratives On Artificial Intelligence : What Stories Are Told In Governmental Artificial Intelligence Policies?, Government Information Quarterly, 2022.
- Jotterand, Alexandre, Contrats cloud : qualification, gestion des données et sortie de la relation, in : Métille, Sylvain (Hrsg.), L’informatique en nuage, Bern 2022.
- Kaloudis, Martin, Sovereignty in the Digital Age – How Can We Measure Digital Sovereignty and Support the EU’s Action Plan?, New Global Studies, 16(3), 2022.
- Lever, Annabelle/Poama, Andrei (Hrsg.) The Routledge Handbook of Ethics and Public Policy, Abingdon, Oxon ; New York, NY 2019.
- Maissen, Thomas/Kley, Andreas, Souveraineté, Dictionnaire historique de la Suisse (DHS), 2013.
- Mell, Peter/Grance, Timothy, The NIST Definition of Cloud Computing, National Institute of Standards and Technology, 2011.
- Métille, Sylvain, L’utilisation de l’informatique en nuage par l’administration publique, AJP/PJA, 6, 2019.
- Meyer, Pauline, L’administration publique responsable dans l’utilisation de services en nuage, Swiss Privacy Law, 2023.
- Brid, Murphy/Rocchi, Marta, Ethics and Cloud Computing, in : Lynn T. et al. (Hrsg.), Data Privacy and Trust in Cloud Computing, 2020.
- Pohle, Julia/Thiel, Thorsten, Digital Sovereignty, Internet Policy Review, 9(4), 2020.
- Pugin, Catherine/Barclay, Alexander, Souveraineté numérique et Cloud souverain : l’approche concertée des cantons latins, Swiss Privacy Law, 2023.
- Rawls, John, A Theory of Justice, Cambridge, Mass. 1971.
- Reese, S.D./Gandy, jr., O.H./Grant, A.E. (Hrsg.) Framing Public Life : Perspectives on Media and Our Understanding of the Social World, New York 2001.
- Roberts, Huw, Digital Sovereignty : A Normative Approach, SSRN Electronic Journal, 2024.
- Roberts, Huw/Hine, Emmie/Floridi, Luciano, Digital Sovereignty, Digital Expansionism, and the Prospects for Global AI Governance, in : Timoteo, Marina/Verri, Barbara/Nanni, Riccardo (Hrsg.), Quo Vadis, Sovereignty? : New Conceptual and Regulatory Boundaries in the Age of Digital China, Cham 2023.
- Rochel, Johan, For They Have Sown Non-Domination…On Reforming the International Law of Self-Determination, European Journal of Legal Studies 2020.
- de Rossa, Federica/Clarissa, David, La durabilité dans le nouveau droit des marchés publics : un changement de paradigme effectif ?, sui generis, 2020.
- Savoy, Nicolas/Garcia, Mélanie/Epiney, Ludivine/Pugin, Catherine, L’informatique en nuage à l’État de Vaud – État des lieux, enjeux et solutions, in Métille, Sylvain (Hrsg.), L’informatique en nuage, Bern 2022.
- Schefer, Markus/Glass, Philippe, Der grundrechtskonforme Einsatz von M365 durch öffentliche Organe in der Schweiz – Eine Analyse am Beispiel des Kantons Zürich, in : Jusletter IT 20. Dezember 2023.
- Schwaab, Jean Christophe, Pour une souveraineté numérique, Lausanne 2023.
- Stark, Luke/Tierney, Matt, Lockbox : Mobility, Privacy, and Values in Cloud Storage, Journal of Business Ethics, 16, 2014.
- Stürmer, Matthias, Technologische Perspektive der digitalen Souveränität : Blick auf die Schweiz, internationale Trends sowie Empfehlungen für die «Strategie Digitale Souveränität der Schweiz», Berner Fachhochschule, 2024.
- Swiss Data Alliance, Digitale Souveränität : Einordnung von digitalen Einflüssen auf das Territorium der Schweiz, 2024.
- Thouvenin, Florent, Wem gehören meine Daten? Zu Sinn und Nutzen einer Erweiterung des Eigentumsbegriffs, Schweizerische Juristen Zeitung, 2017.
- Vergnolle, Suzanne, Cloud et territoire, in : Métille, Sylvain (Hrsg.), L’informatique en nuage, Bern 2022.
- Weber, Rolf H., Digital Sovereignty Revisited, in : Jusletter IT 23 February 2023.
