Actualités

Cloud souverain pour les PME suisses : promesse utile ou nouveau chantier informatique ?

Tax Manager · Fiduciaire Lausanne

Cloud souverain pour les PME suisses : promesse utile ou nouveau chantier informatique ?

Introduction

Le cloud est devenu une infrastructure de travail courante pour les PME suisses : messagerie, sauvegarde, comptabilité, collaboration, gestion documentaire, applications métier ou hébergement de sites. Pour beaucoup d’entreprises, il n’est plus réaliste de tout exploiter sur des serveurs internes. Le cloud apporte de la souplesse, un accès à distance et une capacité d’adaptation appréciable. Mais il soulève aussi une question de plus en plus concrète : où sont les données, qui les exploite, sous quel droit, et avec quelles garanties ?

Le sujet revient aujourd’hui avec force parce que la souveraineté numérique n’est plus uniquement une préoccupation d’Etat. En Suisse, la Confédération avance avec le projet de Swiss Government Cloud, tandis que plusieurs cantons veulent coordonner leurs efforts en matière de souveraineté numérique. Même si l’infrastructure fédérale annoncée n’est pas destinée au secteur privé, le signal est clair : la maîtrise des données et des infrastructures devient un enjeu stratégique.

Dans ce contexte, des alternatives dites souveraines cherchent à se positionner face aux grands fournisseurs internationaux, notamment américains. Le brief de cet article mentionne Nubevia, fournisseur français présenté comme une solution permettant aux PME de réduire leur dépendance aux géants américains du cloud. Pour une entreprise suisse, l’intérêt n’est pas seulement politique ou symbolique. Il touche à la conformité avec la Loi fédérale sur la protection des données, à la sécurité opérationnelle, à la continuité d’activité, au contrôle contractuel et à la capacité de changer de prestataire sans être prisonnier d’un écosystème fermé.

Pour une PME, la bonne question n’est donc pas de savoir si le cloud souverain est « meilleur » par principe. Il s’agit plutôt d’évaluer, de manière pragmatique, quelles données méritent une protection accrue, quelles applications doivent rester facilement réversibles, et quel niveau de dépendance technologique l’entreprise est prête à accepter. Une fiduciaire, une société médicale, un bureau d’ingénieurs, une entreprise active dans l’industrie ou un indépendant traitant des données clients n’auront pas les mêmes priorités, mais tous ont intérêt à clarifier leur stratégie cloud.

De quoi parle-t-on ?

Le cloud souverain désigne, de manière générale, une solution d’hébergement ou de services numériques conçue pour donner davantage de contrôle sur les données, les infrastructures et les règles applicables. Dans la pratique, cela recouvre plusieurs dimensions : localisation des données, droit applicable, identité du fournisseur, gouvernance technique, accès des administrateurs, chiffrement, réversibilité, documentation contractuelle et capacité d’audit. Le terme peut être utilisé de manière assez large, raison pour laquelle il faut toujours regarder ce qui se cache derrière l’étiquette commerciale.

Pour une PME suisse, le cloud souverain ne signifie pas forcément que tout doit être hébergé en Suisse. Il signifie surtout que l’entreprise comprend où ses données sont traitées, par qui, avec quelles sous-traitances et selon quelles garanties. Une solution proposée par un acteur local, suisse ou européen, peut être intéressante si elle permet de mieux maîtriser ces paramètres. A l’inverse, un fournisseur international peut offrir des outils très performants, mais avec une chaîne contractuelle et technique plus complexe à analyser.

Les acteurs concernés sont nombreux. Il y a d’abord l’entreprise utilisatrice, qui reste responsable de ses choix et de l’usage qu’elle fait des données. Il y a ensuite le fournisseur cloud, qui met à disposition l’infrastructure ou les applications. Il peut y avoir des sous-traitants techniques, des centres de données, des intégrateurs informatiques, des consultants sécurité, des fiduciaires ou des conseillers juridiques. Dans une PME, ces décisions sont souvent prises conjointement par la direction, le responsable informatique externe, les finances et parfois les ressources humaines.

