Héberger ses données en Suisse: le mythe du coffre-fort résistera-t-il ?

A l’heure où la Suisse annonce le lancement d’un LLM souverain hébergé sur son sol, alors que Proton menace de quitter le pays, j’ai décidé de tirer profit de ma qualité de suissesse pour faire un rapide tour d’horizon de ce sujet qui touche à la politique de la tech et auquel on ne devrait pas rester trop, trop indifférent.e.

La Suisse, c’est sûr

Cette idée d’une Suisse sûre m’a rappelé mes recherches de thèse sur le marché de l’art : dans toutes les discussions, la Suisse se profilait toujours comme “une place sûre”. Je vous fais grâce d’aller lire ma thèse pour trouver pourquoi. Grosso modo, les raisons majeures sont :

• la place de la Suisse au coeur de l’Europe… mais sans y être : la Suisse est proche de tous les pays européens, mais n’est pas soumise aux règlementations, jugées très contraignantes, de ses voisins européens (elle ne fait partie ni de l’UE ni de l’OTAN);
• sa politique de neutralité : elle rend la Suisse stable et son risque de participation a des conflits majeurs plus modéré;
• peu impactée par la crise financière et préservée des guerres mondiales par sa neutralité, la Suisse devient historiquement un “pays refuge” : la valeur de ce en quoi on investit ne change pas trop, les biens ne risquent pas d’être détruits par un gouvernement, etc.

Quid de vos données ?

Je m’arrête là, on a compris, la Suisse ça semble sûr pour pas mal de choses, y compris la protection des données et le numérique.

MAIS.

J’ai l’impression que l’angle mort de cette belle image, c’est le peu de connaissances des lois suisses et, plus encore, du fonctionnement de ces lois de manière générale mais particulièrement en ce qui concerne la protection des données. On héberge nos données en Suisse avec l'idée que c’est plus sûr, car on pense à sa neutralité ou aux bunkers dans les Alpes. On oublie peut-être un peu que nos données sont donc sous le coup de la loi suisse. Et vous, savez-vous ce que dit la loi suisse sur la protection des données ? Comment cette loi pourrait évoluer ? C’est souvent la que le bât blesse: même moi, en tant que suissesse, j’ai une idée un peu approximative de ces règlementations alors que, excusez mon côté dramatique mais, C’EST SUPER IMPORTANT NON ?

Pour creuser ce sujet, j’ai fait mes recherches, mais j’ai aussi posé des questions à des gens bien mieux renseignés que moi sur la question (parce que déjà ils n’ont pas quitté la Suisse comme moi il y a dix ans), dont Olga Baranova. Diplômée en Sciences politiques et management public à l’Université de Genève, elle a travaillé pendant 10 ans pour le parti socialiste suisse. Hyper engagée dans le domaine de la politique médiatique, elle est secrétaire générale de CH++ depuis sa fondation en 2021. CH++ est une organisation qui promeut le développement des compétences sur le numérique dans les institutions et le secteur public et s’engage pour la promotion, la compréhension et l'utilisation efficace de la science et de la technologie.

La LPD et nLPD

Commençons par le début : vous connaissez le RGPD, le règlement sur la protection des données auxquels sont soumis les pays européens ? La Suisse n’y est pas soumise (déjà, c’est important de le savoir, non?). Mais elle possède un équivalent : la LPD, devenue nLPD (la nouvelle loi sur la protection des données).

La nLPD est une loi fédérale, car il ne faut pas l’oublier, mais le C de CH, c’est pour “Confédération” : ça signifie, long story short, que ce pays est un ensemble de sous-unités (les Cantons) qui sont très attachés à leurs particularités et à leur indépendance. Un très grand nombre de choses sont donc gérées à un niveau cantonal et non national comme en France. La nLPD est une loi fédérale et s’applique donc partout en Suisse, mais rien n’empêche les cantons de mettre en place des dispositions spécifiques s’ils le souhaitent.

