Celveo est une plateforme de solutions cloud souveraines pour les PME de Suisse romande, à Genève et Lausanne.
Cet article analyse ce que signifie concrètement « hébergement local » dans Microsoft 365, dans le contexte de la nLPD suisse et du CLOUD Act américain. Quand un responsable IT vous dit que vos données M365 sont « hébergées en Europe », ce n’est pas faux.
Mais pour une entreprise suisse, c’est insuffisant, et la nuance a des conséquences contractuelles réelles.
Où sont vos données Microsoft 365, exactement ?
Microsoft héberge les données des clients suisses dans ses datacenters européens, principalement en Irlande et aux Pays-Bas. Il n’existe pas, à ce jour, de datacenter Microsoft sur sol suisse. La société a annoncé des projets d’infrastructure en Suisse, mais sans calendrier ni périmètre contractuellement opposable.
Ce détail géographique change le cadre juridique applicable. La Suisse n’est pas membre de l’Union européenne. Les mécanismes de protection des données qui régissent les transferts intra-UE, notamment le RGPD, ne s’appliquent pas automatiquement aux entreprises suisses. La nouvelle loi fédérale sur la protection des données (nLPD), entrée en vigueur le 1er septembre 2023, pose ses propres exigences en matière de transfert de données à l’étranger, distinctes du cadre européen, et c’est à cette loi que vous êtes soumis.
Lors d’un diagnostic chez une PME genevoise du secteur fiduciaire, on a constaté que le responsable IT savait que les données étaient « en Europe », mais ignorait qu’elles relevaient du droit irlandais pour certains traitements. La nLPD était mentionnée dans leur politique de confidentialité, mais les garanties contractuelles avec Microsoft n’avaient jamais été vérifiées ni documentées.
Microsoft 365 et le CLOUD Act : ce que l’hébergement européen ne résout pas
Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adopté aux États-Unis en 2018, autorise les autorités américaines à accéder aux données stockées par des entreprises américaines, y compris sur des serveurs situés en Europe. Microsoft est une entreprise américaine cotée au Nasdaq. Cette réalité juridique s’applique quel que soit l’emplacement physique des serveurs, qu’ils soient à Dublin, Amsterdam ou, demain, à Zurich.
Autrement dit : même si vos données Microsoft 365 sont stockées dans un datacenter européen, elles restent accessibles aux autorités américaines dans le cadre d’une demande légale. Ce n’est pas une construction théorique. C’est ce que prévoit explicitement le texte de loi, et ce que Microsoft reconnaît dans ses conditions générales sous la rubrique « Demandes gouvernementales ».
Un directeur d’une PME vaudoise du secteur RH nous a posé la question directement lors d’une démo Celveo : « Est-ce que mes données de paie sont vraiment protégées avec Microsoft, même hébergées en Europe ? » La réponse honnête est : pas entièrement et certainement pas du CLOUD Act.
Ce que Microsoft propose à l’UE et ce qui manque pour la Suisse
Face aux pressions réglementaires européennes, Microsoft a développé une offre baptisée « EU Data Boundary » qui garantit aux clients de l’UE et de l’EEE que leurs données restent dans cet espace géographique pour la majorité des services M365. C’est une réponse concrète au RGPD et aux exigences de localisation des États membres.
La Suisse n’est pas couverte par ce périmètre. Les clients suisses bénéficient des protections contractuelles standards de Microsoft, mais pas d’une garantie d’hébergement sur sol suisse, ni d’une exclusion explicite du périmètre CLOUD Act. Les clauses contractuelles types (CCT) utilisées par Microsoft pour les transferts hors UE vers la Suisse offrent un niveau de protection reconnu par le Préposé fédéral à la protection des données (PFPDT), mais elles ne modifient pas l’exposition au droit américain.
C’est précisément le type de nuance qu’un contrat M365 standard ne documente pas, et que la plupart des revendeurs ne signalent pas spontanément.
Ce que change un hébergement réellement suisse avec kSuite
kSuite, la suite collaborative d’Infomaniak, est hébergée exclusivement en Suisse, dans les datacenters d’Infomaniak à Genève et Winterthour. Infomaniak est une société suisse, non cotée, sans actionnariat américain. Elle ne relève pas du CLOUD Act.
Cette différence n’est pas un argument de positionnement. C’est une différence juridique vérifiable. Les données confiées à Infomaniak sont soumises au droit suisse uniquement, ce qui simplifie la démonstration de conformité nLPD et supprime structurellement l’exposition au droit américain. Pour une fiduciaire, un cabinet médical, un bureau d’avocats ou une PME traitant des données RH ou financières sensibles, ce périmètre a une valeur contractuelle concrète, notamment lors d’un audit ou d’une due diligence client.
La comparaison fonctionnelle avec M365 mérite un article à part entière. Sur la question de la localisation des données et de la souveraineté juridique, le périmètre est net.
Ce que Celveo recommande
L’hébergement « en Europe » n’est pas une garantie suffisante pour une entreprise suisse soumise à la nLPD et soucieuse de son exposition au CLOUD Act. Le critère pertinent n’est pas le continent. C’est la nationalité juridique de l’opérateur et la loi applicable en cas de demande d’accès des autorités.
Avant de reconduire un contrat Microsoft 365, deux questions méritent une réponse écrite de votre prestataire : où sont stockées vos données, contractuellement, et quelle loi nationale s’applique en cas de demande d’accès d’une autorité étrangère ? Si la réponse est floue ou renvoyée aux conditions générales de Microsoft, c’est un signal que la conformité nLPD n’a pas été sérieusement évaluée.
Celveo accompagne les PME romandes dans cette évaluation et, si pertinent, dans la migration vers kSuite. Ce n’est pas la bonne réponse pour toutes les situations, et on le dit clairement dès le premier échange.
Si vous voulez évaluer votre niveau d’exposition réelle, on peut faire le point ensemble, sans engagement.
Source de l’article : SP Publish.