Open main menu
CollaborationIAGestion d'entreprise

Souveraineté des données en Suisse avec le cloud Microsoft : stockage local, Cloud Act et chiffrement

Les PME suisses doivent naviguer entre l'utilisation du cloud, comme Microsoft 365, et les exigences de protection des données. Microsoft propose des infrastructures locales en Suisse pour garantir la souveraineté des données, tout en permettant un stockage conforme aux lois locales. Le CLOUD Act américain pose des risques théoriques, mais dans la pratique, les demandes sont ciblées et Microsoft s'engage à contester les requêtes abusives. Pour atténuer ces risques, le chiffrement côté client est recommandé, permettant aux entreprises de garder le contrôle de leurs données. Les nouvelles offres d'IA de Microsoft, comme Copilot, seront également intégrées dans un cadre souverain, garantissant que les données restent en Europe. En somme, les PME peuvent bénéficier des innovations du cloud tout en maintenant la maîtrise de leurs données.

Souveraineté des données en Suisse avec le cloud Microsoft : stockage local, Cloud Act et chiffrement

Table of Contents

Do not index
Zoho Task
https://projects.zoho.eu/portal/digitaliseverywhere#zp/projects/307090000005312129/tasks/custom-view/307090000000046003/list/task-detail/307090000005423007?group_by=tasklist
Groups

1. Le regard pragmatique des PME suisses face au cloud

Les PME suisses doivent concilier leurs besoins métiers avec les exigences de protection des données. Dans la pratique, éviter totalement le cloud devient difficile tant les outils comme Microsoft 365 sont devenus essentiels (messagerie, collaboration, etc.). Par exemple, le canton de Zurich notait qu’ignorer le cloud reviendrait à se mettre « hors-jeu en matière technologique », étant donné que certains services (Teams, solutions de sécurité modernes…) n’ont plus d’alternative locale et que maintenir uniquement du sur site pose des problèmes de pérennité et d’innovation . En d’autres termes, ne pas migrer comporte aussi des risques (perte de compétitivité, retard numérique).
Quelle est donc l’attitude pragmatique ? Il s’agit d’adopter le cloud tout en maîtrisant le risque. Des analyses chiffrées ont montré que le danger d’une ingérence étrangère reste très faible en pratique. Toujours à Zurich, une méthode d’évaluation a été appliquée aux services Microsoft 365 (Exchange, Teams, OneDrive, etc.) en tenant compte de mesures de protection comme un chiffrement supplémentaire des emails avec clé détenue par le canton . Résultat : pour les données les plus sensibles, la probabilité qu’une autorité étrangère accède illicitement aux données cantonales via Microsoft sur une période de 5 ans n’est que de 0,74%. Statistiquement, il faudrait 1552 ans pour qu’un accès non autorisé se produise avec 90% de certitude . Pour les données moins critiques, l’estimation était ~1206 ans. En conclusion, le gouvernement zurichois a jugé « hautement improbable » qu’une agence américaine puisse accéder aux données cantonales hébergées sur le cloud Microsoft . Ce type d’analyse pragmatique rassure de nombreuses organisations suisses : le risque théorique existe, mais il est quantifié comme extrêmement faible dans la réalité, surtout pour une PME sans enjeux de sécurité nationale.

