Transfert international de données sous la nLPD : guide complet pour les PME suisses

Transfert international de données sous la nLPD : guide complet pour les PME suisses

Chaque entreprise suisse disposant d'un site web, d'un service cloud ou d'un client international transfère des données personnelles au-delà des frontières — souvent sans en avoir conscience. Depuis l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD / nDSG) le 1er septembre 2023, ces transferts sont soumis à des exigences légales strictes, assorties d'une responsabilité pénale personnelle en cas de non-conformité.

Ce guide détaille le cadre juridique complet des transferts internationaux de données sous la nLPD, présente chaque mécanisme de protection disponible pour les PME suisses et fournit un processus d'évaluation étape par étape que vous pouvez appliquer dès aujourd'hui.

Pourquoi les transferts internationaux de données sont importants

Lorsque votre agence de marketing zurichoise envoie une newsletter via Mailchimp (serveurs aux États-Unis), lorsque votre fiduciaire genevoise stocke des dossiers clients sur Google Drive, ou lorsque votre boutique en ligne bâloise traite des paiements via Stripe — des données personnelles quittent la Suisse. Sous la nLPD, chacun de ces transferts exige une base juridique.

Les enjeux ne sont pas abstraits. L'article 63 nLPD prévoit des amendes pénales allant jusqu'à CHF 250 000 contre la personne physique responsable — pas contre l'entreprise. Le modèle suisse d'application de la loi se distingue fondamentalement du RGPD, où les amendes visent l'organisation. En Suisse, la personne qui a autorisé ou n'a pas empêché un transfert illicite engage sa responsabilité pénale personnelle.

Le cadre juridique : art. 16-18 nLPD

La nLPD traite des transferts transfrontaliers de données dans trois dispositions clés :

Article 16 — Principe et protection adéquate

L'art. 16 al. 1 établit la règle de base : les données personnelles peuvent être communiquées à l'étranger si le Conseil fédéral a constaté que la législation du pays de destination ou l'organisme international assure un niveau de protection adéquat. C'est le mécanisme de transfert le plus simple — si la destination figure sur la liste d'adéquation, aucune garantie supplémentaire n'est requise.

L'art. 16 al. 2 précise ce qui se passe en l'absence de décision d'adéquation. Le responsable du traitement peut néanmoins transférer des données si des garanties appropriées assurent un niveau de protection adéquat, notamment :

• (let. a) Un traité international
• (let. b) Des clauses de protection des données dans un contrat entre les parties, notifié au PFPDT
• (let. c) Des garanties spécifiques émises par l'organe fédéral compétent
• (let. d) Des clauses types de protection des données approuvées ou reconnues par le PFPDT — c'est le mécanisme des CCT
• (let. e) Des règles d'entreprise contraignantes (BCR) approuvées par le PFPDT

Article 17 — Dérogations

Lorsque ni l'adéquation ni les garanties contractuelles ne s'appliquent, l'art. 17 prévoit une liste d'exceptions (dérogations) autorisant les transferts dans des circonstances spécifiques : consentement explicite, exécution d'un contrat, intérêt public prépondérant, protection de la vie ou de l'intégrité physique.

Article 18 — Publication de la liste d'adéquation

L'art. 18 impose au Conseil fédéral de publier la liste des pays, territoires et organismes internationaux assurant une protection adéquate. Le PFPDT tient à jour et met à disposition cette liste sur edoeb.admin.ch.

Le texte intégral de la loi est consultable sur fedlex.admin.ch — le portail officiel de la législation suisse.

La liste d'adéquation du PFPDT : quels pays sont « adéquats » ?

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) publie et tient à jour la liste des juridictions dont les lois de protection des données sont considérées comme adéquates. C'est le premier élément à vérifier avant tout transfert international.

