20_POS_217 - Postulat Sabine Glauser Krug et consorts - Pour sortir de notre dépendance numérique américaine et reconstruire une informatique de confiance, locale et résiliente.
Séance du Grand Conseil du mardi 8 juin 2021, point 7 de l'ordre du jour
Texte déposé
-Documents
Transcriptions
Visionner le débat de ce point à l'ordre du jourLa Commission thématique des systèmes d’information s’est réunie le 27 octobre 2020 pour traiter de cet objet. Ont également participé à la séance Mme la Conseillère d’Etat Nuria Gorrite, cheffe du Département des infrastructures et des ressources humaines, M. Patrick Amaru, Directeur général de la direction générale du numérique et des systèmes d’information (DGNSI) et de Mme Catherine Pugin, déléguée au numérique au sein de la DGNSI.
Pour rappel, ce postulat demande au Conseil d’Etat d’étudier un projet ambitieux visant à sortir de notre dépendance aux services et outils propriétaires ne respectant pas la législation suisse, notamment en matière de protection des données, et de promotion alternative d’outils numériques locaux, éthiques, résilients et respectueux des données et de la vie privée des utilisateurs. La postulante s’inquiète de la mainmise grandissante des grandes entreprises numériques qui se partagent le marché et qui sont de plus en plus présentes dans la vie numérique des utilisateurs. Ces entreprises, connues sous l’abréviation GAFAM (Google, Amazon, Facebook, Apple et Microsoft) proposent des solutions informatiques perfectionnées, très pratiques et simples d’utilisation, ce qui les rend très attrayantes. La suprématie de ces géants du web est connue et leur capacité à collecter des métadonnées et les utiliser à des fins commerciales et promotionnelles est le souci principal présenté dans le postulat.
A la demande de la postulante, la commission a reçu M. Vincent Keller, non pas en tant que député et coauteur du postulat, mais en tant que spécialiste informatique. M. Keller indique à la commission que l’utilisateur des solutions informatiques est rendu plus captif. En effet, le modèle d’achat des logiciels a fait place à un modèle de location, avec des données qui ne sont souvent plus dans l’ordinateur de l’utilisateur, mais quelque part dans le cloud – le nuage, en français. Dans tous les cas, elles ne sont pas dans le canton de Vaud, et probablement pas en Suisse. L’utilisateur de ces applications a en quelque sorte cédé ses données contre un droit d’utilisation du logiciel. Les GAFAM sont bien conscientes que, aujourd’hui, ce n’est plus simplement la commercialisation des ordinateurs et des logiciels qui apporte de la valeur, mais plutôt les données et métadonnées qui permettent de faire le profil précis de l’utilisateur, qui devient alors une cible commerciale. Il est convaincu que l’utilisation de solutions open source permettrait de se libérer de la dépendance des outils proposés par les GAFAM et permettrait également de sécuriser les données et de rester maître.
Mme la conseillère d’Etat Gorrite informe la commission que le canton est parfaitement conscient de la situation et fait de la sécurité des données une priorité absolue dans chaque demande de crédit en informatique. Le document présentant la stratégie numérique cantonale indique clairement la volonté du Conseil d’Etat de mener une politique numérique basée sur la sécurité et la souveraineté. Vous trouverez le lien sur la stratégie numérique dans le rapport de la commission. Il va de soi que les données sensibles, telles que celles liées à la fiscalité ou à la santé doivent absolument rester en Suisse, et sous contrôle. Ainsi, les données de l’administration cantonale se trouvent dans un data center proche de chez nous et des données de secours dans un autre data center sécurisé. A ce sujet, Mme la conseillère d’Etat indique qu’une solution de nuage suisse est à l’étude, en collaboration avec la Confédération.
Concernant le choix des applications et logiciels, il faut relever que le canton est soumis à des règles légales dont il ne peut s’écarter, avec notamment l’obligation de passer par des marchés publics. De plus, l’Etat utilise un très grand nombre d’applications qui n’existent pas dans notre pays, ni en solution open source. Toutefois, Mme Amaru informe la commission que toute une série d’applications tournent déjà sur une solution open source et que la question se pose à chaque fois que c’est possible. Il faut néanmoins comprendre que la solution open source ne veut pas dire gratuite. Ces solutions demandent du travail de spécialistes, bien chers, pour être configurées et évoluent en permanence pour être sécurisées et pratiques. Se pose également la question de la difficulté d’utilisation. M. Amaru fait part à la commission de tentatives de quelques collectivités publiques qui sont passées à des solutions open source. Elles ont dû faire marche arrière devant la réticence des collaborateurs et leurs difficultés à les utiliser, mais également face à des difficultés d’interfaçage avec les autres métiers et les autres applications.