2. Stockage des données en Suisse : régions cloud locales et résidence des données

Microsoft propose des infrastructures cloud locales en Suisse afin de répondre aux exigences de souveraineté des données.
Un pilier de la souveraineté numérique est la localisation des données. Microsoft a investi dans des centres de données en Suisse : depuis 2019, deux régions cloud (proches de Zurich et Genève) permettent aux clients suisses de stocker et traiter leurs données à l’intérieur des frontières nationales lorsque nécessaire . Ainsi, une PME peut choisir d’héberger ses principaux services (messageries Exchange, fichiers OneDrive, bases de données Azure, etc.) dans le cloud suisse pour bénéficier des lois de protection locales et réduire les transferts transfrontaliers. Ces régions suisses assurent également la redondance et la continuité en cas de sinistre, conformément aux exigences réglementaires helvétiques .
Au-delà du strict périmètre national, Microsoft garantit aussi une zone Européenne élargie pour la résidence des données. Grâce à l’initiative EU Data Boundary, les clients en Suisse (pays membre de l’AELE) peuvent opter pour que toutes leurs données clients, personnelles pseudonymisées et données de support liées aux services Microsoft 365, Dynamics 365, Power Platform et à la majorité d’Azure soient stockées et traitées exclusivement au sein de l’UE ou de l’AELE . En clair, une entreprise suisse peut confiner ses données cloud dans l’espace européen élargi, ce qui facilite le respect du RGPD et de la nouvelle LPD suisse. Microsoft a d’ailleurs annoncé début 2025 avoir « complété l’EU Data Boundary » pour ses clouds, fruit de plusieurs années d’ingénierie, afin que ses clients publics et privés d’Europe aient pleinement contrôle sur la localisation de leurs données principales . Cette mesure couvre les données au repos et même, désormais, certaines données de support technique qui auparavant pouvaient transiter hors d’Europe : depuis février 2025, les journaux et données générées lors d’un ticket support Microsoft sont aussi conservés dans l’UE/AELE pour les services principaux .
En utilisant les régions suisses ou européennes, les PME peuvent donc profiter du cloud (souplesse, innovation, coûts) tout en gardant leurs données dans des juridictions familières. Cela répond en partie aux préoccupations de souveraineté, même si la localisation n’est qu’un aspect du problème – l’autre aspect majeur étant qui peut accéder aux données, et c’est là qu’entre en jeu le Cloud Act américain.

3. Le CLOUD Act : comprendre le risque légal et son ampleur réelle

Qu’est-ce que le CLOUD Act ? Il s’agit d’une loi fédérale américaine de 2018 (Clarifying Lawful Overseas Use of Data Act) qui permet aux autorités des États-Unis d’imposer à une entreprise américaine de fournir des données, quels que soient le lieu où ces données sont stockées. En pratique, cela signifie que Microsoft – en tant que société américaine – peut être légalement contrainte de remettre des données de clients à des agences US sur présentation d’une ordonnance valide, même si ces données résident physiquement en Suisse ou en Europe . Ce principe d’extraterritorialité entre en collision avec la notion de souveraineté locale des données, et suscite naturellement des inquiétudes en Suisse (pays attaché traditionnellement à son indépendance et à la protection des données).
Risque théorique vs réalité. Dans le débat public, le CLOUD Act est souvent brandi comme un risque absolu. Cependant, dans la pratique, plusieurs facteurs limitent son impact réel pour une PME suisse. D’abord, une demande Cloud Act doit cibler des données précises dans le cadre d’une enquête légitime (pas d’accès de masse). Microsoft souligne qu’il n’existe aucun accès direct, généralisé ou “backdoor” accordé à un gouvernement : chaque requête est examinée au cas par cas, les données ne sont divulguées que si Microsoft y est légalement contrainte, et uniquement pour des comptes ou utilisateurs clairement identifiés dans l’ordonnance validée par un tribunal . En outre, Microsoft s’engage à contester systématiquement toute demande gouvernementale qu’elle estimerait abusive ou non conforme au droit : via son initiative “Defending Your Data”, l’entreprise promet de défier en justice toute requête visant un client public ou entreprise lorsque la loi le permet, et à faire preuve de transparence sur ces demandes . Microsoft a d’ailleurs un historique de résistances juridiques (par exemple, contestation d’assignations secrètes et action en justice contre le gouvernement US par le passé) .
Malgré ces garde-fous, Microsoft admet elle-même ne pas pouvoir offrir une garantie absolue. Interrogé sous serment par le Sénat français en juin 2025 sur la possibilité de protéger totalement les données européennes d’un accès par les autorités américaines, un représentant légal de Microsoft France a répondu clairement : « Non, je ne peux pas le garantir » . En d’autres termes, si une injonction US valide est délivrée, Microsoft devra en dernier ressort s’y plier et remettre les données visées . Cette franchise a marqué les esprits, confirmant ce que les experts pressentaient : il n’existe pas de bouclier magique purement juridique contre le CLOUD Act tant qu’on s’appuie sur un fournisseur soumis au droit américain .
Quel impact pour une PME suisse ? Concrètement, le risque qu’une petite entreprise en Suisse fasse l’objet d’une demande Cloud Act est extrêmement faible – sauf cas particuliers (données liées à des enquêtes pénales internationales, sanctions, etc.). Microsoft indique par exemple n’avoir jamais divulgué de données de clients européens du secteur public aux autorités US , et les autorités suisses n’ont pas rapporté de cas où des données de citoyens ou d’entreprises suisses auraient été transmises via le CLOUD Act. De plus, la législation Cloud Act comporte des mécanismes de recours : si la divulgation forcée d’un contenu entre en conflit avec la loi locale (par ex. le secret suisse), l’entreprise peut porter l’affaire devant la justice américaine pour qu’elle en tienne compte . Néanmoins, cela reste une protection incertaine, dépendant de l’appréciation des tribunaux US.
En résumé, pour les PME le scénario le plus probable est que le CLOUD Act demeure une épée de Damoclès peu susceptible de tomber. Le risque zéro n’existe pas, mais il se situe à un niveau jugé acceptable par beaucoup d’experts lorsqu’il est mis en balance avec les bénéfices du cloud. Le message des autorités helvétiques est toutefois de ne pas être naïf : mi-novembre 2025, les préposés fédéral et cantonaux à la protection des données (Privatim) ont même recommandé que les organismes publics suisses n’externalisent plus de données ultra-sensibles vers des clouds internationaux comme Microsoft 365 tant qu’ils ne disposent pas de chiffrement intégral contrôlé par le client . Ils soulignent que pour les dossiers confidentiels (santé, justice, sécurité), « aucune autre personne – y compris le fournisseur cloud – ne doit pouvoir y accéder », et tant qu’il n’y a pas de chiffrement de bout en bout avec clés détenues uniquement par l’autorité, « ce n’est tout simplement pas possible avec les services cloud actuels » . Cette position stricte vise surtout le secteur public, mais pourrait inspirer aussi les entreprises privées manipulant des données sensibles. La clé pour continuer à utiliser le cloud en Suisse sera donc d’implémenter des garanties techniques supplémentaires, notamment en matière de chiffrement.

