Hébergement en Suisse : mythe ou nécessité ? Ce que la nLPD dit vraiment
"Hébergez en Suisse" est devenu un argument de vente. Mais entre l'obligation légale réelle et le marketing de la souveraineté, la frontière est plus floue qu'on ne vous le dit.
Chez Computis, nous accompagnons chaque semaine des PME romandes et des institutions publiques dans leurs choix d'infrastructure cloud. Et depuis l'entrée en vigueur de la nLPD, une phrase revient partout — chez les fournisseurs, dans les argumentaires commerciaux, dans les esprits : "Il faut héberger vos données en Suisse." Séduisante. Rassurante. Et pas tout à fait exacte.
La nLPD n'impose pas l'hébergement en Suisse. Elle impose que les transferts de données vers l'étranger soient encadrés par des garanties appropriées. La nuance n'est pas juridique, elle est stratégique. Elle change ce que vous devez réellement faire, et ce que vous payez pour.
Ce que la loi impose réellement
La nLPD, entrée en vigueur le 1er septembre 2023, ne contient aucune obligation générale d'héberger les données en Suisse. Ce qu'elle impose, c'est un cadre pour les transferts de données personnelles vers l'étranger.
Concrètement : vous pouvez transférer des données vers un pays tiers si ce pays offre un niveau de protection adéquat reconnu par le Conseil fédéral, ou si des garanties appropriées sont en place, clauses contractuelles types, règles d'entreprise contraignantes, ou autres mécanismes reconnus.
L'Union européenne, par exemple, bénéficie d'une reconnaissance d'adéquation. Héberger des données dans un datacenter allemand ou irlandais soumis au RGPD est donc possible sous nLPD, à condition que le cadre contractuel soit correctement établi.
Le mythe de "l'hébergement suisse obligatoire" vient d'une confusion entre ce qui est prudent et ce qui est requis. Héberger en Suisse simplifie la conformité. Cela ne la garantit pas, et cela ne la remplace pas.
Ce qu'on observe sur le terrain
Dans une PME de services de 30 collaborateurs, nous avons rencontré une situation fréquente : l'organisation avait payé un surcoût significatif pour une offre "100% suisse", en pensant régler définitivement sa conformité nLPD. Mais aucun registre des traitements n'existait, aucun contrat de sous-traitance n'avait été formalisé, et les
sauvegardes partaient vers un service tiers hors de Suisse. L'hébergement suisse ne compensait pas l'absence des mesures de base.
À l'inverse, une commune vaudoise utilisait Microsoft 365 hébergé en Europe, avec un DPA correctement signé, une configuration de résidenc des données activée, et un registre des traitements à jour. Elle était plus solide, en termes de conformité réelle, que la PME "100% suisse" sans documentation.
🇨🇭 Ce que ça veut dire pour votre organisation
L'hébergement suisse est une option, pas une obligation. Ce qui est obligatoire, c'est de savoir où sont vos données, d'encadrer contractuellement leurs transferts, et de documenter le tout. Un hébergement suisse sans ces éléments ne vous protège pas. Un hébergement européen avec ces éléments peut être parfaitement conforme.
Les 3 questions à se poser avant de payer
1. Où sont réellement traitées vos données ?
Avant de choisir où héberger, cartographiez où vos données vont aujourd'hui. Beaucoup d'organisations paient pour un hébergement suisse principal tout
en laissant des flux secondaires — sauvegardes, outils SaaS annexes, analytics, partir hors de Suisse sans le savoir. La localisation du serveur principal ne dit rien des flux périphériques.
2. Le cadre contractuel est-il en place ?
Que vous hébergiez en Suisse ou en Europe, la question du contrat de traitement (DPA) reste centrale. Un hébergement suisse sans DPA formalisé n'est pas plus conforme qu'un hébergement européen sans DPA. Le contrat prime souvent sur la géographie.