Il apparaît à la commission que l’éducation numérique est également concernée et que l’apprentissage d’une bonne utilisation et de choix réfléchis doit commencer le plus tôt possible. Il s’agit de sensibiliser les futurs utilisateurs au potentiel énorme de l’évolution numérique, mais également de connaître ses risques et dérives. La commission a débattu longuement des deux axes différents visés par le postulat : d’une part, la dépendance vis-à-vis des grands fournisseurs d’informatique, avec toujours le risque de voir les données nous échapper, et la demande du postulat d’en sortir purement et simplement ; d’autre part, la localisation, la sécurisation et la protection des données. Les membres de la commission sont partagés entre une volonté très ambitieuse et difficilement réalisable de s’affranchir de toute dépendance et une volonté de réduire cette dépendance en tenant compte des difficultés pratiques, des coûts, du facteur humain et technique. En revanche, la commission se déclare unanimement sensible à la protection des données et souhaite que des solutions soient trouvées pour maximiser sa localisation et sa sécurisation. Le projet cloud suisse, par exemple, est salué et attendu.
Après une discussion nourrie et après avoir entendu tous les avis et arguments, par 8 voix contre 6, la commission a adopté un amendement aux conclusions du postulat, avec une modification qui, d’un côté, atténue l’exigence impérative demandant de sortir de la dépendance et, de l’autre côté, met plus clairement en avant la volonté de la protection des données, volonté qui est soutenue par la commission. L’amendement est le suivant :
« Ainsi, nous avons l’honneur de demander au Conseil d’Etat d’étudier
un projet ambitieux visant à sortirla réduction progressive de notre dépendance aux services et outils propriétaires ne respectant pas la législation suisse, notamment en matière de protection des donnéeset de promotion alternative d’outils numériques locaux, éthiques, résilients et respectueux des données et de la vie privée des utilisateurs. »Cet amendement adopté, c’est à l’unanimité que la commission vous recommande de prendre ce postulat en considération.
La discussion est ouverte.
En préambule, je remercie les commissaires pour les discussions intéressantes autour de la protection des données, du nuage et de ces entreprises dont le modèle économique se base sur l’utilisation et l’exploitation des données et métadonnées des utilisateurs. Je remercie aussi le Conseil d’Etat pour toutes les démarches et actions déjà mises en œuvre et qui vont dans le sens de ce postulat. Néanmoins, je regrette amèrement la formulation qui a été adoptée en fin de commission, que je qualifierai de « bâclée ». Sa construction n’a pas été réellement discutée et, en fin de compte, ses conclusions et sa demande n’apporteront rien face à la stratégie numérique que le Conseil d’Etat a déjà eu la gentillesse de nous fournir jusque-là. Je vous recommande donc de revenir au texte original et je vais vous expliquer pourquoi.
Premièrement, je comprends que l’on puisse être choqué par le mot « sortie », mais il ne s’agit pas d’une sortie des services et des outils en tant que tels. C’est une demande de sortie de notre dépendance. C’est un mot qui a toute son importance et qui fait toute la différence. De plus, c’est une demande de sortie de notre dépendance aux services et outils propriétaires ne respectant pas la législation suisse. C’est là que les conclusions de la majorité de la commission m’échappent profondément. A mon sens, en tant que législateurs, on ne peut pas garantir partiellement le respect de nos droits fondamentaux. Ensuite, il y a tout l’aspect promotionnel qui a été écarté de ce postulat. Pour moi, c’est un aspect très important. Evidemment, je ne demande pas aux autorités de placarder sur tous les murs du canton des affiches qui encourageraient à utiliser Linux plutôt que Google, Microsoft ou Apple. La demande est issue du fait que l’Etat fait de la promotion pour Windows quand il utilise Microsoft365 avec tous les élèves du canton. Quand on enseigne l’utilisation de Photoshop ou d’Illustrator, on fait de la promotion pour Adobe. Quand on demande à tous les élèves qui vont entrer à l’EraCom d’acheter un Mac, parce que le logiciel qui va être utilisé dans le cadre des études et qui est sous licence, offerte temporairement par l’Etat, mais qui sera à la charge du professionnel par la suite, on fait aussi de la promotion. C’est cet aspect promotionnel qui est fondamental, car on ne peut pas demander le consentement à la population d’un côté, mais en même temps imposer ou encourager l’utilisation d’outils qui ne correspondent pas à notre éthique suisse et à la protection de ce droit fondamental qu’est la protection des données. La mission des élus est de garantir à la population ses droits constitutionnels : ici le droit à la protection des données. Il s’agit de renoncer à une dépendance face à des entreprises qui ne respectent pas ce droit.
