L’autorité responsable de la protection des données en Suisse, Privatim, a publié le 18 novembre 2025 une résolution appelant les organismes publics suisses à éviter d’utiliser les solutions SaaS des hyperscalers internationaux tels que Microsoft, Google ou Amazon, pour des raisons de sécurité.
« La plupart des solutions SaaS n’offrent pas encore de véritable cryptage de bout en bout qui empêcherait le fournisseur d’accéder aux données en clair », souligne la résolution. Le risque est amplifié par le Cloud Act étatsunien qui oblige les fournisseurs de cloud des Etats-Unis à remettre les données de leurs clients aux autorités étatsuniennes, même si ces données sont stockées physiquement dans des centres de données sur le territoire suisse.
« L’utilisation d’applications SaaS entraîne donc une perte de contrôle importante », indique la résolution. « L’organisme public ne peut pas influencer la probabilité d’une violation des droits fondamentaux. Il peut seulement atténuer la gravité des violations potentielles en ne divulguant pas de données particulièrement sensibles relevant de son domaine de contrôle ».
Privatim cite explicitement Microsoft 365 comme exemple de service « non admissible » au sein des instances gouvernementales suisses. La résolution rappelle que les fournisseurs de services cloud et SaaS peuvent modifier unilatéralement leurs conditions générales, ce qui peut nuire aux dispositions en matière de sécurité et de confidentialité.
Selon les régulateurs suisses, les économies d’échelle et la flexibilité proposées par les hyperscaleurs étrangers ne pèsent pas lourd dans la balance, comparées aux problèmes de perte de contrôle et de manque de transparence.
La seule exception proposée par Privatim en matière de cloud non-suisse pour les organismes publics est celle d’un cryptage strict, sous gestion propre, le fournisseur cloud n’ayant aucun accès à la clé de cryptage.