Souveraineté des données suisse

Lorsque les organisations évaluent un outil de formulaire, « l'hébergement des données » est souvent une note de bas de page — quand elle apparaît. La plupart des acheteurs la traitent comme un détail d'infrastructure, que l'équipe IT coche dans un formulaire d'achat. Ce n'en est pas un. Le pays où résident physiquement vos données de formulaire détermine quelles lois les régissent, quelles autorités peuvent y accéder et quelles garanties vous pouvez honnêtement offrir aux personnes qui les remplissent.

Dans cet article, nous expliquons pourquoi la souveraineté suisse des données est plus que du marketing, comment elle se compare à un hébergement UE ou US, ce que fait réellement le CLOUD Act, et dans quels cas « hébergé en Suisse » change substantiellement la réponse à « qui peut lire mes données ? ».

La souveraineté des données, c'est trois choses, pas une

La « souveraineté des données » est souvent utilisée comme raccourci pour « hébergé dans le pays X ». C'est incomplet. En pratique, le concept couvre trois questions en couches qui doivent être répondues ensemble, non substituées les unes aux autres.

• Résidence des données — où les octets reposent physiquement sur disque
• Loi sur la protection des données — quel cadre juridique régit le traitement, le responsable et les droits des personnes concernées
• Accès légal et portée extraterritoriale — quels gouvernements peuvent légalement contraindre le fournisseur à livrer les données, peu importe où elles résident

Ces trois peuvent diverger. Un serveur physiquement à Francfort, opéré par une société basée aux États-Unis, relève du droit allemand de la protection des données pour la relation de traitement, mais peut rester accessible par une ordonnance CLOUD Act visant la société mère. Stocker des données dans l'UE ne les met pas, en soi, hors de portée du droit américain. La souveraineté suisse est précisément la combinaison : résidence, loi applicable et structure d'entreprise toutes alignées sur la juridiction suisse.

Ce que la loi suisse offre réellement

La Suisse a un cadre juridique distinctif, et, pour la protection des données, favorable. Quatre éléments comptent le plus en pratique.

La nLPD, en vigueur depuis septembre 2023

La loi fédérale révisée sur la protection des données a modernisé le droit suisse de la vie privée et l'a porté à un standard largement aligné avec — et parfois plus strict que — le RGPD européen. Elle reconnaît le chiffrement comme mesure technique, impose des obligations de notification de violation aux responsables, et, notable pour les dirigeants, prévoit des sanctions pénales jusqu'à CHF 250 000 contre les personnes responsables pour violations intentionnelles.

Une décision d'adéquation européenne

La Commission européenne a formellement reconnu la Suisse comme offrant un niveau adéquat de protection des données. En pratique, les données personnelles peuvent circuler de l'UE vers la Suisse sans garanties supplémentaires telles que des clauses contractuelles types. Pour de nombreuses entreprises établies dans l'UE, l'hébergement suisse est donc juridiquement plus simple que l'hébergement américain, pas plus complexe.

Protections constitutionnelles de la vie privée

L'article 13 de la Constitution fédérale suisse consacre le droit à la vie privée et à la protection des données personnelles — une rare protection de niveau constitutionnel. La supervision fédérale incombe au Préposé fédéral à la protection des données et à la transparence (PFPDT), une autorité indépendante.

Limites de l'accès extraterritorial

La Suisse n'est pas membre de l'UE et n'est pas soumise au CLOUD Act ni à des régimes analogues de divulgation extraterritoriale. Le droit suisse exige des procédures formelles d'entraide judiciaire internationale avant que des autorités étrangères ne puissent accéder à des données hébergées en Suisse — un processus lent, documenté et soumis au contrôle judiciaire suisse.

Le CLOUD Act américain, expliqué simplement

Le Clarifying Lawful Overseas Use of Data Act (CLOUD Act), adopté en 2018, est la plus conséquente des législations américaines pour les données non-américaines. Il permet aux autorités américaines de contraindre les fournisseurs basés aux États-Unis à produire les données qu'ils ont en « possession, garde ou contrôle » — peu importe où dans le monde ces données se trouvent physiquement.

L'implication pratique pour les données de formulaire est plus tranchante que la plupart des acheteurs ne l'imaginent :

• Si votre fournisseur est une société américaine — ou une filiale — et détient des clés de déchiffrement, vos données peuvent être contraintes par une autorité américaine même si le serveur est physiquement à Francfort, Dublin ou Zurich
• Il peut lui être interdit de vous notifier qu'une demande a eu lieu (le bâillon est la règle)
• Les obligations RGPD du fournisseur n'annulent pas les obligations CLOUD Act ; elles coexistent, et les fournisseurs américains respectent généralement la loi américaine en priorité
• Le chiffrement au repos sur le serveur ne bat pas le CLOUD Act si le fournisseur contrôle les clés — il livre les données avec les moyens de les déchiffrer

L'hébergement UE n'est pas une réponse universelle

« Hébergé dans l'UE » est devenu un raccourci pour « à l'abri de l'accès juridique étranger ». C'est un point de départ utile, mais incomplet. Trois frictions valent la peine d'être dites :

• L'arrêt Schrems II (2020) a invalidé le Privacy Shield UE-US. Le Data Privacy Framework 2023 rétablit une voie de transfert, mais est contesté constitutionnellement et repose sur un fondement juridique moins stable que ne le pensent nombre d'acheteurs
• Le CLOUD Act s'applique aux sociétés basées aux États-Unis quelle que soit la localisation de leurs datacentres UE. Les grands fournisseurs cloud américains avec régions UE restent juridiquement atteignables
• Les transferts intra-UE entre États membres se font sous RGPD mais restent des transferts. Les règles nationales (IT-Sicherheitsgesetz allemand, SecNumCloud français) ajoutent des couches qu'une simple mention « hébergé UE » ne capture pas

Rien de tout cela ne signifie que l'hébergement UE est mauvais. Cela signifie que « hébergé UE » n'est pas une catégorie monolithique et ne résout pas automatiquement le problème d'accès extraterritorial. Pour les acheteurs qui veulent une réponse claire et défendable, la Suisse — hors UE, adéquate selon le droit UE, non soumise au CLOUD Act — est souvent une position plus propre que de courir après des sous-distinctions entre États UE.