J’aimerais insister sur le fait qu’il s’agit d’un postulat ; son but est de questionner sur ce qui est réaliste légalement et techniquement, en s’appuyant sur des chiffres et la réalité du terrain. Je me réjouis donc de discuter de la réponse du Conseil d’Etat et aussi de son aspect réaliste ou non. Mais de grâce, faisons-le sur le texte original.
Le postulat de Mme Sabine Glauser Krug est assez essentiel, car cela fait maintenant 20 ans que l’on est entré dans une révolution numérique. Cela fait 20 ans qu’on voit tous ces outils envahir notre paysage politique, médiatique, sociétal ou environnemental. On se rend de plus en plus compte que l’on entre dans une sorte de dépendance, que ce soit par rapport aux Etats-Unis ou à d’autres pays, mais surtout à de grandes entreprises et à certains principes numériques. C’est une numérisation devenue économique dont on a parfois de la peine à faire la séparation entre le bon grain et l’ivraie.
La question fondamentale posée par ce postulat est « comment empoigner le manche pour essayer de trouver une autonomie par rapport à tous ces systèmes et garder une certaine éthique morale, sociétale, et surtout pouvoir garder une cohérence d’actions dans le développement de tous ces outils informatiques ? » Il est vrai que nous avons vu l’influence totale qu’ont tous ces instruments numériques sur l’action politique – positivement ou négativement ; on l’a vu sur des votations ou des développements de campagne, aujourd’hui et demain encore plus qu’hier. Forcément, se pose la question de savoir comment on veut, à l’avenir, arriver à cette forme d’autonomie. Aujourd’hui, on est pris en otage par un certain nombre d’outils informatiques ; Mme Glauser Krug a cité Windows ou Office365. Pour pouvoir rentabiliser, les entreprises informatiques sont forcées d’aller dans cette direction, car si on garde les mêmes outils pendant plusieurs années, il n’y a pas de renouveau. C’est comme une machine à laver : si elle dure 30 ans, ce n’est pas rentable pour l’entreprise qui la produit – c’est peut-être plus écologique, mais pas intéressant économiquement. Alors comment faire ? C’est très compliqué. Ce n’est pas seulement nous, dans ce Grand Conseil, qui nous posons cette question. Cette question se pose un peu partout pour tous les acteurs. D’autant plus que si l’on regarde les 20 dernières années de développement de l’économie numérique et des outils informatiques, on voit que ce sont souvent des personnes, des groupes d’amis, des étudiants qui se sont lancés au début de la révolution numérique, qui avaient peut-être de bonnes intentions au départ, mais qui se sont un peu laissés prendre au jeu du business et qui arrivent à vendre leurs outils informatique des centaines de millions de francs ; au départ c’était des dizaines de millions, ensuite des centaines de millions, voire des milliards. Il suffit de prendre l’exemple de Skype : ce programme n’existe quasiment plus, mais la personne qui l’a développé est devenu riche en vendant son produit à Microsoft.