- 1 Unité de pilotage informatique de la Confédération, « Rapport sur l’évaluation des besoins d’un nuage informatique suisse (‹ Swiss Cloud ›) », 2020, p. 5.
- 2 L’une des conditions stipulait que les prestataires devaient pouvoir héberger les données sur au moins 3 continents différents. Voir Anbieterneutrales Pflichtenheft für Abruf aus der WTO 20007 Public Clouds Bund, disponible sur https://www.bk.admin.ch/bk/fr/home/digitale-transformation-ikt-lenkung/bundesarchitektur/cloud/public-clouds-bund.html (consulté le 12 mai 2024).
- 3 Conseil fédéral, Message concernant un crédit d’engagement pour la mise en place d’un Swiss Government Cloud (SGC), 22 mai 2024.
- 4 Conseil fédéral, Message concernant un crédit d’engagement pour la mise en place d’un Swiss Government Cloud (SGC), 22 mai 2024, p. 11.
- 5 Conseil fédéral, Message concernant un crédit d’engagement pour la mise en place d’un Swiss Government Cloud (SGC), 22 mai 2024, p. 48.
- 6 Pour cette définition, Peter Mell/Timothy Grance, The NIST Definition of Cloud Computing, National Institute of Standards and Technology, 2011. Voir également la définition de la CNIL. https://www.cnil.fr/fr/definition/cloud-computing (consulté le 12 mai 2024).
- 7 A titre d’exemple, la stratégie du Conseil fédéral pour l’informatique en nuage (2020) mentionne la possible création d’un « Swiss cloud ». https://www.newsd.admin.ch/newsd/message/attachments/64752.pdf (consulté le 12 mai 2024). Dans l’appel d’offre, il est question des « Public Clouds Confédération ». https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-87412.html (consulté le 12 mai 2024).
- 8 Sur cet exemple précis, voir Markus Schefer/Philippe Glass, Der grundrechtskonforme Einsatz von M365 durch öffentliche Organe in der Schweiz – Eine Analyse am Beispiel des Kantons Zürich, in : Jusletter IT 20. Dezember 2023. Voir également la prise de position rendue publique du Préposé fédéral à la protection des données du 13 mai 2022 (courrier à destination de la SUVA). Disponible sur https://rb.gy/l7wz4p (consulté le 12 mai 2024).
- 9 Sur cette distinction, Sylvain Métille, L’utilisation de l’informatique en nuage par l’administration publique, AJP/PJA, 6, 2019.
- 10 Communiqué de presse, « Public Clouds Confédération – préparation des contrats avec les fournisseurs », 1 mars 2022, https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-87412.html (consulté le 12 mai 2024).
- 11 Conseil fédéral, Message concernant un crédit d’engagement pour la mise en place d’un Swiss Government Cloud (SGC), 22 mai 2024.
- 12 Pour une vue d’ensemble des débats internationaux, Julia Pohle/Thorsten Thiel, Digital Sovereignty, Internet Policy Review, 9(4), 2020; Samuele Fratini/Emmie Hine/Claudio Novelli/Huw Roberts/Luciano Floridi, Digital Sovereignty : A Descriptive Analysis and a Critical Evaluation of Existing Models, SSRN Electronic Journal, 2024.
-
13
En Suisse, voir le plaidoyer de Jean Christophe Schwaab, Pour une souveraineté numérique, Lausanne 2023, Voir également le « white paper » publié par Swiss Data Alliance.
Swiss Data Alliance, « Digitale Souveränität : Einordnung von digitalen Einflüssen auf das Territorium der Schweiz », 2024. Disponible : https://rb.gy/7c69bs. - 14 Postulat, 22.4411, « Stratégie Souveraineté numérique de la Suisse » (14 décembre 2022). Voir également la Motion 24.3209, « Construire une infrastructure numérique souveraine en Suisse à l’ère de l’intelligence artificielle » de Charles Juillard (Le Centre, Jura), 14 mars 2024.
- 15 Matthias Stürmer, Technologische Perspektive der digitalen Souveränität : Blick auf die Schweiz, internationale Trends sowie Empfehlungen für die «Strategie Digitale Souveränität der Schweiz», Berner Fachhochschule, 2024.
- 16 Chancellerie fédérale, « Stratégie Suisse numérique 2023 – rapport de suivi » (831-2/4/6/4/4), 2023, p. 6–7.