Pays offrant une protection adéquate (état 2025) :

• Tous les États membres de l'UE/EEE (couverts par le cadre RGPD)
• Royaume-Uni (adéquation post-Brexit)
• Canada (pour les transferts soumis à la LPRPDE)
• Israël
• Nouvelle-Zélande
• Argentine
• Uruguay
• Japon
• Corée du Sud
• Andorre, îles Féroé, Guernesey, île de Man, Jersey (petites juridictions disposant de lois spécifiques)

Les États-Unis — adéquation partielle :

Les États-Unis ne disposent pas d'une loi fédérale générale de protection des données comparable à la nLPD. Toutefois, le Swiss-U.S. Data Privacy Framework (DPF), effectif depuis le 15 septembre 2024, offre une base d'adéquation pour les transferts vers les organisations américaines certifiées DPF. Vous pouvez vérifier la certification d'un prestataire sur dataprivacyframework.gov.

Si le destinataire américain n'est pas certifié DPF, il n'y a pas d'adéquation, et vous devez vous appuyer sur des CCT ou une autre garantie de l'art. 16 al. 2.

Conseil pratique : Ajoutez la liste d'adéquation du PFPDT à vos favoris et consultez-la avant d'intégrer tout nouveau prestataire. La liste est mise à jour périodiquement, et des pays peuvent être ajoutés ou retirés.

Clauses contractuelles types (CCT) : la garantie la plus courante

Pour les transferts vers des pays ne figurant pas sur la liste d'adéquation, les clauses contractuelles types constituent le mécanisme de protection le plus utilisé au sens de l'art. 16 al. 2 let. d nLPD.

Que sont les CCT ?

Les CCT sont des modèles contractuels préapprouvés qui imposent au destinataire étranger des obligations de protection des données équivalentes au droit suisse. Elles créent un cadre juridiquement contraignant garantissant que le destinataire traite les données personnelles conformément aux exigences de la nLPD, indépendamment du droit local.

CCT de l'UE adaptées à la Suisse

Le PFPDT a reconnu les clauses contractuelles types de la Commission européenne de 2021 (décision d'exécution 2021/914) comme des garanties appropriées, à condition de les adapter aux spécificités suisses. Les adaptations requises sont :

1. Droit applicable : les références au RGPD doivent être complétées par des références à la nLPD
2. Autorité de contrôle : l'autorité compétente doit être le PFPDT (et non une autorité de protection des données de l'UE)
3. Droit applicable aux litiges : le droit suisse doit être spécifié pour les clauses de protection des données
4. Champ d'application : les CCT doivent couvrir explicitement les personnes concernées en Suisse, pas uniquement les personnes dans l'UE
5. Terminologie : là où le RGPD emploie « responsable du traitement » et « sous-traitant », les termes équivalents de la nLPD s'appliquent

De nombreux grands fournisseurs technologiques (Google, Microsoft, AWS, Salesforce) incluent déjà ces adaptations suisses dans leurs addenda de traitement des données. Lors de la signature avec un prestataire, vérifiez que leurs CCT comprennent les amendements spécifiques à la Suisse — des CCT purement européennes sans adaptation ne sont pas suffisantes pour la conformité nLPD.

Les quatre modules des CCT

Les CCT de 2021 utilisent une structure modulaire. Le module pertinent dépend des rôles des parties :

• Module 1 : Responsable du traitement vers responsable du traitement
• Module 2 : Responsable du traitement vers sous-traitant (le plus courant pour les PME suisses utilisant des outils SaaS)
• Module 3 : Sous-traitant vers sous-traitant
• Module 4 : Sous-traitant vers responsable du traitement

Pour une PME suisse transférant des données clients vers un prestataire SaaS américain, le Module 2 (responsable vers sous-traitant) est le choix approprié.

Analyse d'impact du transfert (Transfer Impact Assessment — TIA)

Le PFPDT attend des responsables du traitement utilisant des CCT qu'ils réalisent une analyse d'impact du transfert avant le début du transfert. Une TIA évalue :

• Le cadre juridique du pays de destination (lois de surveillance, pouvoirs d'accès gouvernementaux)
• L'applicabilité pratique des CCT dans cette juridiction
• La nécessité de mesures supplémentaires (chiffrement, pseudonymisation, localisation des données)

Pour les transferts vers les États-Unis (destinataires non certifiés DPF), une TIA est essentiellement obligatoire. Documentez votre analyse — le PFPDT peut la demander lors d'une enquête.

Règles d'entreprise contraignantes (BCR) : pour les groupes multinationaux

Les règles d'entreprise contraignantes sont des politiques internes de protection des données adoptées par un groupe multinational et approuvées par le PFPDT au sens de l'art. 16 al. 2 let. e nLPD. Elles permettent aux données personnelles de circuler librement entre les entités du groupe à travers les frontières.