4. Vers une souveraineté renforcée : chiffrement côté client (CSE) et contrôles techniques

Pour neutraliser en grande partie le risque juridique évoqué ci-dessus, une approche se détache : chiffrer les données de bout en bout, de sorte que même en cas d’injonction légale, le fournisseur cloud ne puisse pas déchiffrer le contenu. C’est le principe du CSE (Client-Side Encryption), où les données sont chiffrées côté client avant même d’être envoyées dans le cloud. Les clés de déchiffrement restent sous le contrôle exclusif de l’entreprise ou d’un tiers de confiance en Suisse. Ainsi, si Microsoft devait remettre les données stockées, elles seraient inexploitables sans les clés détenues par le client.
Microsoft a bien compris cette attente et propose de nombreuses fonctionnalités de sécurité et de chiffrement pour donner le contrôle aux clients :
  • Résidence des clés de chiffrement : Microsoft s’engage à ne jamais divulguer aux gouvernements les clés de chiffrement de ses clients ni affaiblir son chiffrement . Par ailleurs, des solutions permettent aux entreprises de gérer elles-mêmes leurs clés : par exemple Azure Key Vault ou Purview Customer Key offrent la possibilité de stocker et administrer ses propres clés de chiffrement utilisées par Microsoft 365 ou Azure . Dans Microsoft 365, la fonction Customer Key permet déjà de chiffrer les données au repos avec une clé gérée par le client (pour Exchange, SharePoint, OneDrive, Teams chats, etc.). Pour les besoins encore plus poussés, la fonctionnalité Double Key Encryption (DKE) est proposée : elle nécessite deux clés pour lire une donnée – l’une stockée chez Microsoft, l’autre détenue par le client dans son environnement. Ce double chiffrement garantit que Microsoft seul ne peut déchiffrer l’information (un ordre légal ne suffirait pas, il faudrait aussi la clé du client). C’est cette approche qu’a retenue par exemple le canton de Zurich pour ses emails les plus sensibles (clé supplémentaire détenue sur l’infrastructure cantonale) . Cette solution est certes plus lourde à gérer, mais elle matérialise une souveraineté technique forte.
  • Chiffrement en cours de traitement : Stocker des données chiffrées, c’est bien – mais qu’en est-il lorsqu’elles sont traitées ou consultées dans le cloud ? Microsoft investit dans les technologies de confidential computing pour répondre à ce défi. Le service Azure Confidential Compute permet d’exécuter des traitements dans des enclaves sécurisées au niveau matériel, où les données restent chiffrées en mémoire et ne sont lisibles qu’au moment du calcul, empêchant tout accès par des tiers y compris Microsoft lui-même . Par exemple, une machine virtuelle confidentielle sur Azure utilise des extensions matérielles qui font que même un administrateur Cloud Act ne pourrait extraire des données en clair pendant qu’elles sont exploitées. C’est un complément précieux au chiffrement côté client.
  • Contrôle d’accès par le client : Avec la fonctionnalité Customer Lockbox, Microsoft 365 et Azure offrent la capacité pour le client d’approuver ou refuser toute demande d’accès aux données par un ingénieur Microsoft, par exemple dans le cadre du support technique . Sans approbation expresse (via un workflow), l’accès n’est pas accordé. De plus, toutes ces opérations sont journalisées de façon infalsifiable, et le programme Data Guardian garantit qu’en Europe, seul du personnel européen de Microsoft peut superviser ces accès aux systèmes contenant des données clients . Autrement dit, même pour l’administration courante, le contrôle opérationnel reste localisé et traçable.
