L’administration fédérale passe à Microsoft 365 en nuage
07.03.2023 - Les applications Microsoft Office 2021, encore utilisées en local dans toute l’administration fédérale, seront remplacées par une version fonctionnant en nuage public : Microsoft 365. Le PFPDT prendra position en temps utile sur les résultats des contrôles de l’administration, dont certains sont encore en cours.
Dans un communiqué du 15 février 2023, le Conseil fédéral a annoncé que l’environnement Office utilisé à l’heure actuelle dans l’administration fédérale devait être remplacée, car d’importantes application Office étaient arrivées à la fin de leur cycle de vie et ne seront bientôt plus prises en charge par Microsoft (à l’horizon 2026). Ce n’est pas un changement habituel, étant donné que les nouveaux produits ne seront disponibles que sous forme de solutions en nuage public. De fait, l’administration fédérale dépend aujourd’hui des produits Office du groupe Microsoft. A l’heure actuelle, un changement de fournisseur et de produits comporterait trop de risques et nécessiterait un déploiement de ressources trop importantes en raison des nombreux liens existants avec des applications spécialisées. Afin de réduire la dépendance à moyen et long terme, l’évaluation d’alternatives à Microsoft 365 se poursuit. Dans le cadre d’une stratégie de sortie, le secteur TNI de la Chancellerie fédérale examine également des alternatives open source. Des mesures de protection devront être prises lors de l’introduction : Les utilisatrices et utilisateurs auront notamment l’interdiction de sauvegarder des données sensibles et des documents confidentiels dans le nuage de Microsoft.
Le secteur TNI a consulté le PFPDT lors des travaux préparatoires en vue du passage à Microsoft 365 ; il lui a en particulier soumis ses ébauches d’analyse des bases légales et de concept SIPD. Dans ses prises de position, le PFPDT a notamment indiqué qu’on ne pouvait pas savoir combien de temps il serait encore techniquement possible, comme le prévoit encore la stratégie actuelle, de faire fonctionner certaines applications dans des centres de données fédéraux plutôt que dans le nuage du groupe américain Microsoft. En raison de cette incertitude, le Préposé a demandé au secteur TNI d’étudier d’autres options, plus favorables du point de vue de la protection des données. En ce qui concerne l’analyse des bases juridiques, il demande que l’on examine plus en détail s’il existe une base suffisante pour le traitement de données personnelles dans un nuage géré par un groupe américain et si le principe de proportionnalité est respecté. Quant au tri des données personnelles sensibles par les utilisatrices et utilisateurs, le Préposé estime qu’il reste des questions ouvertes concernant sa finalité et sa faisabilité pratique. Enfin, le PFPDT demande au secteur TNI d’établir une analyse d’impact complète et transparente sur les risques d’une telle délocalisation en matière de protection des données. Le Préposé estime qu’il est indispensable d’analyser de manière approfondie la problématique des accès éventuels des autorités de sécurité américaines aux données personnelles que l’administration fédérale traiterait dans le nuage de Microsoft.
Compte tenu des réserves émises, le PFPDT salue le fait que le Conseil fédéral ait exposé dans son communiqué la question de la dépendance de fait aux produits Office du groupe américain Microsoft et qu’il maintient l’évaluation des alternatives à Microsoft 365. Notre autorité de surveillance continuera à accompagner le projet de délocalisation de l’administration fédérale dans le cadre de son activité légale de conseil, et prendra position en temps utile sur l’analyse d’impact qui n’est pas encore disponible. Il prendra également connaissance des résultats de l’évaluation des alternatives.
Dernière modification 11.12.2023