- 17 Voir https://cldn.ch/ (consulté le 12 mai 2024). Cette contribution est une version étoffée et remaniée d’une étude réalisée sur mandat pour la CLDN. Deux autres études avaient été mandatées. Voir Yaniv Benhamou/Frédéric Bernard/Cédric Durand, Digital Sovereignty in Switzerland : the laboratory of federalism, Risiko & Recht, 1(1), 2023, 73. AWK, Étude d’opportunités pour un cloud souverain, Mandat de la Conférence latine des directrices et directeurs cantonaux du numérique, 2023. Voir pour le contexte général, Catherine Pugin/Alexander Barclay, Souveraineté numérique et Cloud souverain : l’approche concertée des cantons latins, Swiss Privacy Law, 2023.
- 18 Julia Pohle/Thorsten Thiel, Digital Sovereignty, Internet Policy Review, 9(4), 2020, 8 ss. Pour une dimension géopolitique, Arindrajit Basu, Defending the « S Word » : The Language of Digital Sovereignty Can be a Tool of Empowerment, Carnegie Endowment for International Peace, 2023.
- 19 S.D. Reese/O.H. Gandy jr./A.E. Grant (Ed.) Framing Public Life : Perspectives on Media and Our Understanding of the Social World, New-York 2001, 11.
- 20 Ali A. Guenduez/Tobias Mettler, Strategically Constructed Narratives On Artificial Intelligence : What Stories Are Told In Governmental Artificial Intelligence Policies?, Government Information Quarterly, 2022.
- 21 Jakob Edler/Knut Blind/Henning Kroll/Torben Schubert, Technology Sovereignty as an Emerging Frame for Innovation Policy. Defining Rationales, Ends and Means, Research Policy, 52(6), 2023.
- 22 Voir par exemple dans le domaine des bio-technologies, Mark L. Flear, Expectations as Techniques of Legitimation? Imagined Futures Through Global Bioethics Standards for Health Research, Journal of Law and the Biosciences, 8(2), 2021.
- 23 Chancellerie fédérale, « Stratégie Suisse numérique 2023 – rapport de suivi » (831-2/4/6/4/4), 2023, p. 7.
- 24 Markus Schefer/Philippe Glass, Der grundrechtskonforme Einsatz von M365 durch öffentliche Organe in der Schweiz – Eine Analyse am Beispiel des Kantons Zürich, in : Jusletter IT 20. Dezember 2023. Pour une vue d’ensemble des questions juridiques, notamment quant au droit des contrats entre les autorités publiques et les fournisseurs privés, dans la perspective d’un canton (Vaud), voir Nicolas Savoy/Mélanie Garcia/Ludivine Epiney/Catherine Pugin, L’informatique en nuage à l’État de Vaud- État des lieux, enjeux et solutions, in : Sylvain Métille (Hrsg.), L’informatique en nuage, Bern 2022.
- 25 En matière d’éthique appliquée aux services cloud, voir par exemple Luke Stark/Matt Tierney, Lockbox : Mobility, Privacy, and Values in Cloud Storage, Journal of Business Ethics, 16, 2014; Boudewijn de Bruin/Luciano Floridi, The Ethics of Cloud Computing, Sci Eng Ethics, 23(1), 2017; Brid Murphy/Marta Rocchi, Ethics and Cloud Computing, in : Lynn T. et al. (Hrsg.), Data Privacy and Trust in Cloud Computing, 2020.
- 26 Pour ce choix, voir Swiss Data Alliance, « Digitale Souveränität : Einordnung von digitalen Einflüssen auf das Territorium der Schweiz », 2024.
- 27 Pour une réflexion en ce sens en matière numérique, Rolf H. Weber, Digital Sovereignty Revisited, in : Jusletter IT 23. Februar 2023.
- 28 Conseil fédéral, Message concernant un crédit d’engagement pour la mise en place d’un Swiss Government Cloud (SGC), 22 mai 2024, p. 42.
- 29 Pour la perspective historique en Suisse, Thomas Maissen/Andreas Kley, Souveraineté, Dictionnaire historique de la Suisse (DHS), 2013. Pour la perspective en théorie du droit international, Samantha Besson, Sovereignty, Max Planck Encyclopedia of Public International Law, 2012. Pour la perspective du droit public cantonal, Denise Buser, Kantonales Staatsrecht, Basel 2011, 4 ss.
