Selon la législation suisse, une demande de “portabilité” ou d’export ne signifie pas que vous devez vider vos systèmes sans filtre. Votre objectif est de remettre les données personnelles de la personne dans un format propre et utile, tout en protégeant les données de tiers et certains éléments internes qui ne doivent pas être communiqués. La frontière dépend beaucoup du contexte, notamment si la demande relève plutôt de la portabilité ou du droit d’accès.

1. Portabilité ou droit d’accès : ne pas confondre

Dans le langage courant, beaucoup de clients disent “portabilité” pour parler d’un export général. En pratique, il y a souvent deux logiques différentes. D’un côté, la portabilité vise généralement une remise dans un format structuré et réutilisable, surtout pour des données que la personne a fournies ou générées dans la relation de service. De l’autre, le droit d’accès vise plutôt à permettre à la personne de savoir quelles données personnelles vous détenez sur elle, avec des informations sur leur traitement. Si la demande est formulée de manière large, la meilleure approche est de clarifier par écrit ce que la personne attend. Souhaite-t-elle un fichier “pour migrer” vers un nouveau prestataire, ou souhaite-t-elle un accès complet au contenu de vos dossiers internes ? Cette clarification réduit les malentendus et permet de cadrer un export réaliste.

2. Méthode de tri : quoi exporter, quoi caviarder

Pour répondre de manière fiable, évitez la réponse “au feeling”. Utilisez une méthode de tri simple, réplicable, et documentée. Elle vous servira aussi de preuve de sérieux si le client conteste votre réponse. Dans la plupart des cas, on peut classer les informations en trois blocs.

• Bloc A : données personnelles du client exportables : données d’identification, coordonnées, données de compte, historiques d’actions, tickets, échanges liés à la prestation, documents fournis par le client, facturation liée à son compte.
• Bloc B : données exportables mais à filtrer : éléments qui contiennent des données de tiers (autres clients, collaborateurs, partenaires), ou des informations qui révèlent la sécurité interne, des identifiants techniques, ou des segments non pertinents. Ici, on exporte, puis on caviarde ou on extrait les parties pertinentes.
• Bloc C : données à exclure en principe : informations qui ne sont pas des données personnelles du demandeur, ou qui sont purement internes et sans lien avec ses données, ou encore des contenus dont la communication porterait atteinte à des droits de tiers. Selon les cas, il peut aussi s’agir de notes de travail strictement internes ou d’éléments couverts par une confidentialité spécifique.

Concrètement, votre filet de sécurité est le suivant. Vous ne cherchez pas à être “généreux”, vous cherchez à être juste et traçable, avec un export compréhensible et une explication courte de ce que vous remettez et de ce que vous ne remettez pas.

