Formulaires administration publique
Autorisations, inscriptions, plaintes, consultations publiques, canaux de lanceurs d'alerte — pour les communes, cantons et agences fédérales qui traitent des données citoyennes sous contrôle public. Chiffré de bout en bout, hébergé en Suisse, conforme à la nLPD et au RGPD.
Les formulaires du secteur public touchent chaque aspect de la vie d'un citoyen : enregistrement de domicile, permis de construire, demandes d'aide sociale, déclarations fiscales, plaintes contre des fonctionnaires, contributions aux consultations publiques, signalements d'actes de corruption. Contrairement à l'intake du secteur privé, le citoyen n'a souvent pas le choix — pour obtenir un permis de stationnement, un document de résidence ou une aide d'urgence, il faut remplir le formulaire que l'autorité impose. Cette asymétrie crée un devoir : les pouvoirs publics doivent un standard de confidentialité mesurablement plus élevé, précisément parce que la participation n'est pas optionnelle.
Schweizerform a été conçu pour cette asymétrie. Chaque soumission est chiffrée dans le navigateur du citoyen avant de quitter l'appareil. Nous ne pouvons physiquement pas lire les demandes d'aide, les plaintes, les réponses aux consultations ou les divulgations de lanceurs d'alerte. Pour les communes, cantons et agences fédérales suisses — et pour les organes publics européens soumis à des attentes similaires — cette propriété se combine à un hébergement suisse et à une posture alignée sur la nLPD, le RGPD et les cadres de redevabilité du secteur public.
À qui s'adresse cette page
Secrétaires communaux, chefs de département cantonaux, DSI fédéraux, délégués à la protection des données du secteur public, responsables de la transformation numérique et services des marchés publics aux niveaux local, régional et national — particulièrement dans les juridictions où les données des citoyens sont protégées par des garanties constitutionnelles ou conventionnelles.
Pourquoi les données publiques exigent un standard plus élevé
Les données des citoyens diffèrent qualitativement des données clients. Les gens divulguent à l'État ce qu'ils ne divulgueraient jamais à une entreprise : situations familiales, parcours migratoires, diagnostics psychologiques liés à des demandes d'invalidité, récits de précarité financière, antécédents pénaux, plaintes contre des fonctionnaires nommés. Ils le divulguent parce qu'ils y sont obligés. Ce caractère involontaire transforme des données ordinaires de formulaire en quelque chose proche d'un dossier fiduciaire.
La plupart des administrations recueillent encore ce matériau via des outils conçus pour la collecte marketing — Google Forms, Microsoft Forms, JotForm, SurveyMonkey ou des portails internes hébergés sur des clouds états-uniens. Ces outils stockent des soumissions en clair sur des serveurs que le fournisseur peut lire. Le personnel du fournisseur, ses sous-traitants, des autorités étrangères dans le cadre de procédures extraterritoriales et tout attaquant qui compromet l'infrastructure se trouvent entre le citoyen et l'agence. Pour des autorités soumises à des devoirs de transparence et à des obligations constitutionnelles de protection des données, cette exposition est de plus en plus difficile à justifier.
- Une habitante demande une aide d'urgence en divulguant ses revenus, sa composition familiale et des détails de santé liés à un handicap ; le dossier lisible se trouve sur un serveur hébergé aux États-Unis avant qu'un agent ne l'examine
- Un citoyen dépose une plainte formelle contre un policier nommément désigné ; la base de données du fournisseur contient l'identité du plaignant en clair à côté de l'accusation
- Une lanceuse d'alerte signale une fraude aux marchés publics via un formulaire d'agence ; le rapport — et l'IP et l'appareil de l'auteur — se trouve lisible sur une infrastructure tierce
- Une consultation publique recueille des opinions sur une décision controversée de zonage ; les noms, adresses et positions politiques des répondants sont stockés en clair sous juridiction étrangère
L'angle de la redevabilité
Les organes publics sont soumis à des lois sur la transparence, à un contrôle parlementaire, à un examen par les ombudsmans et à une supervision judiciaire. Chacun de ces mécanismes est plus simple lorsque l'agence peut démontrer de manière crédible qu'aucun tiers — y compris le fournisseur du formulaire — n'aurait pu lire des divulgations sensibles. L'architecture zéro-connaissance transforme une note défensive en réponse structurelle.