- 30 Pour une vue théorique complète, Johan Rochel, For They Have Sown Non-Domination…On Reforming the International Law of Self-Determination, European Journal of Legal Studies 2020.
- 31 Western Sahara (Advisory Opinion) [1975] ICJ Reports 12, para 59.
- 32 Voir par exemple, Legal Consequences of the Separation of the Chagos Archipelago from Mauritius in 1965 (Advisory Opinion) [2019] ICJ Reports 95, para 157; GA Resolution Defining the Three Options for Self-Determination 1541 (XV) 1960 (1961) UN Doc A/RES/1541. Pour une mise en contexte, Johan Rochel, For They Have Sown Non-Domination…On Reforming the International Law of Self-Determination, European Journal of Legal Studies 2020, 368 ss.
- 33 Floridi parle du contrôle comme élément central de la souveraineté numérique. Le contrôle est défini comme « the ability to influence something (e.g. its occurrence, creation, or destruction) and its dynamics (e.g. its behaviour, development, operations, interactions), including the ability to check and correct for any deviation from such influence ». Luciano Floridi, The Fight for Digital Sovereignty : What It Is, and Why It Matters, Especially for the EU, Philosophy & Technology, 33(3), 2020, 370.
- 34 Samantha Besson, Sovereignty, Max Planck Encyclopedia of Public International Law, 2012, § 68 ss.
- 35 Timothy Endicott, The Logic of Freedom and Power, in : Samantha Besson/John Tasioulas (Hrsg.), The Philosophy of International Law, Oxford 2010, 252.
- 36 Timothy Endicott, The Logic of Freedom and Power, in : Samantha Besson/John Tasioulas (Hrsg.), The Philosophy of International Law, Oxford 2010, 252.
- 37 Roberts et al. utilisent la même idée lorsqu’ils expliquent que le point commun de toutes les approches de souveraineté numérique porte sur l’idée d’un contrôle légitime du numérique (défini comme incluant les données, standards, hardware, software, infrastructures et services). Huw Roberts/Emmie Hine/Luciano Floridi, Digital Sovereignty, Digital Expansionism, and the Prospects for Global AI Governance, in : Marina Timoteo/Barbara Verri/Riccardo Nanni (Hrsg.), Quo Vadis, Sovereignty? : New Conceptual and Regulatory Boundaries in the Age of Digital China, Cham 2023, 56.
- 38 Sur ce paradoxe, Samantha Besson, Sovereignty, Max Planck Encyclopedia of Public International Law, 2012, § 31–32.
- 39 Pour la formulation originale, John Rawls, A Theory of Justice, Cambridge, Mass. 1971, 18–22, 46–53.
- 40 Le projet « Digital Dependence Index » met en lumière ce type de dangers. Voir https://digitaldependence.eu/en/ (consulté le 12 mai 2024).
- 41 La définition proposée dans l’une des études mandatées par la CLND prend exactement cette structure : « La souveraineté numérique est la capacité d’autodétermination d’une entité (légale) en ce qui concerne tout le cycle de vie d’un système numérique, de la conception à l’utilisation au décommissionnement de systèmes numériques et des données qui sont traitées et stockées ainsi que des processus qu’ils représentent ». AWK, Étude d’opportunités pour un cloud souverain, Mandat de la Conférence latine des directrices et directeurs cantonaux du numérique, 2023, 2. De même, la Swiss Digital Alliance insiste sur cette capacité d'agir (Handlungsfähigkeit). Swiss Data Alliance, « Digitale Souveränität : Einordnung von digitalen Einflüssen auf das Territorium der Schweiz », 2024, p. 11.
- 42 Voir par exemple pour l’UE, Martin Kaloudis, Sovereignty in the Digital Age – How Can We Measure Digital Sovereignty and Support the EU’s Action Plan?, New Global Studies, 16(3), 2022, 7 ss. Pour un argument sur la souveraineté comme concept normatif, voir également Huw Roberts, Digital Sovereignty : A Normative Approach SSRN Electronic Journal, 2024.
- 43 A ce titre, l’approche proposée ici semble en mesure de justifier la définition choisie par Benhamou et al. dans leur étude sur le cloud souverain. La souveraineté numérique y est définie « as the development of strategic digital autonomy. It is the right and ability of political entities to autonomously (independently and/or self-determinedly) use and control tangible and intangible assets and digital services that significantly impact democracy, the economy and society ». Yaniv Benhamou/Frédéric Bernard/Cédric Durand, Digital Sovereignty in Switzerland : the laboratory of federalism, Risiko & Recht, 1(1), 2023, 73.
