Les études d’avocats suisses bénéficient d’un privilège protégé dans peu de pays au monde avec une telle rigueur : le secret professionnel selon l’art. 13 LLCA. Ce secret n’est pas négociable. Il constitue le fondement de la confiance du mandant et une obligation légale dont la violation entraîne des conséquences pénales.
Parallèlement, de nombreuses études suisses utilisent des services cloud de fournisseurs américains pour leur travail quotidien. Microsoft 365, Google Workspace, Dropbox, divers outils Legal Tech hébergés aux États-Unis. Beaucoup ne sont pas conscientes qu’elles s’exposent ainsi à un risque de conformité potentiellement incompatible avec le secret professionnel.
Ce que prévoit réellement le CLOUD Act
Le Clarifying Lawful Overseas Use of Data Act a été adopté par le Congrès américain en 2018. La loi est concise et son principe est simple : les autorités américaines peuvent exiger des entreprises soumises au droit américain la remise de données, indépendamment du lieu où ces données sont physiquement stockées.
Concrètement, cela signifie que si une étude suisse stocke ses données de mandants sur un serveur Microsoft à Zurich, les autorités américaines peuvent néanmoins exiger la remise de ces données. Non pas auprès de l’étude elle-même, mais auprès de Microsoft. Et Microsoft, en tant qu’entreprise américaine, est soumise au CLOUD Act.
La loi contient certes des dispositions permettant aux entreprises de contester une remise lorsqu’elle contrevient au droit local. Cette possibilité de contestation n’offre cependant pas de protection fiable. La procédure se déroule devant les tribunaux américains, selon le droit américain, et la jurisprudence actuelle ne montre pas de ligne cohérente en matière de protection des obligations de confidentialité étrangères.
LLCA art. 13 : le secret professionnel
Le secret professionnel de l’avocat suisse est ancré à l’art. 13 de la loi fédérale sur la libre circulation des avocats (LLCA). Il protège tout ce qui est confié à un avocat dans le cadre de l’exercice de sa profession. Ce secret est complet et illimité dans le temps. Il s’applique également après la fin du mandat.
La violation du secret professionnel est punissable en vertu de l’art. 321 CP. Il s’agit d’un délit poursuivi d’office en cas de commission qualifiée. Les conséquences vont de l’amende à une peine privative de liberté pouvant atteindre trois ans.
Le point déterminant est le suivant : le secret professionnel n’interdit pas uniquement la transmission active de données de mandants. Il oblige également l’avocat à prendre des mesures appropriées pour protéger la confidentialité. L’utilisation d’un service cloud donnant à une juridiction étrangère la possibilité légale d’accéder aux données de mandants peut être considérée comme une violation de cette obligation de protection.
L’écart entre théorie et pratique
En pratique, de nombreuses études arguent que le CLOUD Act n’a jusqu’ici pas été utilisé contre des données d’avocats suisses. C’est exact, pour autant que cela soit publiquement connu. Mais cet argument méconnaît deux points essentiels.
Premièrement : la conformité ne se mesure pas à la réalisation d’un risque, mais à son existence. Les autorités cantonales de surveillance n’évaluent pas si les autorités américaines ont effectivement accédé aux données de mandants. Elles évaluent si l’étude a pris des mesures appropriées pour empêcher un tel accès. L’utilisation d’un service cloud américain pour des données de mandants peut être considérée comme une mesure de protection insuffisante.
Deuxièmement : le CLOUD Act n’est pas le seul instrument. Les autorités américaines disposent d’autres outils juridiques, notamment les National Security Letters, les ordonnances FISA et les Subpoenas, qui peuvent, dans certains cas, être mis en œuvre sans autorisation judiciaire et sous obligation de secret de l’entreprise concernée. Dans un tel cas, l’étude ne serait même pas informée que ses données ont été consultées.
Mesures de protection techniques et leurs limites
Certaines études invoquent des mesures de protection techniques. Chiffrement, clés privées, architectures zero-knowledge. Ces mesures ont leur valeur, mais n’offrent pas une protection complète.
Le chiffrement au repos et en transit protège les données contre les accès non autorisés par des tiers, mais pas contre le fournisseur cloud lui-même. Lorsque Microsoft ou Google exploitent l’infrastructure, ils contrôlent l’architecture de chiffrement. Même avec des clés gérées par le client, la possibilité technique d’accès par l’exploitant de l’infrastructure subsiste.
Le Confidential Computing est une approche prometteuse dans laquelle les données restent chiffrées même pendant le traitement. La technologie n’est cependant pas encore suffisamment mature pour garantir une protection complète contre un fournisseur cloud contraint de coopérer avec les autorités.
