Passer directement au contenu principal Official Microsoft Blog Microsoft On The Issues Source Asia Canada Latin America The Code of Us Conexiones AI Innovation Digital Transformation Work & Life

Comment Microsoft répond aux enjeux de souveraineté numérique en Suisse

Les débats autour de la souveraineté numérique — soit la capacité à participer à l’économie numérique de manière sécurisée, indépendante et avec des contrôles autodéterminés — s’articulent généralement autour de trois questions majeures: Où mes données sont‑elles stockées? Qui peut y accéder? Aurai‑je accès aux dernières innovations? Ci‑dessous, nous vous présentons nos réponses, nos engagements ainsi que les technologies disponibles en Suisse.

Catrin Hinkel, CEO de Microsoft Suisse, et Marc Holitscher, National Technology Officer, discutent de la souveraineté numérique en Suisse.

1: Pourquoi la souveraineté numérique est-elle actuellement un sujet si important ?

2: Que signifie concrètement la souveraineté numérique ?

3: Quel est l’engagement de Microsoft en Suisse?

4: Et les les engagements numériques européens?

5: Comment Microsoft protège-t-il les données de ses clients ?

6: Qu’en est-il de la continuité des opérations? Que se passe-t-il en cas d’imprévu?

7: Qu’en est-il des lois telles que le CLOUD Act ? Le gouvernement américain peut-il accéder aux données européennes ?

8: Qu’est-ce que cela signifie concrètement pour les entreprises suisses?

9: Notre engagement envers la Suisse

Questions et réponses sur la souveraineté numérique

1) Quelles sont les solutions cloud souveraines de Microsoft en Suisse?

Microsoft propose un portfolio complet pour répondre à l’ensemble des besoins de souveraineté en Suisse:

  • Sovereign Public Cloud: Toutes les fonctionnalités essentielles de souveraineté – telles que la résidence des données, les contrôles de chiffrement et la gestion des environnements réglementés – sont accessibles dans l’ensemble des régions européennes, y compris la Suisse. Aucune migration vers des centres de données distincts n’est nécessaire.
  • Sovereign Private Cloud: Pour les organisations qui exigent une autonomie opérationnelle maximale, Azure Local et Microsoft 365 Local offrent la possibilité d’exécuter des charges de travail au sein d’environnements contrôlés par le client et hébergés sur site, tout en garantissant une gestion et une sécurité uniformes.Capacités clés : Data Guardian (approbation et supervision des accès ganranties depuis l’Europe), External Key Management (clés de chiffrement détenues par le client) et Regulated Environment Management (gestion centralisée des contrôles de souveraineté).
  • Open and Hybrid by Design: Azure Arc offre une gestion centralisée des environnements multi-cloud et on-premises, facilitant l’adoption de stratégies hybrides et multi-fournisseurs.

En savoir plus: Solutions souveraines complètes

2. Où les données sont-elles stockées et qui peut y accéder?

Pour les clients suisses, la localisation des données, ainsi qu’un contrôle total sur leur lieu de stockage, la façon dont elles sont accessibles et traitées sont des exigences incontournables. Microsoft offre à cet égard de multiples garanties à plusieurs niveaux.