- 44 Samuele Fratini/Emmie Hine/Claudio Novelli/Huw Roberts/Luciano Floridi, Digital Sovereignty : A Descriptive Analysis and a Critical Evaluation of Existing Models SSRN Electronic Journal, 2024.
- 45 Voir par exemple la communication de PwC Deutschland : « In short, Digital Sovereignty describes the ability of states, companies and individuals to act and develop independently and self-determinedly in the digital world. » https://www.pwc.de/en/digitale-transformation/open-source-software-management-and-compliance/digital-sovereignty-why-it-pays-to-be-independent.html.
- 46 Voir par exemple la communication de PwC Deutschland : « In short, Digital Sovereignty describes the ability of states, companies and individuals to act and develop independently and self-determinedly in the digital world. » https://www.pwc.de/en/digitale-transformation/open-source-software-management-and-compliance/digital-sovereignty-why-it-pays-to-be-independent.html.
- 47 Pohle et Thiel ont ainsi raison d’écrire que « digital sovereignty is not an end in itself. Instead, we have to put even more thought into the procedural framework of how sovereign power can be held accountable and opened up to public reflection and control in order to truly democratise digital sovereignty. » Julia Pohle/Thorsten Thiel, Digital Sovereignty, Internet Policy Review, 9(4), 2020, 14.
- 48 Matthias Stürmer, Technologische Perspektive der digitalen Souveränität : Blick auf die Schweiz, internationale Trends sowie Empfehlungen für die «Strategie Digitale Souveränität der Schweiz», Berner Fachhochschule, 2024, 6-7. A titre d’exemple, la stratégie numérique du canton de Vaud comprend ainsi un important volet d’infrastructures. Voir, « Stratégie numérique du canton de Vaud », 2018. https://www.vd.ch/strategie-numerique-du-canton-de-vaud-digitale-strategie-des-kantons-waadt (consulté le 12 mai 2024). Au niveau européen, voir par exemple le Discours sur l’état de l’Union 2021 de la présidente von der Leyen, septembre 2021. https://ec.europa.eu/commission/presscorner/detail/ov/SPEECH_21_4701 (consulté le 12 mai 2024). Pour la perspective française, voir par exemple Ministère français de l’Europe et des affaires étrangères, Ministère français de l’économie et Secrétariat d’État français chargé de la transition numérique, Communiqué conjoint du 7 février 2022.
- 49 Julia Pohle/Thorsten Thiel, Digital Sovereignty, Internet Policy Review, 9(4), 2020, 5.
- 50 Suzanne Vergnolle, Cloud et territoire, in : Sylvain, Métille (Hrsg.), L’informatique en nuage, Bern 2022. Voir en lien avec la re-définition du concept de juridiction, Jennifer C. Daskal, The Un-Territoriality of Data, Yale Law Journal, 2015.
- 51 Pour un exemple à l’échelle européenne, Baischew et al. ont analysé les différentes politiques des Etats de l’UE en matière de souveraineté numérique. Ils arrivent à la conclusion que trois dimensions ressortent comme faisant consensus : cybersécurité, vie privée (privacy) et autonomie stratégique. Dajan Baischew/Peter Kroon/Stefano Lucidi/Christian Märkel/Bernd Sörries, Digital sovereignty in Europe : A first benchmark, 2020.
- 52 Pour une autre source pertinente, voir Konferenz der schweizerischen Datenschutzbeauftragte, Merkblatt Cloud-spezifische Risiken und Massnahmen (V3), 2022.
- 53 La Constitution du canton d’Appenzell R. int. a été acceptée par la Landsgemeinde le 28 avril 2024. Les références sont données selon le texte du Landsgemeindemandat du 5 février 2024. Voir https://www.ai.ch/politik/landsgemeinde/landsgemeinde-2023 (consulté le 12 mai 2024).
- 54 A ce titre, le projet de Constitution pour le canton du Valais contenait de nombreuses références aux défis numériques. Le projet a été refusé par le peuple le 3 mars 2024. Pour le projet final du 25 avril 2023, https://www.vs.ch/documents/3914032/23491223/2023-04-25_CONSTITUANTE_Projet+FINAL+%2825+avril+2023%29.pdf/cadfd2f4-89e6-c98b-6e61-d1a66296edd9?t=1694783642250&v=1.0 (consulté le 12 mai 2024).