Le mécanisme est simple en apparence : au lieu de conserver les données et logiciels sur des machines internes, l’entreprise les utilise via une infrastructure distante. Mais cette simplicité apparente masque des choix importants. Une sauvegarde externalisée, un logiciel de paie, une plateforme de partage de fichiers ou un environnement complet de production n’impliquent pas les mêmes risques. Plus les données sont sensibles ou critiques, plus il devient pertinent de demander des garanties précises sur la sécurité, la disponibilité, la localisation et la possibilité de récupérer les données dans un format exploitable.

Ce que disent les faits

Le dossier de recherche met d’abord en évidence un mouvement institutionnel en Suisse. En mai 2024, le Conseil fédéral a demandé un crédit de 246,9 millions de francs pour créer le Swiss Government Cloud, abrégé SGC. Selon les éléments rapportés par PME.ch, ce service en nuage souverain est destiné à l’administration fédérale et doit répondre à la croissance des besoins numériques publics au moyen d’infrastructures performantes, fiables et sécurisées.

Un point est essentiel pour les entreprises privées : le SGC n’a pas vocation à leur fournir des services. Les cantons, les villes et les communes pourront utiliser cette infrastructure, mais le secteur privé ne sera pas desservi par ce biais. Pour les PME, cela signifie que l’initiative fédérale ne règle pas directement la question de leur propre hébergement. Elle montre toutefois que la souveraineté numérique devient un sujet suffisamment important pour justifier une infrastructure spécifique au niveau public.

Le dossier mentionne aussi une initiative régionale. En mai 2023, les cantons romands et le Tessin ont décidé d’agir de manière concertée en faveur de leur souveraineté numérique. Selon ICTjournal, cette démarche passe notamment par l’idée de développer des partenariats publics-privés avec des acteurs locaux. Cette orientation est intéressante pour les PME, car elle peut contribuer à faire émerger un écosystème plus structuré autour d’offres souveraines et d’acteurs capables d’accompagner les organisations de taille moyenne.

Du côté des fournisseurs, le dossier cite Infomaniak comme exemple d’entreprise suisse proposant des solutions de cloud souverain, avec une promesse centrée sur le contrôle des données, le respect des lois locales et des exigences de sécurité. Le brief de l’article ajoute Nubevia, fournisseur français, comme alternative souveraine visant à offrir aux PME une option différente des grands clouds américains. Ces éléments montrent que le marché n’est pas limité à une seule approche : des offres suisses, européennes ou spécialisées peuvent coexister.

Enfin, le cadre légal suisse joue un rôle important. Le dossier rappelle que la Loi fédérale sur la protection des données impose des exigences élevées en matière de traitement et de stockage des données personnelles, dans une logique comparable au RGPD européen. Pour les PME, ce cadre renforce l’importance de choisir des solutions compatibles avec leurs obligations de protection des données.

Conséquences concrètes pour une PME ou un indépendant

La première conséquence est organisationnelle : le choix d’un cloud ne devrait plus être traité comme une simple décision informatique. Pour une PME, il touche directement la gestion des risques. Un logiciel de comptabilité, des dossiers clients, des contrats de travail, des fiches de salaire, des données médicales ou des plans techniques peuvent représenter des informations sensibles. Si elles sont mal classées ou dispersées entre plusieurs services cloud, l’entreprise perd en visibilité et augmente le risque d’erreur.

Le cloud souverain peut aider à reprendre le contrôle, à condition que la démarche soit structurée. Une PME peut par exemple décider que ses documents administratifs courants restent dans un service collaboratif standard, tandis que les données sensibles des collaborateurs, les archives contractuelles ou les sauvegardes critiques sont placées dans un environnement offrant des garanties plus fortes. L’objectif n’est pas forcément de tout migrer, mais de mettre le bon niveau de protection au bon endroit.