Les BCR sont principalement pertinentes pour les grandes organisations disposant d'entités dans plusieurs juridictions. Pour la plupart des PME suisses, les CCT sont la garantie la plus pratique et la plus rentable. Toutefois, si votre entreprise fait partie d'un groupe avec des filiales dans des pays sans adéquation, les BCR méritent d'être explorées.

Caractéristiques clés des BCR :

• Elles doivent être juridiquement contraignantes pour toutes les entités du groupe
• Elles nécessitent l'approbation du PFPDT avant utilisation
• Elles doivent inclure les principes fondamentaux de protection des données (limitation de la finalité, minimisation des données, sécurité, droits des personnes concernées)
• Elles doivent établir des mécanismes internes de plainte et d'application
• Le processus d'approbation peut prendre 12 à 18 mois

Si votre société mère dispose déjà de BCR approuvées dans le cadre du RGPD, le PFPDT peut les reconnaître avec des amendements spécifiques à la Suisse — similaire au processus d'adaptation des CCT.

Dérogations de l'art. 17 nLPD : quand aucune garantie n'existe

L'article 17 nLPD liste les exceptions permettant des transferts sans décision d'adéquation ni garanties contractuelles. Ce sont des exceptions étroites, pas des autorisations générales. Le PFPDT les interprète de manière restrictive.

Dérogations de l'art. 17 al. 1 :

• (let. a) Consentement explicite : la personne concernée a expressément consenti au transfert après avoir été informée du pays de destination et de son niveau de protection. Le consentement doit être spécifique au transfert — une case à cocher générale dans la politique de confidentialité ne suffit pas.
• (let. b) Exécution d'un contrat : le transfert est directement nécessaire à l'exécution d'un contrat avec la personne concernée (par exemple, réservation d'un hôtel à l'étranger, expédition internationale d'un produit). Cela ne couvre pas les transferts simplement pratiques ou économiques.
• (let. c) Mesures précontractuelles : le transfert est nécessaire à des mesures précontractuelles prises à la demande de la personne concernée.
• (let. d) Contrat entre le responsable et un tiers : le transfert est nécessaire à la conclusion ou à l'exécution d'un contrat entre le responsable et un tiers, dans l'intérêt de la personne concernée.
• (let. e) Intérêt public prépondérant : le transfert est nécessaire à la sauvegarde d'un intérêt public important (par exemple, coopération judiciaire internationale).
• (let. f) Protection de la vie : le transfert est nécessaire à la protection de la vie ou de l'intégrité physique de la personne concernée ou d'un tiers.
• (let. g) Registre public : les données proviennent d'un registre prévu par la loi et accessible au public.

Limitations importantes :

• Les transferts fondés sur le consentement (let. a) ne peuvent pas constituer le mécanisme principal pour des flux de données systématiques et continus. Le consentement doit être librement donné et peut être retiré à tout moment.
• La nécessité contractuelle (let. b) est interprétée de manière restrictive. Utiliser un CRM américain parce qu'il est moins cher n'est pas « nécessaire à l'exécution du contrat ».
• Les dérogations doivent être documentées, incluant la base juridique spécifique invoquée et le raisonnement expliquant pourquoi aucun autre mécanisme de garantie n'était réalisable.

Transferts vers les États-Unis : solutions pratiques pour les PME suisses

Les États-Unis restent la destination de transfert la plus critique et la plus complexe pour les entreprises suisses. Pratiquement chaque PME suisse utilise au moins un service américain — messagerie (Google Workspace, Microsoft 365), paiements (Stripe), analytique (Google Analytics), CRM (HubSpot, Salesforce) ou infrastructure cloud (AWS, Azure, GCP).

Option 1 : Swiss-U.S. Data Privacy Framework (DPF)

Depuis septembre 2024, le DPF fournit une base d'adéquation pour les transferts vers les organisations américaines certifiées DPF. C'est la solution la plus simple. Pour s'y appuyer :

1. Vérifiez la certification DPF du destinataire sur dataprivacyframework.gov
2. Confirmez que la certification couvre les catégories de données spécifiques que vous transférez
3. Documentez la vérification dans votre registre des activités de traitement
4. Revérifiez périodiquement (les certifications peuvent expirer ou être retirées)

La plupart des grands fournisseurs américains (Google, Microsoft, AWS, Meta, Salesforce, Stripe) sont certifiés DPF.