  • Régions cloud suisses depuis 2019. Nous exploitons des régions cloud situées à proximité de Zurich et de Genève, permettant ainsi à nos clients de conserver leurs données à l’intérieur des frontières nationales lorsque cela est nécessaire, tout en respectant les exigences réglementaires en matière de reprise après sinistre.
  • L’EU Data Boundary offre aux clients des secteurs public et privé de l’UE/AELE (y compris la Suisse) la possibilité de stocker et traiter les données clients, les données personnelles pseudonymisées, ainsi que les données relatives aux services professionnels — couvrant Microsoft 365, Dynamics 365, Power Platform et la majorité des services Azure — au sein des régions de l’UE/AELE. Pour certains services Azure, une configuration documentée permet aux clients de bénéficier d’engagement de stockage spécifique pour les services professionnels. L’EU Data Boundary inclut désormais un traitement de données IA de bout en bout en Europe.
  • Microsoft 365 Copilot étend le traitement des interactions Copilot dans le pays à 15 pays d’ici fin 2026, y compris la Suisse.
  • Aucun accès gouvernemental direct ou illimité. Microsoft examine chaque demande gouvernementale d’accès aux données, ne les divulgue que lorsqu’elle y est légalement contrainte, et limite toute divulgation aux comptes précisément identifiés dans une ordonnance valide. Nos politiques sont détaillées dans notre document « Government Requests for Customer Data Report ».
  • Nous ne remettons à aucun gouvernement les clés de chiffrement, ni n’offrons la possibilité de contourner notre chiffrement.
  •  Outre l’EU Data Boundary, nous offrons aux clients européens diverses solutions pour sécuriser et chiffrer leurs données. Nos services Azure Confidential Compute garantissent que les données des clients sont traitées dans un environnement de confiance contrôlé par le client lui-même, empêchant tout accès par des tiers — y compris Microsoft. Grâce à la fonctionnalité « Customer Lockbox », nous permettons aux clients de limiter l’accès à leurs données par Microsoft dans Azure, Dynamics 365 et Microsoft 365, en leur donnant la possibilité d’examiner et d’approuver tout accès demandé par Microsoft dans le cadre de l’assistance ou du fonctionnement du service. Nous permettons également aux clients de sécuriser leurs données à l’aide de clés de chiffrement qu’ils contrôlent eux-mêmes — et non Microsoft — avec Azure Key Vault et Purview Customer Key. Enfin, Microsoft Cloud for Sovereignty offre une gamme d’outils supplémentaires visant à renforcer la sécurité des données, empêcher les accès non autorisés et satisfaire les exigences légales.
  • Opérations placées sous contrôle européen. Grâce à Data Guardian, nous ajoutons un niveau supplémentaire d’assurance en garantissant que seul le personnel Microsoft résidant en Europe contrôle l’accès à distance à ces systèmes. Data Guardian ajoute une supervision humaine et technique supplémentaire chaque fois que des ingénieurs situés hors d’Europe ont besoin d’un accès. Tout accès à distance par des ingénieurs Microsoft aux systèmes qui stockent et traitent vos données en Europe est systématiquement approuvé et surveillé en temps réel par du personnel résidant en Europe, puis consigné dans un registre infalsifiable.
  • Pour Microsoft 365 et certains services, Customer Lockbox vous permet d’examiner et d’approuver les demandes d’accès aux données par les ingénieurs, ainsi que d’auditer les activités associées. Concernant les clés de chiffrement, Azure Key Vault fournit des journaux d’audit et des informations exploitables afin que vous puissiez surveiller les opérations sur les clés et définir des alertes en quasi temps réel via Azure Monitor. Les clients ayant besoin de pistes d’audit immuables et infalsifiables pour leurs propres charges de travail peuvent utiliser Azure Confidential Ledger.
  • Engagement « Defending Your Data » : Nous contesterons toute demande gouvernementale visant des données de clients du secteur public ou d’entreprise dès lors qu’une base légale le permet. Nous nous engageons à la transparence concernant ces demandes et publions des rapports réguliers et détaillés sur ces demandes.

3. Les contrôles de souveraineté nécessitent-ils une migration ou réduisent-ils les fonctionnalités?

Avec Microsoft Sovereign Public Cloud, vous activez les contrôles de souveraineté dans les régions européennes existantes — sans migration vers des centres de données distincts — tout en conservant le rythme d’innovation du cloud public. Sovereign Private Cloud donne aux clients encore plus de contrôle, mais certaines limitations s’appliquent.

Capacités clés conçues pour la souveraineté:

  • Data Guardian afin de garantir que les opérations s’effectuent sous contrôle européen et nécessitant des approbations d’accès.
  • External Key Management afin de conserver les clés de chiffrement dans vos propres HSM (sur site ou chez un tiers de confiance).
  • Regulated Environment Management afin de configurer et surveiller l’ensemble des contrôles de souveraineté en un seul lieu.

4. Que faire si une autonomie opérationnelle complète est requise?

  • Certains secteurs exigent que les charges de travail soient exécutées dans un environnement physiquement contrôlé — que ce soit dans des scénarios connectés, hybrides ou déconnectés
  • Azure Local rapproche les services Azure de vos sites — que ce soit au niveau national, sur site ou au sein de centres de données exploités par des partenaires.
  • Microsoft 365 Local propose une architecture validée permettant d’exécuter des charges de travail de productivité telles qu’Exchange Server et SharePoint Server sur Azure Local, tout en assurant une gestion uniforme grâce aux outils Azure. Microsoft 365 Local est désormais en disponibilité générale et permet d’exécuter Exchange Server, SharePoint Server et Skype for Business Server sur Azure Local. Azure Local prend désormais en charge une mise à l’échelle vers des centaines de serveurs, le stockage SAN externe et les derniers GPU NVIDIA.