Forcément, cette question, pour un Etat comme le nôtre… et c’était déjà le cas il y a 10 ans lorsqu’on discutait de l’introduction de SAP dans les services étatiques du canton de Vaud comme outil de gestion technique, administrative et financière. A l’époque, j’avais dit en boutade que si le canton de Vaud s’était lancé lui-même dans le développement d’une solution de type SAP, et qu’il l’avait revendue à d’autres entités publiques ou économiques, le canton de Vaud serait peut-être aujourd’hui multimilliardaire et aurait un business-modèle intéressant comme l’entreprise allemande de SAP. Toujours est-il qu’il n’est pas dans l’idée du canton de Vaud de faire du business sur le développement d’outils informatiques. En revanche, il y a une question essentielle qu’on doit se poser. Doit-on lancer le postulat dans son intégralité ou dans ce que la commission a adapté ? Très sincèrement, c’est une question difficile à répondre. Il est évident que les réponses au postulat ne seront jamais satisfaisantes, car je vois mal le canton de Vaud venir avec une réponse de développement de solutions informatiques propres. Mais qui sait, peut-être qu’il faudrait étudier cela sur certains outils ; c’est peut-être ce que les réponses au postulat pourraient proposer. C’est un problème mondial qu’il est difficile de gérer aujourd’hui, mais y réfléchir et voir quelles sont les pistes potentielles de développement pour l’avenir est quelque chose que l’on doit faire. A un moment ou un autre, on va se faire submerger par cette vague. Il n’y a qu’à voir aujourd’hui, avec tous les conflits qu’il y a entre de grands Etats. Les Etats-Unis se rendent compte que, par rapport à Google, Amazon ou Facebook, cela devient très compliqué, même en modifiant les lois ou en mettant des amendes de plusieurs milliards. Mettre une amende de 4 milliards sur le business-modèle d’une entreprise qui fait des chiffres d’affaires de l’ordre de 80 milliards n’a pas de sens. Il y a donc un problème général qu’on ne va pas régler ici. En revanche, si on ne fait rien, on ne va jamais le régler. Chaque chemin commence par un pas, comme disent les Chinois. Ce pas, il s’agit de le faire aujourd’hui. La question est de savoir si on le fait avec un postulat complet ou partiel. Il faut au minimum prendre en considération partiellement ce postulat, quitte à le prendre en considération totalement au fil des débats.
Le groupe Ensemble à Gauche et POP trouve pour le moins cavalier que la commission choisisse un postulat, pourtant peu contraignant, pour promouvoir ce que le Conseil d’Etat fait déjà : la stratégie numérique. Certes, on peut se réjouir que celle-ci amène quelques améliorations au numérique de ce canton, un canton qui avait déjà en 2017, lors de l’acceptation de la stratégie numérique, des siècles de retard dans ce domaine – si on considère qu’une année dans le numérique passe sensiblement plus rapidement que dans la vraie vie, dans celle du Grand Conseil en particulier. Mais cette stratégie numérique n’est pas suffisante en l’état, loin de là. Le groupe Ensemble à Gauche et POP propose donc, comme la postulante, d’en revenir au texte original, car il est fondamental que notre canton soit le fer de lance de l’informatique libre de l’ingérence américaine dans ce pays – et pas qu’américaine. Le rapport de M. Neyroud fait bien ressortir cette ambivalence toute gentillette et gouvernementale. Si l’objet avait été une motion, elle aurait bien évidemment été transformée en postulat. Un affranchissement progressif vis-à-vis des groupes dominants communément appelés GAFAM, c’est insuffisant ! Chaque jour de perdu dans cette dépendance est autant de données gracieusement offertes à des puissances étrangères et, cerise sur le gâteau, gratuitement. Je n’ai aucune confiance en ces petites lettres des différents contrats qui assurent que les données restent en Suisse. Je déclare mes intérêts : j’ai le plaisir d’exercer la magnifique profession d’informaticien, pour quelques mois encore. J’ai même écrit une thèse, il y a 15 ans, à l’EPFL, qui avait comme sujet le grid computing, qui est l’ancêtre du cloud computing.
