L’heure est grave pour l’indépendance numérique de la Suisse. De façon incompréhensible et malgré plusieurs interpellations, la Confédération octroie un marché on ne peut plus stratégique à des entreprises américaines et chinoises. Le projet « Public Clouds Confédération » de 110 millions sur 5 ans devra apporter toutes les technologies nécessaires au fonctionnement des activités de l’État dans le cloud. Il pourra s’agir de Big Data et de Cyber Défense, d’IA et de Blockchain, d’Internet des objets (IoT) et de streaming, d’analytics et de stockage de données. Cette décision suscite d’ores et déjà de vives critiques des observateurs spécialisés, mais aussi l’incompréhension au sein d’une plus large population, comme on l’observe sur notre fil Twitter et Linkedin.

Aucune entreprise suisse ou européenne ne participera à la numérisation de la Confédération

Alibaba, Amazon, IBM, Microsoft, Oracle : c’est l’étonnante liste des fournisseurs sélectionnés pour bâtir une prétendue indépendance numérique de la Confédération. Ces acteurs américains et chinois ont été justifiés en quelques lignes. La localisation des centres de données en fait bien sûr partie, mais elle ne compte que pour 10% de la note finale et n’exige même pas une présence en Suisse, ce qui enlève de facto beaucoup de nombreux points aux entreprises locales. C’est principalement par le critère de « la proposition de prix très attrayants » que la Confédération justifie son choix, accompagné de quelques lignes, prétextant qu’elle ne peut pas développer davantage dans le délai de recours (Le Temps, 28 juin 2021).

L’administration dénigre un secteur stratégique qui est aussi l’un des plus prometteurs de notre économie

Comment la Confédération peut-elle naïvement croire à des économies alors qu’elle creuse sa dépendance en mettant de côté les entreprises locales ? On est en droit de se poser la question en ces termes précis tant la stratégie des autorités semble aberrante.

Le prix réel à payer

« Ce choix est une nouvelle inquiétante pour les citoyens et les entreprises qui sont contraintes de fournir des données à l’administration fédérale. C’est également un très mauvais signal politique qui n’incite pas le secteur public cantonal et le secteur privé à stocker leurs données en Suisse. » commente pour nous Anaïc Cordoba de Datalabel.ch qui promeut la protection des données au-delà des exigences légales.

En dépit du bon sens, la Confédération précipite la Suisse dans un rapport de dépendance très préoccupant. Encourager ce déséquilibre entraînera un coût d’opportunité et un manque à gagner immense pour les acteurs locaux suisses ou même européens. En pratique, moyennant d’importantes économies pense-t-on, la Confédération va immanquablement :

  • renforcer l’hégémonie des GAFAM
  • accélérer l’arrivée des BATX sur le marché
  • retarder l’émergence de notre souveraineté numérique
  • freiner le développement d’une capacité industrielle stratégique
  • fragiliser la perception et donc le positionnement de la Suisse en tant que coffre-fort des données de l’Europe

Tous ces éléments font-ils aussi partie de la « proposition de prix très attrayants » ?

Contrairement aux justifications avancées et compte tenu des enjeux, le prix réel à payer par la Suisse promet donc de finir par être astronomique.

« En  fait, le plus  affligeant dans ce dossier c’est le décalage entre une forme d’irresponsabilité numérique publique ayant conduit notre pays à être totalement largué sur sa transition numérique depuis maintenant plus de dix ans et une apparente volonté ayant conduit à un appel d’offres dont manifestement les exigences excluaient de fait tout prestataire Suisse. C’en est même à se demander si des négociations en amont n’auraient pas conduit à cette situation ?  » interroge le Prof. Jean-Henry Morin de l’Institute Of Information Service Science à l’Université de Genève. Il poursuit : « Au final, ce pays qui se targue de faire partie de l’élite mondiale de l’innovation, se retrouve inféodée à des géants du numérique dont au mieux les modèles économiques sont totalement cyniques et au pire offre sur un plateau une souveraineté perdue qui nous place dans une situation bien dangereuse. Amateurisme, incurie, ignorance ou volonté inavouable sont autant de pistes, non exclusives, que nous sommes en droit de questionner. Un véritable sursaut numérique est devenu indispensable pour notre pays ! « 

L’appel d’offres rédhibitoire n’a laissé aucune chance aux acteurs locaux

S’il a été lancé dans le but d’améliorer la souveraineté numérique de l’administration fédérale, l’appel d’offres interroge quant à la stratégie de la Confédération. Le document stipule que les fournisseurs doivent fournir plus de 24 services sur les 32 demandés et posséder « des centres de données sur au moins 3 continents », ce qui empêche de facto la candidature d’entités locales et indépendantes face aux GAFAM ou aux BATX.