- 55 Cst. App. R. int. Art. 1 (qualification Générale); Cst. GE Art. 2 (exercice de la souveraineté) ; Cst. SZ Art. 2 (Mensch im Mittelpunkt), Art. 6 (Demokratie Mitwirkung); Cst. LU Art. 13 (Erfüllung der Aufgaben).
- 56 Cst. App. R. int. Art. 5 (Grundrechte), Art. 21k (digitale Erschliessung) ; Cst. GE Art. 21 (protection de la sphère privée), Art. 21a (droit à l’intégrité numérique) ; Cst. SZ Art. 10 (Grundrechte) ; Cst. LU Art. 10 (Gewährleistung der Grundrechte), Art. 12 (Grundsätze). Plus généralement, voir Markus Schefer/Philippe Glass, Der grundrechtskonforme Einsatz von M365 durch öffentliche Organe in der Schweiz – Eine Analyse am Beispiel des Kantons Zürich, in : Jusletter IT 20. Dezember 2023.
- 57 Cst. App. R. int. Art. 4 (Leitlinien Staatliches Handeln), Art. 21e (Schutz Lebensgrundlagen) ; Cst. GE Art. 157 (environnement : principes), Art. 158 (climat), Art. 161 (écologie industrielle), Art. 167 (énergies : principes) ; Cst. SZ Art. 8 (Innovation und Nachhaltigkeit), Art. 23 (Wasser und Energie); Cst. LU Art. 12 (Grundsätze).
- 58 Cst. App. R. int. Art. 67 (Transparenz im Finanzhaushalt) ; Cst. GE Art. 28 (droit à l’information) Cst. SZ Art. 45 (Öffentlichkeit und Information) ; Cst. LU Art. 35 (Information). Buser lie cette question à l’obligation d’information des instances cantonales et l’importance constitutionnelle du « Öffentlichkeitsprinzip », Denise Buser, Kantonales Staatsrecht, Basel 2011, 33–35.
- 59 Cst. App. R. int. Art. 4 (Staatliches Handeln) ; Cst. GE Art. 9 (principes de l’activité publique), Art. 11 (information), Art. 17 (interdiction de l’arbitraire) ; Cst. SZ Art. 3 (Rechtstaatlichkeit), Art. 39 (Auslagerung und Übertragung staatlicher Tätigkeit) ; Cst. LU Art. 2 (Grundsätze staatlichen Handelns), Art. 12 (Grundsätze), Art. 14 (Übertragung von Aufgaben), Art. 50 (Oberaufsicht).
- 60 Sur ce terme, Giovanni de Gregorio, Digital Constitutionalism in Europe : Reframing Rights and Powers in the Algorithmic Society, Cambridge 2022.
- 61 Pour une approche similaire, Swiss Data Alliance, « Digitale Souveränität : Einordnung von digitalen Einflüssen auf das Territorium der Schweiz », 2024, p. 7-8.
- 62 Benhamou et al. traitent de la même idée avec le concept de souveraineté sur les données (data sovereignty). Yaniv Benhamou/Frédéric Bernard/Cédric Durand, Digital Sovereignty in Switzerland : the laboratory of federalism, Risiko & Recht, 1(1), 2023, 71.
- 63 Voir les recommandations des responsables cantonaux de protection des données. Konferenz der schweizerischen Datenschutzbeauftragten, Merkblatt Cloud-spezifische Risiken und Massnahmen (V3), 2022, 4–5.
- 64 Pour la mobilisation de ces arguments, Markus Schefer/Philippe Glass, Der grundrechtskonforme Einsatz von M365 durch öffentliche Organe in der Schweiz – Eine Analyse am Beispiel des Kantons Zürich, in : Jusletter IT 20. Dezember 2023.
- 65 Voir sur ce point des mesures by design à l’aune du droit fédéral (par ex. mesures de cryptage), Botschaft zum Bundesgesetz über die Totalrevision des Bundesgesetzes über den Datenschutz und die Änderung weiterer Erlasse zum Datenschutz vom 15. September 2017, BBl 2017 6941, 7028 ff. Pour l’exemple des recommandations dans le canton de Zürich, DSB Kanton Zürich, Merkblatt Cloud Computing, V. 1.7/Juli 2023, §. 4.7. Voir les recommandations du Conseil fédéral sur l’utilisation du cloud privé dans l’approche SGC. Conseil fédéral, Message concernant un crédit d’engagement pour la mise en place d’un Swiss Government Cloud (SGC), 22 mai 2024, p. 11.
