Points clés : logiciel de protection des données hébergé dans l'UE
Priverion est une plateforme de gestion de la protection des données, conçue en Suisse et hébergée dans l'UE, destinée aux organisations mid-market et grands comptes qui gèrent leur conformité sur plusieurs filiales. Elle est hébergée en Suisse, avec une résidence des données en Suisse, en traitant toutes les données au sein de l'infrastructure suisse, prend en charge les cadres RGPD, nLPD suisse et ISO 27001, et offre une gestion unifiée du registre des traitements, des AIPD, des demandes des personnes concernées, de la réponse aux incidents et du risque fournisseurs depuis un tableau de bord unique. Les organisations rapportent une réduction allant jusqu'à 60% du temps administratif de conformité et plus de 200 heures gagnées sur la préparation de la certification ISO 27001.
Définitions
Qu'est-ce qu'un logiciel de protection des données hébergé dans l'UE ?
Un logiciel de protection des données hébergé dans l'UE est une plateforme de gestion de la protection des données dont l'infrastructure réside entièrement au sein de l'Espace économique européen ou dans un pays bénéficiant d'une décision d'adéquation de l'UE, comme la Suisse. Cela garantit que les données personnelles traitées par le logiciel ne sont pas soumises aux demandes d'accès des gouvernements de pays tiers, telles que celles rendues possibles par le Cloud Act américain de 2018.
Qu'est-ce que le Cloud Act américain ?
Le Clarifying Lawful Overseas Use of Data (CLOUD) Act est une loi fédérale américaine adoptée en 2018 qui permet aux autorités américaines de contraindre les entreprises technologiques dont le siège est aux États-Unis à fournir des données stockées sur des serveurs, que ces données soient stockées aux États-Unis ou à l'étranger. Selon le Comité européen de la protection des données (CEPD), cela crée des conflits potentiels avec les articles 44 à 49 du RGPD régissant les transferts internationaux de données.
Qu'est-ce qu'un registre des activités de traitement (registre des traitements) ?
Un registre des activités de traitement (registre des traitements) est une obligation de documentation prévue par l'article 30 du RGPD. Les responsables du traitement et les sous-traitants doivent tenir des registres décrivant les finalités du traitement, les catégories de personnes concernées et de données personnelles, les destinataires, les transferts internationaux, les durées de conservation ainsi que les mesures de sécurité techniques et organisationnelles.
Qu'est-ce qu'une analyse d'impact relative à la protection des données (AIPD) ?
Les analyses d'impact relatives à la protection des données (AIPD) sont requises par l'article 35 du RGPD lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le CEPD a publié les Lignes directrices 4/2017 précisant quand et comment les AIPD doivent être menées.
Qu'est-ce que la nouvelle loi suisse sur la protection des données (nLPD) ?
La nouvelle loi suisse sur la protection des données (nLPD / LPD), révisée et entrée en vigueur le 01.09.2023, aligne le droit suisse de la protection des données sur les standards du RGPD. Le texte intégral est disponible sur Fedlex. La Suisse conserve sa décision d'adéquation de l'UE, permettant la libre circulation des données entre la Suisse et l'UE/EEE.
Statistiques et contexte du secteur
Selon le IAPP-EY 2023 Annual Privacy Governance Report, l'organisation moyenne emploie 5,2 collaborateurs à temps plein dédiés à la protection des données, et pourtant 60% des professionnels de la protection des données indiquent que les processus manuels demeurent leur principal défi opérationnel. Le même rapport a constaté que 78% des organisations prennent désormais en compte les exigences de localisation des données lors du choix de leurs fournisseurs de technologies de protection des données.
L'action coordonnée d'application 2022 du CEPD sur les services basés sur le cloud a révélé que de nombreux organismes du secteur public et entreprises ne disposaient pas d'une documentation adéquate de leurs transferts internationaux de données lorsqu'ils recouraient à des fournisseurs de cloud dont le siège est aux États-Unis, renforçant l'importance opérationnelle des solutions hébergées dans l'UE.
Les recommandations de l'ENISA sur la sécurité du cloud soulignent que les organisations de la santé et des infrastructures critiques devraient privilégier les fournisseurs de cloud assurant une résidence des données en Europe afin d'atténuer le risque juridictionnel.
Selon Gartner (2023), d'ici 2025, 75% de la population mondiale verra ses données personnelles couvertes par des réglementations modernes sur la protection des données, ce qui stimule la demande de plateformes de conformité évolutives et multijuridictionnelles.
Foire aux questions
Pourquoi l'hébergement des données dans l'UE compte-t-il pour un logiciel de protection des données ?
