DPA non négociable et transfert de données hors Suisse : comment sécuriser votre PME sans perdre le contrat
Beaucoup de fournisseurs SaaS imposent un DPA standard, parfois avec des transferts internationaux. Voici une méthode réaliste pour garder du contrôle avec des annexes et des exigences ciblées, sans bloquer la signature.
Objectif
Sécuriser le transfert hors Suisse, sans renoncer au contrat.
Temps
45 à 90 min pour cadrer un dossier propre.
Résultat
Un DPA acceptable, complété par des annexes et des garde fous.
Ce guide est pratique et général, basé sur les bonnes pratiques contractuelles et sur la logique de la législation suisse en matière de protection des données. Selon votre activité, vos clients et les pays concernés, un avis juridique personnalisé peut être nécessaire, en particulier si des données sensibles sont traitées ou si le fournisseur refuse toute transparence.
1 Objectif et prérequis (avant de commencer)
À réunir
- Le contrat SaaS, le DPA du fournisseur et les conditions de service (même si c’est un PDF standard).
- La description de votre usage, avec les types de données et les catégories de personnes concernées (clients, employés, patients, élèves, etc.).
- Vos contraintes internes: exigences client, clauses de confidentialité, audit, obligations sectorielles.
Dans la plupart des cas, un DPA “non négociable” ne veut pas dire “aucune marge”. La marge se trouve souvent dans les annexes, dans la configuration du service et dans des engagements écrits complémentaires.
À vérifier tout de suite dans le DPA
- Où les données sont hébergées, d’où elles sont accessibles, et si des sous traitants interviennent.
- Comment les incidents sont notifiés et avec quel niveau de détail.
- Ce qui est prévu en fin de contrat: restitution, export et suppression.
Pour les PME dans le canton de Genève et dans le canton de Vaud, l’enjeu est souvent concret: vous devez continuer à avancer, tout en restant crédible face à vos clients. L’objectif est d’obtenir une traçabilité suffisante, pas un contrat parfait sur le papier.
2 Procédure pas à pas (ordre recommandé)
Une méthode pragmatique pour un contrat SaaS avec sous traitant et transfert de données hors Suisse, selon la logique de la LPD.
Clarifiez le rôle de chacun et les flux de données
Identifiez si vous êtes maître du traitement et si le fournisseur agit comme sous traitant. Ensuite, listez les flux: collecte, stockage, support, sauvegardes, logs, accès admin et sous traitance ultérieure.
- Pays d’hébergement et pays d’accès (support, maintenance).
- Sous traitants et services connexes (monitoring, email, analytics, ticketing).
- Catégories de données et sensibilité (données clients, RH, données de santé, etc.).
Transformez le “non négociable” en “annexe standard”
Beaucoup de fournisseurs refusent de modifier leur DPA principal, mais acceptent une annexe, un addendum opérationnel ou un “customer security addendum”. Votre levier est d’être concret, limité et facile à valider.
Exemple de demandes “raisonnables” que les fournisseurs acceptent plus souvent: liste des sous traitants, engagement de notification d’incident, canal de contact dédié, et options d’hébergement ou de résidence des données si le plan le permet.
Fixez 8 points non négociables, pas 80
Un bon compromis en 2026 est de viser un socle de sécurité et de transparence, sans exiger un audit sur mesure ou une réécriture complète. Plus votre liste est courte, plus vous avez des chances d’obtenir un accord rapide.
À sécuriser en priorité
- Liste tenue à jour des sous traitants, avec un mécanisme d’information en cas de changement.
- Notification d’incident de sécurité dans les meilleurs délais, avec un contenu minimal (quoi, quand, données touchées, mesures).
- Mesures de sécurité décrites à un niveau compréhensible (chiffrement, contrôle d’accès, journalisation, sauvegardes).
- Fin de contrat: restitution des données, suppression et confirmation sur demande.
À traiter avec prudence
- Les clauses de limitation de responsabilité “tout compris” qui neutralisent l’intérêt du DPA.
- Les formulations trop vagues, par exemple “nous pouvons transférer partout” sans garde fous.
- Les obligations de notification d’incident limitées au seul fournisseur, sans engagement de vous informer.
Encadrez le transfert hors Suisse avec une logique simple
Selon la législation suisse, un transfert à l’étranger doit être encadré par des garanties appropriées. Si le fournisseur ne change pas son DPA, demandez au minimum des engagements concrets sur les destinations, la sous traitance et les mécanismes internes.
Astuce utile: si la négociation est serrée, proposez un engagement écrit “opérationnel” plutôt qu’une clause juridique complexe. Par exemple, une liste des pays d’hébergement et une confirmation qu’un changement matériel vous sera communiqué.