- 66 Pour cette hypothèse, Florent Thouvenin, Wem gehören meine Daten? Zu Sinn und Nutzen einer Erweiterung des Eigentumsbegriffs, Schweizerische Juristen Zeitung, 2017.
- 67 Pour un usage similaire de l’idée de responsabilité, Pauline Meyer, L’administration publique responsable dans l’utilisation de services en nuage, Swiss Privacy Law, 2023.
- 68 En complément des règles de droit de la protection des données, voir notamment la protection du secret de fonction et les obligations liées à la sécurité des données, Daniel Dzamko-Locher, Überlegungen zu Recht und Risiko bei behördlicher Cloudnutzung, in : Sylvain, Métille (Hrsg.), L’informatique en nuage, Bern 2022.
- 69 Pour une perspective de droit de la protection des données, Dominika Blonski, Cloud – alles Risiko?, Schweizerische Juristen Zeitung, 119(1), 2023, 999 ss. Pour une perspective de droit civil, Dimitri Dauag Apollo, Der Zivilprozess gegen den Cloud Provider : Unter besonderer Berücksichtigung des Beweisrechts der Schweizerischen Zivilprozessordnung, Zürich 2022, 19 ss.
- 70 A titre d’exemple, l’Etat de Vaud s’engage à obtenir un label exigeant en matière de numérique environnementalement responsable. « Vaud vise le plus haut label en matière de durabilité numérique », Swissinfo, 4 mars 2024. https://rb.gy/4s9qcl (consulté le 12 mai 2024).
- 71 Pour une vue d’ensemble des outils proposés par l’éthique en matière de justifiabilité, Annabelle Lever/Andrei Poama (Ed.) The Routledge Handbook of Ethics and Public Policy, Abingdon, Oxon ; New York, NY 2019, Part I.
- 72 Sur ce point et pour une analyse du US Cloud Act, Markus Schefer/Philippe Glass, Der grundrechtskonforme Einsatz von M365 durch öffentliche Organe in der Schweiz – Eine Analyse am Beispiel des Kantons Zürich, in : Jusletter IT 20. Dezember 2023.
- 73 Samuele Fratini/Emmie Hine/Claudio Novelli/Huw Roberts/Luciano Floridi, Digital Sovereignty : A Descriptive Analysis and a Critical Evaluation of Existing Models SSRN Electronic Journal, 2024, 14.
- 74 Alexandre Jotterand, Contrats cloud : qualification, gestion des données et sortie de la relation, in : Sylvain, Métille (Hrsg.), L’informatique en nuage, Bern 2022, 18 ss.
- 75 A ce titre, il lui incombe une responsabilité de choix, d’instruction et de contrôle des fournisseurs de services cloud partenaires. Dominika Blonski, Cloud – alles Risiko?, Schweizerische Juristen Zeitung, 119(1), 2023, 998. Voir également les réflexions sur la garantie nécessaire de l’indépendance de la Suisse, Friedo Breitenfeldt/Sylvain Jordan, Atteinte à l’indépendance de la Confédération, Pratique juridique actuelle, 2022, 968.
- 76 Voir la discussion du nouveau droit des marchés publics, Federica de Rossa/Clarissa David, La durabilité dans le nouveau droit des marchés publics : un changement de paradigme effectif ?, sui generis, 2020.
- 77 Voir notamment Conférence de presse de la Conférence latine des directeurs du numérique, Genève, 11 mai 2023. Disponible : https://cldn.ch/les-cantons-latins-veulent-renforcer-leur-action-concertee-pour-la-souverainete-numerique/ (consulté le 12 mai 2024).
- 78 Ce défi se reflète par exemple dans l’organe de direction politique de l’Administration numérique suisse. Voir https://www.administration-numerique-suisse.ch/fr/a-propos-de-nous/organe-de-direction-politique (consulté le 12 mai 2024).
- 79 A ce titre, l’un des principes choisis par les cantons latins dans leur déclaration commune quant à la souveraineté numérique porte sur l’objectif de « réduire les risques grâce à des partenariats, par une collaboration avec les acteurs locaux et par la diversification des solutions ». Conférence de presse de la Conférence latine des directeurs du numérique, Genève, 11 mai 2023.