LPD et demandes d’accès aux données (DSAR) : répondre sans risque et sans trop en dire
En 2026, les PME en Suisse romande reçoivent de plus en plus de demandes d’accès aux données, d’export et de correction, souvent dans des contextes tendus. Une réponse trop lente, trop large, ou mal cadrée peut créer un conflit, exposer des données de tiers, ou fragiliser un dossier RH. Voici une méthode opérationnelle pour traiter une demande d’accès selon la législation suisse, tout en restant factuel, traçable et proportionné.
La situation typique
« Nous sommes une PME dans le canton de Genève. Un client mécontent nous demande “toutes les données” le concernant, y compris les emails internes et les notes CRM. En parallèle, un ex-employé réclame une copie de son dossier RH, ses évaluations, et tous les échanges le mentionnant. Comment répondre correctement selon la LPD, sans révéler des informations sensibles sur des collègues, ni créer un précédent dangereux ? »
Équipe JuriUp
Équipe de rédaction et de contenu juridique JuriUp, en collaboration avec des juristes et avocats partenaires spécialisés en protection des données (LPD) en Suisse romande.
La réponse de l’équipe JuriUp
Une demande d’accès aux données selon la législation suisse se traite avec une logique simple. Vous devez donner à la personne concernée une réponse compréhensible sur ses données personnelles, mais vous n’êtes pas obligé de “ouvrir vos dossiers” sans filtre. Le risque principal, en pratique, n’est pas de trop peu répondre, c’est de répondre trop vite et trop large, en divulguant des données de tiers, des éléments hors périmètre, ou des documents mal relus.
Important : Les demandes d’accès deviennent souvent un levier dans un conflit RH ou commercial. Avant d’envoyer quoi que ce soit, sécurisez votre cadre et faites valider votre approche par un expert juridique si la situation est tendue. Avec JuriUp, vous pouvez trouver un expert juridique adapté à la LPD en Suisse romande, puis préparer une réponse solide sans sur-divulgation.
1. Comprendre ce qu’est une demande d’accès (et ce que ce n’est pas)
En langage courant, on parle souvent de DSAR, surtout quand la demande vient d’un modèle trouvé en ligne. En Suisse, on raisonne d’abord avec la LPD et l’idée centrale reste la même. La personne veut savoir si vous traitez ses données personnelles, lesquelles, et obtenir une copie ou des informations pertinentes sur ce traitement, selon les modalités prévues par la législation suisse. En revanche, une demande d’accès n’est généralement pas un droit illimité à obtenir tous vos documents internes “au complet”. Beaucoup de PME confondent copie de données personnelles et transmission de dossiers entiers, avec des échanges internes qui contiennent aussi des données d’autres personnes, des appréciations, ou des informations qui dépassent le strict périmètre.2. Qualifier la demande et sécuriser le cadre dès le départ
Votre premier objectif est de transformer une demande parfois agressive en processus clair. Cela vous fait gagner du temps et réduit fortement le risque d’erreur. Dans la plupart des cas, vous pouvez répondre en deux temps, avec un message d’accusé de réception puis une réponse de fond.- Vérifiez l’identité du demandeur avant de transmettre des informations sensibles, surtout si la demande arrive par email non habituel, via un avocat, ou depuis l’étranger.
- Demandez une précision raisonnable si la demande est très large, par exemple sur la période concernée, les systèmes visés, ou le contexte. En pratique, cela aide à livrer une réponse plus pertinente.
- Fixez un canal de réponse sécurisé et traçable, et annoncez que les données de tiers seront protégées et que certains éléments peuvent être caviardés.
- Bloquez les suppressions liées au cycle normal (nettoyage de boîtes mail, purge CRM) tant que la demande est en cours, afin d’éviter un incident de gouvernance.
