Sécurité
Blog
Sécurité8 min

LPD/nLPD : ce que ça change pour votre infrastructure IT

Matthieu Robin5 décembre 2023

La nLPD (nouvelle Loi fédérale sur la protection des données) a changé fondamentalement comment vous devez gérer les données personnelles. Et si vous n'avez pas mis à jour votre infrastructure IT, vous êtes en risque de non-conformité.

Beaucoup de PME suisses utilisent AWS Ireland, Google Cloud US, ou Microsoft Azure EU sans vraiment réfléchir aux implications légales. D'après le Cloud Monitor de KPMG Suisse, 72% des entreprises suisses considèrent la localisation des données comme un critère prioritaire dans le choix de leur fournisseur cloud. Avec la nLPD, c'est plus problématique.

Clarifions : qu'est-ce que la nLPD vous impose vraiment, et comment adapter votre infrastructure.

La nLPD en 60 secondes

La nLPD remplace l'ancienne LPD (en vigueur depuis 1992). Elle est entrée en vigueur le 1er septembre 2023.

Les grandes lignes :

  • Vous devez obtenir consentement explicite pour traiter des données personnelles
  • Vous avez des obligations renforcées de transparence et documentation
  • Vous devez implémenter du privacy by design (la sécurité dès le départ)
  • Les amendes en cas de violation sont très élevées (jusqu'à CHF 100,000 pour les PME)
  • Vous êtes responsable de la sous-traitance (si votre cloud provider vous vole des données, c'est votre responsabilité)

La nLPD ne parle pas spécifiquement de "doit être en Suisse". Mais elle impose que vous sachiez vos données vont et qui y a accès. Selon IDC, le marché du cloud en Suisse croît de 25% par an et devrait atteindre 7,2 milliards de CHF d'ici 2027, avec une part croissante orientée vers des solutions souveraines.

C'est la nuance importante.

Souveraineté des données : ce que ça veut dire

"Souveraineté des données" est un terme qui prête à confusion. Ça ne veut pas dire "100% des données doivent physiquement être en Suisse".

Ça veut dire :

  1. Vous savez où vos données sont (juridiction, data center, pays)
  2. Vous avez le contrôle (vous pouvez les migrer, les supprimer, les auditer)
  3. Vous comprenez les risques (la gouvernance US, la CLOUD Act, les accès possibles)

Exemple : AWS Ireland peut être acceptable si :

  • Vous avez signé un DPA (Data Processing Agreement) qui spécifie protection
  • Les données restent dans l'EU (pas de transfert US)
  • Vous avez audité les mesures de sécurité d'AWS

Exemple inacceptable : AWS US + consentement implicite + aucune documentation = non-compliant.

Impact IT de la nLPD

1. Audit de votre stack actuelle

Première étape : cartographiez où vos données personnelles vont.

Si vous utilisez :

  • Slack : données en US (sauf Enterprise Grid avec EU option)
  • Google Workspace : données en US (sauf avec une addenda de confidentialité)
  • GitHub : données en US + accès Microsoft
  • AWS/Azure US : données en US, accès fédéral américain possible
  • Infomaniak/Hidora CH : données en Suisse, juridiction suisse

Chacun a différentes implications de conformité.

2. Consentement explicite

Vous avez besoin de consentement opt-in (pas opt-out). Exemple : un bouton "J'accepte que mes données soient utilisées pour..." que l'utilisateur doit cocher.

Impact IT :

  • Implémentez un cookie consent banner (RGPD-compliant)
  • Stockez les preuves de consentement (quand ? qui a consenti à quoi ?)
  • Auditez les formulaires (pas de pré-cochés)

3. Droit à l'oubli (RGPD-like)

Les utilisateurs peuvent demander la suppression de leurs données. Vous avez 30 jours pour les supprimer (vraiment, pas juste "soft delete").

Impact IT :

  • Identifiez où vivent les données personnelles (DB principale, caches, backups, logs)
  • Implémentez des processus d'anonymisation
  • Testez que les suppressions fonctionnent réellement

4. Privacy by design

Dès le départ, intégrez la sécurité. Pas au dernier moment.

Impact IT :

  • Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256)
  • Accès limité (authentification multifacteur, least privilege)
  • Audit logs pour tracer qui accède à quoi
  • Pseudonymisation quand possible

Hébergement en Suisse vs EU vs Monde

Hébergement en Suisse

Avantages :

  • Juridiction suisse directe (pas de problème nLPD)
  • LGPD-compliant de facto
  • Audit facile

Inconvénients :

  • Plus cher (less competition)
  • Moins d'options pour tools exotiques
  • Latence possible pour users internationaux

Fournisseurs : Infomaniak, Hidora, Exoscale, Green

D'après une étude Swiss ICT de 2024, 58% des entreprises suisses prévoient d'augmenter leurs dépenses en hébergement local dans les deux prochaines années, principalement pour des raisons de conformité réglementaire.

