Données personnelles

Transferts de données vers la Suisse : RGPD, nLPD et adéquation 2024

Guide complet sur les transferts UE-Suisse et Suisse-pays tiers sous RGPD et nLPD. Décision d'adéquation 2024, CCT, Swiss-US DPF et clauses pratiques.

TD
Dr. Thiébaut Devergranne
30 avril 20268 min read

Les transferts de données vers ou depuis la Suisse soulèvent trois questions distinctes, souvent confondues : (1) UE → Suisse, (2) Suisse → UE, (3) Suisse → pays tiers. La réponse n’est pas la même dans les trois cas, et la décision d’adéquation renouvelée en janvier 2024 par la Commission européenne change le régime applicable. Cet article détaille les obligations sous RGPD et nLPD pour chacun de ces flux, avec les mécanismes contractuels à mettre en place en 2026.

Pour les bases du cadre suisse, voir notre guide RGPD en Suisse. Pour les divergences nLPD/RGPD, nLPD vs RGPD : 7 différences clés.

Points clés

  • La Suisse est un pays adéquat pour la Commission européenne — décision renouvelée le 15 janvier 2024. Les transferts UE → Suisse ne nécessitent aucune garantie supplémentaire.
  • La Suisse considère l’UE/EEE comme adéquate. Les transferts Suisse → UE sont libres.
  • Les transferts Suisse → États-Unis sont libres uniquement pour les organisations américaines certifiées Swiss-U.S. Data Privacy Framework. Hors DPF : clauses contractuelles types suisses obligatoires + analyse d’impact (TIA).
  • Les transferts Suisse → autres pays tiers (Inde, Brésil, Singapour, etc.) nécessitent des garanties : CCT du Conseil fédéral, BCR, ou dérogations limitées.
  • Un transfert “double” (UE → Suisse → pays tiers) doit cumuler les exigences RGPD ET nLPD pour l’export final.

1. Le cadre de l’adéquation Suisse en 2026

La Commission européenne a adopté la première décision d’adéquation pour la Suisse en juillet 2000, sous le régime de la directive 95/46/CE. Cette décision a été maintenue après l’entrée en vigueur du RGPD en 2018. Elle a été renouvelée le 15 janvier 2024 sous le régime nLPD : la Commission a jugé que la nouvelle Loi fédérale sur la protection des données offre un niveau de protection essentiellement équivalent à celui du RGPD.

Concrètement, cela signifie qu’aucune garantie supplémentaire n’est requise pour transférer des données depuis l’UE/EEE vers une entreprise suisse. Le transfert est traité comme un transfert intra-EEE.

Symétriquement, la Suisse reconnaît l’UE/EEE comme offrant un niveau adéquat de protection. Les transferts Suisse → UE sont également libres.

Ce qui reste obligatoire malgré l’adéquation :

  • Information des personnes concernées (article 13 RGPD ou article 19 nLPD)
  • Mention dans le registre des activités de traitement
  • Encadrement contractuel sous-traitant (article 28 RGPD ou article 9 nLPD) — l’adéquation ne dispense pas du DPA

2. Transferts UE → Suisse : régime applicable

Pour une entreprise UE qui sous-traite à un prestataire suisse (cloud, paie, support client, marketing) :

Obligation Fondement Statut
Clauses contractuelles types RGPD art. 46 Non requises (adéquation)
Analyse d’impact transfert (TIA) Schrems II / EDPB Non requise
Contrat sous-traitant (DPA) RGPD art. 28 Requis
Information des personnes RGPD art. 13 Requis (mention de la Suisse comme destinataire)
Registre des traitements RGPD art. 30 Requis

Le DPA standard sous RGPD article 28 reste obligatoire — l’adéquation ne couvre que la partie “transfert international”. La structure du DPA est identique à celle utilisée pour un sous-traitant UE.

3. Transferts Suisse → UE : régime applicable

Pour une entreprise suisse qui utilise un fournisseur UE (Microsoft 365 hébergé en Irlande, AWS Francfort, etc.) :

Obligation Fondement Statut
Clauses contractuelles types nLPD art. 16 Non requises (UE adéquate selon CH)
Contrat sous-traitant nLPD art. 9 Requis
Information des personnes nLPD art. 19 Requis
Inscription au registre nLPD art. 12 Requis

Pas de difficulté particulière : le flux est libre, le DPA reste obligatoire.