  • Cloud dédié et autonome : Enfin, pour les cas où une autonomie complète est requise, Microsoft propose le concept de Sovereign Private Cloud. Il s’agit d’environnements cloud isolés et contrôlés par le client, par exemple via Azure Stack/Azure Arc déployé on-premise ou chez un hébergeur local. Microsoft a annoncé en préversion Microsoft 365 Local, permettant de faire tourner des instances d’Exchange, SharePoint, etc., sur une infrastructure Azure Local dédiée . Cette approche “cloud privé souverain” élimine presque totalement la dépendance juridique américaine en créant une barrière supplémentaire (l’environnement est opéré par une entité locale). Néanmoins, pour une PME standard, ces solutions 100% locales restent complexes et coûteuses; la tendance générale est plutôt de combiner le cloud public (avec ses avantages d’échelle) et des contrôles de chiffrement avancés pour obtenir le meilleur compromis.
En somme, il devient possible pour une entreprise suisse d’utiliser le cloud Microsoft tout en conservant une maîtrise technique de ses données. Certes, la mise en place de chiffrement côté client et de gestion de clés apporte de la complexité et peut limiter certaines fonctionnalités (recherche plein texte, etc. sur du contenu chiffré). Mais l’innovation technologique progresse dans ce domaine, et Microsoft ajoute continuellement des capacités pour réduire ces contraintes. La souveraineté n’est plus traitée uniquement par des contrats ou des promesses : elle se renforce via des mesures techniques concrètes, de la configuration (choisir la région appropriée) jusqu’au chiffrement et au contrôle d’accès.

5. Quid des nouveaux services M365 : Copilot et agents intelligents

L’arrivée de l’IA générative dans la suite Microsoft 365 soulève de nouvelles questions de souveraineté. Des services comme Microsoft 365 Copilot – un assistant intelligent s’appuyant sur des modèles de langage (OpenAI/GPT) – impliquent potentiellement que des données de l’utilisateur soient transmises à des moteurs d’IA pour produire des réponses ou automatiser des tâches. Les PME suisses se demandent donc si l’utilisation de tels agents pourrait exposer leurs données en dehors des frontières sécurisées (par exemple, vers des serveurs d’IA globaux aux États-Unis).
Microsoft a conscience de cette préoccupation et a annoncé des mesures pour aligner l’IA sur le cadre souverain existant. Début novembre 2025, la firme a dévoilé une nouvelle vague de capacités de souveraineté incluant l’intégration des services d’IA dans l’EU Data Boundary européen . Concrètement, cela signifie que le traitement des données par les fonctionnalités d’IA sera assuré entièrement en Europe (et en Suisse) au lieu de faire appel à des instances globales. En particulier, Microsoft indique que d’ici fin 2026, les interactions de Microsoft 365 Copilot seront traitées dans le pays pour 15 pays (dont la Suisse) . Autrement dit, lorsque vous utiliserez Copilot en Suisse, vos prompts et documents seront traités par des serveurs localisés en Suisse (ou du moins dans l’espace européen dédié à la Suisse), éliminant le transit de ces données vers les États-Unis. C’est une évolution majeure pour rassurer les clients sur le fait que l’innovation IA ne se fera pas au détriment de la souveraineté.
En attendant ce déploiement local, Microsoft affirme appliquer aux services comme Copilot les mêmes principes de protection que pour le reste de M365 : pas de conservation des données d’entrée en dehors du tenant client, usage limité aux besoins de génération, et aucune utilisation pour entraîner les modèles génériques. De plus, Bing Chat Enterprise, autre agent IA mis à disposition dans M365, garantit déjà que les données des conversations ne sortent pas de l’instance client et ne sont pas utilisées pour affiner le modèle public (Microsoft segmente l’IA “entreprise” de l’IA grand public). Toutefois, tant que l’hébergement local de ces services n’est pas effectif, une entreprise très prudente pourrait choisir de désactiver temporairement Copilot ou autres agents pour certaines catégories de données sensibles, ou de limiter leurs accès. Là encore, la stratégie pragmatique consiste à évaluer le bénéfice de l’IA (productivité augmentée) versus le risque potentiel, et à appliquer des politiques internes (classification des informations, consentement, etc.) en conséquence.