Hébergement EU (RGPD)

Avantages :

  • Coûts modérés (AWS EU, Azure EU, Google EU)
  • Bon écosystème outils
  • Juridiction transparent

Inconvénients :

  • Pas aussi strict que Suisse (accès possible par gouvernements)
  • Nécessite DPA + addendas de conformité
  • CLOUD Act américain s'applique aux US firms (Google, Microsoft, AWS)

Hébergement World (inclus US)

Avantages :

  • Coûts bas parfois
  • Beaucoup d'options
  • Global performance

Inconvénients :

  • Risque de non-conformité nLPD (données personnelles suisses + hébergement non-suisse/non-EU sans DPA = problématique)
  • Gouvernance inconnue
  • Transferts de données réglementés

Checklist : êtes-vous nLPD-compliant ?

Honnêtement :

Données personnelles

  • Vous avez une liste de tous les types de données personnelles que vous traitez
  • Pour chaque type, vous savez où elles sont hébergées
  • Vous avez un DPA (Data Processing Agreement) avec chaque fournisseur de cloud
  • Vous avez analysé les risques de transferts non-autorisés

Consentement

  • Vos utilisateurs donnent consentement explicite avant vous les trackez
  • Vous conservez la preuve de consentement
  • Le consentement est granulaire (tracking analytics ≠ consentement pour email marketing)
  • Vous permettez facile "opt-out"

Sécurité

  • Chiffrement en transit (TLS 1.2+)
  • Chiffrement au repos (au moins pour données sensibles)
  • Authentification multifacteur pour accès sensitifs
  • Logs d'audit (qui a accédé à quoi, quand)

Gestion des droits

  • Vous avez un processus pour "droit à l'oubli" (suppression réelle, pas juste soft-delete)
  • Vous avez un processus pour portabilité de données (export format standard)
  • Vous avez testé que suppression fonctionnent réellement dans votre DB + caches + backups

Gouvernance

  • Vous avez un "data protection officer" ou point focal nLPD
  • Vous avez documenté votre traitement de données (registre RACON)
  • Vous avez un plan de réponse en cas de breach
  • Vous auditez régulièrement (au moins annuellement)

Comptez vos cases cochées.

  • 14+ : vous êtes probablement compliant
  • 10-13 : il y a des gaps, adressez-les d'ici 3 mois
  • < 10 : vous êtes en risque. Priorisez immédiatement.

Stratégie pragmatique pour PME

Année 1 : Fondations (budget : CHF 5-15k)

Mois 1-3 :

  • Auditez où vos données vont
  • Documentez votre registre RACON (qui traite quoi, pourquoi)
  • Signez DPAs avec vos fournisseurs cloud

Mois 4-6 :

  • Implémentez cookie consent + consentement explicite
  • Mettez en place chiffrement de base (TLS au minimum)
  • Nommez quelqu'un responsable de nLPD compliance

Mois 7-12 :

  • Testez suppression / droit à l'oubli
  • Auditez les logs (qui accède à quoi ?)
  • Documentez un plan de réponse breach

Année 2-3 : Matérisation (budget : CHF 10-30k)

  • Migrez données sensibles vers infrastructure swiss-hosted si vous n'êtes pas déjà
  • Implémentez audit logs robustes
  • Privacy by design dans les nouvelles features
  • Audit annuel (interne ou tiers)

Choix d'infrastructure à la lumière de nLPD

Startup/PME petite (< 50 employees, données peu sensibles)

Solution : Google Workspace + cookie consent + DPA. Vous pouvez rester sur cloud public avec bonne documentation.

PME croissante (50-200 employees, données clients sensibles)

Solution : Migration partielle vers infrastructure suisse (données clients/sensibles). Infrastructure "non-sensible" peut rester sur cloud public.

Exemple : Hikube.cloud (Kubernetes managé suisse) pour données clients/HR et applications métier ; un cloud EU secondaire, avec DPA en règle, pour analytics ou logging non-sensible.

PME mature (> 200 employees, données fortement réglementées)

Solution : Infrastructure suisse (Hidora, Infomaniak, on-premise). Cloud public pour outils non-sensibles seulement.

En résumé

La nLPD n'impose pas "Suisse only", mais elle impose clarté, sécurité, et contrôle.

Si vous hébergez données personnelles suisses sur AWS US sans DPA + documentation, vous êtes en risque.

Si vous hébergez sur Hidora (Suisse) + avec DPA + audit logs + chiffrement, vous êtes compliant.

Selon le Flexera State of the Cloud Report 2024, la gouvernance et la conformité cloud sont devenues la priorité n°1 des entreprises, devant l'optimisation des coûts. Les PME qui anticipent maintenant (avant qu'une amende arrive) économisent CHF 50-100k en refactoring d'urgence plus tard.

Commencez par un audit. Cartographiez vos données. Identifiez les gaps. Planifiez 12 mois de migration progressive.

C'est un projet IT sérieux. Mais c'est mieux maintenant qu'une amende de CHF 50k dans 18 mois.

À lire aussi :

Cet article vous a été utile ? Découvrez comment Hidora peut vous accompagner : Professional Services · Managed Services · SLA Expert

Cet article vous parle ?

Hidora peut vous accompagner sur ce sujet.

Besoin d'un accompagnement ?

Parlons de votre projet. 30 minutes, sans engagement.

Retour au blog

Articles liés

DevOps
DevOps

État du DevOps en Suisse romande en 2026 : tendances, chiffres et retours terrain

Kubernetes
Kubernetes

Kubernetes pour les PME suisses : par où commencer ?

DevOps
DevOps

SLA ou Managed Services : quel modèle pour votre entreprise ?