Option 2 : CCT + mesures supplémentaires

Pour les fournisseurs américains non certifiés DPF, les CCT adaptées à la Suisse sont l'approche standard. Compte tenu du paysage de surveillance américain (FISA Section 702, Executive Order 12333), le PFPDT attend des mesures techniques et organisationnelles supplémentaires :

• Chiffrement : les données doivent être chiffrées en transit (TLS 1.2+) et au repos (AES-256). Les clés de chiffrement doivent rester sous votre contrôle ou sous le contrôle d'un prestataire dans un pays avec protection adéquate.
• Pseudonymisation : dans la mesure du possible, remplacez les identifiants directs par des pseudonymes avant le transfert. La clé de réidentification doit rester en Suisse ou dans un pays adéquat.
• Engagements contractuels : le fournisseur américain doit s'engager contractuellement à contester les demandes d'accès gouvernementales et à vous informer de telles demandes dans la mesure permise par la loi.
• Minimisation des données : ne transférez que les données strictement nécessaires à la finalité du traitement.

Option 3 : alternatives d'hébergement suisse

Pour les données sensibles ou lorsque les mesures supplémentaires sont impraticables, envisagez des alternatives hébergées en Suisse :

• Cloud : Infomaniak (Genève), Exoscale (centres de données suisses)
• Messagerie : Infomaniak Mail, ProtonMail (Genève)
• Analytique : Matomo auto-hébergé, Plausible (hébergé en UE)

PrivaGuard est hébergé exclusivement sur une infrastructure suisse, car nous sommes convaincus que la résidence des données en Suisse n'est pas qu'une case à cocher de conformité — c'est un signal de confiance fondamental pour vos clients.

Comparaison avec les règles de transfert du RGPD (art. 44-49 RGPD)

Les PME suisses servant aussi des clients européens doivent souvent se conformer à la fois à la nLPD et au RGPD. Comprendre les différences aide à éviter les angles morts.

Différence clé — responsabilité pénale vs. administrative : La différence la plus conséquente concerne le modèle d'application. Sous le RGPD, les amendes frappent l'entreprise. Sous la nLPD, elles frappent la personne physique. Un directeur ou responsable de la protection des données qui approuve un transfert illicite fait face à une responsabilité pénale personnelle — jusqu'à CHF 250 000.

Différence clé — notification des CCT : Sous la nLPD, les clauses de protection des données dans les contrats (art. 16 al. 2 let. b) doivent être notifiées au PFPDT préalablement au transfert. C'est une étape procédurale non requise par le RGPD. Toutefois, lorsque des CCT reconnues par le PFPDT (let. d) sont utilisées, l'obligation de notification est généralement considérée comme satisfaite.

Services cloud et SaaS : implications pratiques

Pour les PME suisses, les fournisseurs cloud et SaaS représentent le scénario de transfert transfrontalier le plus courant. Voici ce que vous devez savoir pour les principales plateformes :

Amazon Web Services (AWS)

AWS propose un addendum de traitement des données (DPA) incluant les CCT de l'UE avec des amendements spécifiques à la Suisse. AWS est certifié DPF. Si vous utilisez la région UE (Francfort, Zurich), les données restent en Europe/Suisse, mais le personnel d'AWS dans d'autres pays peut y accéder à des fins de support — cela constitue toujours un transfert. Consultez la liste des sous-traitants d'AWS.

Microsoft Azure / Microsoft 365

Le DPA de Microsoft pour ses produits et services inclut des CCT et fait référence à la certification DPF. Microsoft propose des options de résidence des données en Suisse pour certains services (régions Microsoft Cloud Suisse à Zurich et Genève). Même avec la résidence en Suisse, certains traitements (par exemple, l'analyse des menaces de sécurité) peuvent avoir lieu hors de Suisse.