Pour qui s’est penché sur les révélations d’Edward Snowden, pour qui connait le principe de répartition des charges entre les USA et l’Europe, notamment, le réseau des réseaux peut s’affranchir des frontières physiques, comme un océan, mais il doit respecter les lois dans les pays qu’il pénètre ou quitte. Si ces lois peuvent paraître hallucinantes et liberticides pour nos yeux de bons Vaudois, elles existent, et ce, même et surtout chez l’autoproclamé gardien du monde libre. Le canton de Vaud doit devenir l’exemple à suivre en matière de non-dépendance aux mastodontes américains. A titre d’exemple, j’aime citer un canton voisin pour lequel j’ai une tendresse particulière qui, dans le cadre de l’éducation, utilise toujours Educanet et qui a repoussé Google for education ; une décision identique a été prise dans les cantons du Jura et de Neuchâtel. Des décisions courageuses qui semblent loin des décisions prises dans ce canton, où les outils de type Zoom, Office360, Webex, etc. sont la norme. Le consommer local, les chemins de goût, la défense de nos entreprises locales est possible pour mes carottes, mon fromage d’alpage ou mon steak de bœuf. C’est aussi possible pour les nectars du Chablais, des Côtes-du-Rhône et, j’espère bientôt, pour ceux du Pays d’Enhaut. Il en va de même pour le bois vaudois, voire même pour le ciment – mais avec cet exemple, je risque de ne pas être d’accord avec mon groupe. Alors pourquoi cela ne serait pas possible avec les données informatiques pour l’ensemble de l’Etat ? Cela est possible, en prenant en considération totale les conclusions de ce postulat et en refusant l’amendement de la commission. C’est ce que le groupe Ensemble à Gauche et POP vous demande.
De jour en jour, tant les entreprises que les personnes privées se rendent compte que la dominance des grandes entreprises du secteur numérique est compliquée à gérer. A l’évidence, si ces entreprises étaient situées, la Commission de la concurrence (COMCO) serait à leurs trousses pour leur quasi-monopole. Rapatrier ces activités en Suisse est une question de bon sens - création d’emplois, service sur mesure, proximité, commerce local, et j’en passe. Nous n’avons qu’une seule possibilité d’agir : par la sensibilisation et l’envoi d’un signal montrant notre soutien aux initiatives locales. Pour ces raisons, le groupe UDC vous invite à accepter la prise en considération complète de ce postulat et à rejeter l’amendement de la commission.
Dès le départ, le groupe des Libres a été favorable aux propos avancés dans ce postulat. Nous étions d’accord pour sa prise en considération immédiate dès son développement. Ainsi, nous sommes toujours favorables aux propos et aux conclusions de ce postulat. Certes, les conclusions de ce postulat sont ambitieuses et demandent, comme cela a été souligné en commission, un projet exigeant, difficile, délicat, mais pas insurmontable sur du moyen et long termes. A titre professionnel, je suis archéologue spécialisée en épistémologie de l’archéologie, et je ne suis donc pas spécialiste ni de cloud, ni de codes sources ouverts, ni de tout ce qui se rattache au monde informatique. Et pourtant, bien qu’il soit loin de mes domaines de prédilection, ce postulat me concerne et nous concerne tous, car il parle de nos données personnelles, qui relèvent de la sphère privée qui est normalement protégée sur sol suisse, selon l’article 13 de notre Constitution fédérale. C’est là que le bât blesse : nos données personnelles sont stockées presque exclusivement aux Etats-Unis. Or, la législation américaine met davantage l’accent sur la législation en matière de surveillance que sur celle de la protection des données des utilisateurs. Ainsi, les données d’un utilisateur suisse peuvent être utilisées par l’administration américaine, sans que ce même utilisateur ne soit d’accord. Aucune base légale ne nous permet, nous Suisses, de contrer cela puisque nos données sont expatriées outre-Atlantique, faute de système de stockage national et, dans notre cas, cantonal. Nos données sont analysées, décortiquées, voire même disséquées, ce qui donne parfois l’impression à l’utilisateur d’être espionné, notamment sur de célèbres réseaux sociaux. Qui d’entre vous a déjà eu la drôle d’impression de parler d’un nouvel achat, comme une table de jardin, et de n’avoir par la suite que des publicités sur des meubles de jardin sur les réseaux sociaux. C’est de cela que parle ce postulat, de la grande problématique liée à la transmission de données personnelles d’utilisateurs à leur insu. Les postulants demandent que le canton de Vaud fasse la promotion d’alternatives éthiques et respectueuses de la vie privée, mais aussi qu’il entreprenne une étude sur les moyens nous permettant de stocker nos données sur sol suisse, et même vaudois – à Saint-Triphon, par exemple. Dès lors, le groupe des Libres soutiendra les conclusions de ce postulat telles que proposées par les postulants, et non de façon partielle comme proposé par la commission. Nous vous invitons à en faire de même.
