Espace sécurisé

Gérez facilement vos démarches administratives en ligne pour les particuliers, entreprises, fondations et communes.
Se connecter Créer un compte
Exemples de démarches
  • Remplir et déposer sa déclaration d’impôt
  • Consulter son dossier fiscal
  • Remplacer son permis de conduire (particuliers)
  • S’inscrire à la maturité professionnelle post-CFC (étudiants)
  • Obtenir une première autorisation frontalière (entreprises)
  • Demander un soutien à un projet culturel (associations)
  • Accéder au registre cantonal des personnes (communes)
Aide en ligne

Portail IAM

Accès aux applications pour les collaborateurs-trices de l’Etat de Vaud et les partenaires.
Se connecter
Exemples d’applications
  • ACTIS (Camac 2010)
  • EasyVista
  • LAGAPEO
  • LA PLACE
  • NEO
  • PAREO
  • Passerelle Employeur - Impôts à la source
  • RCPers - Registre Cantonal des Personnes
  • Réquisition - Désignation Électronique (ReqDes)
  • RDU
  • Themis
  • Votelec - Dépouillement
  • Wiki projets ACV
Aide en ligne

25_HQU_132 - Question orale Aurélien Demaurex - Souveraineté numérique du Canton.

Séance du Grand Conseil du mardi 9 décembre 2025 (sans fin, si nécessaire), point 3.4 de l'ordre du jour

Texte déposé

Depuis l’adoption par le CF, le 26.11.25, de son rapport sur la souveraineté numérique soulignant la nécessité pour l’État de garder le contrôle dans l’espace numérique, notamment pour la sécurité des données sensibles, la protection des systèmes publics et des données de santé devient cruciale. Or, le projet d’adopter la solution Epic Systems par le CHUV et les hôpitaux de la FHVi soulève d’importantes réserves. Ce fournisseur américain est soumis au droit des États-Unis, en particulier au Cloud Act, qui pourrait permettre un accès externe aux données même stockées en Suisse. S’ajoute à cela un coût global élevé dans un contexte de finances cantonales fragilisées, comme relevé par F. Moscheni.

À la lumière de ces éléments, le Conseil d’État peut-il expliquer en quoi un fournisseur soumis au Cloud Act garantit la souveraineté numérique du Canton et la protection des données de santé, tout en justifiant économiquement ce choix face à des alternatives souveraines et moins coûteuses ?

Transcriptions

Visionner le débat de ce point à l'ordre du jour
M. Stéphane Montangero (SOC) — Président

Département de la santé et de l’action sociale

M. Aurélien Demaurex (V'L) —

Question orale Aurélien Demaurex – Souveraineté numérique du Canton (HQU_132)

Vous l’avez peut-être vu dans la presse, le Conseil fédéral a adopté son rapport sur la souveraineté numérique de la Suisse, le 26 novembre dernier, qui souligne la nécessité pour l’Etat de conserver la capacité de contrôle et d’action dans l’espace numérique, notamment en matière de sécurité des données sensibles. La question de la protection des systèmes publics et des données personnelles de santé révèle une importance accrue. Or, le projet d’adoption de la solution Epic Systems par le CHUV et les hôpitaux vaudois soulève plusieurs réserves importantes. Il s’agit d’un fournisseur américain soumis au régime législatif des Etats-Unis et en particulier du Cloud Act qui pourrait permettre un accès externe aux données, même si celles-ci sont stockées en Suisse. A cela s’ajoute le coût global de la solution, qui représente un investissement majeur dans un contexte de finances cantonales fragilisées, comme l’a déjà mis en lumière la question déposée par notre collègue Fabrice Moscheni, laquelle porte précisément sur l’évaluation des coûts réels. A la lumière de ces éléments, le Conseil d’Etat peut-il expliquer en quoi le fournisseur soumis de facto au Cloud Act et qui peut obliger une entreprise américaine à transmettre des données, même lorsque celles-ci sont stockées en Suisse, garantit réellement la souveraineté numérique du canton et la protection des données de santé, tout en justifiant économiquement ce choix face à des alternatives souveraines et moins coûteuses.