Google Cloud / Google Workspace

L'addendum de traitement de données cloud de Google inclut des CCT adaptées à la Suisse, et Google est certifié DPF. La localisation des données peut être contrôlée via des règles organisationnelles. Notez que le personnel de support de Google dans le monde entier peut accéder aux données pour le dépannage — documenté dans leur liste de sous-traitants.

Liste de vérification pratique pour tout fournisseur cloud/SaaS :

1. Confirmez que le fournisseur est certifié DPF (pour les fournisseurs américains) ou établi dans un pays adéquat
2. Signez le DPA du fournisseur — ne vous fiez pas uniquement aux conditions d'utilisation
3. Vérifiez que le DPA inclut des CCT avec les adaptations suisses si le fournisseur est dans un pays sans adéquation
4. Consultez la liste des sous-traitants et activez les notifications de changement
5. Configurez les paramètres de résidence des données lorsque c'est possible
6. Documentez tout dans votre registre des traitements

Obligations de transparence : art. 19 nLPD

L'article 19 nLPD impose des devoirs d'information au responsable du traitement lors de la collecte de données personnelles. Lorsque des données sont transférées à l'étranger, ces exigences de transparence deviennent particulièrement importantes.

Vous devez informer les personnes concernées :

• De l'identité et des coordonnées du responsable du traitement
• De la finalité du traitement
• Des destinataires ou catégories de destinataires des données — y compris les destinataires étrangers
• Du ou des pays vers lesquels les données sont transférées
• Des garanties assurant une protection adéquate (décision d'adéquation, CCT, BCR ou dérogation invoquée)

Ces informations sont généralement fournies dans votre politique de confidentialité. Pour une PME suisse, une politique de confidentialité conforme doit inclure une section sur les transferts internationaux de données listant chaque pays de destination, la catégorie de données transférées et le mécanisme juridique utilisé.

Exemple de clause pour une politique de confidentialité :

Nous transférons des données personnelles vers les pays suivants : États-Unis (Google LLC — certifié DPF ; Stripe Inc. — certifié DPF), Allemagne (Hetzner Online GmbH — adéquation UE). Lorsque le pays de destination n'assure pas une protection adéquate, nous nous appuyons sur des clauses contractuelles types reconnues par le PFPDT.

Le générateur de politique de confidentialité de PrivaGuard inclut automatiquement une section de divulgation des transferts basée sur les services que vous déclarez, avec les références juridiques appropriées pour chaque pays de destination.

Sous-traitants à l'étranger : exigences contractuelles de l'art. 9 nLPD

Lorsque vous engagez un sous-traitant situé hors de Suisse, deux cadres juridiques se superposent : l'art. 9 nLPD (obligations du sous-traitant) et l'art. 16 nLPD (transfert transfrontalier). Vous avez besoin à la fois d'un contrat de sous-traitance (DPA) conforme et d'un mécanisme de transfert valide.

Ce que le DPA doit couvrir (art. 9 nLPD) :

• Traitement sur instruction uniquement
• Obligations de confidentialité
• Mesures de sécurité techniques et organisationnelles
• Gestion des sous-traitants ultérieurs (droits de notification et d'opposition)
• Assistance pour les droits des personnes concernées
• Notification des violations de données dans les meilleurs délais
• Restitution et suppression des données à la fin du contrat
• Droits d'audit

Ce que le mécanisme de transfert doit couvrir (art. 16 nLPD) :

• Confirmation de l'adéquation (si le sous-traitant est dans un pays adéquat)
• CCT (en l'absence d'adéquation) avec adaptations suisses
• Mesures supplémentaires si nécessaire (en particulier pour les sous-traitants américains sans DPF)

En pratique, la plupart des grands fournisseurs SaaS combinent le DPA et les CCT dans un seul addendum de traitement des données. Lors de l'examen de tels documents, vérifiez que les exigences de l'art. 9 (DPA) et les garanties de transfert de l'art. 16 sont toutes deux couvertes — un DPA sans clauses de transfert est incomplet, et des CCT sans obligations DPA laissent des lacunes.