Je suis presque un peu choqué de la proposition de la commission. En effet, quand on lit la phrase, il est écrit que l’on souhaite une « réduction progressive de notre dépendance aux services et outils propriétaires ne respectant pas la législation suisse. » Dans un canton où notre hymne chante notre amour des lois, lire cela… Rien que d’une manière totalement abstraite, et en oubliant le fond, on ne doit pas réduire progressivement, mais réduire tout de suite cette espèce de scandale qui ne respecte pas notre législation. De plus, d’un point de vue personnel, j’ai aussi fait une thèse, il y a 25 ans, et j’ai aussi dû faire des lignes et des lignes de codes. Et à l’époque, on se passait les lignes de codes ; c’était extrêmement ouvert, on se passait les lignes de codes, aux Etats-Unis, en Chine ou au Japon, etc. C’était une époque bienheureuse où l’on se passait nos programmes, car on voulait faire avancer la science. Actuellement, on est en train d’être emprisonnés par des lignes de codes qui sont secrètes. Il est important de montrer qu’on en a marre de cette dépendance. Je ne peux que souscrire à ce qui a été dit par MM. Glayre et Keller et Mme Barbezat-Fuchs.
J’aimerais ajouter un point supplémentaire. A une époque pas si lointaine que cela, on achetait des programmes informatiques et on avait la liberté de les utiliser quelques années, le plus longtemps possible. Aujourd’hui, le modèle d’affaires a complètement changé : on travaille avec des licences – et on y est tous soumis. Chaque année, vous allez payer ces licences. L’évolution du prix de ces licences, même si tout est mis en œuvre à la Direction générale du numérique et des systèmes d’information pour la maîtriser, ne peut pas être maîtrisée. On imagine que les prix de ces licences ne vont pas doubler d’ici deux ans, mais il est sûr qu’ils s’envolent chaque année un peu plus. On est sous une emprise financière de ces grandes compagnies, pour la plupart américaine. Il serait temps de reprendre la main sur l’aspect financier. Je vous encourage à suivre le postulat dans son entièreté.
Je déclare mes intérêts : je suis juriste spécialisé en matière de protection des données, notamment. A ce titre, je répète qu’un des plus grands risques que l’on a est l’utilisation de nos données. Lorsqu’on évoque l’utilisation de nos données, il y a deux types d’utilisation qu’il faut mentionner : l’utilisation indue, donc illicite et liée à un vol de données, le hacking et personne ne contestera qu’il faut agir pour sauvegarder et protéger nos données ; la deuxième utilisation - c’est beaucoup plus délicat - est l’utilisation légale et dans la mesure où l’utilisation légale de nos données personnelles, sa mise en commun et le profilage lié à nos données personnelles peut se faire de façon simple et légale, il y a déjà là une problématique dont on doit se saisir. Le cadre légal permet déjà une utilisation très large, peut-être trop large, à laquelle une utilisation illicite ne doit pas venir s’ajouter. M. Mischler l’a dit : il faut bien lire les conclusions du postulat, qui demandent bien d’exclure l’utilisation d’outils qui ne respectent pas la législation suisse, notamment en matière de protection des données. C’est un point central. Le canton de Vaud doit exclure l’utilisation d’outils qui ne respectent pas cette législation, du fait que les outils qui respectent cette législation peuvent déjà en partie être problématiques. Je cite un exemple : vous êtes toutes et tous confrontés à l’utilisation d’outils de messagerie du type whatsapp, vous êtes toutes et tous liés à l’utilisation de réseaux sociaux, notamment dans le domaine politique – on en connait l’importance. Or, tant les données issues de whatsapp que celles issues de certains réseaux sociaux sont mises en commun. On l’a vu : lorsqu’on parle d’un dentifrice récent qu’on a vu chez des amis, tout à coup on reçoit des publicités de ce dentifrice. Ce n’est pas parce qu’on est sur écoute, que ce n’est pas illicite, mais c’est parce qu’on a réussi à mettre en commun quelques données, qui peuvent paraître individuellement peu graves. On met en commun une recherche Internet, une recherche de localisation GPS, on sait que vous êtes proches de quelqu’un, pendant quelques heures, dans sa maison et que cette personne a acheté ce dentifrice il n’y a pas longtemps, alors on vous propose une publicité de ce même dentifrice. On peut se dire que ce n’est pas dramatique, que ce n’est qu’une publicité de dentifrice, mais malheureusement vous serez toujours amené, insidieusement, à acheter et vouloir certains objets, car l’on connait énormément de choses sur vous.