Pour un indépendant, les enjeux sont souvent plus immédiats. Un consultant, un thérapeute, un architecte ou un prestataire informatique peut stocker des informations clients sur un ordinateur portable, une application de partage ou une messagerie. Une solution cloud souveraine peut simplifier la sauvegarde, faciliter l’accès sécurisé aux documents et donner une meilleure traçabilité. Mais elle ne remplace pas les bonnes pratiques de base : mots de passe solides, gestion des accès, séparation entre données privées et professionnelles, contrôle des partages et suppression des accès obsolètes.

Sur le plan contractuel, une PME doit aussi regarder la relation avec son fournisseur. Où les données sont-elles hébergées ? Le prestataire fait-il appel à des sous-traitants ? Comment se déroule la restitution des données en fin de contrat ? Que se passe-t-il en cas d’incident ou d’interruption ? Ces questions sont concrètes, surtout lorsqu’une entreprise dépend du cloud pour facturer, produire, gérer les salaires ou communiquer avec ses clients.

Enfin, le choix d’une alternative souveraine peut réduire certaines dépendances technologiques. Les grands écosystèmes cloud sont souvent très intégrés : pratiques au quotidien, mais parfois difficiles à quitter. Une PME qui veut garder de la marge de manœuvre doit privilégier des formats ouverts lorsque c’est possible, documenter ses procédures et éviter que toute sa chaîne de travail dépende d’un seul fournisseur sans plan de sortie réaliste.

Points de vigilance et incertitudes

Le premier point de vigilance est le vocabulaire. « Souverain » n’est pas une garantie suffisante en soi. Deux offres peuvent utiliser le même terme tout en reposant sur des architectures, des sous-traitances et des conditions contractuelles très différentes. Avant de se décider, une PME devrait demander des réponses précises plutôt que se contenter d’un argument marketing. La localisation des données, le support, les accès administrateurs, les sauvegardes, les mécanismes de chiffrement et les engagements de disponibilité doivent être compris.

Le dossier de recherche souligne aussi une incertitude liée aux coûts d’adoption. Migrer vers une solution souveraine peut demander du temps, des compétences et parfois une adaptation des habitudes internes. Il faut inventorier les données, préparer les utilisateurs, tester les applications, vérifier les sauvegardes et gérer la transition. Le coût ne se limite donc pas au prix de l’abonnement. Il inclut la conduite du changement, l’intégration avec les outils existants et la capacité à maintenir l’environnement dans la durée.

La disponibilité fonctionnelle est un autre sujet. Certaines PME utilisent des outils très avancés chez les grands fournisseurs internationaux : automatisations, intégrations métier, tableaux de bord, outils collaboratifs, services d’intelligence artificielle ou connecteurs avec des logiciels spécialisés. Une alternative souveraine peut être parfaitement adaptée à certains usages, mais ne pas couvrir immédiatement toutes les fonctionnalités attendues. Il faut donc comparer besoin par besoin, et non raisonner uniquement par principe.

L’interopérabilité mérite également une attention particulière. Une entreprise a rarement un système informatique vierge. Elle dispose déjà d’une messagerie, d’un logiciel comptable, d’un ERP, d’outils RH, de sauvegardes, parfois d’applications spécifiques. Le cloud souverain doit pouvoir s’insérer dans cet ensemble. Si l’intégration est mal anticipée, l’entreprise risque de créer des doublons, des ruptures de processus ou des zones d’ombre dans la gestion des droits d’accès.

Enfin, le cadre réglementaire évolue. Le dossier rappelle l’importance de la LPD et des exigences en matière de protection des données. Mais l’application concrète dépendra toujours de la nature des données, du secteur d’activité, des flux internationaux et des contrats signés. Une PME active dans plusieurs pays ou traitant des données particulièrement sensibles devrait éviter les décisions rapides et valider son analyse avec des spécialistes.

Que faire en pratique

La première démarche consiste à réaliser une cartographie simple des données et des usages cloud. Une PME peut commencer par lister les outils utilisés : messagerie, stockage, paie, comptabilité, CRM, sauvegarde, gestion de projet, hébergement web, applications métier. Pour chaque outil, il faut identifier les types de données concernées, les personnes qui y accèdent, le fournisseur, l’emplacement contractuel du service et le niveau de criticité. Ce travail met souvent en évidence des abonnements oubliés ou des pratiques de partage peu maîtrisées.