Erreurs courantes des PME suisses en matière de transferts internationaux

Sur la base de notre expérience dans l'accompagnement des entreprises suisses vers la conformité, voici les erreurs les plus fréquentes que nous observons :

1. Considérer que l'adéquation UE couvre tout

De nombreuses PME suisses pensent que parce qu'elles travaillent principalement avec des prestataires basés dans l'UE, elles n'ont pas à se soucier des transferts. Bien que l'UE dispose du statut d'adéquation, vous avez toujours besoin d'un DPA avec chaque sous-traitant, et vous devez toujours divulguer le transfert dans votre politique de confidentialité. L'adéquation simplifie le transfert — elle n'élimine pas toutes les obligations.

2. Ignorer les chaînes de sous-traitants

Votre prestataire direct peut être en Suisse, mais ses sous-traitants peuvent être aux États-Unis, en Inde ou aux Philippines. L'obligation nLPD suit les données — pas seulement votre partenaire contractuel direct. Consultez les listes de sous-traitants et assurez-vous que toute la chaîne est couverte.

3. Se fonder sur le consentement pour les transferts systématiques

Utiliser le consentement des clients comme base juridique pour tous les transferts internationaux est un raccourci courant. Le PFPDT interprète les dérogations fondées sur le consentement de manière restrictive — le consentement doit être spécifique, éclairé et librement donné. Pour des flux de données systématiques et continus (par exemple, toutes les données clients envoyées quotidiennement vers un CRM américain), le consentement n'est pas un mécanisme approprié. Utilisez des CCT à la place.

4. Ne pas réaliser d'analyses d'impact du transfert

Depuis la décision Schrems II (qui a influencé la pratique suisse bien qu'il s'agisse d'un arrêt européen), les analyses d'impact du transfert sont attendues pour les transferts vers des pays avec des lois de surveillance problématiques. L'absence de documentation d'une TIA vous laisse sans défense si le PFPDT enquête.

5. Politiques de confidentialité obsolètes

Votre politique de confidentialité liste les destinations de transfert et les garanties sur lesquelles vous vous appuyez. Si vous ajoutez un nouvel outil SaaS avec des serveurs dans un pays sans adéquation, votre politique de confidentialité doit être mise à jour. De nombreuses entreprises configurent leur politique une fois et ne la revisitent jamais.

6. Oublier les données des employés

Les obligations de transfert transfrontalier s'appliquent également aux données des employés. Si votre plateforme RH (Personio, BambooHR) est hébergée aux États-Unis, les mêmes exigences de l'art. 16 nLPD s'appliquent. Les données des employés sont souvent plus sensibles que les données clients.

7. Absence de DPA

Certaines PME utilisent des outils SaaS pendant des années sans jamais signer l'addendum de traitement des données du fournisseur. Le DPA est généralement disponible dans les paramètres du compte ou la documentation juridique du fournisseur — il suffit de l'accepter. C'est une victoire rapide pour la conformité.

Guide d'évaluation du transfert étape par étape

Utilisez ce processus chaque fois que vous intégrez un nouveau prestataire, outil ou service susceptible d'impliquer des transferts transfrontaliers de données.

Étape 1 : Identifier le transfert

Cartographiez le flux de données. Quelles données personnelles seront transférées ? Où iront-elles ? Qui les recevra ? Un « transfert » inclut non seulement l'envoi de données vers un serveur étranger, mais aussi l'octroi d'un accès à distance à un employé étranger de votre prestataire.

Étape 2 : Vérifier la liste d'adéquation du PFPDT

Le pays de destination figure-t-il sur la liste d'adéquation du PFPDT sur edoeb.admin.ch ?

• Oui → Passez à l'étape 5 (DPA). Aucune garantie de transfert supplémentaire n'est requise.
• Partiellement (par exemple, USA avec DPF) → Vérifiez la certification du destinataire spécifique. Si certifié, passez à l'étape 5.
• Non → Passez à l'étape 3.

Étape 3 : Sélectionner un mécanisme de garantie

Pour les pays sans adéquation, choisissez la garantie appropriée :

• CCT (le plus courant) : utilisez les CCT de 2021 de l'UE avec adaptations suisses. Sélectionnez le module correct (généralement le Module 2 pour les transferts responsable-vers-sous-traitant).
• BCR : si le destinataire fait partie d'un groupe multinational avec des BCR approuvées par le PFPDT.
• Dérogation (art. 17) : uniquement si les CCT ne sont pas réalisables et qu'une dérogation spécifique s'applique (consentement explicite, nécessité contractuelle, etc.). Documentez votre raisonnement.

