Projet CEBA de la Chancellerie fédérale
Le PFPDT accompagne le projet « Cloud Enabling Büroautomation » (CEBA) dans le cadre de son activité de surveillance. L’accent est actuellement mis sur l'analyse d'impact relative à la protection des données réalisée par l'administration ainsi que la mise en œuvre de la mesure concernant l’application d’une étiquette de confidentialité aux documents de l’administration fédérale (« étiquetage »).
Le projet de bureautique en nuage CEBA, lancé en 2019, est dirigé par le secteur Transformation numérique et gouvernance de l’informatique (TNI) de la Chancellerie fédérale (ChF). L'objectif du projet est de remplacer la suite Office « Microsoft Office LTSC Professional Plus 2021 » actuellement utilisée dans l’environnement de travail de l'administration fédérale par la solution basée sur le cloud « Microsoft Office 365 » (M365). Le secteur TNI a impliqué le PFPDT dans le projet à un stade précoce et ce dernier a régulièrement informé du projet d'externalisation au sein de l'administration fédérale (cf. communiqué du 7 mars 2023 ; 30e rapport d'activités 2022/2023 ; 31e rapport d'activités 2023/2024).
Depuis le lancement du projet, le PFPDT a notamment œuvré à ce que le secteur TNI examine des alternatives à Microsoft Office 365 utilisables à moyen terme (cf. le communiqué de presse du Conseil fédéral du 15 février 2023 : La Confédération passe à Microsoft 365). Désormais, l'adaptation et la clarification de l'analyse d'impact relative à la protection des données (AIPD) réalisée par le secteur TNI ainsi que les premières formations du personnel de la Confédération sont au centre de son activité de surveillance.
Le PFPDT a exigé que la proportionnalité d'une solution fédérale basée sur le nuage soit vérifiée et que les risques pertinents en matière de protection des données – en particulier en ce qui concerne l'accès des autorités étrangères et la dépendance vis-à-vis des fournisseurs de cloud computing dominants sur le marché – soient analysés et évalués. Avec ses prises de position sur les versions constamment adaptées de l'analyse d'impact relative à la protection des données le PFPDT vise à ce que les risques majeurs soient décrits de manière plus précise et que les mesures nécessaires pour minimiser les risques soient définis sans ambiguïtés. Le secteur TNI travaille actuellement à apporter les précisions et les compléments nécessaires. En parallèle, des audits indépendants sont menés, dont les résultats seront également pris en compte dans la prochaine version de l’AIPD.
Une mesure importante pour minimiser les risques du projet CEBA est l’application d’étiquettes de confidentialité aux documents. Cet étiquetage a pour but d’éviter que des documents contenant des données personnelles sensibles ou des données confidentielles (documents classifiés) soient hébergés dans le cloud. Ces documents doivent être traités uniquement dans les centres de données de l'administration fédérale. A cette fin, le personnel de la Confédération doit être formé en conséquence. Quelques collaborateurs du PFPDT ont ainsi assisté aux premières formations afin de s'assurer que les exigences en matière de protection des données et de sécurité étaient respectées.