Ensuite, il est utile de classer les données par sensibilité. Toutes les informations ne nécessitent pas le même traitement. Des supports marketing publics n’ont pas la même valeur qu’un dossier RH, une déclaration fiscale, un fichier client ou une documentation technique confidentielle. Cette classification permet de définir où un cloud souverain apporte une valeur concrète. Elle évite aussi de lancer une migration trop large, coûteuse et difficile à piloter.

Une PME devrait ensuite interroger les fournisseurs de manière structurée. Il est prudent de demander où les données sont hébergées, quelles lois encadrent le contrat, qui peut techniquement accéder aux données, comment les sauvegardes sont réalisées, quels sous-traitants interviennent et comment les données peuvent être restituées. Il faut aussi vérifier la documentation disponible, les engagements de support et les possibilités d’intégration avec les outils déjà en place.

Avant une migration complète, un projet pilote est souvent préférable. L’entreprise peut tester une solution souveraine sur un périmètre limité : sauvegarde de documents critiques, stockage de dossiers sensibles, environnement collaboratif pour une équipe, ou hébergement d’une application non vitale. Ce pilote permet de vérifier la performance, l’ergonomie, la gestion des droits et la qualité du support sans mettre toute l’activité sous pression.

Enfin, il est recommandé d’impliquer plusieurs compétences. Le responsable informatique ou le prestataire IT évalue l’architecture et la sécurité. La direction arbitre les risques et les coûts. Les RH et la comptabilité identifient les données sensibles. Une fiduciaire ou un conseiller spécialisé peut aider à mettre en cohérence les choix techniques avec les obligations de protection des données, de conservation documentaire et de continuité d’activité. Pour les cas sensibles, une validation juridique ou fiscale au cas par cas reste indispensable.

À retenir

Le cloud souverain n’est pas une mode réservée aux grandes administrations. Pour une PME suisse, il peut devenir un outil de maîtrise des risques, à condition d’être abordé de façon pragmatique. Les initiatives publiques, comme le Swiss Government Cloud, confirment l’importance du sujet, même si cette infrastructure ne sera pas ouverte au secteur privé. Les entreprises doivent donc construire leur propre stratégie avec les offres disponibles sur le marché.

  • Commencez par inventorier vos services cloud actuels : stockage, messagerie, comptabilité, salaires, CRM, sauvegardes et applications métier. Sans cette vue d’ensemble, il est difficile d’évaluer les risques réels.
  • Classez vos données selon leur sensibilité. Les dossiers RH, données clients, pièces comptables, contrats et documents confidentiels peuvent justifier des garanties plus élevées qu’un contenu de communication courant.
  • Ne vous fiez pas uniquement au terme « souverain ». Demandez des informations concrètes sur l’hébergement, les sous-traitants, les accès administrateurs, la restitution des données et les engagements de sécurité.
  • Comparez les offres suisses, européennes ou spécialisées selon vos besoins réels. Des acteurs comme Infomaniak sont cités dans le dossier pour le marché suisse, tandis que le brief mentionne Nubevia comme alternative française aux grands clouds américains.
  • Prévoyez un pilote avant une migration large. Tester une sauvegarde, un espace documentaire ou une équipe limitée permet de vérifier l’intégration, l’ergonomie et le support sans perturber toute l’entreprise.
  • Faites valider les choix sensibles par des professionnels. Les obligations liées à la LPD, aux contrats, aux données du personnel ou aux flux internationaux doivent être appréciées au cas par cas.

En résumé, la souveraineté numérique n’est pas une décision binaire entre cloud global et cloud local. C’est un équilibre entre sécurité, conformité, efficacité, coûts et indépendance. Une PME qui documente ses choix, garde la maîtrise de ses données critiques et prévoit une stratégie de sortie sera mieux armée, quel que soit le fournisseur retenu.

Besoin d'un conseil personnalisé ?
Nos experts sont à votre disposition.

Contactez-nous