Le principe fondamental
L'article 16 LPD interdit tout transfert vers un pays n'offrant pas un niveau de protection adéquat. Le Conseil fédéral publie la liste des pays reconnus — elle comprend l'UE/EEE, le Canada, la Nouvelle-Zélande, le Japon, entre autres.
Le cas américain : ni oui ni non
Les États-Unis ne figurent sur la liste blanche suisse que pour les entreprises certifiées dans le cadre du Swiss-U.S. Data Privacy Framework (SUDPF). Avant d'utiliser un service américain, vérifiez si le fournisseur est certifié — la liste est publique sur le site du Département américain du commerce.
Vos outils courants passés au crible
| Outil | Hébergement | Statut LPD | Alternative conforme |
|---|---|---|---|
| Google Drive | USA | Risqué sans vérif. DPF | kDrive (CH), Tresorit (CH) |
| Mailchimp | USA | Risqué sans vérif. DPF | Brevo (UE), IK Newsletter (CH) |
| Zoom | USA | Risqué sans vérif. DPF | Jitsi Meet, Infomaniak Meet |
| USA | Risqué | Signal | |
| Dropbox | USA | Risqué sans vérif. DPF | Tresorit (CH), kDrive |
Si vous devez utiliser un outil américain
- Vérifiez la certification SUDPF du fournisseur
- Signez des Clauses Contractuelles Types (CCT) — la plupart des fournisseurs les proposent dans leurs conditions
- Mentionnez ces transferts dans votre politique de confidentialité et votre registre des traitements
La solution la plus simple
Privilégiez les outils hébergés en Suisse ou dans l'UE. Infomaniak, Proton, Tresorit couvrent l'essentiel des besoins d'une association. Ce n'est pas une question de nationalisme numérique — c'est une question de conformité légale simplifiée.
Exercice pratique
✅ À faire maintenant : listez les outils numériques utilisés dans votre association. Pour chacun, notez le pays d'hébergement. Identifiez ceux qui nécessitent une action (certification DPF à vérifier, CCT à signer, ou migration vers une alternative conforme).