Ce qui change avec les formulaires zéro-connaissance dans l'administration
Le changement technique est simple. Les données du formulaire sont chiffrées dans le navigateur du citoyen avant transmission. Le serveur ne stocke que du texte chiffré. Seule l'agence — avec son code d'accès — peut déchiffrer la soumission. Le fournisseur devient un courrier de données illisibles, non leur dépositaire.
Le citoyen remplit le formulaire
Il ouvre un lien public (ou tokenisé pour les canaux à accès restreint), complète les champs et joint les documents requis — preuve de domicile, copies de pièces d'identité, certificats médicaux, photos. Tout est chiffré dans son navigateur avant transmission : noms, adresses, champs narratifs et contenu des fichiers.
Transmission et stockage
La charge utile chiffrée transite via HTTPS vers des centres de données suisses. Le serveur ne stocke que du texte chiffré — il n'existe nulle part sur notre infrastructure de copie en clair de la soumission, et aucun sous-traitant étranger ne peut être contraint d'en produire une.
L'agence récupère la soumission
Les agents autorisés (chargé de dossier, registraire, DPO) ouvrent la soumission dans leur navigateur. Le code d'accès de l'agence déchiffre les données sur l'appareil. Lecture, triage et gestion du dossier ont lieu côté agence, à l'intérieur du périmètre institutionnel.
Conservation, transfert et suppression
Les soumissions peuvent être archivées, exportées vers le système de gestion des dossiers de l'agence ou supprimées conformément aux délais légaux de conservation. Comme nous ne détenons aucune clé, la suppression est cryptographiquement définitive — il n'existe pas de copie récupérable en clair côté serveur.
Où les organes publics utilisent Schweizerform
Démarches citoyennes, autorisations et inscriptions
Inscriptions de domicile, permis de construire, autorisations de stationnement, autorisations d'exercer, déclarations de mariage, changements d'état civil — formulaires à fort volume qui agrègent identité, adresse, famille et parfois informations financières. Le chiffrement côté client garde cette mosaïque dans l'agence, pas chez le fournisseur.
Aide sociale et demandes d'urgence
Indemnités de chômage, aide au logement, prestations d'invalidité, aides d'urgence en cas de précarité, allocations pour la protection de l'enfance. Ces formulaires recueillent des informations financières et médicales profondément privées de personnes en situation fragile. L'intake zéro-connaissance signifie que la vulnérabilité du citoyen n'est visible que pour les agents qui décident effectivement du dossier.
Plaintes, recours et canaux de l'ombudsman
Plaintes contre des agences, des fonctionnaires ou la police ; recours sur la qualité du service ; saisines de l'ombudsman — communications dans lesquelles le plaignant est structurellement plus faible que l'institution qu'il conteste. Un stockage lisible par le fournisseur ajoute un tiers que le plaignant n'a jamais consenti à informer. L'architecture zéro-connaissance retire ce tiers.
Lanceurs d'alerte et signalements anti-corruption
Signalements de fraude aux marchés publics, déclarations de conflit d'intérêts, signalements internes de fautes, lignes anti-corruption sous la directive lanceurs d'alerte de l'UE ou des cadres suisses analogues. Ces canaux existent précisément parce que les auteurs craignent des représailles. Un fournisseur de formulaire qui peut lire le signalement — et qui peut être soumis à des procédures juridiques étrangères — est une faiblesse que le canal ne peut se permettre.
Consultations publiques et participation citoyenne
Consultations, périodes de commentaire public, soumissions au budget participatif, collecte de signatures pour initiatives. L'identité, l'adresse et la position politique des répondants sont sensibles dans toute démocratie participative. L'intake chiffré protège la liberté d'expression au niveau technique, et pas seulement dans la mention d'information.
Demandes d'accès aux documents officiels
Demandes d'accès, requêtes au titre du droit à l'information, consultations d'archives — y compris de la part de journalistes et chercheuses dont les enquêtes peuvent intéresser les institutions auxquelles elles s'adressent. Chiffrer la requête elle-même empêche le fournisseur du formulaire d'apprendre ce qui est demandé, et par qui.
