Où sont réellement vos données ?
Chaque jour, votre entreprise génère et traite des données sensibles : factures, contrats, données des employés, informations bancaires, correspondance avec les clients et fournisseurs. Mais savez-vous exactement où ces données sont stockées ? Sur quel serveur, dans quel pays, sous quelle juridiction ?
Avec l'entrée en vigueur de la nouvelle Loi sur la protection des données (nLPD) le 1er septembre 2023, la Suisse a introduit des obligations strictes pour le traitement et la localisation des données personnelles. Pour les PME et les fiduciaires, le choix du fournisseur cloud n'est plus une décision purement technique : c'est une question de conformité juridique, de réputation et de responsabilité civile.
Ce guide analyse pourquoi le cloud suisse représente le choix le plus sûr pour les données d'entreprise, en comparant les juridictions CH, UE et USA, en examinant les certifications nécessaires et en fournissant des critères concrets pour évaluer un fournisseur cloud de manière éclairée.
nLPD et obligations d'hébergement
La nouvelle Loi fédérale sur la protection des données (nLPD) et l'Ordonnance relative (OLPD) imposent des exigences spécifiques pour l'hébergement et le traitement des données personnelles :
Localisation des données (art. 16 nLPD)
Le transfert de données personnelles à l'étranger n'est autorisé que vers des pays offrant un niveau de protection adéquat reconnu par le Conseil fédéral. En l'absence d'une telle reconnaissance, des garanties contractuelles spécifiques (CSC) ou le consentement explicite de la personne concernée sont requis.
Responsabilité du responsable du traitement (art. 5 nLPD)
Le responsable du traitement reste responsable même lorsqu'il confie les données à un fournisseur cloud externe. Il doit vérifier que le fournisseur garantit une sécurité adéquate et respecte les instructions contractuelles de traitement.
Sécurité technique et organisationnelle (art. 8 nLPD)
Le responsable et le sous-traitant doivent adopter des mesures techniques et organisationnelles adaptées au risque : chiffrement, contrôle des accès, sauvegarde, journalisation et plans de continuité opérationnelle.
Registre des activités de traitement (art. 12 nLPD)
Les entreprises de plus de 250 employés (ou traitant des données sensibles à grande échelle) doivent tenir un registre des activités de traitement incluant les catégories de données, les finalités, les destinataires et les mesures de sécurité adoptées.
Notification des violations (art. 24 nLPD)
En cas de violation de la sécurité des données, le responsable du traitement doit notifier rapidement le PFPDT (Préposé fédéral à la protection des données). Un hébergement dans des juridictions étrangères peut compliquer les délais et les modalités de notification.
Différences juridiques : CH vs UE vs USA
La juridiction dans laquelle résident les données détermine quelles lois s'appliquent, qui peut y accéder et avec quelles garanties. Voici une comparaison directe entre les trois principales juridictions :
| Critère | Suisse (nLPD) | UE (RGPD) | USA (CLOUD Act) |
|---|---|---|---|
| Loi applicable | nLPD + OLPD (dès le 1.9.2023) | RGPD (dès le 25.5.2018) | CLOUD Act + ECPA + lois sectorielles |
| Accès gouvernemental aux données | Uniquement sur ordonnance d'un tribunal suisse ; pas d'accès massif | Possible sur ordonnance judiciaire ; variable selon l'État membre | CLOUD Act : accès extraterritorial même aux données stockées à l'étranger |
| Transfert transfrontalier de données | Autorisé uniquement vers des pays adéquats (liste PFPDT) ou avec CSC | Autorisé avec décision d'adéquation ou CSC | Aucune restriction en sortie ; forte pression en entrée (FISA 702) |
| Sanctions maximales | CHF 250'000 (responsabilité personnelle du dirigeant) | 20 millions € ou 4 % du chiffre d'affaires mondial | Variables ; sanctions FTC, recours collectifs |
| Droit à l'effacement | Oui, art. 32 nLPD | Oui, art. 17 RGPD | Limité, uniquement dans certains États (CCPA en Californie) |
| Adéquation réciproque | CH reconnaît l'UE ; l'UE reconnaît la CH | L'UE reconnaît la CH comme adéquate | EU-US Data Privacy Framework (instable, déjà invalidé deux fois) |
Attention : le CLOUD Act américain permet aux autorités américaines de demander l'accès aux données gérées par des entreprises américaines, quel que soit l'endroit où les données sont physiquement stockées. Cela inclut des fournisseurs comme AWS, Azure et Google Cloud, même si les serveurs se trouvent en Europe ou en Suisse.