5. Pouvons-nous déplacer nos données ?

La souveraineté et la portabilité des données vont de pair.

  • Open by design: Azure prend en charge les standards ouverts, les runtimes open source et un large écosystème de partenaires.
  • Les services cloud de Microsoft sont conçus pour offrir ouverture et flexibilité. Les clients peuvent exporter leurs données à tout moment grâce à des processus bien documentés et des formats largement reconnus, conformes aux normes de l’industrie. Aucune technologie propriétaire n’empêche de déplacer vos données ou charges de travail vers d’autres plateformes. Cet engagement envers la portabilité vous garantit un contrôle total et la liberté de choix, sans risque de dépendance vis‑à‑vis d’un fournisseur.

6. Microsoft prend-elle en charge les solutions open source ?

  • L’open source permet aux produits et services Microsoft d’apporter davantage de choix, d’innovation technologique et de dynamisme communautaire à nos clients. La souveraineté exige de l’ouverture, et les standards ouverts ainsi que les technologies open source peuvent être utilisées dans toute notre infrastructure. Selon l’Open‑Source Contributor Index (OSCI), Microsoft se classe n° 2 mondial avec 5 079 contributeurs actifs à ce jour et un total de 11 217 membres de la communauté, ce qui fait de Microsoft un acteur incontournable de l’innovation open source.
  • VS Code, l’un des outils de développement les plus utilisés dans le monde avec des millions d’utilisateurs, est développé à Zurich-Wollishofen.

En savoir plus: Microsoft Open Source 

7. Qu’en est-il de la résilience, de la gouvernance et de la supervision de la sécurité en Europe?

Nous avons pris des engagements clairs, afin de permettre à nos clients de planifier sereinement sur le long terme.

  • Engagement en faveur de la résilience numérique. Nous nous engageons à contester toute décision visant à suspendre ou cesser les opérations cloud en Europe, en utilisant toutes les voies juridiques disponibles, y compris en engageant une action en justice. Cet engagement est juridiquement contraignant pour Microsoft Corporation, ainsi que l’ensemble de ses filiales. Nos engagements en matière de résilience numérique ont été intégrés dans tous les contrats gouvernementaux concernés.
  • Nous conserverons des copies de sauvegarde de notre code dans un dépôt sécurisé en Suisse et offrirons à nos partenaires européens les droits juridiques nécessaires pour accéder à ce code et l’utiliser à cette fin.
  • Supervision par un conseil d’administration européen. Nous avons établi un conseil d’administration européen, composé exclusivement de ressortissants européens, supervisant toutes les opérations des centres de données conformément au droit européen.
  • European Security Program. Nous renforçons le partage d’informationssur les menaces enrichi par l’IA, le développement des compétences et les partenariats (notamment avec Europol) au bénéfice des gouvernements de l’UE, de l’AELE, du Royaume‑Uni et d’autres, cecigratuitement. Nous avons également créé un rôle de Deputy CISO pour l’Europe, axé sur les réglementations en évolution telles que DORA, NIS2 et le Cyber Resilience Act.
  • Capacités mondiales de cybersécurité. La plateforme de sécurité de Microsoft analyse quotidiennement plus de 84  billions de signaux de menace, constituant ainsi l’un des ensembles de renseignements sur les menaces les plus vastes et diversifiés au monde, afin de protéger nos clients en Suisse et dans le monde contre les cybermenaces en constante évolution. En 2024, Microsoft a bloqué plus de 7 000 attaques par mot de passe par seconde et a suivi plus de 1 500 groupes de hackers dans le monde.

En savoir plus: European Digital Commitments 

8. Comment garantir la transparence et la vérification par défaut?

  • Trust Center. Notre Trust Center centralise les certifications, les rapports d’audit, la documentation sur la protection des données (y compris le DPA) et le contenu de conformité spécifique aux produits.
  • Les clients ont le droit de mener un audit, sous réserve que toutes les conditions requises soient remplies.
  • Government Security Program. En ce qui concerne les gouvernements, les autorités qualifiées peuvent examiner le code source Microsoft dans des Transparency Centers sécurisés (notamment en Irlande).
  • Rapports de transparence semestriels. Nous publions de manière semestrielle des rapports détaillés au niveau mondial concernant les demandes des gouvernements portant sur les données de nos clients, ainsi que nos réponses à ces demandes.
  • Nous utilisons des protocoles de transport sécurisés répondant aux normes les plus strictes de l’industrie, tels que IPsec et TLS, afin d’assurer la protection des échanges entre les centres de données et les appareils des utilisateurs. Les données stockées bénéficient d’un double chiffrement : à la fois au niveau du service et au niveau du disque. De plus, Azure Confidential Computing permet le chiffrement même lors du traitement des données.
  • Microsoft s’engage à se conformer à toutes les lois et réglementations applicables à la fourniture des Produits et des Services, y compris à la législation relative à la notification des violations de sécurité et aux Obligations de Protection des Données (y compris le RGPD et le droit suisse de la protection des données).