Ce que voient réellement citoyens, auditeurs et autorités
Trois publics remarquent la différence entre un formulaire générique et une réception zéro-connaissance : les citoyens qui soumettent ; les autorités de protection des données et les ombudsmans qui supervisent ; et les commissions parlementaires ou cours des comptes qui examinent périodiquement les systèmes et marchés des agences.
| Perspective | Outil de formulaire générique | Schweizerform |
|---|---|---|
| Citoyenne soumettant une demande d'aide | « Mes données financières et médicales sont stockées chez [outil] — on me dit que c'est sûr » | « Le formulaire de l'agence chiffre mon entrée dans mon navigateur ; seule l'agence peut le lire » |
| Lanceur d'alerte signalant une fraude | Texte clair chez un fournisseur tiers, potentiellement soumis à assignation ou procédure extraterritoriale | Texte chiffré uniquement chez le fournisseur ; l'agence détient les clés |
| Inspection cantonale ou nationale | Doit évaluer la copie lisible complète et la chaîne de sous-traitants à travers plusieurs juridictions | Le fournisseur n'a aucune copie lisible — l'analyse se réduit à l'agence elle-même |
| Cour des comptes / commission de contrôle | Les dossiers citoyens existent dans des systèmes fournisseurs hors du contrôle technique direct de l'agence | Les dossiers citoyens n'existent qu'en forme chiffrée hors du domaine de l'agence |
Fonctionnalités utiles aux équipes du secteur public
- Chiffrement de bout en bout sur chaque formulaire, chaque plan, chaque soumission — aucun upgrade payant pour protéger les données citoyennes
- Hébergement suisse dans des centres de données suisses — réponse directe aux questions constitutionnelles et de marchés publics sur le lieu de stockage des données citoyennes
- Téléversements de fichiers chiffrés jusqu'à 25 Mo par fichier et 250 Mo par soumission — couvre scans de pièces d'identité, justificatifs de domicile, certificats médicaux, plans de construction
- EN / DE / FR / IT natives — chaque libellé, erreur et confirmation dans la langue officielle du citoyen, non traduite par machine
- Formulaires protégés par mot de passe et tokenisés pour les canaux à accès restreint (lanceurs d'alerte, plaintes internes, consultations à parties prenantes nommées)
- Plafonds de réponses, fenêtres temporelles et échéances strictes pour les périodes de consultation et de candidature
- Journalisation d'audit des actions administratives et des consultations de soumissions — documentation pour ombudsmans, cours des comptes et audits ISMS
- Aucun traceur tiers sur les formulaires publics — le navigateur du citoyen n'envoie pas le contenu de sa demande à une analytique marketing
- Mentions de confidentialité claires et en langage simple, lisibles par les citoyens dans leur langue officielle — exigé par les devoirs de transparence nLPD/RGPD et les bonnes pratiques administratives
Objections fréquentes — et réponses réalistes
« Notre agence utilise déjà Microsoft 365 / Google Workspace en formule secteur public »
Les formules secteur public des grands fournisseurs (Microsoft 365 Government, Google Workspace for Public Sector) signent des avenants de protection des données, acceptent des conditions contractuelles plus strictes et offrent parfois une résidence régionale. Elles ne chiffrent toutefois pas les données du formulaire de manière à empêcher le fournisseur de les lire. Le fournisseur conserve toujours des soumissions en clair, peut être contraint de les produire dans le cadre de procédures étrangères et a du personnel et des sous-traitants disposant d'un accès technique. Les formulaires zéro-connaissance comblent cet écart quelle que soit la formule de workspace.
« Nous avons besoin de compatibilité open data et transparence — le chiffrement semble s'opposer à la transparence »
Non. Les soumissions citoyennes sont confidentielles par défaut dans tout cadre administratif — la transparence porte sur les décisions des agences et les données agrégées, pas sur les divulgations personnelles d'individus. Le chiffrement protège l'entrée côté citoyen. Les agences restent libres et tenues de publier leurs décisions, statistiques et résultats agrégés de consultation via des canaux entièrement séparés.
« Que se passe-t-il si un agent perd le code d'accès ? »
C'est le compromis honnête de l'architecture zéro-connaissance. Nous prenons en charge un mécanisme de clé de récupération : une seconde clé établie à l'avance et conservée séparément, généralement dans une enveloppe scellée détenue par le bureau des registres ou le DPO. La plupart des organes publics traitent le code d'accès comme la clé maîtresse des archives administratives — procédure formelle, plusieurs dépositaires de confiance, revue régulière.
