Dans la plupart des cas, le problème n’est pas l’audit en lui-même, mais le contrat d’infogérance ou de cloud qui ne prévoit pas clairement ce que le prestataire doit fournir quand vous avez besoin de preuves, de traces techniques et d’une coopération active. Selon la législation suisse sur la protection des données, votre PME reste en général responsable de la conformité de ses traitements, même si l’exécution technique est confiée à un sous-traitant.

L’objectif réaliste est donc double : cadrer un audit faisable, et éviter qu’un point technique se transforme en litige contractuel. Concrètement, vous cherchez un équilibre entre vos besoins (preuves, transparence, délais d’escalade) et les contraintes du prestataire (multi-tenant, sécurité interne, secret d’affaires, limitations techniques).

1. Comprendre le risque principal côté contrat IT

Les contrats IT sont souvent rédigés pour un fonctionnement “au quotidien”, pas pour un audit LPD. Les blocages reviennent presque toujours sur quatre points : le périmètre exact de ce qui est auditable, l’accès aux éléments de preuve (dont les logs), la gestion des sous-traitants, et la coordination en cas d’incident. Si vous préparez un audit LPD Suisse, vous avez intérêt à traiter le prestataire IT comme un partenaire de conformité, avec un cadre contractuel clair. Cela vaut autant pour un contrat infogérance Suisse que pour un cloud contrat Suisse.

2. Cadrer le périmètre d’audit dès le départ

Un audit efficace commence par un périmètre concret, compréhensible et mesurable. Le contrat, ou un avenant, peut formaliser ce périmètre sous forme de “paquets” plutôt que d’une promesse globale d’audit illimité. Dans la pratique, vous pouvez demander que le périmètre couvre, au minimum, les éléments suivants, adaptés à votre environnement :

• Les services concernés (messagerie, hébergement, VPN, sauvegardes, postes gérés, EDR, SIEM, etc.).
• Les catégories de données personnelles impliquées et les systèmes où elles transitent.
• Les environnements inclus (production, sauvegarde, environnements de test si des données réelles y circulent).
• Les interfaces et flux critiques (API, connexions avec CRM, outils RH, outils de support).
• Les responsabilités respectives, avec une matrice simple “vous / prestataire / partagé”.

Ce cadrage réduit les discussions inutiles au moment de l’audit et évite le “ce n’est pas dans le périmètre”. Pour une PME, c’est aussi un moyen de maîtriser les coûts, car vous évitez les prestations hors-cadre non anticipées.

3. Accès aux logs et aux preuves techniques, sans surpromesse

Les logs sont souvent le sujet le plus sensible. Selon les architectures cloud, certains journaux d’événements ne peuvent pas être livrés tels quels, ou seulement sous forme agrégée. À l’inverse, un refus total est un signal de risque si vous ne pouvez pas vérifier la sécurité et la traçabilité. Une approche robuste consiste à contractualiser un droit d’accès encadré, en précisant ce qui est fourni, à quel niveau de détail, et selon quel mode de transmission. Vous évitez ainsi d’exiger “tous les logs”, ce qui est parfois impraticable, tout en obtenant de quoi auditer. Points concrets à discuter avec le prestataire, puis à figer par écrit :

• Qui peut demander les logs, et via quel canal (ticket, email dédié, portail).
• Quels logs sont fournis “standard”, et lesquels déclenchent une prestation additionnelle.
• Comment sont gérées les données de tiers dans les logs (masquage, pseudonymisation, filtrage).
• Les règles de conservation, en restant réaliste par rapport aux contraintes techniques.
• La chaîne de traçabilité, afin de pouvoir prouver qui a extrait quoi, quand, et comment.

4. Confidentialité, secret d’affaires et partage d’informations

Votre prestataire IT peut invoquer la confidentialité, sa sécurité interne, ou le secret d’affaires. De votre côté, vous avez besoin d’informations pour évaluer la conformité et la cybersécurité obligations Suisse, et pour documenter vos décisions. La solution la plus simple est d’organiser un partage d’informations “à deux niveaux”. Vous pouvez viser un mécanisme qui distingue :

• Les informations communicables à votre PME (rapports, preuves, descriptions de mesures, procédures).
• Les informations sensibles accessibles uniquement à des personnes désignées, par exemple votre juriste interne, un avocat spécialisé, ou un auditeur soumis à confidentialité.