9. Qu’est-ce que le CLOUD Act?

Le CLOUD Act précise les circonstances dans lesquelles les autorités américaines chargées de l’application de la loi peuvent demander l’accès à des données, indépendamment de l’endroit où celles-ci sont stockées. L’équipe chargée de l’application de la loi et de la sécurité nationale chez Microsoft a publié un document relatif au la CLOUD Act. Ce document explique clairement ce que la loi autorise et ce qu’elle n’autorise pas, en s’appuyant sur la législation et les rapports de transparence de Microsoft. Voici quelques éléments clés:

  • Le CLOUD Act ne permet PAS un accès gouvernemental illimité, massif ou automatique aux données. Les autorités américaines doivent respecter des exigences juridiques strictes et obtenir un mandat ou une ordonnance judiciaire soumis à l’approbation d’un tribunal. La loi n’autorise pas un accès indiscriminé ou en masse aux données nationales ou étrangères. Pour obtenir un mandat ou une ordonnance en vertu du droit américain, le gouvernement doit démontrer devant des tribunaux indépendants qu’il existe des raisons de croire que des preuves d’infractions se trouvent dans des données de comptes spécifiées.
  • Le CLOUD Act ne fait PAS abstraction du droit étranger. La loi reconnaît expressément le droit d’un fournisseur de contester une demande en cas de conflit avec le droit étranger et au regard du principe international de courtoisie (comity). Le concept de « comity », ou déférence envers le droit étranger, repose sur des principes de courtoisie, de réciprocité et de respect mutuel de la souveraineté des États. Microsoft s’engage à contester toute demande américaine qui ne respecterait pas la souveraineté numérique et qui entrerait en conflit avec des lois étrangères.
  • Les demandes fondées sur le CLOUD Act visant des données d’entreprises étrangères ne sont PAS courantes — elles sont en réalité exceptionnellement rares. Les rapports de transparence de Microsoft montrent que les divulgations de contenus de données d’entreprises étrangères aux autorités américaines représentent seulement 0,008 % du nombre total de demandes reçues chaque année depuis l’entrée en vigueur du CLOUD Act, soit moins d’une demande sur 10 000.
  • Le CLOUD Act ne permet PAS aux États-Unis de mener de l’espionnage économique ni d’accéder aux secrets commerciaux d’entreprises étrangères. Les États-Unis défendent de longue date une position opposée à toute utilisation des pouvoirs d’enquête ou de renseignement pour soutenir le vol de propriété intellectuelle, y compris les secrets commerciaux ou d’autres informations commerciales confidentielles. En droit américain, le vol de secrets commerciaux constitue une infraction pénale passible d’une peine pouvant aller jusqu’à dix ans d’emprisonnement.
  • Le CLOUD Act ne prévaut PAS sur les contrôles techniques tels que le chiffrement de bout en bout qui protègent la souveraineté numérique. Microsoft propose un chiffrement avancé, des options de résidence des données et des clés de chiffrement contrôlées par les clients, permettant à ces derniers de garder la maîtrise de leurs données. Des fonctionnalités telles que Azure Confidential Compute garantissent que Microsoft est incapable d’accéder aux données sans l’assistance et le consentement du client. Microsoft ne fournit à aucun gouvernement la capacité de contourner son chiffrement.
  • L’accès extraterritorial aux données à des fins d’enquête n’est PAS propre aux États-Unis. De nombreux pays disposent de lois et de précédents autorisant l’accès à des données stockées dans d’autres juridictions. La Convention de Budapest sur la cybercriminalité et la Convention des Nations Unies contre la cybercriminalité exigent des États parties qu’ils adoptent des lois permettant d’ordonner l’accès à des preuves électroniques sans considération de leur localisation. Ce principe se retrouve également dans le Règlement européen sur les preuves électroniques (e-Evidence), dans les législations de nombreux États membres de l’UE, dans le droit canadien, le droit britannique et ailleurs.
  • La portée du CLOUD Act ne se limite PAS aux entreprises américaines. La loi s’applique à toute entreprise ayant des « contacts minimums » avec l’économie américaine. Les fournisseurs étrangers de services cloud ayant une présence aux États-Unis — y compris ceux qui offrent simplement des services via Internet sur le territoire américain — peuvent être soumis au CLOUD Act et contraints de transmettre des données aux autorités américaines, indépendamment du lieu de stockage de ces données. Éliminer toute exposition au droit américain impliquerait de recourir à des entreprises n’ayant aucun lien avec l’économie américaine, lesquelles pourraient ne pas disposer des ressources mondiales ni de l’expertise nécessaires pour développer et maintenir des services technologiques de niveau international.

