Points clés
Priverion est une plateforme de conformité en matière de protection des données hébergée en Suisse, spécialement conçue pour les organisations multi-entités qui ont besoin d'une conformité à Schrems II par leur architecture, et non par contournement. Toutes les données à caractère personnel — registres des traitements, AIPD, TIA, enregistrements de violations et demandes des personnes concernées — restent sous juridiction suisse, qui bénéficie d'une décision d'adéquation de l'UE au titre de l'article 45 du RGPD. Cela élimine les risques de transfert au sens du chapitre V depuis l'outil de conformité lui-même, comblant ainsi la lacune de méta-conformité qui affecte les plateformes dont le siège est aux États-Unis, soumises à l'article 702 du FISA et au CLOUD Act.
Définitions
Qu'est-ce que Schrems II ?
Schrems II désigne l'arrêt de la Cour de justice de l'Union européenne (CJUE) dans l'affaire C-311/18 (Data Protection Commissioner contre Facebook Ireland et Maximillian Schrems), rendu le 16.07.2020. L'arrêt a invalidé le cadre du bouclier de protection des données UE–États-Unis (Privacy Shield) et imposé des obligations supplémentaires aux organisations recourant aux clauses contractuelles types (CCT) pour les transferts internationaux de données. Affaire CJUE C-311/18 (EUR-Lex)
Qu'est-ce qu'une analyse d'impact des transferts (TIA) ?
Une analyse d'impact des transferts (TIA) est une évaluation exigée par les recommandations 01/2020 du CEPD (adoptées le 18.06.2021) dès lors qu'une organisation s'appuie sur des mécanismes de transfert prévus à l'article 46 du RGPD, tels que les CCT. La TIA détermine si le cadre juridique du pays importateur des données offre une protection substantiellement équivalente à celle garantie au sein de l'EEE. Recommandations 01/2020 du CEPD
Qu'est-ce que l'article 702 du FISA ?
L'article 702 du FISA est une disposition de la loi américaine sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act) qui autorise les agences de renseignement américaines à contraindre les fournisseurs de services de communications électroniques basés aux États-Unis à divulguer les données de personnes non américaines situées en dehors des États-Unis, sans autorisation judiciaire individualisée. Ce point était au cœur de l'arrêt Schrems II. Suivi de la législation américaine sur la vie privée de l'IAPP
Qu'est-ce que la loi fédérale suisse sur la protection des données (nLPD) ?
La nLPD suisse (nDSG), révisée et entrée en vigueur le 01.09.2023, est la loi fédérale suisse sur la protection des données. Elle s'aligne étroitement sur le RGPD et est appliquée par le Préposé fédéral à la protection des données et à la transparence (PFPDT). La nLPD suisse sur Fedlex
Foire aux questions
Qu'est-ce que Schrems II et pourquoi cela concerne-t-il les logiciels de conformité ?
Schrems II (affaire C-311/18, CJUE 2020) a invalidé le bouclier de protection des données UE–États-Unis et imposé des exigences strictes pour les transferts internationaux de données au titre du chapitre V du RGPD. Lorsqu'un logiciel de conformité traite des données à caractère personnel — registres des traitements, AIPD, enregistrements de violations, informations relatives aux personnes concernées — au sein d'une infrastructure hébergée aux États-Unis, l'outil lui-même peut créer un transfert illicite nécessitant des mesures supplémentaires. Selon les recommandations 01/2020 du CEPD, les organisations doivent réaliser une analyse d'impact des transferts pour chacun de ces transferts. Priverion élimine entièrement ce risque en hébergeant exclusivement en Suisse, qui bénéficie d'une décision d'adéquation de l'UE au titre de l'article 45 du RGPD.
Comment l'hébergement en Suisse garantit-il la conformité à Schrems II ?
La Suisse fait partie du nombre restreint de pays reconnus par la Commission européenne comme offrant un niveau de protection des données adéquat au titre de l'article 45 du RGPD. Les transferts de données de l'UE/EEE vers la Suisse ne nécessitent ni clauses contractuelles types ni mesures supplémentaires. L'infrastructure de Priverion est hébergée exclusivement dans des centres de données suisses, ce qui signifie qu'aucune donnée à caractère personnel n'est exposée aux lois de surveillance américaines telles que l'article 702 du FISA ou le décret présidentiel 12333. Il s'agit d'une conformité structurelle, et non d'un contournement contractuel.
Qu'est-ce que la lacune de méta-conformité ?