Obtenez une confirmation écrite et archivez votre dossier
En cas d’audit client ou d’incident, ce qui compte est votre capacité à démontrer une démarche structurée. Conservez les emails, le DPA, l’annexe, la liste des sous traitants et la fiche de configuration (région, options de sécurité, logs).
Trace
Email de validation ou ticket “legal approval”.
Pièces
DPA, annexe, liste des sous traitants.
Configuration
Région, options sécurité, journaux, accès admin.
3 Modèle d’annexe (copier-coller)
Remplacez les éléments entre crochets. L’objectif est d’avoir une annexe courte que le fournisseur peut accepter sans modifier son DPA principal. En cas de doute sur la conformité LPD ou sur un transfert vers un pays à risque, faites valider par un expert juridique.
Conseil pratique
Envoyez l’annexe avec un message simple: “Nous acceptons votre DPA, sous réserve de l’annexe ci jointe qui formalise la transparence sur la sous traitance et les notifications d’incident.”
Quand faire valider
Si vos données sont sensibles, si le transfert vise des pays multiples ou si vous avez une contrainte client stricte, faites relire par un avocat spécialisé ou un juriste. Vous gagnerez du temps et vous réduirez les angles morts.
4 Tableau de suivi (à remplir)
Ce tableau vous aide à garder les preuves, utile si un client vous pose des questions ou si une situation de sécurité survient. Adaptez les colonnes à votre contexte.
| Action | Date | Canal | Référence | Statut |
|---|---|---|---|---|
| Demande liste sous traitants + pays | [date] | Email / portail | [ticket / email] | En attente |
| Envoi annexe opérationnelle au DPA | [date] | [email] | Relancé | |
| Validation écrite reçue | [date] | Email / portail | [réf.] | Confirmé |
Conservez aussi une capture de la page “sub processors” du fournisseur et, si possible, un export des paramètres de sécurité. Cela vous aide à démontrer une diligence raisonnable.
5 En cas de refus ou de blocage du fournisseur
Stratégie de négociation “réaliste”
- Demandez une confirmation par écrit sur 3 points seulement: liste des sous traitants, incident, fin de contrat.
- Proposez une annexe courte, déjà rédigée, plutôt qu’un échange de clauses.
- Demandez la personne “legal” ou “security” plutôt que le support commercial.
Si votre client final exige un “DPA signé”, vous pouvez souvent faire accepter un duo: DPA standard du fournisseur + annexe opérationnelle signée ou validée par email. L’important est la preuve.
Options contractuelles si vous devez signer quand même
- Limiter le périmètre: exclure certaines catégories de données du service, ou anonymiser avant envoi.
- Ajuster la configuration: région d’hébergement disponible, logs limités, désactivation de modules non indispensables.
- Mettre en place une gouvernance interne: règles d’accès, politique de mots de passe, gestion des rôles et journalisation.
Quand votre marge est faible, l’objectif n’est pas de “gagner” face au fournisseur. L’objectif est de réduire votre risque, et de pouvoir expliquer votre choix avec un dossier cohérent si une question survient.
Vous devez signer vite, mais vous voulez sécuriser correctement ?
Un expert juridique peut vous aider à cadrer une annexe acceptable, à identifier les points réellement risqués et à préparer une réponse claire pour vos clients. Sur JuriUp, vous décrivez votre situation et vous recevez des retours ciblés, en toute confidentialité.
6 FAQ, DPA non négociable Suisse et transfert de données hors Suisse (LPD)
Cliquez pour ouvrir.
Un DPA “non négociable” signifie t il que je ne peux rien faire ?
Non, pas forcément. Souvent, le texte principal ne bouge pas, mais vous pouvez obtenir une annexe, une confirmation écrite, une liste de sous traitants, ou des options de configuration qui réduisent le risque. L’idée est de viser peu de points, mais bien choisis.
Comment gérer un transfert de données hors Suisse selon la LPD ?
En pratique, vous devez obtenir une transparence minimale sur les destinations, la sous traitance et les garanties appliquées, puis documenter votre décision. Les exigences exactes dépendent des pays et du risque. Si le cas est sensible, un avis juridique personnalisé est recommandé.
Quelles clauses sont les plus importantes dans un contrat SaaS sous traitant de données ?
Les points qui vous protègent le plus sont généralement la sous traitance (transparence), la gestion d’incident (notification), la sécurité (mesures compréhensibles) et la fin de contrat (récupérer et supprimer). Si un de ces éléments est trop flou, vous perdez du contrôle.
Nous sommes une PME, comment rester crédible face à un grand fournisseur international ?
En restant simple et documenté. Vous demandez une liste de sous traitants, un point de contact incident, une confirmation de localisation et une clause fin de contrat exploitable. Vous archivez la preuve. Et si votre client a des exigences fortes, faites cadrer votre approche par un expert juridique via JuriUp.