6. Conclusion : bénéfices du cloud Microsoft et souveraineté peuvent coexister

En focalisant sur Microsoft, qui est à la fois leader du cloud et sujet aux lois américaines, le cas de la Suisse illustre bien le défi de la souveraineté numérique à l’ère du cloud. Du point de vue d’une PME helvétique, la voie raisonnable est de tirer parti des innovations du cloud (y compris les dernières offres en IA) tout en mettant en place des garde-fous appropriés. Grâce aux centres de données locaux en Suisse et en Europe, aux engagements contractuels de Microsoft, mais surtout aux outils techniques désormais disponibles (chiffrement robuste, contrôle des accès, clés gérées par le client), il est tout à fait possible de réduire le risque lié au CLOUD Act à un niveau résiduel. Les analyses concrètes l’ont montré : la probabilité qu’une PME soit directement affectée par une requête gouvernementale étrangère via Microsoft Cloud est extrêmement basse , surtout si l’on a pris soin de verrouiller les données sensibles par du chiffrement côté client.
Bien sûr, la souveraineté absolue – c’est-à-dire une garantie 100% étanche contre toute ingérence étrangère – reste un idéal difficile à atteindre sur des services cloud mutualisés. Pour des données vraiment critiques (ex. secrets d’État, informations stratégiques), les autorités suisses préconisent encore des environnements isolés ou un chiffrement de bout en bout strict . Microsoft offre des solutions pour ces cas (cloud privé souverain, hébergement dédié) mais elles dépassent généralement les besoins – et les moyens – d’une PME classique. L’important est que, pour la grande majorité des entreprises, les offres cloud de Microsoft peuvent désormais s’utiliser de manière “souveraine by design” : les données restent en Suisse/Europe, les accès sont limités et monitorés, et les innovations (comme l’IA Copilot) sont progressivement intégrées dans ce cadre local.
En fin de compte, souveraineté ne signifie pas renoncer aux technologies américaines, mais les utiliser selon nos règles. Avec une approche pragmatique et les bonnes configurations, les PME suisses peuvent profiter pleinement de Microsoft 365 et Azure pour accélérer leur transformation digitale, tout en gardant la maîtrise de leurs données et en se conformant aux exigences légales helvétiques. C’est un équilibre dynamique, qui évoluera encore (notamment avec l’arrivée du chiffrement intégral et de nouvelles régulations), mais les outils et engagements actuels montrent qu’il est possible de concilier cloud global et souveraineté locale de façon efficace.
Sources : Les informations ci-dessus proviennent de publications Microsoft (blog officiels sur la souveraineté numérique , annonces sur l’EU Data Boundary et les nouvelles offres souveraines ), de retours d’expérience en Suisse (analyses du canton de Zurich ) ainsi que des avis récents des autorités de protection des données et d’articles spécialisés sur l’impact du CLOUD Act . Toutes convergent vers la nécessité d’une approche mêlant mesures techniques et gouvernance éclairée pour tirer le meilleur du cloud Microsoft en conservant la confiance et la conformité.

Demandez-Nous!

Ce sujet vous intéresse ? Contactez-nous pour explorer ensemble les solutions et opportunités adaptées à vos besoins. Nous serons ravis d'échanger avec vous !

Typeform