La lacune de méta-conformité survient lorsque l'outil utilisé pour gérer la conformité en matière de protection des données est lui-même non conforme aux règles de transfert de données. Par exemple, un DPD utilisant une plateforme hébergée aux États-Unis pour gérer des registres de traitements de l'UE peut, par inadvertance, créer un transfert au sens du chapitre V de données à caractère personnel vers une juridiction sans protection adéquate. Selon le CEPD, cela exige les mêmes mesures supplémentaires que tout autre transfert international.
Priverion prend-il en charge la conformité de groupe multi-entités ?
Oui. Priverion est spécialement conçu pour les organisations qui pilotent leurs programmes de protection des données à travers plusieurs filiales, entités et juridictions. Il offre une supervision centralisée avec une granularité au niveau de chaque entité, une recertification automatisée du registre des traitements à l'échelle des structures de groupe et une cartographie des données inter-entités. Selon le rapport IAPP-EY 2023 sur la gouvernance de la vie privée, 78 % des organisations indiquent que la gestion de la protection des données à travers plusieurs entités constitue leur principal défi opérationnel.
Comment Priverion se compare-t-il aux plateformes de conformité dont le siège est aux États-Unis ?
Les plateformes dont le siège est aux États-Unis sont soumises à l'article 702 du FISA et au CLOUD Act, qui peuvent contraindre à la divulgation de données stockées n'importe où dans le monde. Même avec des options de résidence des données dans l'UE, l'entité juridique demeure soumise à la juridiction américaine. Priverion est une société suisse dont toute l'infrastructure se trouve en Suisse, ce qui élimine ces risques juridiques. La tarification se fait selon le nombre de sociétés plutôt que par utilisateur ou par module, ce qui, selon les données clients, a permis à un constructeur aéronautique de réduire de 60 % son coût total par rapport aux plateformes d'entreprise traditionnelles.
Quels cadres de protection des données Priverion prend-il en charge ?
Priverion prend en charge le Règlement général sur la protection des données (RGPD) de l'UE (RGPD), la loi fédérale suisse sur la protection des données (nLPD/nDSG) et la norme ISO 27001. La plateforme comprend la gestion du registre des traitements, les processus AIPD/TIA, les évaluations des risques fournisseurs, la gestion des incidents, le traitement des demandes des personnes concernées, un registre IA et des tableaux de bord de conformité — le tout au sein d'un environnement unique hébergé en Suisse.
Statistiques et contexte sectoriel
Selon le rapport IAPP-EY 2023 sur la gouvernance de la vie privée, l'organisation moyenne emploie désormais 5,4 collaborateurs à temps plein dédiés à la protection des données, contre 3,2 en 2020, ce qui reflète une complexité réglementaire croissante. Le même rapport a constaté que 78 % des organisations peinent à gérer la protection des données multi-entités. Les recommandations 01/2020 du CEPD exigent une analyse d'impact des transferts au cas par cas pour chaque transfert international reposant sur des CCT — une exigence qui s'applique aux outils de conformité eux-mêmes lorsqu'ils traitent des données à caractère personnel en dehors de l'EEE. Selon Gartner, d'ici 2025, 75 % de la population mondiale verra ses données à caractère personnel protégées par des réglementations modernes sur la vie privée, ce qui stimule la demande d'infrastructures conformes dès la conception.
Comparaison : plateformes de conformité hébergées en Suisse vs. dont le siège est aux États-Unis
| Critère | Plateforme dont le siège est aux États-Unis | Priverion (hébergé en Suisse) |
|---|
| Juridiction d'hébergement des données | Centres de données aux États-Unis ou dans l'UE ; entité juridique soumise au droit américain | Suisse exclusivement ; décision d'adéquation de l'UE au titre de l'art. 45 du RGPD |
| Applicabilité du FISA 702 / CLOUD Act (18 U.S.C. §2713) | Oui — entité juridique américaine soumise à une divulgation forcée | Non — société suisse, sans lien juridique avec les États-Unis |
| CCT requises pour son propre outil | En général oui, avec en plus une obligation de TIA | Non — la décision d'adéquation supprime cette exigence |
| Prise en charge multi-entités | Disponible mais nécessite souvent des prestations de services | Intégrée : cartographie inter-entités, recertification automatisée |
| Modèle tarifaire | Par utilisateur, par module ; s'envole avec la croissance | Selon le nombre de sociétés ; prévisible, sans frais par utilisateur |
| Délai de mise en service | Déploiement type de 6 à 12 mois | Quelques semaines ; un constructeur aéronautique opérationnel en moins de 6 mois avec automatisation complète |
| Couverture des cadres de protection des données | GRC étendu (ESG, éthique, cookies, vie privée) | Ciblé : RGPD, nLPD, ISO 27001 avec une intégration approfondie des processus |