Entrée en vigueur le 1er septembre 2023, la nouvelle Loi fédérale sur la Protection des Données (nLPD) a profondément modifié le cadre juridique applicable au traitement des données personnelles en Suisse. Si beaucoup de PME ont entendu parler de cette révision, peu ont clairement fait le lien entre leurs obligations légales et leurs choix d'hébergement IT. Pourtant, où vous stockez vos données, chez quel prestataire et sous quelle juridiction, a des conséquences directes sur votre conformité. Voici ce que vous devez savoir.
Qu'est-ce que la nLPD ?
La nLPD est la version révisée de la loi suisse sur la protection des données, adoptée pour moderniser un texte qui datait de 1992 et s'aligner sur les standards européens, notamment le RGPD. Elle s'applique à toute organisation qui traite des données personnelles de personnes physiques en Suisse, quelle que soit sa taille. Contrairement au RGPD européen, la nLPD ne prévoit pas de seuil minimal — une PME de 5 personnes est autant concernée qu'un grand groupe.
Ce que la nLPD change concrètement
Obligation de déclarer les violations de données
Toute violation de données personnelles susceptible d'engendrer un risque élevé pour les personnes concernées doit être notifiée au Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais. Un hébergement mal sécurisé ou chez un prestataire peu fiable augmente ce risque.
Registre des activités de traitement
Les entreprises qui traitent des données sensibles à grande échelle doivent tenir un registre des activités de traitement. Ce registre doit notamment indiquer où les données sont stockées et qui y a accès.
Transferts de données à l'étranger
La nLPD encadre strictement les transferts de données personnelles vers des pays n'offrant pas un niveau de protection adéquat. Les États-Unis, par exemple, ne figurent pas sur la liste des pays reconnus comme adéquats par la Suisse sans garanties contractuelles supplémentaires.
Responsabilité des sous-traitants
Si vous confiez le traitement de données à un prestataire externe — hébergeur, éditeur SaaS, intégrateur — vous restez responsable du traitement. Vous devez vous assurer que votre prestataire offre des garanties suffisantes et conclure un contrat de traitement des données.
Privacy by design et by default
La protection des données doit être intégrée dès la conception de vos systèmes et active par défaut. Cela implique de choisir des solutions d'hébergement qui permettent cette maîtrise.
Le lien direct avec votre hébergement IT
Où sont physiquement vos données ?
C'est la question fondamentale. Si vos données sont hébergées en Suisse, chez un opérateur suisse, vous opérez dans un cadre juridique clair et maîtrisé. Si elles sont hébergées à l'étranger — même dans un datacenter européen — vous devez vous assurer que le transfert est encadré par des garanties contractuelles adéquates.
Le problème du Cloud Act américain
Les grands fournisseurs de cloud américains (AWS, Microsoft Azure, Google Cloud) sont soumis au Cloud Act, qui permet aux autorités américaines d'exiger l'accès à des données stockées par ces entreprises, même sur des serveurs situés en Europe ou en Suisse. Cela crée une tension directe avec les exigences de la nLPD sur les transferts internationaux. Choisir un hébergeur suisse indépendant, non soumis à cette juridiction, est une façon simple d'éviter cette problématique.
Qui a accès à vos données ?
La nLPD exige que vous puissiez répondre précisément à cette question. Avec un hébergement en colocation en Suisse, vous savez exactement qui peut accéder physiquement à vos serveurs et dans quelles conditions. Avec un cloud public mutualisé, cette visibilité est structurellement plus limitée.
Les données sensibles : un régime renforcé
La nLPD distingue les données "ordinaires" des données "sensibles" — données de santé, opinions religieuses ou politiques, données biométriques, données sur des poursuites pénales, etc. Si vous traitez des données sensibles, les exigences sont encore plus strictes, notamment en matière de localisation et de sécurité.
Ce que ça implique pratiquement pour votre PME
Si vous utilisez un ERP, CRM ou logiciel métier en SaaS : Vérifiez où sont hébergées les données de votre éditeur. Un contrat de traitement des données (CTD) doit être en place. Si l'éditeur héberge hors de Suisse ou de l'UE sans garanties adéquates, vous êtes potentiellement en infraction.
Si vous gérez votre propre infrastructure : Privilégiez un hébergement en Suisse chez un opérateur indépendant. Documentez où sont vos données, qui y accède et comment elles sont protégées. Tenez votre registre des activités de traitement à jour.
Si vous faites appel à un prestataire IT ou MSP : Assurez-vous qu'un contrat de traitement des données est signé. Vérifiez que votre prestataire peut documenter la localisation des données et les mesures de sécurité en place.
Checklist nLPD pour votre hébergement
- ☐ Savez-vous où sont physiquement stockées vos données ?
- ☐ Votre hébergeur est-il soumis à la juridiction suisse uniquement ?
- ☐ Un contrat de traitement des données est-il en place avec chaque prestataire ?
- ☐ Votre registre des activités de traitement est-il à jour ?
- ☐ Avez-vous une procédure en cas de violation de données ?
- ☐ Vos données sensibles bénéficient-elles d'un niveau de protection renforcé ?
Héberger en Suisse : une réponse simple à une question complexe
La conformité nLPD n'impose pas nécessairement de tout réarchitecturer. Pour beaucoup de PME suisses, la réponse la plus simple et la plus robuste est d'héberger leurs données chez un opérateur suisse indépendant — dans un datacenter physiquement situé en Suisse, sous juridiction suisse, sans dépendance à des groupes étrangers soumis à des législations extraterritoriales. Ce n'est pas une garantie absolue de conformité — vous devez toujours documenter vos traitements et former vos équipes — mais c'est une base solide qui simplifie considérablement votre démarche.
En résumé
La nLPD ne se limite pas à une question de formulaires ou de politique de confidentialité. Elle touche directement à vos choix d'infrastructure IT. Savoir où sont vos données, sous quelle juridiction et avec quelles garanties, est devenu une obligation légale, pas un simple souci de bonne pratique.
AlpineDC dispose de salles dédiées à Lausanne et Crissier, avec un réseau autonome AS198385 et une connectivité multi-opérateurs. Nos infrastructures sont exclusivement situées en Suisse et opérées par une équipe locale.