Sur la question de la marge de manoeuvre des Cantons, Olga Baranova précise d’ailleurs que :

"Certains cantons (comme Genève ou Zurich) ont leurs propres lois sur la protection des données, d'autres non. Les lois cantonales de protection de données précisent les règles qui s'appliquent au traitement des données par l'administration, le traitement des données par les privés est régi par la loi fédérale de protection de données".

Une différence non négligeable donc quand même, entre traitement des données par le public et traitement des données par le privé.

Que dit alors la loi sur la protection des données en Suisse, pour les privés ?

Comme dans le RGPD, les entreprises ont l’obligation d’informer les personnes concernées de manière claire sur le traitement de leurs données (c’est le principe de transparence). Comme le RGPD, la loi suisse mentionne que la protection des données doit être pensée par défaut et dès la conceptions (c’est le fameux privacy by default et le privacy by design¹).

Cependant, contrairement au RGPD, la protection des données ne s’applique qu’aux personnes physiques et non aux personnes morales. S’il peut y avoir un préposé à la protection des données personnelles, il n’y a pas d’obligations claires sur ces nominations (contrairement aux DPO européens). Si comme en Europe, les entreprises doivent mettre en place des mesures internes (accountability) et tenir des registres, les entreprises en sont exemptées si le traitement des données présente un risque limité.

En résumé la nLPD suisse a moins de formalisme que le RGPD : elle est plus flexible sur de nombreux points ce qui laisse plus de marge de manoeuvre a son application. Par contre, la nLPD prévoit des sanctions pénales. Les sources ne détaillent pas la nature précise de ces sanctions ni ne les comparent directement aux amendes administratives prévues par le RGPD. Cette distinction entre des sanctions de nature pénale (qui peuvent viser des individus) et des amendes administratives (visant souvent les entités) constitue quand même une différence significative dans l'approche de l'application de la loi entre le RGPD et la nLPD.

Alors la Suisse est-elle vraiment plus “sûre” ?

Le point important quand on parle de l’hébergement en Suisse, c’est le sujet de l’intervention de l’Etat.

La Suisse ne pratique pas de collecte de masse à la manière du Patriot Act ou du Cloud Act. Les autorités ne peuvent accéder aux données qu'avec une base légale claire et une procédure judiciaire stricte.

Cela signifie qu’une entreprise suisse n’a aucune obligation de remettre les données à une autorité étrangère, sauf via des accords bilatéraux ou traités internationaux.

C’est la que l’absence de la Suisse des organisations internationales pèse : si cette absence rend les lois suisses un peu différentes des règlementions européennes, peut-être plus souples, elle permet surtout à la Suisse une grande souveraineté vis-a-vis des pays étrangers d’une part, et laisse peu de marge de manoeuvre à l'Etat suisse même pour intervenir sur les données, d’autre part. Ce sont ces points précisément qui séduisent souvent les hébergeurs de data au sujet de la Suisse.

Mais ça pourrait changer.

En début d’année 2025, le Conseil Fédéral a lancé une consultation publique qui porte non pas sur la nLPD mais sur Loi sur l’Information et la Cybersécurité (LICS), avec pour objectif “de la moderniser”.

Et les modifications apportées sont sensibles:

• les prestataires seraient classifiés selon leur degré d’obligations (minimales, restreintes, complètes). Le changement ? Cela concernerait TOUS les prestataires numériques et notamment les fournisseurs de VPN, de messagerie, etc.
• des nouveaux types de renseignements seraient collectés: identifiants, historique de connexion, etc. et ce avec 2 nouveaux types de surveillance: rétroactive (identifier des utilisateurs après coup) ou en temps réel.
• Surveillance proactive et “cybersurveillance défensive” : le gouvernement pourrait collecter certaines données techniques pour prévenir des cybermenaces, ce qui floute la frontière entre protection et intrusion.
• mais surtout, ce projet propose la suppression du chiffrement non E2E: les prestataires devront permettre la suppression de chiffrement appliqué par leurs services (les communications chiffrées de bout en bout restent explicitement protégées).

