Hebergement Suisse vs UE : deux Europes, deux cadres juridiques
La Suisse est en Europe sans etre dans l’Europe. C’est une phrase que les Suisses entendent depuis 1992 (l’annee du non a l’EEE) et qui resume parfaitement l’ambiguite juridique qui nous interesse ici. Quand vous choisissez un hebergeur cloud suisse – Infomaniak, par exemple – vous n’etes pas protege par le RGPD. Vous etes protege par la nLPD (la nouvelle loi federale suisse sur la protection des donnees), qui est un texte different, avec ses propres mecanismes. Si vous venez du guide sur la souverainete et le RGPD dans le cloud europeen, cette distinction peut sembler technique. Elle ne l’est pas. Elle peut determiner si vos donnees sont juridiquement accessibles ou non dans des situations tres concretes. Le Preosse federal de la protection des donnees applique la nLPD avec des moyens et des reflexes differents de ceux de la CNIL ou de l’APD belge.
La reponse courte : pour une entreprise europeenne qui traite des donnees personnelles de citoyens UE, les deux cadres offrent un niveau de protection comparable. La Commission europeenne a reconnu l’adequation de la Suisse des 2000, et cette decision a ete confirmee apres l’entree en vigueur de la nLPD en septembre 2023. Mais « comparable » ne veut pas dire « identique », et les differences meritent qu’on s’y arrete.
Le RGPD et la nLPD : proches mais pas jumeaux
Le RGPD est un reglement europeen directement applicable dans les 27 Etats membres. La nLPD est une loi federale suisse qui s’applique aux traitements de donnees effectues en Suisse ou ayant des effets en Suisse. Les deux textes partagent les memes principes fondamentaux : consentement, minimisation des donnees, droit d’acces, droit a l’effacement, obligation de notifier les violations. La nLPD a ete volontairement alignee sur le RGPD lors de sa revision en 2020-2023, precisement pour maintenir la decision d’adequation de la Commission europeenne.
Les differences sont dans les details. Le RGPD prevoit des amendes administratives allant jusqu’a 4% du chiffre d’affaires mondial ou 20 millions d’euros. La nLPD plafonne les amendes a 250 000 francs suisses – mais (et c’est un gros mais) ces amendes visent les personnes physiques responsables, pas l’entreprise. Un DPO suisse peut personnellement recevoir une amende. C’est un mecanisme dissuasif different, qui cible la responsabilite individuelle plutot que le chiffre d’affaires.
Autre difference notable : la nLPD n’exige pas de DPO (Data Protection Officer) obligatoire, la ou le RGPD l’impose pour certaines organisations. La Suisse n’a pas non plus d’equivalent exact du Comite europeen de la protection des donnees (EDPB) – c’est le Preosse federal (PFPDT) qui joue un role comparable avec des pouvoirs differents.
Les certifications qui font la difference entre Suisse et UE
La certification ISO 27001 est internationale et s’applique des deux cotes de la frontiere. Mais la France a SecNumCloud (delivree par l’ANSSI), l’Allemagne a C5 (delivree par le BSI), et la Suisse n’a pas d’equivalent national specifique au cloud. En revanche, la Suisse beneficie de la norme ISO 27018 (protection des donnees personnelles dans le cloud public) et de sa tradition bancaire en matiere de confidentialite – une culture du secret qui impregne le cadre reglementaire au-dela de la lettre de la loi.
Le point crucial est l’extraterritorialite. La Suisse n’est pas partie au Cloud Act, n’est pas membre de l’UE (donc pas soumise aux accords de transfert UE-US comme le Data Privacy Framework), et n’a pas d’accord d’entraide judiciaire automatique avec les Etats-Unis dans le domaine civil. Une injonction americaine ne peut pas etre executee directement en Suisse – elle doit passer par les canaux diplomatiques, un processus lent et incertain qui offre de facto une protection supplementaire.
Ou sont les serveurs, et sous quelle loi
La localisation des datacenters est un facteur complementaire a la juridiction. Un hebergeur suisse avec des serveurs en Suisse cumule les deux protections : le cadre legal suisse ET la localisation physique hors UE et hors Etats-Unis. Un hebergeur UE avec des serveurs dans l’UE offre le cadre RGPD et la protection contre le Cloud Act. Les deux options sont valables pour une entreprise europeenne – la difference se joue sur la stabilite juridique a long terme.
Le Data Privacy Framework (DPF) entre l’UE et les Etats-Unis repose sur un executive order presidentiel. La decision d’adequation de la Suisse repose sur une loi federale adoptee par le Parlement suisse. En termes de perennite juridique, la difference est substantielle. Un executive order peut etre revoque en un jour. Une loi federale suisse necessite une procedure parlementaire. Pour une entreprise qui planifie son infrastructure cloud sur cinq ou dix ans, cette stabilite compte.
En resume : la Suisse et l’UE offrent toutes les deux un cadre legal solide pour le cloud, nettement superieur aux Etats-Unis. La Suisse a l’avantage de la stabilite juridique et de l’independance vis-a-vis des accords EU-US. L’UE a l’avantage de l’application directe du RGPD et d’un ecosysteme reglementaire plus developpe (EDPB, autorites nationales, jurisprudence). Le meilleur choix depend de votre situation – mais les deux sont infiniment preferables a un cloud americain.