Une demande de droit d’accès sous la LPD peut parfaitement se concentrer sur la question des destinataires. Pour une PME, le vrai risque n’est pas seulement de “répondre trop tard”, mais de répondre trop vite et de divulguer des informations inutiles, inexactes ou difficiles à rattraper. La bonne approche consiste à sécuriser votre cartographie des transferts, puis à produire une réponse claire, factuelle et proportionnée, avec une trace de remise.

1. Comprendre ce que couvre vraiment la “liste des destinataires”

Dans le langage courant, “destinataires” mélange plusieurs réalités. Selon la législation suisse, la demande vise en général à savoir à qui les données ont été communiquées, par exemple des prestataires informatiques, un fiduciaire, une société d’hébergement, un outil RH, ou un partenaire qui intervient dans l’exécution d’un service. Dans une PME, il est utile de distinguer, car votre réponse ne sera pas la même. Les destinataires peuvent inclure des sous-traitants qui traitent des données pour votre compte, et des tiers à qui vous communiquez des données pour leurs propres besoins, par exemple certains partenaires contractuels. Si votre demandeur cherche à “cartographier” votre écosystème, ce n’est pas forcément illégitime, mais cela justifie une réponse structurée et prudente.

2. Vérifications internes avant de répondre

Avant même de rédiger, vous devez reconstituer les communications de données pertinentes. Dans la plupart des cas, une PME découvre à ce moment-là que l’information est dispersée entre l’IT, les RH, la comptabilité, le marketing et parfois un prestataire externe. Pour éviter d’oublier des destinataires évidents, partez de vos systèmes et de vos processus, pas de votre mémoire. Concrètement, vérifiez notamment les éléments suivants.

• Outils et hébergements utilisés pour les emails, le stockage, la gestion de tickets, le CRM, la facturation, les formulaires web, les newsletters.
• Prestataires “support” comme la fiduciaire, la paie, les assurances, le recrutement, ou l’archivage.
• Partenaires opérationnels si vous transmettez des données pour exécuter un service, par exemple livraison, service terrain, support délégué.
• Accès internes et externes, y compris les comptes administrateurs, les prestataires IT et les mainteneurs, car “qui a accès” et “à qui on communique” se recoupent souvent dans les faits.

Ensuite, vérifiez quelles catégories de données sont concernées, car cela limite le périmètre. Une demande qui vise les données d’un client n’implique pas forcément les mêmes destinataires qu’une demande d’un employé ou d’un candidat. Enfin, gardez une trace interne de votre vérification, par exemple un tableau de travail daté. Cela aide à démontrer votre sérieux si la discussion se tend.

3. Rédiger une réponse utile et prudente

Le but est de répondre à la question “à qui” sans transformer votre réponse en audit complet de votre entreprise. La formulation qui fonctionne le mieux, en pratique, est une réponse en deux niveaux. Vous donnez d’abord des catégories de destinataires, puis vous fournissez des exemples concrets ou des noms lorsque c’est pertinent, tout en restant fidèle à ce que vous pouvez vérifier. Une structure de réponse possible, en termes simples, ressemble à ceci.

• Une phrase de cadrage. Vous confirmez que vous répondez à une demande d’accès au sens de la LPD, et que votre réponse porte sur les communications de données liées à la relation concernée.
• Une liste structurée par familles. Par exemple prestataires informatiques, prestataires administratifs, partenaires d’exécution, et autorités ou tribunaux uniquement si cela s’est produit dans le cas concret.
• Pour chaque famille, vous indiquez la nature du destinataire et le type de service, sans entrer dans des détails techniques inutiles.
• Vous mentionnez que la liste reflète les communications identifiées à la date de la réponse, et que certaines communications peuvent résulter d’obligations légales ou de l’exécution du contrat.

Selon la situation, vous pouvez aussi rappeler que votre réponse respecte la LPD et qu’elle n’inclut pas des informations qui ne sont pas requises ou qui toucheraient aux données personnelles de tiers. C’est souvent un point sensible, car certaines demandes cherchent indirectement des informations sur des collaborateurs, des autres clients ou des partenaires.

4. Comment éviter la surdivulgation (et les pièges classiques)

La surdivulgation arrive surtout quand on confond transparence et exposition. Vous devez être transparent sur les destinataires au sens de la LPD, mais vous n’êtes pas obligé de fournir un dossier technique complet, ni de livrer des secrets d’affaires. Voici les pièges les plus fréquents que nous voyons dans les PME en Suisse romande.

• Donner des listes non vérifiées, copiées depuis des contrats ou des conditions d’utilisation, alors que dans les faits l’outil n’est pas utilisé ou pas pour cette personne.
• Mélanger “destinataires” et “lieux de stockage”, et révéler des détails d’architecture IT qui n’aident pas le demandeur mais vous exposent.
• Oublier les prestataires “invisibles”, typiquement un support informatique ou une fiduciaire, puis devoir rectifier.
• Répondre au-delà de la demande, par exemple en livrant des correspondances internes ou des évaluations qui ne sont pas nécessaires pour répondre à “à qui les données ont été transmises”.

Côté forme, sécurisez l’envoi. Privilégiez un canal qui permet de prouver la remise, et évitez de transmettre des informations sensibles sans contrôle, par exemple via un email non chiffré si votre organisation n’est pas à l’aise avec cela. Dans la plupart des cas, une remise par écrit avec une trace claire et un interlocuteur identifié suffit, tant que le contenu est complet et cohérent. Si vous souhaitez sécuriser votre réponse, JuriUp vous permet de trouver rapidement un juriste LPD ou un avocat spécialisé, selon le niveau de risque et le contexte. Vous gagnez du temps, vous évitez les formulations maladroites, et vous répondez avec une base solide.