Photo : ©Killian Rigaux – Le nouveau centre de données utilisé par l’Unil et l’EPFL, inauguré en 2022, qui s’ajoute aux trois autres centres préexistants de l’Unil (1977, 2004 et 2013)

Rédigé par : Killian Rigaux

UNIL • Les méthodes de stockage et de traitement des données personnelles sont chamboulées par l’arrivée des services Cl, notamment Microsoft 365. Si cette architecture est aussi avantageuse en matière de cybersécurité, la perte du contrôle des données personnelles inquiète.

" > Photo : ©Killian Rigaux – Le nouveau centre de données utilisé par l’Unil et l’EPFL, inauguré en 2022, qui s’ajoute aux trois autres centres préexistants de l’Unil (1977, 2004 et 2013)

Rédigé par : Killian Rigaux

UNIL • Les méthodes de stockage et de traitement des données personnelles sont chamboulées par l’arrivée des services Cl, notamment Microsoft 365. Si cette architecture est aussi avantageuse en matière de cybersécurité, la perte du contrôle des données personnelles inquiète.

" > Photo : ©Killian Rigaux – Le nouveau centre de données utilisé par l’Unil et l’EPFL, inauguré en 2022, qui s’ajoute aux trois autres centres préexistants de l’Unil (1977, 2004 et 2013)

Rédigé par : Killian Rigaux

UNIL • Les méthodes de stockage et de traitement des données personnelles sont chamboulées par l’arrivée des services Cl, notamment Microsoft 365. Si cette architecture est aussi avantageuse en matière de cybersécurité, la perte du contrôle des données personnelles inquiète.

" >

Dans le brouillard

Le , par et

Photo : ©Killian Rigaux – Le nouveau centre de données utilisé par l’Unil et l’EPFL, inauguré en 2022, qui s’ajoute aux trois autres centres préexistants de l’Unil (1977, 2004 et 2013)

Rédigé par : Killian Rigaux

UNIL • Les méthodes de stockage et de traitement des données personnelles sont chamboulées par l’arrivée des services Cl, notamment Microsoft 365. Si cette architecture est aussi avantageuse en matière de cybersécurité, la perte du contrôle des données personnelles inquiète.

Depuis l’apparition de la version Microsoft 365, désignée successeur de Microsoft Office 2019, le choix de l’utilisation de Word pour l’écriture d’un poème, d’Excel pour la gestion de sa comptabilité ou de Powerpoint pour la préparation d’une présentation a changé d’implications. L’Université de Lausanne et la Confédération se sont tournées vers Microsoft 365, après que la multinationale a annoncé qu’elle cesserait de prendre en charge les produits Office à l’horizon 2026.

« Microsoft tient les organisations en situation de dépendance »

« Ce n’est pas un changement habituel, étant donné que les nouveaux produits ne seront disponibles que sous forme de solution en nuage public », avertit le communiqué de l’administration fédérale du 15 février 2023. L’utilisation d’un Cloud, ou nuage public, signifie que les données d’un fichier informatique sont conservées et traitées avec des serveurs rassemblés dans des centres de données et non plus uniquement sur l’ordinateur utilisé. Dans son communiqué, l’administration fédérale précise que « les utilisateur·ice·s auront en outre l’interdiction de sauvegarder des données sensibles et documents confidentiels dans le nuage de Microsoft » et admet qu’elle « dépend aujourd’hui des produits Office de Microsoft ».

Les données de l’Unil sur le campus
La Confédération a par ailleurs prolongé jusqu’en 2024 la phase de test de Microsoft 365, dans le cadre du projet CEBA (Cloud Enabling Büroautomation). Elle dit être en recherche d’alternatives, un message encourageant pour le délégué à la protection des données de l’Université de Lausanne Mikhael Salamin. Il explique : « Microsoft tient les organisations en situation de dépendance. Pour en sortir, un investissement conséquent par une alliance d’État est nécessaire, en repensant les outils de bureautique autour de la collaboration et de la protection des données, en y incluant les contraintes écologiques ». L’Unil utilise aujourd’hui Microsoft 365, dont le déploiement a commencé peu avant la pandémie de COVID-19 et s’est poursuivi par la suite. Juridiquement, l’Unil est soumise à la loi du canton de Vaud sur la protection des données personnelles, qui pose des exigences pour la sous-traitance et le transfert de données à l’étranger. Pour l’utilisation de Microsoft 365, lorsque les étudiant·e·s de l’Unil utilisent OneDrive ou SharePoint, les données sont transférées sur les serveurs de Microsoft sis à Zurich. Seules les données qui ont une valeur historique ou qui doivent être conservées légalement, comme un diplôme, sont archivées ; elles sont conservées dans les centres de données du campus lausannois.

Des lois bientôt à jour
Alors que la Confédération déploie Microsoft 365, la situation juridique en Suisse reste ambiguë, la plupart des lois censées régir l’utilisation des données et leur sous-traitance étant toujours en cours d’élaboration. Au niveau fédéral, la révision totale de la loi sur la protection des données n’entrera en vigueur que le premier septembre 2023. L’État de Vaud travaille encore sur une nouvelle loi, l’actuelle datant de 2008. Ces révisions permettront à la législation suisse d’être conforme au Règlement général de l’Union européenne sur la protection des données (RGPD). Contrairement à d’autres pays européens, la Suisse n’a toujours pas établi de jurisprudence ou fait de déclaration politique forte en la matière.

la situation juridique en Suisse reste ambiguë

Le ministre français de la Formation a en effet récemment interdit l’utilisation de Microsoft 365 dans l’administration et les établissements de formation de son pays. Les données étant hébergées par des serveurs d’une entreprise américaine, elles sont aussi soumises au CLOUD Act. Cette loi extraterritoriale permet aux autorités américaines d’accéder à des données personnelles dans des cas spécifiques, sans respecter les normes européennes de protection des données.

Dossier