DPA et LPD: ce que ta cliente enterprise exigera

Dès qu'une cliente enterprise te prend au sérieux, elle envoie un questionnaire de protection des données avant de signer quoi que ce soit. Le DPA que tu joins à ton contrat-cadre décide si cette conversation dure une semaine ou trois mois. Un modèle propre qui couvre à la fois la LPD suisse révisée (en vigueur depuis le 1er septembre 2023) et le RGPD UE clôt la discussion rapidement.

Les ancrages contractuels sont l'art. 9 LPD (obligations du sous-traitant) et l'art. 28 RGPD (contrat de sous-traitance). Les deux exigent un accord écrit, les deux fixent le même contenu minimal, les deux exigent la divulgation des sous-traitants ultérieurs. Le DPA satisfait les deux d'un coup.

Ce que la LPD et le RGPD partagent

Les deux exigent un contrat écrit entre responsable et sous-traitant qui précise l'objet, la finalité, la durée et les catégories de données personnelles, les devoirs du sous-traitant et les mesures techniques et organisationnelles en place (art. 8 LPD, art. 32 RGPD). Les deux exigent la notification des violations sans retard injustifié (art. 24 LPD au PFPDT et aux personnes concernées, art. 33 RGPD à l'autorité de contrôle dans les 72 heures). Les deux exigent la divulgation des sous-traitants ultérieurs et un droit d'audit.

Où la LPD suisse diverge

• Les données personnelles des personnes morales ne sont plus dans le champ de la LPD révisée depuis le 1er septembre 2023, alignement avec le RGPD.
• Les transferts transfrontières vers un pays sans protection adéquate exigent des garanties supplémentaires selon l'art. 16 LPD. Le Conseil fédéral tient la liste d'adéquation (OPDo annexe 1); les Swiss SCCs sont les SCCs UE avec une annexe suisse étroite.
• Les notifications de violation vont au PFPDT suisse selon l'art. 24 LPD, et non à l'autorité de contrôle du pays de la cliente, quand le responsable est suisse.
• Le droit d'accès (art. 25 LPD) donne aux personnes concernées une réponse gratuite dans les trente jours, avec sanctions pénales pour la personne responsable (jusqu'à CHF 250'000 d'amende personnelle selon l'art. 60 LPD) si la réponse manque ou est fausse.
• Il n'existe pas d'équivalent LPD aux amendes de 2 ou 4 pour cent du chiffre d'affaires du RGPD; les sanctions suisses sont personnelles (la personne privée est directement frappée), ce qui change le tableau de risque pour le fondateur lui-même.

Si une cliente dépose une demande d'accès LPD et que nous l'ignorons, qui répond personnellement?

Selon l'art. 60 LPD, la personne responsable de la violation, typiquement le ou la CEO ou le ou la responsable protection des données, est amendée personnellement, pas la société. Le maximum est CHF 250'000, l'amende est pénale, donc elle figure au casier judiciaire personnel. Le seuil de poursuite est la violation intentionnelle; l'ignorance par négligence est en pratique poursuivie quand le PFPDT a émis un avertissement préalable. Mets en place un workflow trente jours pour les demandes d'accès et documente la réponse, cela seul te sort de la zone de risque.

Sous-traitants ultérieurs

Liste tes sous-traitants en annexe. La plupart des clientes enterprise veulent un préavis de trente jours pour les ajouts, avec droit d'opposition. En cas d'opposition, tu dois une alternative raisonnable ou un droit de résiliation contre le service concerné. Nomme ton hébergeur (AWS, Hetzner, Infomaniak), ton stack de monitoring (Datadog, Sentry), ton infrastructure mail (Postmark, Mailgun) et tout prestataire IA (OpenAI, Anthropic, ton service de fine-tuning). Ne cache pas un prestataire; un sous-traitant non divulgué est la cause la plus fréquente d'un échec de renouvellement et le motif le plus fréquent d'une enquête du PFPDT.

Mesures techniques et organisationnelles

Joins une annexe TOM d'une page: chiffrement au repos (AES-256, nommé) et en transit (TLS 1.3, nommé), contrôles d'accès (SSO, moindre privilège, MFA imposé), journalisation et conservation d'audit (typiquement douze mois), fréquence et rétention des backups (chiffres nommés, pas 'régulier'), réponse à incident (rotation de piquet nommée et chaîne d'alerte), formation du personnel (annuelle, avec attestation). Reste concret. Les clientes rejettent les descriptions vagues et acceptent les descriptions sobres et précises.

Hébergement et localisation

Les clientes suisses dans des secteurs régulés demanderont où se trouvent les données. Si tu hébergeras en UE, dis-le et pointe vers l'adéquation RGPD via l'annexe 1 de l'OPDo du Conseil fédéral. Si tu hébergeras en Suisse, dis-le et pointe vers la LPD et les attentes cantonales de la FINMA (Circulaire 2018/3) et des régulateurs santé. Si tu utilises un prestataire US, joins la certification EU-US Data Privacy Framework (le nom de la société figure sur la liste officielle, vérifie avant signature) et le pendant Swiss-US. Les réponses vagues allongent la négociation, les réponses précises la closent.

Nous utilisons OpenAI pour une fonctionnalité produit. Qu'est-ce que j'écris dans le DPA?

Liste OpenAI comme sous-traitant en annexe, nomme l'endpoint API et la région (la résidence de données UE d'OpenAI, disponible depuis 2024, est le point pertinent), déclare la catégorie de données (typiquement pas de données sensibles, jamais de données personnelles de citoyens UE utilisées pour l'entraînement selon les conditions API d'OpenAI), et attache le DPA d'OpenAI comme document en aval. Si ta cliente est régulée FINMA, attends-toi à une question complémentaire sur la base légale du transfert; la réponse est l'art. 16 al. 2 let. b LPD avec les Swiss SCCs annexées au DPA OpenAI. Tiens cette conversation prête avant que la cliente ne pose la question.

Dois-je désigner un·e conseiller·ère à la protection des données selon la LPD révisée?

Pas obligatoire pour la plupart des startups suisses. L'art. 10 LPD n'oblige que les organes fédéraux et les responsables privés au-dessus d'un seuil à désigner un·e conseiller·ère à la protection des données; en dessous, la désignation est facultative mais recommandée. La désignation volontaire donne des privilèges procéduraux (le PFPDT consulte le ou la conseiller·ère avant les prises de position formelles, le ou la responsable obtient une voie de défense), et les clientes enterprise exigent de plus en plus un contact nommé dans l'annexe du DPA. Coût: CHF 6'000 à 15'000 par an pour un·e DPO externe à temps partiel, moins que le prix d'un audit LPD complet.

Quand la cliente envoie son propre DPA

Les grandes clientes enterprise suisses (CFF, Swisscom, Migros, les grandes banques) envoient leur propre modèle. Inspecte-le pour trois pièges: (a) clauses de responsabilité conjointe qui essaient de te faire passer pour responsable des données client, refuse; (b) responsabilité illimitée pour tout incident de données, refuse et propose un plafond séparé pour les violations de données à trois fois les frais annuels; (c) droits d'audit sans préavis ni plafond de coût, propose trente jours de préavis et un audit par douze mois aux frais de la cliente sauf si elle constate une violation matérielle. Ces trois points sont la négociation, le reste passe en général.