Des intentions rendues floues par des exigences gigantesques et des délais impossibles

On était en droit de penser que l’appel d’offres serait compatible avec la candidature de fournisseurs suisses et européens. Tel n’a pas été le cas. En contradiction avec la volonté d’augmenter sa maîtrise numérique, la Confédération a rédigé un catalogue d’exigences parfaitement inaccessibles aux entreprises locales. En plus du reste, il aurait fallu être en mesure de mobiliser des équipes complètes à temps plein durant des semaines, ne serait-ce que pour remplir le formulaire de candidature. Quelles entreprises peuvent se permettre cela ?

Dans un délai inouï deux mois entre le 7 décembre 2020 et le 3 février 2021, le processus d’établissement des offres lui-même a évincé tous les acteurs locaux qui s’intéressaient au contrat, dont infomaniak. La Confédération a mis un temps considérable à répondre à nos questions et celles de nos concurrents. Ce forum d’échange, dont le but était d’accompagner les candidatures des fournisseurs potentiels, a donc été proprement inutile.

Le jour où les autorités suisses ont abandonné leur souveraineté numérique

La portée finale d’une telle décision pourrait bien désigner le jour de cette adjudication de marché comme celui où la Confédération a abandonné la notion même de souveraineté numérique au sein de sa propre administration. Cette notion, essentielle au développement harmonieux de notre économie et de notre démocratie, semble échapper à cette administration.

Tout sauf du swiss/home made

Dans la liste des acteurs retenus pour ce contrat à 110 millions, il apparaît que :

  • Aucune de ces entreprises n’est suisse ou européenne
  • Aucune d’entre elles n’utilise un écosystème ouvert ni ne privilégie l’open source
  • Amazon n’a pas encore de centre de données en Suisse, actuellement le plus proche est en Allemagne
  • Toutes les technologies de ces entreprises sont développées et mises à jour à l’étranger : USA, Chine.

Les partenaires locaux n’ont aucun rôle à jouer

L’offre de la Confédération semble idéalement calibrée pour valider une collaboration de longue date avec Microsoft sur le terrain. Cette réalité du terrain s’énonce clairement par l’avis de ce spécialiste qui a l’habitude de travailler avec de grands groupes : « Dans le passé il y avait une blague dans l’informatique qui disait que personne ne pouvait être viré pour avoir choisi IBM ou Oracle. De nos jours, on peut dire la même chose des offres d’Amazon (AWS) et de Microsoft (Azure). Il y a une sorte de fascination pour le cloud et les entreprises se précipitent de prime abord vers ces solutions « pour ne pas avoir de problèmes ». Or, des problèmes, bien sûr, il y en a. »

Dans cet aveuglement, la Confédération s’apprête à livrer la responsabilité de son cloud sans envisager la participation d’entreprises et de partenaires locaux. Ceux-ci ne sont même pas consultés.

La tech helvétique ne mérite-t-elle pas elle aussi le soutien de la Confédération ?

Malgré l’existence d’acteurs comme infomaniak, l’EPFL ou encore Cloud Sigma par exemple, l’administration ne semble pas vouloir intégrer de compétences suisses ou européennes, ne serait-ce que pour garantir la souveraineté de composants critiques de l’ensemble. La confédération ne propose pas non plus d’encourager le développement des technologies qui manqueraient au projet.

Exposer la Suisse à des volontés extérieures est un risque bien réel

À quoi bon posséder une source d’eau potable si on ne maîtrise pas les tuyaux ? Les risques liés à l’utilisation de solutions non souveraines sont bien tangibles. Aujourd’hui, plus personne ne les ignore. Dans son rapport d’activité, le Préposé fédéral à la protection des données (PFPDT) rappelle que le cloud implique une forte dépendance à l’égard d’acteurs bien souvent mondiaux. Il est donc nécessaire d’intégrer la protection des données dès le stade du choix des soumissionnaires (fournisseurs), pas seulement par mise en œuvre ou l’utilisation qu’on en fait.

La Suisse ne peut pas se le permettre

Alibaba, Amazon, IBM, Microsoft et Oracle : le développement de ces sociétés est directement et indirectement soutenu par les gouvernements de leurs pays d’origine. Mais il n’est pas seulement question de soutien. Il est aussi bien sûr question de souveraineté et de contrôle. Ces entreprises sont dépendantes de volontés économico-politiques qui prévalent sur le reste. Soulignons l’effort continu des USA (« five eyes ») pour rapatrier une grande partie des activités des « big tech » sous la juridiction américaine, quel que soit le lieu d’hébergement des données. Rappelons aussi l’inquiétante disparition du fondateur du géant technologique Alibaba, Jack Ma, qui réapparaît miraculeusement après plusieurs mois, dans un contexte de propagande d’État.

« Peut-on vraiment faire confiance à des acteurs soumis à des législations qu’on ne contrôle pas, qui ne sont pas proches géographiquement, qui ne partagent pas exactement les mêmes valeurs que la Suisse, qui s’accommodent de violations de droits fondamentaux… ? » interroge François Charlet, juriste spécialisé en droit des technologies.