Sur ce point, je rappelle la législation. Il faut savoir que, aujourd’hui, au niveau mondial, la législation la plus stricte et protectrice en matière de protection des données est la législation européenne – le règlement général sur la protection des données (RGPD). La législation européenne prévoit une chose qui permet de nous protéger assez fortement : ce sont des amendes extrêmement élevées qui peuvent aller jusqu’à 4 % du chiffre d’affaires mondial d’un groupe de sociétés. En Suisse, aujourd’hui, l’amende pour utilisation illicite des données est de 10'000 francs. Dès lors, le montant maximum d’une amende, pour le cas où une entreprise aurait volontairement enfreint le droit de la protection des données, aurait volontairement utilisé et abusé de vos données, aurait volontairement vendu vos données à tout-un-chacun, est de 10'000 francs. Cela montre bien qu’il y a un réel problème en termes de protection, pour pousser et influencer les entreprises à ne pas enfreindre le droit. C’est dans ce cadre que ce postulat a une importance : on demande de sortir d’outils qui enfreignent le droit. Ne pas voter les conclusions mises en avant par la postulante, c’est finalement donner un blanc-seing à des entreprises qui, non seulement, ne se satisfont pas du cadre légal qui est déjà très large, mais vont plus loin, souhaitent davantage utiliser nos données personnelles, et s’accommodent d’une violation de la loi qui n’est pas très grave lorsque vous êtes le groupe Facebook et que vous payez 10'000 francs d’amende. Il est clair qu’il faut soutenir les conclusions de la postulante telles quelles.
Le Conseil d’Etat n’a pas combattu frontalement le postulat, parce qu’il partage les objectifs et ceux-ci ont été clairement posés dans la stratégie numérique de l’Etat, qui est une des plus ambitieuses de Suisse. Puisqu’on nous demande d’être exemplaires, je tiens à dire que nous l’avons été, notamment en étant des fers de lance. Vous avez voté à l’unanimité la Loi sur les moyens d'identification électronique et le portail sécurisé des prestations en ligne de l'Etat (LCyber), en posant les principes d’une eID totalement souveraine et gratuite pour les citoyennes et les citoyens. Le canton de Vaud a été un des premiers à s’opposer à la vision défendue par le Conseil fédéral en matière de SwissID et en emportant, notamment avec de grands acteurs de la société civile, cette vision qui s’est imposée avec la votation populaire. Le Conseil d’Etat et votre Parlement sont unis sur les questions de souveraineté de gouvernance et d’affranchissement progressif de notre dépendance à tous ces grands groupes dominants, les GAFAM. Le Conseil d’Etat s’est posé dans la stratégie numérique à de nombreux endroits. Je vous fais l’économie de tout ce que nous avons établi dans cette stratégie numérique, notamment le fait de se doter progressivement d’une stratégie de la donnée.
Plus globalement, se pose la question de l’informatique que l’on souhaite avoir tous les jours à disposition et celle que l’on souhaite développer à l’avenir, qu’on souhaite pouvoir exploiter, avec les défis que cela représente au quotidien, en termes de sécurité, de coûts, de compatibilité, d’interopérabilité entre les systèmes, d’intégration, de durabilité ou d’innovation dans le domaine public. L’informatique du canton de Vaud doit évoluer, mais avec l’informatique de tous les acteurs avec lesquels nous sommes en lien. Il n’est pas question pour l’Etat de Vaud de faire cavalier seul. Nous interagissons avec l’Etat fédéral. Nous avons l’intention de développer des stratégies qui s’harmonisent avec le cadre fédéral. Pour cela, le canton travaille notamment sous l’angle de la protection des données dans le cadre du programme MELANI. Il est d’ailleurs un des seuls cantons à être intégré dans le groupe de travail, au niveau suisse, pour cela. Mais nous devons aussi travailler tous les jours avec les communes et ne pas faire cavalier seul en la matière.
La stratégie numérique de l’Etat répond déjà à un certain nombre des questions, parce qu’elle pose les bases de la solidarité, de la sécurité, de la souveraineté, pour accompagner cette transition numérique de notre administration, mais aussi de la société au plan plus large. Evidemment, la protection des données personnelles et le respect de la sphère privée en sont les éléments centraux.