« Nous avons besoin d'une intégration avec notre système de gestion des dossiers »
Les agents autorisés déchiffrent les soumissions dans le navigateur, puis exportent vers le système de gestion via des canaux standard (CSV, transfert structuré, transfert manuel par interfaces approuvées). L'objectif de la couche zéro-connaissance est que le déchiffrement ait lieu côté agence ; une fois déchiffrées, les données alimentent vos pipelines existants comme toute autre entrée. De nombreuses agences utilisent Schweizerform spécifiquement pour l'étape de réception côté citoyen, puis transfèrent vers des systèmes internes plus profonds pour le traitement.
« Nous sommes liés par les règles nationales de marchés publics — pouvons-nous utiliser un fournisseur privé suisse ? »
Les cadres de marchés publics en Suisse et dans l'UE permettent généralement les SaaS prêts à l'emploi dès lors que la sécurité, la résidence et les conditions de sous-traitance sont démontrables. L'hébergement suisse, l'architecture zéro-connaissance et le contrat de sous-traitance standard de Schweizerform sont conçus pour être évaluables dans un dossier de marché habituel. Comme pour tout choix de fournisseur, les fonctions achats et DPO de l'agence restent décisionnaires.
Démarrer dans un organe public
Pilote sur un seul formulaire citoyen
La plupart des agences commencent par un seul formulaire à enjeu — typiquement une réception de plainte, une demande d'aide ou un canal de lanceur d'alerte. Le palier gratuit (1 formulaire, 25 soumissions/mois) suffit à valider le flux de bout en bout sans passer par les marchés.
Documenter la sous-traitance
Ajouter Schweizerform au registre des activités de traitement de l'agence. Inscrire l'hébergement suisse, l'architecture zéro-connaissance et l'absence de sous-traitants états-uniens. Pour les DPO, cela simplifie généralement l'AIPD par rapport à des outils citoyens hébergés aux États-Unis.
Former les dépositaires au code d'accès
Désigner deux ou trois dépositaires (chef de département, DPO, responsable IT). Établir une procédure de clé de récupération analogue aux autres identifiants critiques de l'agence et l'aligner sur la politique de sécurité de l'information.
Déployer sur le portefeuille de services aux citoyens
Une fois le pilote validé, les plans payants relèvent les plafonds de formulaires et de soumissions. Les agences migrent typiquement d'abord les canaux de plainte, les demandes d'aide d'urgence, les consultations publiques et la réception des lanceurs d'alerte — les canaux où l'asymétrie entre citoyen et État est la plus marquée.
Adapter la conservation à la loi
Les délais de conservation du secteur public obéissent à la loi sur les archives, non à la commodité du fournisseur. Utiliser la suppression de soumissions pour respecter le calendrier légal une fois les données transférées aux archives officielles. Comme nous ne détenons aucune clé, la suppression est cryptographiquement définitive.
L'essentiel
Les organes publics se voient confier la forme la plus involontaire de divulgation de données dans la société moderne : des informations que les citoyens donnent à l'État parce qu'ils y sont obligés, souvent dans des moments de vulnérabilité ou de risque. Un outil de formulaire qui peut lire ces divulgations crée une faiblesse évitable dans la posture de redevabilité de l'agence — et une explication inutile envers les citoyens, ombudsmans, cours des comptes et commissions parlementaires.
Schweizerform offre une réponse directe : chiffrement zéro-connaissance de bout en bout sur chaque formulaire, hébergement suisse, support natif quadrilingue, et une posture conçue autour des attentes accrues du traitement de données du secteur public. Aucun upgrade payant pour la protection. Aucune dépendance au cloud états-unien pour la réception côté citoyen. Aucune copie tierce lisible de dossiers de plainte, de demandes d'aide ou de signalements de lanceurs d'alerte sur un serveur que l'agence ne contrôle pas.
Commencez avec un seul formulaire citoyen sur le palier gratuit. Hébergement suisse, chiffrement zéro-connaissance, support natif EN / DE / FR / IT — sans carte de crédit.
Avertissement : Cette page contient des informations générales et du contenu marketing, et ne constitue pas un conseil juridique, réglementaire ou de marchés publics. Les références à la nLPD, au RGPD, aux cadres de transparence et aux mécanismes de redevabilité du secteur public sont résumées au niveau conceptuel et soumises à interprétation selon la juridiction. La responsabilité de la protection des données citoyennes et de la conformité des marchés publics reste à la charge de l'organe public et de son DPO. Consultez un spécialiste qualifié en protection des données ou en droit administratif dans votre juridiction avant de vous appuyer sur un résumé présenté ici pour des décisions de conformité ou de marché.