La Confédération va faire un saut dans le vide

Si toutes les équipes de développement sont à l’étranger, qu’arrivera-t-il en cas de désaccord commercial, juridique ou diplomatique ? La Confédération sait-elle déjà à coup sûr à quelle sauce elle sera mangée ? Même si ces fournisseurs devaient présenter des certifications, les risques directement liés à l’absence de souveraineté existent bel et bien :

  • risque de blocage des données
  • de backdoor
  • de fermeture de services
  • d’espionnage
  • d’analyse
  • de censure
  • de destruction

C’est ce qui arrive notamment avec les « transferts temporaires de données à l’étranger ». Ces transferts, « nécessaires au fonctionnement d’un service », sont invoqués à des fins opérationnelles et permettent de contourner la territorialité des règlements sur la protection des données. Des informations se retrouvent alors déplacées hors de leur cadre légal d’origine avant d’être restituées. On ne sait bien entendu jamais comment celles-ci sont traitées.

Cette inquiétude se renforce d’autant plus qu’au point 3.6 de l’appel d’offres, il est stipulé que la sous-traitance est parfaitement admise et que la responsabilité générale en incombe aux soumissionnaires eux-mêmes. Cela n’a donc rien d’une garantie et augmente plutôt la surface d’exposition aux risques.

La Confédération ne suit pas les recommandations de sa propre administration

Alors qu’elle est informée des enjeux, la Confédération fait preuve d’une profonde incohérence :

« Deux poids, deux mesures. D’un côté, nous adoptons une nouvelle loi sur la protection des données et cherchons à renforcer les droits des personnes et la gouvernance des entreprises en la matière. De l’autre, nous avons un gouvernement qui va collaborer et vraisemblablement transférer des données personnelles de citoyens suisses vers des pays qui n’offrent pas un niveau de protection adéquat. D’un côté, on enjoint les entreprises et utilisateurs à utiliser des services « locaux » (c’est-à-dire suisses, voire européens). De l’autre, on a un gouvernement qui fait tout l’inverse. Comme pour le F-35A, le gouvernement suisse prend une décision sur des considérations purement techniques et économiques, sans regarder les critères (géo)politiques et sécuritaires. » explique le spécialiste du droit des technologies François Charlet.

Faites ce que je dis, mais pas ce que je fais !

Pour Me Gilles Aebischer, avocat et prés. de l’association Datalabel,

« Les exigences en matière de protection des données sont de plus en plus contraignantes dans le secteur privé, notamment au sujet de la localisation des données. Le Conseil fédéral est d’ailleurs en train de développer une certification et un label « Swiss Cloud » pour les services garantissant la souveraineté des données. Un label que, selon toute vraisemblance, la Confédération ne pourra pas utiliser pour elle-même. »

Un très mauvais signal envoyé au nom de la Suisse

Quel message la Confédération envoie-t-elle au travers de cette stratégie ?

D’abord qu’elle ne croit pas elle-même aux compétences et aux capacités des acteurs locaux. Ensuite qu’elle renonce à défendre sa souveraineté numérique bien qu’étant un pays neutre et un lieu d’accueil pour les données. (Alternativement, qu’elle n’a pas compris la notion de souveraineté numérique). Puis, elle n’encourage pas les institutions cantonales et le secteur privé à stocker leurs données en Suisse.

Au final et puisqu’il s’agit d’avenir, la Confédération dit à toutes les universités qu’il faut désormais former les étudiants avec des outils propriétaires étrangers plutôt que de développer un savoir-faire local dont on aurait la maîtrise. Pour couronner le tout, elle dit qu’elle s’autorise à choisir des entreprises sans exiger un engagement écologique maximal de leur part puisque cela n’a été stipulé dans aucun point de l’appel d’offres.

Infomaniak alerte

Cette affaire souligne combien il est facile de succomber à l’appel d’économies immédiates au détriment de l’acquisition de compétences et de l’enjeu à long terme. Elle montre combien votre soutien et le soutien du secteur privé en règle générale est vital au développement de réelles avancées.

L’aveuglement de la Confédération dans ce dossier stratégique nous conforte encore dans la nécessité de construire une alternative technologique suisse et européenne. Elle est aujourd’hui plus indispensable que jamais.

Depuis 25 ans, nous jouissons d’un très fort soutien du secteur privé et nous allons continuer à recruter pour développer des alternatives souveraines aux géants du Web. infomaniak ne vendra jamais sa technologie au plus offrant et continuera son développement dans le respect de ses valeurs. D’ailleurs, tous nos engagements éthiques et environnementaux qui font l’ADN d’infomaniak seront bientôt inscrits directement dans nos statuts pour que ces valeurs soient indissociables de votre marque de confiance.

Pour aller plus loin

En savoir plus sur nos engagements