4. Transferts Suisse → États-Unis : le cas DPF

C’est le cas le plus complexe en 2026. Trois scénarios selon le statut du destinataire américain :

Scénario A : destinataire certifié Swiss-U.S. DPF

Le Swiss-U.S. Data Privacy Framework est entré en vigueur le 15 septembre 2024. Il permet aux organisations américaines certifiées de recevoir des données personnelles depuis la Suisse sans garanties supplémentaires.

Vérification obligatoire :

  • Consulter la liste officielle : dataprivacyframework.gov
  • Vérifier que la certification couvre bien le scope Swiss-U.S. (et pas uniquement EU-U.S.)
  • Vérifier la date de dernière recertification (annuelle)

Si certifié et à jour : transfert libre. Sinon, voir scénarios B/C.

Scénario B : destinataire non certifié, CCT du Conseil fédéral

Le Conseil fédéral suisse a publié des clauses contractuelles types (CCT) reconnues. Elles s’appuient sur les CCT UE de juin 2021 avec adaptations suisses (références à la nLPD, au PFPDT, etc.).

Procédure :

  1. Sélectionner le module CCT approprié (responsable→responsable, responsable→sous-traitant, sous-traitant→sous-traitant, sous-traitant→responsable)
  2. Faire signer les CCT par le destinataire américain
  3. Conduire une analyse d’impact (TIA) documentant les risques liés à l’accès des autorités américaines (FISA 702, Executive Order 12333) et les mesures de mitigation (chiffrement de bout en bout, pseudonymisation)
  4. Conserver la documentation

Scénario C : dérogations exceptionnelles

L’article 17 nLPD prévoit des dérogations limitées : consentement exprès et éclairé, exécution d’un contrat avec la personne concernée, motifs d’intérêt public important, etc. Ces dérogations sont strictement interprétées et ne peuvent fonder des transferts systématiques. Elles couvrent typiquement un voyage professionnel ou une transaction ponctuelle.

5. Transferts Suisse → autres pays tiers

Pour les pays sans décision d’adéquation suisse (Inde, Brésil, Singapour, Chine, Russie, etc.) :

Liste des pays adéquats selon la Suisse (au 30 avril 2026) : UE/EEE, UK, Andorre, Argentine, Canada (commercial), Guernesey, Île de Man, Île Féroé, Israël, Japon, Jersey, Nouvelle-Zélande, Uruguay. États-Unis : adéquate uniquement via DPF certifié.

Pour les autres :

  1. Clauses contractuelles types : utiliser les CCT du Conseil fédéral (modèles 2022 alignés sur les CCT UE)
  2. Règles d’entreprise contraignantes (BCR) : pour les groupes multinationaux, sous validation PFPDT
  3. Code de conduite ou certification : reconnue par le PFPDT
  4. Garanties spécifiques : ad hoc, sous approbation PFPDT

Une analyse d’impact de transfert (TIA) reste recommandée pour les pays présentant un risque d’accès gouvernemental aux données.

6. Cas pratique : SaaS suisse avec hébergement multi-régions

Une entreprise suisse propose un SaaS B2B aux PME européennes. Architecture :

  • Frontend hébergé sur AWS Frankfurt (UE)
  • Backend principal sur AWS Zurich (Suisse)
  • Sauvegardes sur AWS US-East (États-Unis)
  • Support client externalisé en Inde

Cartographie des transferts :

Origine Destination Mécanisme Documentation
Clients UE → AWS Frankfurt UE → UE Intra-EEE DPA AWS
Clients UE → AWS Zurich UE → CH Adéquation 2024 DPA AWS, mention CH dans politique
Clients CH → AWS Zurich CH → CH Domestique DPA AWS
Clients CH/UE → AWS US-East CH/UE → US Swiss-U.S. DPF + EU-U.S. DPF Vérifier certification AWS, TIA
Tous → support Inde CH/UE → Inde CCT du Conseil fédéral + CCT UE Contrat support, CCT signées, TIA

Erreur fréquente : oublier que les sauvegardes sur US-East impliquent un transfert. Le simple stockage compte comme transfert dès qu’un agent américain peut accéder aux données.