3. Quel est votre besoin réel de souveraineté ?
Certaines données, santé, données sensibles d'administrés, secrets professionnels, justifient pleinement un hébergement suisse. D'autres non. Payer un surcoût de souveraineté sur des données qui ne l'exigent pas est une dépense mal orientée. La bonne question n'est pas "suisse ou pas", mais "quelles données, quel niveau de protection".
L'approche Computis
La souveraineté des données n'est pas une case à cocher, c'est une décision qui se prend données par données, en fonction de leur sensibilité réelle et de vos obligations effectives.
Chez Computis, notre approche pour les PME et communes romandes fonctionne en trois temps. D'abord, un audit préliminaire : cartographie de vos flux de données, localisation effective, analyse des contrats existants, évaluation de votre exposition nLPD réelle. Ensuite, les recommandations : quelles données justifient un hébergement suisse, lesquelles sont conformes en Europe avec le bon cadre, où formaliser des DPA. Enfin, la mise en œuvre : migration ciblée quand
c'est justifié, mise en place des garanties contractuelles, registre des traitements conforme.
L'objectif n'est pas de tout migrer en Suisse à tout prix. C'est de payer pour la souveraineté là où elle est nécessaire, et pas là où elle ne l'est pas.
Passez à l'action
Payez-vous pour un hébergement suisse dont vous n'avez pas besoin, ou en manquez-vous là où il serait nécessaire ? Chez Computis, nous réalisons un audit préliminaire de vos flux de données et de votre exposition nLPD pour les PME et communes romandes sans équipe IT dédiée. Localisation, contrats, souveraineté, rapport documenté.
✅ Notre audit préliminaire est payant et sérieux. Son coût est intégralement déduit de la prestation si vous décidez de travailler avec nous.
👤 Cybersécurité, cloud ou réseau, chez Computis, vous avez un interlocuteur unique qui maîtrise les trois domaines. Pas de transfert de dossier, pas de prestataire tiers.
Ce qu'il faut retenir
L'hébergement suisse n'est ni un mythe inutile, ni une obligation universelle. C'est un outil de conformité, pertinent pour certaines données, superflu pour d'autres. La vraie compétence n'est pas de tout héberger en Suisse — c'est de savoir ce qui doit l'être, et pourquoi. C'est exactement là que nous intervenons.
FAQ
La nLPD nous oblige-t-elle à héberger nos données en Suisse ?
Non. La nLPD n'impose pas l'hébergement suisse. Elle impose que les transferts de données vers l'étranger soient encadrés par des garanties appropriées, reconnaissance d'adéquation, clauses contractuelles types, ou autres mécanismes reconnus. L'hébergement suisse est une option qui simplifie la conformité, pas une obligation.
Alors pourquoi tant de fournisseurs insistent sur "l'hébergement 100% suisse" ?
Parce que c'est un argument de vente efficace et rassurant. Il n'est pas faux, un hébergement suisse simplifie effectivement certains aspects de la conformité. Mais il est souvent présenté comme une solution complète alors qu'il ne remplace ni le DPA, ni le registre des traitements, ni la cartographie des flux.
Peut-on être conforme nLPD avec Microsoft 365 ou Google Workspace hébergés en Europe ?
Oui, sous conditions. Avec un DPA correctement signé, une configuration de résidence des données appropriée et un registre des traitements à jour, un hébergement européen peut être parfaitement conforme nLPD. Le cadre contractuel et documentaire prime souvent sur la seule géographie du serveur.
Nous n'avons pas d'équipe IT interne, Computis peut-il gérer tout cela à notre place ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT ou juridique dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe, vous avez un interlocuteur unique qui assure l'audit, la cartographie, la mise en conformité et le suivi.
Comment fonctionne l'audit préliminaire Computis sur ce sujet ?
L'audit préliminaire est une prestation payante qui produit un rapport documenté : cartographie de vos flux de données, localisation effective, analyse des contrats et DPA existants, évaluation de votre exposition nLPD, recommandations priorisées sur ce qui justifie un hébergement suisse et ce qui ne l'exige pas. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous par la suite.
Abonnez-vous, chaque mardi, un éclairage concret sur l'IT et la cybersécurité pour les PME et institutions suisses.