3. Cartographier vite les données concernées (sans se noyer)
Le piège classique, surtout dans une PME dans le canton de Vaud ou dans le canton de Fribourg, est de partir dans une collecte exhaustive et désorganisée. Vous voulez plutôt une collecte structurée, avec un périmètre explicite. Concrètement, commencez par lister les emplacements probables des données, puis identifiez un responsable de collecte par outil.- RH : dossier du collaborateur, évaluations, absences, correspondance formelle, attestations.
- Messagerie : emails entrants et sortants, pièces jointes, éventuellement calendrier si pertinent.
- CRM et support : tickets, notes de suivi, historique des demandes, enregistrements d’appels si vous en faites.
- Comptabilité : factures, paiements, rappels, correspondance commerciale.
- Accès et sécurité : logs et historiques, si vous en conservez, et si cela est pertinent au regard de la demande.
- Documents partagés : dossiers projets, contrats, annexes, tableaux de suivi.
4. Rédiger une réponse utile, mais maîtrisée
Une bonne réponse a un ton neutre, une structure simple, et des annexes lisibles. Elle évite de se justifier et évite aussi de “raconter l’histoire”. Vous répondez à la demande, point.- Expliquez votre compréhension de la demande, avec la période et les systèmes couverts, pour éviter les malentendus.
- Décrivez les catégories de données et le contexte (client, fournisseur, employé, candidat), sans entrer dans des appréciations.
- Fournissez une copie des données personnelles pertinentes dans un format exploitable, quand c’est possible, et regroupez les documents plutôt que d’envoyer 40 pièces disparates.
- Caviardez les données de tiers, par exemple noms de collègues, coordonnées d’autres clients, identifiants internes, ou passages qui révèlent des informations sur d’autres personnes.
- Expliquez les retraits de manière générale, par exemple “certaines informations ont été masquées pour protéger les données personnelles de tiers”, sans entrer dans un bras de fer.
Un réflexe qui évite beaucoup de dégâts
Faites relire l’export ou le PDF final par une seconde personne avant envoi. La plupart des incidents viennent d’une pièce jointe mal filtrée, d’un fil de discussion avec des tiers, ou d’un commentaire interne resté visible. Si le dossier est sensible, validez la version finale avec un avocat spécialisé via JuriUp, avant transmission.
5. Cas sensibles : RH, ex-employés et emails internes
Les demandes venant d’employés ou d’ex-employés sont souvent les plus délicates. Elles portent sur des évaluations, des notes managériales, des échanges internes, et parfois des communications impliquant plusieurs personnes. En Suisse romande, ce type de demande surgit aussi dans des contextes d’incapacité de travail, de licenciement contesté, ou de conflit relationnel. Si votre contexte est lié à une fin de rapports de travail, il est utile de garder une vision d’ensemble. Vous trouverez aussi des contenus pratiques sur le blog JuriUp, notamment quand la protection des données se mélange avec le droit du travail, ou quand un dossier devient contentieux. Par exemple, selon la situation, l’article sur l’incapacité de travail et le licenciement en Suisse romande peut aider à comprendre les enjeux, même si la réponse à une demande d’accès reste un sujet LPD distinct. Sur les emails internes, la prudence est de mise. Un email peut contenir des données personnelles du demandeur, mais aussi celles d’un collègue, d’un client, ou d’un autre employé, avec des appréciations qui ne doivent pas se retrouver “en clair”. En pratique, vous pouvez souvent extraire les passages pertinents ou fournir une copie avec masquage ciblé. Si vous hésitez entre “tout transmettre” et “tout refuser”, évitez les extrêmes et demandez un avis.6. Documenter le processus pour réduire votre risque
Même si vous répondez correctement, vous devez pouvoir démontrer votre méthode. En cas de contestation, une documentation minimale fait la différence, surtout quand la demande arrive dans un contexte litigieux. Sans entrer dans une lourdeur administrative, gardez une trace claire du traitement.- Date de réception et canal, puis personne en charge en interne.