Cette approche protège le prestataire et vous évite un refus global. Elle est particulièrement utile si vous mandatez un audit externe, car le prestataire voudra savoir qui voit quoi, et sous quelles obligations de confidentialité. Si votre enjeu touche aussi à la protection d’informations internes, vous pouvez consulter notre contenu sur le secret commercial lors du départ d’un employé, car les réflexes contractuels sur la confidentialité et la preuve sont souvent proches.

5. Sous-traitants et cloud : ce qui doit être transparent

Un prestataire IT utilise souvent d’autres acteurs, par exemple un hébergeur, un fournisseur de sauvegarde, un centre de support, ou un service SOC. C’est ici que la notion de sous-traitant données personnelles prend tout son sens. Pour éviter une zone grise, vous voulez de la visibilité sur la chaîne de sous-traitance, sans forcément exiger des détails inutiles. Sur le plan contractuel, les points qui évitent le blocage d’audit sont généralement :

• Une liste des sous-traitants critiques, ou au minimum une catégorie et leur rôle.
• Une règle de notification en cas de changement significatif, avec possibilité de discussion si le risque augmente.
• Une cohérence des obligations de confidentialité et de sécurité tout au long de la chaîne.
• La capacité du prestataire à obtenir, de ses sous-traitants, les informations nécessaires à votre audit.

Si votre PME travaille déjà avec des contrats de sous-traitance dans d’autres domaines, vous verrez la même logique de gestion des risques, même si les contenus diffèrent. À ce sujet, notre article sur le contrat de sous-traitance en Suisse romande illustre bien l’intérêt d’un périmètre clair, et d’une responsabilité documentée.

6. Incidents de sécurité : organiser l’escalade et la coopération

Un audit LPD sérieux teste aussi votre capacité à gérer un incident, pas seulement l’état “normal”. Le contrat doit donc prévoir une coopération réelle, sans reposer sur des promesses vagues. Vous n’avez pas besoin d’un texte très long, mais d’un mécanisme activable. Concrètement, vous pouvez cadrer :

• Les canaux d’alerte et d’escalade (qui appeler, qui décide, qui documente).
• Le type d’informations partagées en cas d’incident, selon un modèle de rapport convenu.
• L’accès aux éléments utiles à l’analyse, dans un cadre sécurisé.
• La coordination pour limiter l’impact, préserver les preuves et informer les personnes internes clés.
• La gestion des prestataires tiers impliqués, si l’incident touche une brique sous-traitée.

Si vous gérez déjà des situations sensibles avec des obligations d’employeur, vous connaissez l’enjeu de la documentation et de la preuve. Le parallèle est intéressant avec notre article sur un accident au travail contesté par l’employeur, même si le domaine juridique est différent.

7. Données hors de Suisse et contexte RGPD si vous vendez dans l’UE

Beaucoup de services cloud impliquent des traitements transfrontaliers, ou des accès depuis l’étranger (support, maintenance, astreinte). Selon la législation suisse, le point clé n’est pas seulement “où est le serveur”, mais aussi qui peut accéder aux données, depuis où, et sous quelles garanties. Si votre PME vend dans l’UE, ou cible des clients dans l’UE, vous pouvez aussi être concerné par le RGPD, en plus de la LPD. Dans ce cas, le niveau d’exigence documentaire est souvent plus élevé, et les discussions contractuelles avec le prestataire IT doivent éviter les incohérences entre cadres. La bonne approche consiste à demander au prestataire une transparence sur les lieux de traitement et les accès, puis à faire valider la stratégie contractuelle par un expert juridique, car les exigences peuvent varier selon votre modèle d’affaires, vos flux de données et les cantons impliqués.

Vous voulez sécuriser votre contrat IT avant l’audit LPD ?

Décrivez votre situation et vos services IT (cloud, infogérance, cybersécurité). JuriUp vous met gratuitement en relation avec un juriste ou un avocat spécialisé en LPD et contrats IT en Suisse romande, afin de relire vos clauses, cadrer le périmètre d’audit et réduire le risque de blocage.

Créer mon dossier gratuit sur JuriUp Trouver un expert juridique sur JuriUp