Ah, la souveraineté numérique ! Ce terme qu’on balance à toutes les sauces dans les comités de direction, entre le café et les petits fours. Un peu comme « digital transformation » ou « synergies » : ça sonne bien, mais personne ne sait vraiment ce que ça veut dire. Sauf que cette fois, l’avocat Sylvain Métille a décidé de mettre les points sur les i. Et croyez-moi, ça décoiffe.
Le cloud souverain : mythe ou réalité ?
Imaginez que vous cherchiez une salle de sport. Vous voulez qu’elle soit suisse, que vos données de santé restent en Suisse, et que personne – surtout pas le FBI ou la NSA – ne puisse venir fouiner dans votre poids ou votre fréquence cardiaque. Normal, non ? Eh bien pour le cloud, c’est exactement le même délire.
Le problème, c’est que beaucoup de fournisseurs cloud vous vendent du « souverain » comme on vend des montres suisses fabriquées en Chine. Les serveurs sont physiquement en Suisse, certes, mais la société mère est américaine, soumise au CLOUD Act. C’est comme acheter une Ferrari avec un moteur de Twingo : techniquement c’est rouge et ça a le logo, mais sur l’autoroute, ça va pas le faire.
Ce que dit vraiment la loi (sans le jargon d’avocat)
Sylvain Métille rappelle une vérité qui dérange : la localisation des données n’est qu’une partie de l’équation. Ce qui compte vraiment, c’est :
- Qui contrôle l’infrastructure ? Si c’est une boîte américaine, le Patriot Act peut débarquer comme un contrôleur dans le train sans billet.
- Qui a accès aux clés de chiffrement ? Parce que stocker des données chiffrées dont quelqu’un d’autre a la clé, c’est comme cacher votre argent sous le matelas… chez votre voisin.
- Quelle juridiction s’applique ? Le droit suisse, c’est mignon, mais si AWS reçoit un ordre de la NSA, devinez qui va gagner ?
Salesforce, AWS et les autres : où en est-on ?
Pour nous chez Smarsys, cette question n’est pas théorique. On bosse sur Salesforce tous les jours, et nos clients nous demandent régulièrement : « Mais mes données, elles sont où exactement ? » La réponse honnête ? Ça dépend de votre contrat, de votre instance, et de combien vous êtes prêts à payer.
Salesforce propose des options de résidence des données en Europe (avec Hyperforce notamment), mais il faut bien comprendre que résidence ≠ souveraineté. C’est comme louer un appartement à Genève : vous y habitez, mais le propriétaire a toujours les clés et peut techniquement entrer si un juge américain le lui ordonne.
Le paradoxe helvétique
La Suisse aime se la jouer bunker des données, secret bancaire 2.0. Sauf que dans les faits, la plupart des PME romandes tournent sur Office 365, AWS ou Google Cloud. Pas parce qu’elles s’en foutent de la souveraineté, mais parce que :
- Les alternatives 100% suisses sont plus chères (parfois 2-3x le prix)
- Les fonctionnalités sont souvent en retard d’une génération
- L’écosystème d’intégrations est limité
C’est un peu comme choisir entre une Rolex et une Apple Watch. La Rolex, c’est swissness, prestige, souveraineté. L’Apple Watch, elle te dit combien de pas t’as fait, répond à tes messages et te prévient si t’es en arythmie cardiaque. Moins sexy sur le papier, mais vachement plus pratique au quotidien.
Alors, on fait quoi concrètement ?
Les clarifications de Métille tombent à pic. Plutôt que de se cacher derrière du marketing fumeux, il faut poser les bonnes questions à vos fournisseurs cloud :
- « Où sont physiquement hébergées mes données ? » (ça c’est facile)
- « Quelle est la nationalité de la société qui exploite le cloud ? » (ça commence à se compliquer)
- « Qui a accès aux clés de chiffrement ? » (là, préparez le pop-corn)
- « En cas de requête légale d’un pays tiers, quelle est votre procédure ? » (moment de vérité)
Pour un projet CRM ou ERP, ces questions ne sont pas de la paranoia. Si vous êtes dans la pharma, la finance, ou si vous manipulez des données sensibles, c’est votre responsabilité légale de les poser. Sinon, c’est comme signer un bail sans lire les clauses : vous découvrirez les surprises après, généralement au pire moment.
Le pragmatisme avant le dogmatisme
Soyons honnêtes : la souveraineté numérique absolue, c’est comme la neutralité carbone ou la pizza hawaïenne – un idéal qui divise. Pour 90% des PME, une approche hybride pragmatique est plus réaliste :
- Données ultra-sensibles : cloud suisse ou on-premise
- Applications métier critiques : cloud européen avec garanties contractuelles solides
- Le reste : meilleur rapport qualité/prix, peu importe la provenance
C’est moins sexy qu’un grand discours sur la souveraineté, mais c’est infiniment plus intelligent que de tout mettre chez un hébergeur local qui rame parce qu’il tourne encore sur VMware 5.5.
Le mot de la fin
L’intervention de Sylvain Métille, c’est un peu le carton rouge de l’arbitre qui siffle la faute alors que tout le monde gueulait « joue l’avantage ». Ça fait chier sur le moment, mais c’est exactement ce dont on avait besoin. Arrêtons de vendre du rêve, parlons de réalité juridique et technique.
Chez Smarsys, on ne vous dira jamais que Salesforce est 100% souverain. On vous dira exactement où sont vos données, qui y a accès, et quels sont les risques. Parce que notre boulot, ce n’est pas de vous vendre du consulting à la pelle, c’est de vous aider à prendre des décisions éclairées. Même si ça veut dire reconnaître que parfois, le cloud américain reste le meilleur choix.
La souveraineté numérique, ce n’est pas tout noir ou tout blanc. C’est cinquante nuances de gris juridique. Autant avoir un bon guide.