7. Documentation à constituer

Pour chaque flux international identifié :

  • Fiche de transfert : origine, destination, finalité, catégories de données, mécanisme légal
  • Mécanisme : adéquation, CCT signées, BCR validées, dérogation invoquée
  • Analyse d’impact (TIA) pour les pays non adéquats
  • DPA signé avec le destinataire
  • Information des personnes concernées dans la politique de confidentialité

Legiscope cartographie automatiquement les transferts en lisant les DPA fournis par les sous-traitants, alerte sur les certifications DPF expirées, et génère les TIA standardisées.

8. Erreurs courantes à éviter

  1. Confondre adéquation et dispense de DPA — l’adéquation suisse ne dispense pas du contrat sous-traitant.
  2. S’appuyer sur un DPF certifié US-only pour des données suisses — la certification doit couvrir explicitement le scope Swiss-U.S.
  3. Oublier les sauvegardes — un backup hors UE/CH est un transfert international.
  4. Utiliser les CCT UE 2021 telles quelles pour des transferts depuis la Suisse — il faut les CCT suisses ou les CCT UE adaptées (annexe suisse).
  5. Invoquer le consentement comme base systématique des transferts — la dérogation est strictement interprétée.

Conclusion

La décision d’adéquation 2024 simplifie radicalement les flux UE-Suisse mais ne dispense pas des obligations classiques (DPA, registre, transparence). Les transferts vers les pays tiers — surtout les États-Unis hors DPF — restent le principal point de risque. Pour une entreprise opérant des deux côtés de la frontière, le dispositif unique RGPD + nLPD reste la voie la plus efficace.

Pour aller plus loin : checklist nLPD pour PME, PFPDT — rôle et pouvoirs, transferts internationaux RGPD.

FAQ

Faut-il signer des CCT pour transférer des données depuis l’UE vers la Suisse ?

Non. Depuis la décision d’adéquation renouvelée le 15 janvier 2024, la Suisse est traitée comme un pays adéquat. Aucune CCT n’est requise. Le DPA standard sous RGPD article 28 reste obligatoire.

Le Swiss-U.S. Data Privacy Framework est-il fiable en 2026 ?

Le DPF est en vigueur depuis le 15 septembre 2024 et n’a pas été annulé. Il reste néanmoins exposé à un risque “Schrems III” théorique. Bonne pratique : conserver des CCT signées en parallèle comme garantie subsidiaire.

Une entreprise suisse peut-elle utiliser les CCT UE de juin 2021 ?

Oui, à condition d’y annexer les adaptations suisses (références à la nLPD, au PFPDT, aux tribunaux suisses). Le PFPDT a publié un document d’adaptation officiel. Alternative : utiliser les CCT du Conseil fédéral suisse, similaires en substance.

Les sauvegardes hors Suisse comptent-elles comme un transfert international ?

Oui. Le simple stockage de données dans un pays tiers, même sans accès actif, constitue un transfert au sens de la nLPD et du RGPD. Cela doit être encadré par un mécanisme légal et inscrit au registre.

Faut-il une analyse d’impact (TIA) pour les transferts vers des pays adéquats ?

Non. La TIA est requise uniquement pour les transferts vers des pays non adéquats (États-Unis hors DPF, Inde, Chine, etc.) ou des pays présentant des risques d’accès gouvernemental. Pour les pays adéquats (UE, UK, Suisse, Canada, etc.), la TIA n’est pas nécessaire.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

Continue reading

Articles connexes

Article 28 of the GDPR: Obligations Imposed on Processors
Personal Data

Article 28 of the GDPR: Obligations Imposed on Processors

BCR vs SCC vs DPF: Choosing the Right GDPR Transfer Mechanism
Data Privacy

BCR vs SCC vs DPF: Choosing the Right GDPR Transfer Mechanism

Best GDPR Compliance Software for SMEs (2026)
Data Privacy

Best GDPR Compliance Software for SMEs (2026)

Consent Management Platforms Compared (2026)
Data Privacy

Consent Management Platforms Compared (2026)

Cookie Audit: How to Map Your Website's Cookies
Data Privacy

Cookie Audit: How to Map Your Website's Cookies

Cookie Banner Compliance: What Actually Meets the Law
Data Privacy

Cookie Banner Compliance: What Actually Meets the Law