3. Cas concrets : CRM, tickets, emails et documents

Voici une lecture pratique, outil par outil, de ce qui est généralement attendu dans une entreprise en Suisse romande. Les détails varient selon votre rôle, par exemple prestataire SaaS, agence ou fiduciaire, et selon votre relation contractuelle. CRM. En général, vous pouvez fournir un export des fiches contacts et organisations liées au client, les champs de profil, l’historique des interactions, les opportunités, les devis et commandes rattachés, ainsi que les notes qui décrivent des faits concernant la relation. En revanche, il faut souvent filtrer les champs qui contiennent des informations sur d’autres clients, des mentions de tiers, ou des notes internes hors sujet. Si votre CRM contient des segments internes comme “risque”, “priorité”, “stratégie commerciale”, il peut être nécessaire de réévaluer au cas par cas ce qui doit être transmis. Outil de tickets support. Les demandes de portabilité concernent souvent le contenu des tickets, car c’est ce qui aide le client à migrer ou à documenter des incidents. Vous pouvez généralement fournir le fil des échanges, les dates et statuts, les pièces jointes du client, et éventuellement les tags. Prudence avec les commentaires internes ou les mentions de collaborateurs qui n’apportent rien à la compréhension du dossier du client. Les tickets contiennent aussi parfois des captures ou logs qui exposent des données d’autres utilisateurs. Dans ce cas, un caviardage est souvent la solution la plus propre. Emails. C’est souvent le point le plus délicat. Un export “brut” de boîtes mail peut contenir des échanges avec des tiers, des discussions internes, ou des éléments protégés par la confidentialité. Une approche pragmatique consiste généralement à fournir un export ciblé, par exemple les emails échangés avec le client, avec les pièces jointes pertinentes, en évitant d’embarquer des chaînes qui exposent d’autres dossiers. Si certains échanges mélangent plusieurs clients ou plusieurs sujets, un tri puis un caviardage est en général préférable. Documents et drive. Remettez typiquement les documents fournis par le client et ceux produits pour lui, par exemple rapports, livrables, relevés, pièces comptables si vous êtes une fiduciaire, ou exports de configurations si vous êtes un SaaS. Vérifiez systématiquement que les documents ne contiennent pas des données d’autres clients. Dans la vraie vie, les dossiers “Modèles” et les exports multi-clients sont la première cause de surdivulgation. Logs techniques et sécurité. Les clients demandent parfois “tous les logs”. Selon la situation, une remise intégrale peut exposer votre sécurité, des identifiants, ou des données de tiers. Souvent, il est plus adapté de fournir les éléments liés au compte du client et nécessaires à l’objectif annoncé, plutôt qu’un dump complet. Si la demande ressemble à un audit agressif ou à un prélude à un litige, faites valider la stratégie par un avocat spécialisé.

4. Livraison : formats, sécurité et preuve de remise

Une bonne réponse LPD se joue autant sur le contenu que sur la manière de livrer. Un export non sécurisé envoyé en pièce jointe, ou un lien public sans contrôle, peut créer un incident de données. Formats. Pour une portabilité utile, les formats structurés sont souvent plus pratiques, par exemple CSV ou JSON pour des tables CRM et des tickets, et PDF pour des documents. Pour les emails, le format dépend de votre outil. L’essentiel est que le client puisse ouvrir, comprendre et réutiliser, sans avoir besoin d’un logiciel exotique. Canal et sécurité. Utilisez un canal adapté au niveau de sensibilité. En pratique, un espace de partage sécurisé avec accès limité, ou un chiffrement avec communication séparée du mot de passe, est souvent plus prudent qu’un simple email. Assurez-vous aussi de vérifier l’identité du demandeur, surtout si la demande arrive depuis une adresse différente, ou si un représentant écrit au nom du client. Preuve de remise. Conservez une trace de ce que vous avez remis, à quelle date, et par quel canal. Cela peut inclure la liste des fichiers, leurs noms, et une preuve de téléchargement si votre outil le permet. Si le dossier est sensible, ou si vous anticipez un conflit, le plus efficace est souvent de faire cadrer la réponse et la preuve par un expert juridique. C’est précisément là que JuriUp fait gagner du temps. Vous décrivez vos systèmes et la demande, puis vous recevez l’avis d’un juriste ou d’un avocat spécialisé, avec une approche adaptée à votre activité et au canton concerné. Si votre demande touche à d’autres sujets numériques, vous pouvez aussi consulter nos guides, par exemple sur la suppression d’un faux profil via les démarches depuis la Suisse. Et si votre question concerne la conservation de preuves sans les redistribuer, notre article sur la plainte en cas de diffusion d’images intimes peut vous aider à structurer les bons réflexes, même hors contexte LPD, via ce guide pratique. Enfin, si vous êtes confronté à une demande officielle de documents dans un autre domaine sensible, par exemple fiscal, l’approche “donner juste ce qu’il faut, et pouvoir le prouver” reste valable. Vous trouverez une logique similaire dans notre article sur une demande de justificatifs crypto via ce guide.