5 min de lecture

Souveraineté des données : pourquoi vos données doivent rester en Suisse

La souveraineté des données n'est pas un argument marketing. Pour les entreprises suisses dans les secteurs réglementés, c'est une nécessité juridique. Un tour d'horizon des faits.

Souveraineté des donnéesSuisseCLOUD ActLPD
Souveraineté des données : pourquoi vos données doivent rester en Suisse

«Swiss-hosted» figure sur de plus en plus de sites web de logiciels. Microsoft investit 400 millions de dollars dans l’infrastructure cloud suisse. Google et AWS exploitent des centres de données à Zurich. L’hébergement en Suisse devient une fonctionnalité standard. Mais «hébergé en Suisse» et «souverain en matière de données» ne sont pas la même chose.

Cet article explique la différence, pourquoi elle est pertinente pour les secteurs réglementés et quelles questions les entreprises suisses devraient poser avant de choisir un fournisseur d’IA.

Ce que signifie la souveraineté des données

La souveraineté des données signifie que les données sont soumises exclusivement aux lois du pays dans lequel elles sont traitées. Aucune juridiction étrangère ne peut en imposer l’accès.

Pour les données en Suisse, cela signifie : seul le droit suisse s’applique. Le PFPDT est l’autorité de surveillance compétente. Aucun service de renseignement étranger, aucune autorité de poursuite pénale étrangère ne peut exiger l’accès, sauf par la voie de l’entraide judiciaire internationale.

Ce principe est rompu lorsque le fournisseur est soumis à une juridiction étrangère disposant de pouvoirs d’accès extraterritoriaux.

Le CLOUD Act : le problème concret

Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act) des États-Unis est entré en vigueur en 2018. Il autorise les autorités américaines à exiger des entreprises américaines la remise de données, indépendamment du lieu de stockage physique de ces données.

Concrètement : si une entreprise suisse stocke des données auprès d’un fournisseur américain (Microsoft Azure, Google Cloud, Amazon AWS, Salesforce, etc.), une autorité américaine peut exiger la remise de ces données. La localisation du serveur en Suisse ne protège pas contre le CLOUD Act, car la loi se rattache au contrôle de l’entreprise, non à la localisation des données.

Les conditions contractuelles du fournisseur («Nous ne communiquons aucune donnée sans votre consentement») ne peuvent pas prévaloir sur le CLOUD Act. Un contrat se situe en dessous d’une loi fédérale dans la hiérarchie des normes. Si un tribunal américain ordonne la communication, le fournisseur américain doit s’exécuter, même si son contrat avec le client suisse stipule le contraire.

Pourquoi c’est pertinent pour les secteurs réglementés

Secret professionnel de l’avocat (LLCA art. 13)

Les avocates et avocats suisses sont soumis au secret professionnel selon l’art. 13 de la loi fédérale sur la libre circulation des avocats (LLCA, RS 935.61). La violation est punissable selon l’art. 321 CP.

Si une avocate saisit une demande de mandat dans un outil d’IA exploité par une entreprise américaine, il existe un risque théorique que cette demande soit divulguée par le biais d’un accès CLOUD Act. Cela constituerait une violation potentielle du secret professionnel.

Surveillance FINMA

Les établissements assujettis à la FINMA (banques, assurances, gestionnaires de fortune) sont soumis à des exigences strictes en matière de sécurité des données et d’externalisation. La circulaire FINMA 2018/3 «Outsourcing» exige une analyse de risque lors de l’externalisation de fonctions commerciales, y compris les services informatiques. L’externalisation auprès d’un fournisseur soumis à une juridiction étrangère disposant de pouvoirs d’accès extraterritoriaux est un risque qui doit être documenté et atténué.

Loi sur la protection des données (LPD)

La LPD suisse (RS 235.1) réglemente la communication transfrontière de données aux art. 16-17. Les données ne peuvent être communiquées qu’à des pays offrant un niveau de protection adéquat. Il n’existe pas de décision d’adéquation générale de la Suisse pour les États-Unis. Les communications vers les USA nécessitent des garanties supplémentaires (clauses contractuelles types, règles d’entreprise contraignantes).