Exigences pour le cloud d'entreprise
Un fournisseur cloud destiné à héberger des données d'entreprise sensibles doit satisfaire une série d'exigences techniques et organisationnelles fondamentales :
- Centres de données situés physiquement en Suisse, avec infrastructure redondante et classification Tier III ou supérieure pour garantir une disponibilité ≥ 99,982 %
- Chiffrement de bout en bout des données au repos (AES-256) et en transit (TLS 1.3), avec gestion des clés séparée du fournisseur (BYOK — Bring Your Own Key)
- Contrôle d'accès granulaire basé sur les rôles (RBAC) avec authentification multi-facteurs (MFA) obligatoire pour tous les utilisateurs administratifs
- Sauvegardes automatiques quotidiennes avec réplication géographique sur au moins deux sites suisses distincts, et tests de restauration documentés au moins une fois par an
- SLA (Service Level Agreement) avec disponibilité garantie ≥ 99,9 %, temps de réponse définis pour les incidents critiques et pénalités contractuelles en cas de non-respect
- Plan de continuité d'activité (PCA) et plan de reprise d'activité (PRA) documentés, testés annuellement, avec RTO (Recovery Time Objective) ≤ 4 heures et RPO (Recovery Point Objective) ≤ 1 heure
Certifications et standards de sécurité
Les certifications attestent que le fournisseur cloud adhère à des standards reconnus internationalement pour la sécurité de l'information. Voici les plus pertinentes pour le contexte suisse :
ISO/IEC 27001
La norme internationale pour les systèmes de management de la sécurité de l'information (SMSI). Elle couvre la gestion des risques, les politiques de sécurité, le contrôle des accès et la gestion des incidents. C'est l'exigence minimale pour tout fournisseur cloud sérieux.
SOC 2 Type II
Un audit indépendant réalisé selon les critères AICPA (Trust Services Criteria) : sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée. Le Type II vérifie l'efficacité des contrôles dans le temps (généralement 6 à 12 mois).
Circulaires FINMA (pour le secteur financier)
Les circulaires FINMA 2018/03 (externalisation) et 2023/01 (risques opérationnels) définissent des exigences spécifiques pour l'externalisation IT dans le secteur financier suisse. Pertinent pour les fiduciaires avec des mandats réglementés et les établissements financiers.
ISO/IEC 27017 et 27018
Extensions de la norme 27001 spécifiques au cloud : la 27017 couvre les contrôles de sécurité pour les services cloud, la 27018 se concentre sur la protection des données personnelles (PII) dans le cloud public.
C5 / ISAE 3402
Le Cloud Computing Compliance Criteria Catalogue (C5) du BSI allemand et l'ISAE 3402 sont des standards d'audit pour les contrôles internes des prestataires de services. De plus en plus demandés par les entreprises suisses ayant des opérations internationales.
Comment évaluer un fournisseur cloud
Choisir un fournisseur cloud est une décision stratégique. Voici les six critères fondamentaux à analyser avant de confier les données d'entreprise à un prestataire externe :
Juridiction et siège social
Vérifiez que le fournisseur a son siège social en Suisse et que les centres de données sont physiquement situés sur le territoire suisse. Un fournisseur basé aux USA est soumis au CLOUD Act, même si les serveurs sont en Suisse. Privilégiez les entreprises 100 % suisses.
Certifications et audits
Demandez les certifications ISO 27001, SOC 2 Type II et, si vous opérez dans le secteur financier, la conformité aux circulaires FINMA. Vérifiez que les audits sont récents (12 derniers mois) et réalisés par des organismes indépendants reconnus.