Ce que l'hébergement suisse résout réellement — menace par menace

Ce que l'hébergement suisse seul ne résout pas

L'hébergement est une couche. Elle est nécessaire pour certaines garanties mais pas suffisante pour l'ensemble. Une description honnête de ses limites :

• L'hébergement suisse sans chiffrement laisse vos données lisibles par le personnel du fournisseur — et donc par quiconque le compromet
• Un datacentre suisse exploité par un fournisseur cloud basé aux États-Unis peut rester dans le champ du CLOUD Act — la question pertinente est le contrôle corporatif, pas uniquement l'emplacement physique
• L'hébergement suisse ne protège pas des vulnérabilités applicatives de l'outil de formulaire lui-même
• L'entraide existe. Elle est lente, documentée et contrôlée judiciairement — mais reste un canal réel par lequel, dans des cas appropriés, des autorités étrangères peuvent obtenir des données
• L'hébergement suisse est pertinent surtout pour la couche de stockage. Si vos données sont ensuite exportées via intégrations vers des services hébergés aux États-Unis (CRM, email, analytics), la revendication de souveraineté ne tient qu'à cette étape

C'est pourquoi Schweizerform associe l'hébergement suisse au chiffrement à connaissance nulle de bout en bout. Les deux propriétés sont complémentaires : l'hébergement suisse adresse la question juridictionnelle, la connaissance nulle adresse ce qu'un fournisseur, même contraint, pourrait divulguer. Aucune n'est aussi forte seule que les deux ensemble.

Six questions pour cerner la vraie position de souveraineté d'un fournisseur

Le moyen le plus rapide de trancher le marketing est la question précise. « Hébergé en Suisse » peut signifier beaucoup — les questions suivantes forcent la précision.

1. Où, physiquement, les données sont-elles stockées — ville et opérateur de datacentre ?
2. Quelle entité juridique exploite le service, où a-t-elle son siège, et appartient-elle à une société mère dans une autre juridiction ?
3. Votre service est-il soumis au CLOUD Act américain ou à des ordonnances extraterritoriales équivalentes en raison de sa structure ?
4. Détenez-vous des clés de déchiffrement des données clients ? Si oui, où et sous quelle juridiction ?
5. Quels sous-traitants utilisez-vous (CDN, e-mail, SMS, sauvegardes), où sont-ils et sous quels accords ?
6. En cas de demande légale d'une autorité non suisse, quel est votre processus et notifierez-vous le client concerné ?

Qui a vraiment besoin de l'hébergement suisse

Tous les formulaires ne justifient pas un hébergement suisse. Pour un RSVP public ou un sondage non personnel, c'est excessif. Mais pour plusieurs classes de données, c'est proche de la seule valeur par défaut sensée :

• Secteurs régulés suisses — banque, assurance, santé, droit — où les autorités attendent une localité des données
• Secteur public et éducation suisses liés par des règles fédérales ou cantonales de localisation
• Organisations collectant des données de résidents suisses soumises aux catégories sensibles nLPD (santé, religion, biométrie)
• Journalisme et ONG traitant des données de sources ou bénéficiaires politiquement sensibles
• Cabinets d'avocats où le secret professionnel ne doit pas être exposé à une procédure étrangère
• Organisations internationales et missions diplomatiques attachées à la neutralité suisse
• Toute entreprise souhaitant démontrer à ses clients ou aux panels d'appels d'offres que sa chaîne de conformité se termine en Suisse

Où se situe Schweizerform

Schweizerform est une entité suisse avec une infrastructure suisse. La combinaison n'est pas un upsell ni un module premium — c'est la base :

• Les données sont stockées dans des datacentres suisses, sur tous les plans y compris le gratuit
• L'entité opératrice est suisse et n'est pas filiale d'une société mère non suisse — le CLOUD Act ne s'applique pas via la structure corporative
• L'architecture est à connaissance nulle : une demande légale d'autorité suisse ne produirait que du texte chiffré, car nous ne détenons pas les clés
• Les sous-traitants sont minimisés et leurs juridictions sont divulguées
• Les répondants — vos utilisateurs — bénéficient des mêmes garanties de souveraineté indépendamment du pays d'où ils remplissent le formulaire

L'essentiel

L'endroit où vivent vos données de formulaire n'est pas une ligne de liste de contrôle. Il détermine quelles lois, quelles autorités et quelles structures corporatives s'interposent entre une demande légale et les informations de vos répondants. L'hébergement suisse, associé au chiffrement à connaissance nulle et à une entité opératrice suisse, est aujourd'hui l'une des réponses les plus claires disponibles — juridiquement, opérationnellement et en signal de confiance.

Pour la plupart des formulaires anodins cela ne change rien. Pour toute donnée dont l'exposition causerait un dommage — médicale, juridique, financière, RH, lanceur d'alerte — la chaîne juridictionnelle n'est pas un détail. C'est l'essence.