Mme Rebecca Ruiz (C-DSAS) — Conseillère d’Etat

La Conférence latine des directeurs et directrices du numérique (CLDN) a thématisé les enjeux liés à la souveraineté numérique à partir de 2021 et a publié différentes études sur le sujet en 2023. En novembre 2025, le Conseil fédéral a publié son rapport sur la souveraineté numérique de la Suisse. Il recommande de prendre davantage en compte les facteurs liés à la politique extérieure et à la politique de sécurité dans la mise à disposition de ressources numériques. De son côté, le Conseil d’Etat entend la souveraineté numérique, comme « la capacité des autorités pour maintenir leur autonomie stratégique, soit à pouvoir utiliser et contrôler de manière autonome les biens matériels et immatériels et les services numériques qui impactent l’économie, la société et la démocratie » selon la définition tirée des études de la CLDN.

Dans ce contexte, il vise en permanence à maintenir son autonomie en mettant en balance la nécessité pour l’Etat de fonctionner, la sécurité des données, bien évidemment, le respect du cadre légal en vigueur et, en particulier, la Loi sur les marchés publics et ses contraintes. Il existe actuellement, pour l’écosystème numérique suisse comme celui de très nombreux pays européens, une forte dépendance aux acteurs étrangers, en particulier américains, sur toutes les couches du système d’information : infrastructures – serveurs, postes de travail, réseaux – systèmes d’information et outils bureautiques – par exemple Microsoft, Windows, Outlook, etc. – ainsi que certaines applications métiers. Cela concerne tant les secteurs publics que privés. C’est d’autant plus le cas dans les hôpitaux, car beaucoup de logiciels médicaux de pointe sont de provenance américaine sans qu’il y ait vraiment d’équivalent sur les marchés européens. Le choix d’un éditeur étranger n’est donc ni isolé ni inédit, mais les éléments précités renforcent la nécessité d’une vigilance stratégique sur la souveraineté numérique. Cela se traduit au niveau des hôpitaux par des mesures concrètes au niveau de la sécurité et de l’organisation, en particulier en ce qui concerne l’hébergement des données de santé. Plus concrètement les règles et procédures d’hébergement et d’accès aux données sont réglées au niveau contractuel et par des barrières techniques pour garantir la sécurité des données. 

En ce qui concerne l’appel d’offres du nouveau dossier patient informatisé (DPI VD), l’accord intercantonal sur les marchés publics définit le principe de l’égalité de traitement des soumissionnaires et ne permet pas de privilégier des acteurs suisses ou de limiter l’accès au marché des éditeurs étrangers, par exemple américains. Elle impose une mise en concurrence ouverte, où seuls les critères techniques, fonctionnels et économiques sont recevables. Ainsi, le cahier des charges de l’appel d’offres exige que les données soient hébergées en Suisse. C’est sur cette base et afin de sélectionner la solution la plus adaptée à leurs hôpitaux que le CHUV et la FHV ont engagé une procédure ouverte d’appel d’offres publiques. Les éditeurs de produits suisses n’ont pas remis d’offres et/ou n’ont pas été retenus, car ils ne possédaient pas de solution adaptée aux exigences requises, que cela soit au niveau des fonctionnalités et/ou de la langue notamment. De plus, le Conseil d’Etat relève que, pour calculer le coût global du dossier patient informatisé, il s’agit de prendre en compte un ensemble d’éléments tant au niveau des coûts d’investissement et de mise en œuvre qu’au niveau des gains d’efficience –qualitatifs et financiers – et des retours sur investissement attendus. L’analyse des différents scénarios envisageables – développement propre, « petit » produit de dossier patient ou grand logiciel intégré – a montré que les coûts totaux sont à terme moins élevés avec une solution de dossier patient informatisé intégré. 

M. Aurélien Demaurex (V'L) —

Je crois que le monde a changé. Je ne sais pas si vous avez lu le rapport de sécurité nationale que le président Trump a sorti ce week-end. C’est une attaque frontale contre les démocraties européennes. Depuis une année, il nous a ouvert les yeux sur ce que va être la politique américaine de ces prochaines années. Et pourtant, on continue, tête baissée, à utiliser les mêmes solutions. 

Bien sûr, nous sommes dépendants de Microsoft, mais cela relève de notre responsabilité – en tant qu’entrepreneurs ou responsables politiques – de commencer à développer des alternatives. J’entends qu’il y a des garanties techniques, contractuelles, mais si demain – comme le cas des F-35 – le président demande à couper les données ou y porter atteinte, il peut le faire. Je trouve quand même cela incroyable... Je reviendrai sur ce thème, parce que cette réponse ne me convient pas. Je pense que nous devons être beaucoup plus ambitieux dans notre politique numérique. 

Retour à l'ordre du jour