Étape 4 : Réaliser une analyse d'impact du transfert

Pour les transferts reposant sur des CCT (notamment vers des pays avec des lois de surveillance étendues) :

• Évaluez le cadre juridique du pays de destination
• Appréciez l'applicabilité pratique des CCT dans cette juridiction
• Déterminez les mesures supplémentaires nécessaires
• Documentez l'analyse et vos conclusions

Étape 5 : Signer le DPA

Assurez-vous de disposer d'un contrat de sous-traitance valide avec le destinataire couvrant à la fois les obligations de l'art. 9 nLPD (obligations du sous-traitant) et les garanties de transfert de l'étape 3.

Étape 6 : Mettre à jour votre politique de confidentialité

Ajoutez la nouvelle destination de transfert, les catégories de données transférées et le mécanisme de garantie à la section transferts internationaux de votre politique de confidentialité.

Étape 7 : Mettre à jour votre registre des traitements

Enregistrez le transfert dans votre registre des traitements (art. 12 nLPD), incluant la destination, les catégories de données, la finalité et la garantie invoquée.

Étape 8 : Surveiller et réévaluer

• Activez les notifications de changement de sous-traitants
• Revérifiez périodiquement les certifications DPF
• Consultez la liste d'adéquation du PFPDT pour les changements
• Réévaluez lorsque les flux de données changent

Comment PrivaGuard vous aide avec la conformité des transferts transfrontaliers

Gérer les transferts internationaux de données entre plusieurs prestataires, chacun avec des localisations d'hébergement et des sous-traitants différents, est une obligation continue et complexe. PrivaGuard simplifie ce processus :

• Scanner de cookies et traceurs : notre scanner automatisé détecte les cookies et traceurs tiers sur votre site web, identifie les fournisseurs auxquels ils appartiennent et signale les transferts vers des pays sans protection adéquate. Vous voyez exactement où votre site envoie des données — avant que le PFPDT ne le fasse.
• Générateur de politique de confidentialité : générez une politique de confidentialité trilingue incluant une section de transferts internationaux juridiquement précise, automatiquement remplie en fonction des services que vous déclarez. Les références à l'art. 16 nLPD et aux mécanismes de garantie appropriés sont intégrées.
• Registre des traitements : documentez toutes vos activités de traitement de données, y compris les transferts transfrontaliers, dans un registre structuré conforme à l'art. 12 nLPD. Exportez en PDF pour vos archives ou pour les demandes du PFPDT.
• Plateforme de gestion du consentement (CMP) : notre bannière de consentement optimisée pour la nLPD garantit que les cookies et traceurs déclenchant des transferts internationaux ne se chargent qu'après un consentement valide. Compatible Google Consent Mode v2, moins de 15 Ko, hébergée en Suisse.
• Rescan automatique : des analyses programmées hebdomadaires ou mensuelles de votre site web détectent les nouveaux traceurs susceptibles d'introduire des transferts transfrontaliers non documentés.

La protection des données suisse commence par savoir où vos données vont. PrivaGuard vous donne cette visibilité.

Conclusion

Les transferts transfrontaliers de données sont une réalité inévitable pour les PME suisses dans une économie connectée. La nLPD n'interdit pas les transferts internationaux — elle exige qu'ils soient documentés, protégés et transparents. Le cadre juridique des art. 16-18 nLPD fournit des mécanismes clairs : des décisions d'adéquation pour les juridictions de confiance, des CCT pour les autres, et des dérogations restreintes pour les circonstances exceptionnelles.

Les étapes pratiques sont simples : cartographiez vos flux de données, vérifiez la liste d'adéquation, mettez en place les garanties appropriées, signez vos DPA et maintenez votre politique de confidentialité à jour. Le risque de l'inaction est personnel — jusqu'à CHF 250 000 d'amende pénale contre la personne physique responsable.

Commencez par un scan gratuit de votre site web sur privascan.ch pour voir où vos données circulent aujourd'hui. Ensuite, laissez PrivaGuard vous accompagner vers la conformité — et vous y maintenir.