Contrat et SLA
Analysez le contrat de service : disponibilité garantie, temps de réponse aux incidents, pénalités, clauses de sortie et portabilité des données. Un bon fournisseur offre des SLA avec disponibilité ≥ 99,9 % et temps de réponse ≤ 15 minutes pour les incidents critiques.
Chiffrement et gestion des clés
Vérifiez que les données sont chiffrées au repos et en transit avec des standards actuels (AES-256, TLS 1.3). Idéalement, le fournisseur devrait supporter BYOK ou HYOK (Hold Your Own Key) pour vous garantir un contrôle exclusif sur les clés de chiffrement.
Sauvegarde et reprise d'activité
Demandez des détails sur la fréquence des sauvegardes, la réplication géographique, les temps de restauration (RTO/RPO), les tests de récupération documentés et la procédure de notification en cas d'incident. Un fournisseur fiable teste la restauration au moins trimestriellement.
Support et transparence
Évaluez la qualité du support technique : disponibilité 24/7, canaux de contact, temps d'escalade, langue. Vérifiez la transparence sur les incidents passés (page de statut publique, post-mortems publiés) et la volonté de partager les résultats des audits.
Avantages du cloud suisse
Choisir un fournisseur cloud suisse offre des avantages concrets qui vont au-delà de la simple conformité réglementaire :
Souveraineté juridique
Les données restent sous la juridiction suisse, protégées par la nLPD et non soumises au CLOUD Act américain ni à des demandes d'accès extraterritoriales. En cas de litige, le droit suisse s'applique devant les tribunaux suisses.
Stabilité politique et réglementaire
La Suisse est reconnue internationalement pour la stabilité de son cadre juridique et la sécurité du droit. Les règles de protection des données ne changent pas par décrets d'urgence ou ordres exécutifs.
Latence et performance
Des centres de données en Suisse signifient des latences minimales pour les utilisateurs locaux (typiquement < 5 ms). Pour les applications comptables et de gestion en temps réel, la proximité physique du serveur fait une différence tangible.
Confiance des clients et partenaires
Communiquer à vos clients que les données sont stockées en Suisse est un avantage concurrentiel concret, particulièrement pour les fiduciaires, les cabinets d'avocats et les entreprises traitant des données financières sensibles.
Conformité automatique nLPD
Avec un fournisseur suisse, il n'est pas nécessaire de recourir à des clauses contractuelles types (CSC) ni de vérifier les décisions d'adéquation du Conseil fédéral. Le transfert transfrontalier n'existe tout simplement pas.
Support local et langue
Un fournisseur suisse offre un support dans les langues nationales (IT, DE, FR), comprend le contexte réglementaire local et peut répondre aux besoins spécifiques des PME et fiduciaires suisses sans barrières culturelles ou de fuseau horaire.
Conseils pratiques
- Cartographiez tous les services cloud actuellement utilisés dans votre entreprise (e-mail, stockage, comptabilité, CRM) et vérifiez pour chacun où résident physiquement les données et sous quelle juridiction tombe le fournisseur
- Pour les données les plus sensibles (comptabilité, données des employés, informations bancaires), privilégiez toujours un fournisseur cloud avec siège social et centres de données exclusivement en Suisse
- Insérez dans le contrat avec le fournisseur une clause interdisant explicitement le transfert des données hors de Suisse sans votre consentement écrit
- Demandez au fournisseur les certifications ISO 27001 et SOC 2 Type II à jour et vérifiez que les audits sont réalisés par des organismes accrédités et indépendants
- Définissez un plan de sortie (exit strategy) avant de signer le contrat : comment exporter vos données, dans quel format, dans quels délais et à quel coût
- Activez le chiffrement côté client (client-side encryption) pour les documents les plus critiques, de sorte que même le fournisseur ne puisse accéder au contenu en clair
- Utilisez AccountEX pour stocker les données comptables de votre entreprise sur une infrastructure cloud suisse, avec chiffrement, conformité nLPD et sauvegardes automatiques — sans compromis sur la sécurité
Simplifiez votre comptabilité suisse
AccountEX gère la TVA, les QR-factures et les écritures avec l'IA. Commencez gratuitement.
Commencer gratuitement