Le CLOUD Act sape ces garanties en ouvrant une voie d’accès qu’aucune clause contractuelle ne peut bloquer.

Les alternatives

Fournisseurs suisses avec infrastructure suisse

Des entreprises comme Infomaniak, Exoscale et Safe Swiss Cloud exploitent des centres de données en Suisse et sont soumises exclusivement au droit suisse. Pas de CLOUD Act. Pas d’accès par des autorités étrangères, sauf par la voie formelle de l’entraide judiciaire.

Pour les applications d’IA, ces fournisseurs proposent de plus en plus de capacités GPU et de services d’IA gérés. Les performances n’atteignent pas le niveau des hyperscalers américains, mais pour la plupart des cas d’utilisation suisses, elles suffisent.

Modèles open source sur sa propre infrastructure

Des modèles de langage open source comme Mistral Small 4 (Apache 2.0) ou Qwen3.5 fonctionnent sur du matériel standard. Un Mac Studio avec 96 Go de RAM peut faire tourner un modèle de 35 milliards de paramètres en local. Pas de cloud. Pas d’appels API. Aucune donnée ne quitte le bâtiment.

Sàrl suisses avec hébergement suisse

Les fournisseurs de services d’IA organisés en Sàrl suisses et exploitant toute leur infrastructure en Suisse offrent la solution la plus propre : droit suisse, données suisses, responsabilité suisse.

Cinq questions à poser à tout fournisseur d’IA

Avant qu’une entreprise suisse d’un secteur réglementé n’évalue un fournisseur d’IA, elle devrait poser ces questions :

  1. Dans quel pays votre entreprise est-elle enregistrée ? Une filiale suisse d’une maison mère américaine est soumise au CLOUD Act.

  2. Où les données sont-elles physiquement traitées et stockées ? Une «région suisse» chez un hyperscaler américain n’est pas la même chose qu’un centre de données suisse d’une entreprise suisse.

  3. Votre entreprise est-elle soumise au US CLOUD Act ou à des lois étrangères comparables ? Question directe, réponse directe. N’acceptez aucune esquive.

  4. Pouvez-vous garantir contractuellement qu’aucune donnée ne sera communiquée à des autorités étrangères ? Si oui : sur quel fondement juridique ? Si le fournisseur est soumis à une loi d’accès étrangère, cette garantie n’est pas juridiquement exécutoire.

  5. Quel tribunal suisse est compétent en cas de litige ? Le for suisse est le minimum. Un for étranger dans une offre de souveraineté des données est une contradiction.

Conclusion

La souveraineté des données n’est pas un argument marketing. Pour les études d’avocats, les établissements assujettis à la FINMA et toute entreprise suisse qui traite des données personnelles, c’est une exigence juridique.

La bonne nouvelle : les alternatives suisses existent. Les fournisseurs cloud suisses, les modèles open source et les prestataires d’IA suisses permettent de profiter des avantages de l’IA sans perdre le contrôle sur les données.

Informations complémentaires : montvirtua.com

Cet article est publié à titre informatif et ne constitue pas un conseil juridique.

Retour au blog

Articles similaires

22 March 2026

Souveraineté des données et IA : pourquoi les entreprises suisses doivent garder le contrôle de leurs données

La souveraineté des données suisses à l'ère de l'IA. CLOUD Act, LPD, RGPD et pourquoi le contrôle de ses propres données n'est pas une option, mais une nécessité.
19 March 2026

La souverainete des donnees suisses a l'ere de l'IA : pourquoi c'est important pour votre cabinet

La souverainete des donnees suisses n'est pas un argument marketing pour les outils IA. C'est une exigence legale pour les cabinets d'avocats, les banques et les professionnels de la conformite. Voici pourquoi l'endroit ou fonctionne votre IA compte.
29 March 2026

EU AI Act : ce que les entreprises suisses doivent faire d'ici août 2026

Le EU AI Act entre pleinement en vigueur le 2 août 2026. Ce que cela signifie pour les entreprises suisses, quelles obligations s'appliquent et comment se préparer en 18 semaines.