☁️ SwissFarms
Vos données sont-elles vraiment en Suisse ? Ce que votre contrat cloud ne vous dit pas
CT
Votre fournisseur cloud dit 'hébergement en Europe'. Votre contrat dit autre chose. Et la nLPD, elle, ne fait pas de distinction.
28/04/2026
10:10
Le problème : "Europe" ne veut pas dire "Suisse"
La Suisse n'est pas membre de l'Union européenne. Cette évidence juridique a des conséquences pratiques que beaucoup de PME ignorent encore. Quand votre fournisseur cloud mentionne un "hébergement en Europe", il fait généralement référence à des datacenters situés en Irlande, aux Pays-Bas ou en Allemagne — soumis au RGPD européen, mais pas à la nLPD suisse. Ce n'est pas qu'un détail de conformité. C'est une différence de régime juridique. Le RGPD et la nLPD partagent des principes communs, mais divergent sur des points concrets : délais de notification, droits des personnes concernées, obligations du responsable du traitement. Si vos données clients, vos données RH ou vos données financières sont hébergées hors de Suisse, vous opérez dans un cadre légal que votre contrat ne vous a probablement pas expliqué. Suisse n'est pas membre de l'Union Européenne. La nLPD (nouvelle Loi fédérale sur la Protection des Données), entrée en vigueur le 1er septembre 2023, définit ses propres exigences en matière de transfert de données — distinctes du RGPD européen.Pour qu'un transfert de données vers un pays étranger soit conforme à la nLPD, ce pays doit disposer d'une protection adéquate reconnue par le Préposé fédéral à la protection des données (PFPDT). Certains pays européens sont reconnus — mais le cadre contractuel avec votre fournisseur doit le démontrer explicitement.
Ce qu'on observe dans les PME et communes romandes
Lors d'un audit récent pour une commune vaudoise de taille moyenne, nous avons identifié que trois outils métiers utilisés quotidiennement — messagerie, gestion documentaire, outil RH — hébergeaient leurs données dans des régions AWS ou Azure situées hors de Suisse. Les contrats avaient été signés sans que la localisation des données soit vérifiée. Aucun registre des traitements ne mentionnait ces flux transfrontaliers. Dans une PME de services financiers de 20 collaborateurs, l'outil de comptabilité SaaS utilisé depuis trois ans transférait automatiquement des sauvegardes vers des serveurs situés aux États-Unis — une clause enfouie à la page 34 des conditions générales. Depuis le 1er septembre 2023, la nLPD impose à toute organisation traitant des données personnelles en Suisse de documenter ses flux de données, d'évaluer les risques liés aux transferts vers des pays tiers, et de mettre en place des garanties appropriées. L'ignorance du lieu d'hébergement n'est pas une défense recevable.
Les trois angles morts à corriger en priorité
1. Aucun registre des traitements à jour La nLPD exige que les organisations tiennent un registre des activités de traitement — incluant la localisation des données et les sous-traitants impliqués. Dans la réalité des PME que nous accompagnons, ce registre est absent dans la majorité des cas, ou daté de plusieurs années. C'est le premier document demandé lors d'un contrôle. 2. Des contrats cloud signés sans clause de localisation La plupart des contrats SaaS grand public ne garantissent pas la localisation des données en Suisse par défaut. Il faut l'exiger explicitement — souvent via un avenant, une Data Processing Agreement (DPA) spécifique, ou en optant pour une offre "Swiss hosted" quand elle existe. Sans cette clause, votre fournisseur peut déplacer vos données librement. 3. Confusion entre conformité RGPD et conformité nLPD Vos fournisseurs européens sont conformes RGPD — ils vous le rappellent à chaque opportunité. Mais la conformité RGPD ne garantit pas la conformité nLPD. Ce sont deux régimes distincts, avec des obligations distinctes.
L'approche Computis : cartographier avant de migrer
La souveraineté des données ne se règle pas en changeant de fournisseur cloud du jour au lendemain. Elle se construit avec une cartographie précise de l'existant, une analyse contractuelle rigoureuse, et un plan de mise en conformité réaliste. Chez Computis, notre approche commence par un audit préliminaire de vos flux de données : identification de tous les outils SaaS et services cloud en usage, localisation effective des données, analyse des contrats et des DPA existants, évaluation des risques nLPD par catégorie de données. Nous produisons ensuite une cartographie documentée et des recommandations priorisées — migration vers des offres Swiss hosted quand c'est justifié, mise en place de garanties contractuelles quand la migration n'est pas nécessaire, registre des traitements conforme nLPD. L'objectif n'est pas de vous faire migrer vers le cloud suisse à tout prix. C'est de vous donner une vision claire de votre exposition réelle — et de vous permettre de prendre des décisions éclairées.
68% des PME suisses hébergent des données hors Suisse sans le savoir. Ce que la nLPD exige sur la souveraineté des données cloud.
FAQ
Notre fournisseur est certifié ISO 27001 et conforme RGPD — sommes-nous couverts côté nLPD ?
Pas automatiquement. La certification ISO 27001 couvre la sécurité de l'information, pas la conformité au droit suisse. La conformité RGPD ne vaut que dans l'espace juridique européen. Pour être conforme nLPD, vous devez vérifier indépendamment que les obligations spécifiques à la loi suisse sont respectées.
Devons-nous migrer vers un hébergeur suisse pour être conformes ?
Non. La nLPD autorise les transferts de données vers des pays tiers sous certaines conditions — notamment si le pays offre un niveau de protection adéquat reconnu par le Conseil fédéral, ou si des garanties contractuelles appropriées sont en place. La migration vers un hébergeur suisse est une option, pas une obligation systématique.
Le registre des traitements est-il obligatoire pour une PME de moins de 50 collaborateurs ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT ou juridique dédiée. Nous assurons l'audit, la cartographie, la rédaction des documents de conformité et le suivi dans le temps — vous gardez le contrôle, sans la charge opérationnelle.
Nous n'avons pas d'équipe IT interne — Computis peut-il gérer la mise en conformité nLPD à notre place ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT ou juridique dédiée. Nous assurons l'audit, la cartographie, la rédaction des documents de conformité et le suivi dans le temps — vous gardez le contrôle, sans la charge opérationnelle.
Comment fonctionne concrètement l'audit préliminaire Computis sur ce sujet ?
L'audit préliminaire est une prestation payante qui produit un rapport documenté : inventaire de vos outils SaaS et services cloud, localisation effective des données, analyse des contrats et DPA existants, évaluation de votre exposition nLPD par catégorie de données, recommandations priorisées. Son coût est intégralement déduit si vous choisissez de travailler avec nous.
Sujets abordés
Cloud
SwissFarms
nLPD
Souveraineté données
SwissFarms
PME
Savez-vous exactement où sont hébergées vos données clients en ce moment ?
Si la réponse est "quelque part en Europe, je crois", c'est le moment de vérifier. Chez Computis, nous réalisons un audit préliminaire complet de vos flux de données : cartographie des outils SaaS, localisation effective des données, analyse contractuelle et évaluation de votre exposition nLPD. Résultats documentés, recommandations priorisées. Notre audit préliminaire est payant et sérieux. Son coût est intégralement déduit de la prestation si vous décidez de travailler avec nous. Cybersécurité, cloud ou réseau — un seul interlocuteur chez Computis.