Toutes ces nouvelles mesures renforcent le pouvoir du gouvernement, les dérives possibles dues à une augmentation de l’ingérence et les accès possibles du gouvernement aux données sensibles des citoyens. Des acteurs craignent que cela mène à une forme d’accès préventif à des systèmes, voire à des backdoors officieuses, comme cela a pu déjà être proposé ou établi dans d'autres pays.

Est-il besoin de spécifier que ce projet a suscité des réactions ? Les principaux acteurs de la privacy et de la sécurité des données sont montés au créneau: Proton, Signal, Mozilla… Ils alertent sur la création de backdoor légales (comme cela a été proposé en France, souvenez-vous). Ce projet pourrait les faire partir de la Suisse comme le souligne Olga Baranova en reprenant le texte de CH++

“Cette révision menace directement l’attractivité économique de la Suisse. Alors que notre pays était en passe de devenir un pôle de référence pour les technologies axées sur la protection de la vie privée, cette orientation réglementaire envoie un très mauvais signal aux entreprises innovantes du secteur.”

Proton a en effet déjà annoncé développer son IA en dehors de la Suisse, n’étant pas rassuré par la tournure que prend les evenements et a menacé quitter la Suisse si ces dispositions entraient en vigueur.

Mais les entreprises ne sont pas les seules à avoir alerté : les associations, lobbys et organisations indépendantes comme Amnesty Suisse, CH++ ou l’Internet Society Switzerland dénoncent le risque d’une surveillance généralisée, la fragilisation générale de la sécurité numérique, le risque pour les citoyens. Pour citer à nouveau Olga Baranova:

“Ce projet soulève de sérieuses inquiétudes quant à une extension massive des mesures de surveillance étatiques – une dérive aux conséquences potentiellement graves pour la vie privée et les droits fondamentaux de la population suisse.”

Le conseil fédéral décidera du texte au plus tôt cet automne, avec une possible entrée en vigueur en 2026. En espérant que nous n’aurons pas tous et toutes à faire nos valises numériques…

Notes

¹ Comme son nom l’indique, le principe de "Privacy by Design" (protection des données dès la conception) implique, pour les développeurs, d’intégrer la protection et le respect de la vie privé des utilisateurs dans la structure même du produit ou du service amené à collecter des données personnelles. Le principe de "Privacy by Default" (protection des données par défaut) assure quant à lui le niveau de sécurité le plus élevé dès la mise en circulation du produit ou du service, en activant par défaut, c’est-à-dire sans aucune intervention des utilisateurs, toutes les mesures nécessaires à la protection des données et à la limitation de leur utilisation. Voir : Notes sur la nouvelle loi de protection des données.

Ressources

Les références législatives

• La loi fédérale sur la protection des données (nLPD).
• Les changements introduits par la nouvelle loi sur la protection des données.
• Comparaison entre le RGPD et la nLPD.
• Le site du préposé fédéral à la protection des données
• Les changements introduits par la révision de la Loi sur la surveillance des télécommunications en Suisse.

Les articles cités

• Bernardi Paula & Celia Richardson, 2 mai 2025, Qu'est-ce qu'une porte dérobée dans le système de cryptage ?, Internet Society.
• Castro Chiara, 13 juin 2025, A War against online anonimity, TechRadar.
• Jancer Malt, 15 mai 2025, Proton Says It’ll Leave Switzerland if This Controversial Law Is Passed, Vice.
• Jaun René, 5 mai 2025, Surveillance des communications: Proton, Threema et co montent au creneau, ICT Journal.
• Meyer Florian & Melissa Anchisi, 9 juillet 2025, A language model built for the public good, ETHZ News.
• Seydtaghia Anouch, 9 juillet 2025, L'EPFL est près de lancer un modèle de langage suisse souverain., Le Temps.