Chez Computis, nous accompagnons chaque semaine des PME romandes et des institutions publiques dans leurs choix d'infrastructure. Et depuis l'entrée en vigueur de la nLPD, une question revient systématiquement lors de nos audits : "Nos données sont-elles vraiment en Suisse ?" La réponse honnête, dans la majorité des cas, est : vous ne le savez pas avec certitude. Et votre contrat a été rédigé précisément pour que vous ne le demandiez pas.

68 % des PME suisses utilisent au moins un service cloud dont les données sont susceptibles d'être traitées hors de Suisse — souvent sans en avoir connaissance. La conformité nLPD ne se joue pas sur la bonne volonté. Elle se joue sur les clauses contractuelles.

Le problème : “Europe” ne veut pas dire “Suisse”

La Suisse n’est pas membre de l’Union européenne. Cette évidence juridique a des conséquences pratiques que beaucoup de PME ignorent encore. Quand votre fournisseur cloud mentionne un “hébergement en Europe”, il fait généralement référence à des datacenters situés en Irlande, aux Pays-Bas ou en Allemagne — soumis au RGPD européen, mais pas à la nLPD suisse.

Ce n’est pas qu’un détail de conformité. C’est une différence de régime juridique. Le RGPD et la nLPD partagent des principes communs, mais divergent sur des points concrets : délais de notification, droits des personnes concernées, obligations du responsable du traitement. Si vos données clients, vos données RH ou vos données financières sont hébergées hors de Suisse, vous opérez dans un cadre légal que votre contrat ne vous a probablement pas expliqué.

Ce qu’on observe dans les PME et communes romandes

Lors d’un audit récent pour une commune vaudoise de taille moyenne, nous avons identifié que trois outils métiers utilisés quotidiennement — messagerie, gestion documentaire, outil RH — hébergeaient leurs données dans des régions AWS ou Azure situées hors de Suisse. Les contrats avaient été signés sans que la localisation des données soit vérifiée. Aucun registre des traitements ne mentionnait ces flux transfrontaliers.

Dans une PME de services financiers de 20 collaborateurs, l’outil de comptabilité SaaS utilisé depuis trois ans transférait automatiquement des sauvegardes vers des serveurs situés aux États-Unis — une clause enfouie à la page 34 des conditions générales. Résultat : un transfert de données vers un pays tiers sans mécanisme de protection adéquat au sens de la nLPD.

Les trois angles morts à corriger en priorité

• Aucun registre des traitements à jour.

  La nLPD exige que les organisations d’une certaine taille tiennent un registre des activités de traitement — incluant la localisation des données et les sous-traitants impliqués. Dans la réalité des PME que nous accompagnons, ce registre est absent dans la majorité des cas, ou daté de plusieurs années. C’est le premier document demandé lors d’un contrôle.

• Des contrats cloud signés sans clause de localisation.

  La plupart des contrats SaaS grand public ne garantissent pas la localisation des données en Suisse par défaut. Il faut l’exiger explicitement — souvent via un avenant, une Data Processing Agreement (DPA) spécifique, ou en optant pour une offre “Swiss hosted” quand elle existe. Sans cette clause, votre fournisseur peut déplacer vos données librement.

• Confusion entre conformité RGPD et conformité nLPD.

  Vos fournisseurs européens sont conformes RGPD — ils vous le rappellent à chaque opportunité. Mais la conformité RGPD ne garantit pas la conformité nLPD. Ce sont deux régimes distincts, avec des obligations distinctes. Faire confiance au badge “RGPD compliant” de votre fournisseur ne vous protège pas en droit suisse.

L’approche Computis : cartographier avant de migrer

La souveraineté des données ne se règle pas en changeant de fournisseur cloud du jour au lendemain. Elle se construit avec une cartographie précise de l’existant, une analyse contractuelle rigoureuse, et un plan de mise en conformité réaliste — calibré à la taille et aux moyens de votre structure.

Chez Computis, notre approche commence par un audit préliminaire de vos flux de données : identification de tous les outils SaaS et services cloud en usage, localisation effective des données, analyse des contrats et des DPA existants, évaluation des risques nLPD par catégorie de données. Nous produisons ensuite une cartographie documentée et des recommandations priorisées — migration vers des offres Swiss hosted quand c’est justifié, mise en place de garanties contractuelles quand la migration n’est pas nécessaire, registre des traitements conforme nLPD.

L’objectif n’est pas de vous faire migrer vers le cloud suisse à tout prix. C’est de vous donner une vision claire de votre exposition réelle — et de vous permettre de prendre des décisions éclairées.

Ce que ça donne concrètement pour votre organisation :

Ce qu’il faut retenir

La souveraineté des données n’est pas un argument marketing réservé aux grandes entreprises. C’est une obligation légale qui s’applique à votre PME, à votre commune, à votre institution — dès lors que vous traitez des données personnelles. Et dans neuf cas sur dix, l’exposition commence non pas par une cyberattaque, mais par un contrat signé sans lire la clause sur la localisation des données.

FAQ

Notre fournisseur est certifié ISO 27001 et conforme RGPD — sommes-nous couverts côté nLPD ?

Pas automatiquement. La certification ISO 27001 couvre la sécurité de l’information, pas la conformité au droit suisse. La conformité RGPD ne vaut que dans l’espace juridique européen. Pour être conforme nLPD, vous devez vérifier indépendamment que les obligations spécifiques à la loi suisse sont respectées — notamment sur les transferts vers des pays tiers et les droits des personnes concernées.

Faut-il absolument migrer vers un hébergeur suisse pour être conforme nLPD ?

Non. La nLPD autorise les transferts de données vers des pays tiers sous certaines conditions — notamment si le pays offre un niveau de protection adéquat reconnu par le Conseil fédéral, ou si des garanties contractuelles appropriées sont en place (clauses contractuelles types, règles d’entreprise contraignantes). La migration vers un hébergeur suisse est une option, pas une obligation systématique.

Le registre des traitements est-il obligatoire pour une PME de moins de 50 collaborateurs ?

La nLPD prévoit une exemption pour les entreprises de moins de 250 employés, mais uniquement si le traitement ne présente pas de risque élevé pour les personnes concernées. Dès lors que vous traitez des données sensibles — données de santé, données financières, données RH — l’exemption ne s’applique plus. Dans la pratique, la très grande majorité des PME romandes que nous accompagnons ont intérêt à tenir ce registre, ne serait-ce que pour leur propre visibilité.

Nous n’avons pas d’équipe IT interne — Computis peut-il gérer la mise en conformité nLPD à notre place ?

Oui. C’est précisément notre modèle pour les PME et communes sans ressource IT ou juridique dédiée. Nous assurons l’audit, la cartographie, la rédaction des documents de conformité et le suivi dans le temps — vous gardez le contrôle, sans la charge opérationnelle.

Comment fonctionne concrètement l’audit préliminaire Computis sur ce sujet ?

L’audit préliminaire est une prestation payante qui produit un rapport documenté : inventaire de vos outils SaaS et services cloud, localisation effective des données, analyse des contrats et DPA existants, évaluation de votre exposition nLPD par catégorie de données, recommandations priorisées. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous par la suite.

Abonnez-vous — chaque mardi, un éclairage concret sur l'IT et la cybersécurité pour les PME et institutions suisses.