De manière plus large, la politique de la donnée, pour laquelle la DGNSI souhaite proposer au Conseil d’Etat, ces prochains mois, ses principes généraux, permettra précisément de définir ce cadre clair pour le traitement des données et leur valorisation – conditions d’utilisation de l’informatique en nuage à la responsabilité sur les données, l’accès, la diffusion, la classification, l’exploitation des types de données. Toutes ces questions doivent figurer dans une politique de la donnée, dont je rappelle qu’aucun canton ne s’est doté à ce stade, et encore moins la Confédération ; l’Etat de Vaud sera vraisemblablement l’un des premiers à disposer d’une stratégie globale de la donnée, allant notamment dans le sens du préalable du postulat. D’ailleurs, on s’est doté d’un comité d’experts du numérique, qui joue également un rôle transversal d’organe pour le conseil et l’expertise interdisciplinaires pour les projets informatiques. Et à chaque fois la composante de la donnée est essentielle et importante. Il faut noter que le canton de Vaud, qui a fait de la souveraineté et de la protection des données des axes forts de sa stratégie, est déjà perçu au niveau fédéral et par les autres cantons romands comme précurseur sur ces aspects.
Parallèlement à cela, au sujet de la question des infrastructures, la DGNSI démarre actuellement une étude sur les impacts environnementaux, car il est important que l’on connaisse la durabilité environnementale. C’est un autre aspect central du parc informatique de l’administration cantonale vaudoise, aussi bien dans le matériel que dans les infrastructures. Il faut également mesurer le degré de maturité de notre organisation. Cette étude débouchera sur des recommandations, qui seront contextualisées et disponibles d’ici la fin de l’année.
Alors quel que soit le degré d’ambition du projet, que ce soit celui des postulants in extenso ou celui amendé par la commission, il faut être très clair : supprimer totalement les outils qui sont aujourd’hui mis à disposition par les grands groupes américains, notamment, ne nous semble pas réaliste. On ne peut pas tourner le bouton on/off. On peut se doter d’une vision, et c’est ce que j’ai plaidé devant la commission – je crois que les postulants sont d’accord avec ma vision – on peut se doter de stratégies, mais il faut être réaliste : on ne peut pas totalement le faire. Ce serait chimérique de faire croire que l’on va s’affranchir de tous les grands groupes et des GAFAM d’un jour à l’autre. On n’a pas d’alternatives dans le canton de Vaud pour faire cavalier seul. Il serait illusoire d’imaginer le faire. En revanche, c’est tout à fait sain et pertinent de poser cette vision. Je pense que répondre à ce postulat, par exemple tel qu’amendé par la commission, permettra de poser ces bases que je viens d’évoquer brièvement devant vous, de poser des lignes très claires, notamment en ce qui concerne la politique de la donnée, et plus généralement le Plan directeur des systèmes d’information défini, pour les contextualiser au plan suisse, ce qui implique des échanges avec d’autres échelons qui nous dépassent ; il n’est pas question que l’on soit les preux chevaliers isolés, ce ne serait pas dans l’intérêt du fonctionnement quotidien de l’administration cantonale. Vous savez combien les communes, les entreprises, les citoyens et la Confédération sont interdépendants de ces systèmes, à tous les échelons institutionnels. Dans ce sens, c’est une vision générale à laquelle nous souscrivons, mais il était important que je vous dise que l’affranchissent total d’un jour à l’autre ne nous parait pas être un chemin praticable, si on entend être raisonnables et réalistes.
La discussion est close.
La prise en considération totale du postulat, opposée à sa prise en considération partielle, est choisie par 67 voix contre 60 et 4 abstentions.
Je demande un vote nominal.
Retour à l'ordre du jourCette demande est appuyée par au moins 20 députés.
Celles et ceux qui sont favorables à la prise en considération partielle de ce postulat telle que proposée par la commission votent oui ; celles et ceux qui sont favorables à la prise en considération totale telle que demandée par la postulante votent non. Les abstentions sont possibles.
La prise en considération totale du postulat, opposée à sa prise en considération partielle, est choisie par 67 voix contre 61 et 3 abstentions.
Le Grand Conseil prend le postulat en considération par 77 voix contre 44 et 10 abstentions.