- Vérification d’identité effectuée, et éléments reçus.
- Périmètre retenu, outils consultés, et mots-clés utilisés si une recherche a été nécessaire.
- Documents collectés, éléments caviardés, et raison générale de chaque masquage.
- Version finale envoyée, canal d’envoi, et accusé de réception.
Les points clés à retenir
Check-list PME (Genève, Vaud, Fribourg)
- Centralisez la demande : une adresse unique ou une personne référente, pour éviter des réponses contradictoires.
- Confirmez l’identité du demandeur avant toute transmission.
- Cadrez le périmètre : période, relation (client, employé), systèmes concernés, et format de réponse.
- Organisez la collecte par outil (RH, messagerie, CRM, comptabilité), avec un responsable par source.
- Filtrez et caviardez : données de tiers, informations manifestement hors périmètre, et éléments sensibles non nécessaires.
- Relisez à deux : surtout les emails et pièces jointes, puis verrouillez la version finale.
- Archivez la preuve : périmètre, recherches, masquages, et contenu envoyé.
- Faites valider par un juriste LPD si la demande est large, conflictuelle, ou liée à un dossier RH.
Vous devez répondre à une demande d’accès et vous voulez éviter l’erreur de trop en dire ?
Décrivez votre situation sur JuriUp. Nous vous mettons gratuitement en relation avec un expert juridique adapté à la LPD en Suisse romande, afin de cadrer votre réponse, vos caviardages et votre documentation, sans alourdir inutilement votre organisation.
Questions fréquentes
-
Une personne peut-elle demander “tous les emails internes qui parlent d’elle” ?
Une telle demande arrive souvent en pratique. Selon la législation suisse, l’accès vise les données personnelles de la personne concernée, mais vous devez aussi protéger les données de tiers. Dans beaucoup de situations, cela implique une sélection et un caviardage, plutôt qu’une transmission brute de fils internes complets. Si le contexte est conflictuel, faites valider votre approche par un juriste LPD via JuriUp.
-
Faut-il répondre si la demande est formulée de manière agressive ou menaçante ?
En général, le ton ne change pas vos obligations de traitement. En revanche, il justifie souvent un cadrage plus strict, une communication écrite très neutre, et une vérification d’identité renforcée. Si vous craignez un usage stratégique de la demande dans un litige, contactez un avocat spécialisé via JuriUp avant d’envoyer des documents.
-
Peut-on refuser de transmettre certains documents internes ?
Selon la situation, vous pouvez être amené à limiter, masquer ou restructurer la communication, notamment pour protéger des tiers ou pour éviter de livrer des éléments manifestement hors périmètre. La frontière dépend beaucoup des faits, du type de document et des données qu’il contient. Pour éviter une réponse trop large ou un refus mal motivé, faites relire votre projet de réponse par un expert juridique LPD via JuriUp.
-
Quel format d’export est le plus sûr pour une PME ?
En pratique, un pack structuré, lisible, et relu, souvent en PDF, fonctionne bien, surtout quand un caviardage est nécessaire. Les exports bruts (CSV, ZIP de messagerie) sont plus risqués car ils contiennent facilement des données de tiers ou des champs invisibles. Si vous devez fournir un export, vérifiez et nettoyez le contenu avant envoi, et documentez vos choix.
-
Notre PME traite aussi des sujets immobiliers et des litiges locatifs, cela change-t-il quelque chose ?
Le contexte peut augmenter la sensibilité, car des dossiers locatifs ou familiaux contiennent souvent des données personnelles de plusieurs personnes. Si la demande touche des échanges liés à un bail, un congé contesté, ou des situations personnelles délicates, le filtrage et la protection des tiers deviennent centraux. Pour vos équipes, cela peut aussi être utile de consulter des ressources connexes comme les congés contestables en droit du bail en Suisse romande ou la protection du logement en cas de divorce, tout en gardant une validation LPD dédiée via JuriUp.