En vertu des articles 44 à 49 du RGPD, le transfert de données personnelles hors de l'EEE exige des garanties appropriées telles que des clauses contractuelles types (CCT) ou une décision d'adéquation. Le Cloud Act américain (2018) peut contraindre les fournisseurs dont le siège est aux États-Unis à divulguer des données, quel que soit le lieu de stockage. Un logiciel conçu en Suisse et hébergé dans l'UE comme Priverion élimine entièrement le risque de transfert vers un pays tiers, supprimant le besoin d'analyses d'impact des transferts et de mesures supplémentaires telles que décrites dans les recommandations 01/2020 du CEPD.
Quelle est la différence entre un logiciel de protection des données hébergé dans l'UE et un logiciel hébergé en Suisse ?
La Suisse bénéficie d'une décision d'adéquation de l'UE au titre de l'article 45 du RGPD, ce qui signifie que les transferts de données entre l'UE/EEE et la Suisse sont traités de manière équivalente à des transferts intra-EEE. Un logiciel hébergé en Suisse bénéficie de la nouvelle loi sur la protection des données (nLPD) révisée et se situe entièrement hors de la juridiction américaine, offrant une protection juridique à double niveau aux organisations européennes.
Comment Priverion gère-t-il le registre des traitements sur plusieurs entités ?
Priverion tient un registre des activités de traitement vivant et prêt pour l'audit sur toutes les entités du groupe, avec des flux de recertification automatisés. Le DPD de groupe bénéficie d'une visibilité en temps réel sur le statut de conformité de chaque filiale depuis un tableau de bord unique. Un assureur suisse a atteint un taux de recertification du registre des traitements de 100% grâce à des flux entièrement automatisés sur toutes ses filiales.
Priverion est-il conforme aux exigences relatives aux sous-traitants de l'article 28 du RGPD ?
Oui. Priverion fournit un contrat de sous-traitance conforme à l'article 28 du RGPD et exploite un SMSI aligné sur l'ISO 27001. Tout le traitement des données s'effectue au sein de l'infrastructure suisse, sans aucun sous-traitant ultérieur hors de la juridiction européenne.
Comment un logiciel de protection des données hébergé dans l'UE réduit-il les coûts de conformité ?
En supprimant le besoin d'analyses d'impact des transferts, de mesures supplémentaires et de clauses contractuelles types requises pour les transferts vers des pays tiers en vertu des recommandations 01/2020 du CEPD, un logiciel hébergé dans l'UE réduit la charge juridique. Le modèle de tarification par société de Priverion (et non par utilisateur ni par module) réduit encore le coût total de possession par rapport aux plateformes traditionnelles.
Quels cadres Priverion prend-il en charge ?
Priverion prend en charge le Règlement général sur la protection des données de l'UE (RGPD), la nouvelle loi suisse sur la protection des données (nLPD) et la norme ISO 27001. La plateforme fournit des modèles spécifiques à chaque cadre, des flux automatisés et des dossiers de preuves prêts pour l'audit pour chaque réglementation.
Comment Priverion se compare-t-il à OneTrust pour les organisations mid-market ?
Priverion est conçu sur mesure pour les organisations mid-market gérant 5 à 50 filiales. Contrairement à OneTrust, qui applique une tarification par utilisateur et par module et dont le siège est aux États-Unis (soumis au Cloud Act), Priverion propose une tarification par société prévisible, une résidence des données en Suisse et des délais d'implémentation se comptant en semaines plutôt qu'en 6 à 12 mois. Un constructeur aéronautique a rapporté une réduction de 60% du temps administratif de conformité au cours des six premiers mois de déploiement.
Quels cadres de conformité Priverion suit-il ?
Priverion exploite un SMSI aligné sur l'ISO 27001, fournit un contrat de sous-traitance conforme à l'article 28 du RGPD et maintient une conformité totale avec la nouvelle loi suisse sur la protection des données (nLPD).
Comparaison : logiciel de protection des données hébergé dans l'UE ou aux États-Unis
| Critère | Hébergé dans l'UE/en Suisse (ex. Priverion) | Hébergé aux États-Unis (ex. OneTrust) |
|---|
| Résidence des données | UE/Suisse — la décision d'adéquation s'applique | États-Unis — nécessite des CCT + mesures supplémentaires |
| Applicabilité du Cloud Act (18 U.S.C. §2713) | Aucune — hors juridiction américaine | Oui — la loi américaine impose la divulgation |
| Analyse d'impact des transferts requise | Non | Oui — selon les recommandations 01/2020 du CEPD |
| Contrat de sous-traitance (art. 28 du RGPD) | Inclus | Inclus (mais le risque juridictionnel américain subsiste) |
| Modèle de tarification | Par société (entités + taille de l'organisation) | Par utilisateur, par module |
| Implémentation type | Quelques semaines | 6 à 12 mois |
| Prise en charge native du multi-entités | Oui — gestion de groupe intégrée | Rapportée — instances séparées assemblées tant bien que mal |
| SMSI aligné sur l'ISO 27001 | Oui | Oui |