10. Comment Microsoft investit-elle en Suisse ?

Nous adaptons nos capacités, afin de répondre aux besoins du marché suisse, tout en soutenant les compétences, l’innovation et la durabilité.

  • Investissement de $400 millions (annoncé le 2 juin 2025) pour étendre l’infrastructure IA et cloud en Suisse, y compris des GPU avancés.
  • Nous servons plus de 50 000 clients, y compris dans des secteurs réglementés tels que la finance et la santé.
  •  Nous nous engageons à former un million de personnes aux compétences numériques et en matière d’intelligence artificielle d’ici 2027.
  • Énergie renouvelable. À ce jour, 100 % de la consommation d’électricité en Suisse est couverte par des achats d’énergie renouvelable.
  • Notre présence de 36 ans en Suisse a créé un écosystème florissant. Plus de 4 600 entreprises partenaires suisses emploient des dizaines de milliers de professionnels.
  • Pour chaque CHF généré par Microsoft, notre écosystème de partenaires crée plus de 8 CHF de valeur supplémentaire.
  • Nous dirigeons le Spatial AI Lab à Zurich, et collaborons étroitement avec l’EPFZ (y compris sur le AI Red-Teaming), l’EPFL, les Switzerland Innovation Parks, ainsi que Deep Tech Nation. Ensemble, nous incarnons l’emploi sur sol suisse, l’expertise et la capacité d’innovation helvétiques, contribuant ainsi activement à renforcer la compétitivité économique du pays.

Read more: Switzerland’s Digital Future: Microsoft’s Commitment

En savoir plus

Microsoft Sovereign Cloud → Découvrez Microsoft Sovereign Cloud | Microsoft

Sovereign Cloud Capabilities → Microsoft strengthens sovereign cloud capabilities with new services | Microsoft Azure Blog

European Digital Commitments → https://blogs.microsoft.com/on-the-issues/2025/04/30/european-digital-commitments/ 

Sovereign solutions for Europe → https://blogs.microsoft.com/blog/2025/06/16/announcing-comprehensive-sovereign-solutions-empowering-european-organizations/ 

EU Data Boundary (completion) → https://blogs.microsoft.com/on-the-issues/2025/02/26/microsoft-completes-landmark-eu-data-boundary-offering-enhanced-data-residency-and-transparency  

Government Requests for Customer Data Report → https://www.microsoft.com/en-us/corporate-responsibility/reports/government-requests/customer-data 

Switzerland investment (June 2, 2025) → https://news.microsoft.com/de-ch/2025/06/02/microsoft-deepens-switzerlands-digital-future-with-strategic-investment-in-cloud-and-ai-infrastructure-startups-skilling-and-innovation/ 

Defending your Data  https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/ 

Advance European Commerce and Culture  Unlocking data to advance European commerce and culture – Microsoft On the Issues 

European Security Program → Microsoft launches new European Security Program – Microsoft On the Issues 

Tags:

Surface Pro Surface Laptop Surface Laptop Studio 2 Copilot pour les organisations Copilot pour une utilisation personnelle Microsoft 365 Découvrir les produits Microsoft Applications Windows 11 Profil du compte Centre de téléchargement Support du Microsoft Store Retours Suivi des commandes Recycler Garanties Microsoft Éducation Appareils pour l’enseignement Microsoft Teams pour l’éducation Microsoft 365 Éducation Office Éducation Formation et développement des enseignants Offres pour étudiants et parents Azure pour les étudiants
Microsoft AI Sécurité Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Développeur Microsoft Microsoft Learn Prise en charge des applications du marketplace d’IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Entreprises de développement logiciel Visual Studio Emploi Actualités de la société Confidentialité chez Microsoft Investisseurs
Français (Suisse)
Vos choix en matière de confidentialité – Icône Désactiver Vos choix de confidentialité
Confidentialité de l’intégrité des consommateurs Contacter Microsoft Confidentialité Gérer les cookies Conditions d'utilisation Marques À propos de nos annonces