Les garanties contractuelles du fournisseur cloud de ne pas remettre de données ne sont pas juridiquement contraignantes dans ce contexte. Une entreprise américaine recevant une injonction de remise de données doit s’y conformer. Les accords contractuels avec les clients n’y changent rien.
La dimension LPD
Outre le secret professionnel, la loi fédérale révisée sur la protection des données (LPD) aggrave la situation. L’art. 16 LPD régit la communication de données personnelles à l’étranger. Les données personnelles ne peuvent être communiquées que vers des États garantissant un niveau de protection adéquat. Il n’existe pas de décision d’adéquation générale du Conseil fédéral pour les États-Unis.
La LPD prévoit des amendes personnelles pouvant atteindre CHF 250'000 en cas d’infraction. Contrairement au RGPD, ces amendes visent les personnes physiques, donc potentiellement l’associé responsable de l’étude en personne.
Pour les études soumises à la fois à la LLCA et à la LPD, un double risque apparaît : le même acte peut simultanément violer le secret professionnel et la loi sur la protection des données.
Ce que disent les autorités de surveillance
Les autorités cantonales de surveillance des avocats ne se sont pas encore prononcées de manière uniforme sur le CLOUD Act. Certaines prises de position indiquent cependant une sensibilité croissante. La Fédération suisse des avocats (FSA) a signalé les risques dans diverses publications, sans émettre de recommandation contraignante.
Il est prévisible que les autorités de surveillance renforceront leurs exigences dans les années à venir. Les études qui s’appuieraient encore sur des services cloud américains pour leurs données de mandants pourraient se trouver sous une pression d’adaptation considérable.
Alternatives pratiques
La bonne nouvelle : il existe des alternatives fonctionnelles aux services cloud américains qui satisfont aux exigences du secret professionnel.
Fournisseurs cloud suisses. Des entreprises comme Infomaniak, Exoscale ou Green proposent des services cloud entièrement soumis au droit suisse. Les fonctionnalités sont comparables à celles des fournisseurs internationaux, les prix souvent compétitifs.
Auto-hébergement. Pour les données particulièrement sensibles, l’hébergement sur sa propre infrastructure ou une infrastructure louée en Suisse peut constituer la solution la plus sûre. La charge administrative est plus élevée, mais le contrôle est total.
Outils d’IA suisses. Pour la recherche juridique et l’analyse documentaire assistées par l’IA, il existe désormais des solutions entièrement hébergées en Suisse, sans dépendance envers des entreprises américaines. La plateforme Enclava de Mont Virtua en est un exemple : hébergement suisse, juridiction suisse, aucune exposition au CLOUD Act.
Approches hybrides. Toutes les données ne présentent pas la même sensibilité. Une solution pragmatique peut consister à conserver les données non critiques (documents publics, correspondance générale) sur des plateformes internationales et à migrer les données confidentielles de mandants vers une infrastructure suisse.
Un plan d’action concret
Pour les études souhaitant réévaluer leur stratégie cloud, nous recommandons les étapes suivantes :
Inventaire. Quels services cloud l’étude utilise-t-elle ? Lesquels sont soumis à la juridiction américaine ? Quels types de données y sont stockés ou traités ?
Évaluation des risques. Lesquels des services utilisés traitent des données de mandants ou d’autres informations confidentielles ? C’est là que le risque est le plus élevé.
Priorisation. Commencez par les services présentant le risque le plus élevé : messagerie, stockage de documents, outils d’IA pour la recherche juridique. Les services moins critiques peuvent être migrés dans un second temps.
Migration. Remplacez les services américains par des alternatives suisses, en commençant par les domaines prioritaires. Prévoyez un temps suffisant pour la transition.
Documentation. Consignez les mesures prises par écrit. En cas de contrôle par l’autorité de surveillance, la documentation constitue la preuve déterminante.
Conclusion
Le CLOUD Act n’est pas un risque théorique. C’est une loi en vigueur qui permet aux autorités américaines d’accéder aux données détenues par des entreprises américaines. Pour les études d’avocats suisses qui traitent des données de mandants sur l’infrastructure d’entreprises américaines, il existe un conflit réel avec le secret professionnel selon l’art. 13 LLCA.
La solution n’est pas compliquée : les données de mandants doivent être hébergées sur une infrastructure exclusivement soumise au droit suisse. Les alternatives suisses existent et sont opérationnelles. La question n’est pas de savoir si les études franchiront ce pas, mais quand.
Si vous souhaitez réévaluer votre stratégie cloud à la lumière du CLOUD Act, contactez-nous à [email protected] ou visitez notre page de contact.