☁️ SwissFarms
Microsoft 365 ou Google Workspace : lequel protège vraiment vos données selon la nLPD ?
CT
Votre organisation a choisi sa suite cloud pour des raisons de productivité. La nLPD, elle, pose des questions que votre contrat ne répond pas encore.
19/05/2026
10:10
Ce que "hébergement en Europe" veut vraiment dire
Les deux plateformes proposent des options d'hébergement "en Europe" ou "en Suisse" selon les plans souscrits. Mais l'hébergement des données au repos ne représente qu'une partie de l'équation. Ce que vos contrats ne précisent pas toujours : où les données sont traitées lors des opérations de support, de maintenance ou d'analyse de performance. Microsoft 365 propose depuis 2022 l'option "EU Data Boundary" — un périmètre de traitement européen. Mais cette option n'est pas activée par défaut et n'est disponible que sur certains plans. Sans activation explicite, vos données peuvent transiter vers des datacenters américains lors d'opérations de support. Google Workspace propose une option similaire avec "Données en Europe" pour les plans Enterprise. Les plans Business standard ne garantissent pas la même granularité de contrôle géographique. Dans les deux cas, la configuration par défaut d'une PME qui a souscrit en ligne sans accompagnement IT est rarement la configuration la plus protectrice au sens de la nLPD.
Ce qu'on observe sur le terrain
Dans nos audits cloud dans les PME et communes romandes, trois situations reviennent systématiquement. Première situation : la PME utilise Microsoft 365 Business Basic ou Google Workspace Business Starter — les plans les plus accessibles en prix — sans avoir évalué les implications en matière de localisation des données et de droits d'accès tiers. Deuxième situation : aucun contrat de traitement des données (DPA) n'a été formalisé avec le fournisseur. Or la nLPD exige que tout sous-traitant traitant des données personnelles pour votre compte soit encadré contractuellement. Un abonnement en ligne n'est pas un contrat de traitement conforme. Troisième situation : les journaux d'audit ne sont pas activés ou ne sont pas conservés suffisamment longtemps pour répondre aux exigences de traçabilité nLPD en cas d'incident. Ce que ça veut dire pour votre organisation : la nLPD impose que vous puissiez démontrer, en cas d'incident ou de contrôle, que des mesures techniques appropriées étaient en place. "Nous utilisions Microsoft 365" n'est pas une réponse suffisante. Ce qui compte : quelles options de localisation avez-vous activées, quel DPA avez-vous signé, et quels journaux d'audit conservez-vous.
Les 3 points à corriger en priorité
1. Localisation des données non configurée Vérifiez dans les paramètres administrateur si l'option de résidence des données en Europe est activée. Sur Microsoft 365, cherchez "EU Data Boundary" dans l'admin center. Sur Google Workspace, vérifiez les paramètres "Regions" dans la console d'administration. Si l'option n'existe pas sur votre plan actuel, c'est une décision à prendre maintenant. 2. Absence de DPA formalisé avec le fournisseur Microsoft et Google proposent tous deux des DPA adaptés à la nLPD. Ces documents doivent être signés et conservés. Un simple abonnement en ligne ne constitue pas un encadrement contractuel suffisant au sens de la loi suisse. 3. Journaux d'audit désactivés ou insuffisants Microsoft 365 propose des journaux d'audit dans le Centre de conformité Microsoft Purview. Google Workspace propose des journaux d'activité dans la console d'administration. Ces journaux doivent être activés, configurés pour une conservation suffisante, et exportés régulièrement.
L'approche Computis
Chez Computis, nous réalisons un audit cloud pour les PME et communes romandes qui utilisent Microsoft 365 ou Google Workspace — que vous soyez en place depuis 3 mois ou 5 ans. Nous vérifions la configuration de localisation des données, nous examinons les contrats en place, nous activons et configurons les journaux d'audit, et nous produisons un rapport documenté qui répond à la question : "Que pouvons-nous démontrer aujourd'hui si la nLPD nous en demande la preuve ?" Cybersécurité, cloud ou réseau — une seule équipe chez Computis. Pas de consultant cloud séparé, pas de transfert de dossier entre spécialistes.
68% des PME suisses hébergent des données hors Suisse sans le savoir. Ce que la nLPD exige vraiment de votre suite cloud.
FAQ
Notre fournisseur cloud est certifié ISO 27001 — sommes-nous conformes nLPD ?
La certification ISO 27001 atteste des pratiques de sécurité du fournisseur — elle ne garantit pas votre conformité nLPD en tant que responsable du traitement. La nLPD vous impose des obligations indépendantes : DPA signé, journaux d'audit, localisation des données configurée.
Nous sommes une PME de 15 personnes — la nLPD s'applique-t-elle vraiment à notre échelle ?
Oui. La nLPD s'applique à toute organisation établie en Suisse qui traite des données personnelles, quelle que soit sa taille. Les PME de moins de 20 collaborateurs traitent des données de clients, de fournisseurs et d'employés — toutes concernées.
La nLPD nous oblige-t-elle à choisir un hébergeur suisse ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.
Nous n'avons pas d'équipe IT interne — Computis peut-il gérer tout cela à notre place ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.
Comment fonctionne l'audit préliminaire Computis ?
L'audit préliminaire est une prestation payante qui produit un rapport documenté sur votre configuration cloud actuelle, vos contrats de traitement, et vos journaux d'audit. Son coût est intégralement déduit de la prestation si vous choisissez de travailler avec nous par la suite.
Sujets abordés
Cloud
nLPD
Microsoft 365
Google Workspace
SwissFarms
PME Suisse
Votre organisation utilise Microsoft 365 ou Google Workspace — mais avez-vous activé les protections nLPD qui vont avec ?
Chez Computis, nous réalisons un audit cloud préliminaire pour les PME et communes romandes sans équipe IT dédiée. Configuration, contrats, journaux d'audit — rapport documenté en une demi-journée. Notre audit préliminaire est payant et sérieux. Son coût est intégralement déduit de la prestation si vous décidez de travailler avec nous. Vous payez pour un vrai travail — et vous ne perdez rien si vous continuez. Cybersécurité, cloud ou réseau — chez Computis, vous avez un interlocuteur unique qui maîtrise les trois domaines.
