Guide · 8 min de lecture
nLPD et CRM : ce que les PME suisses doivent vraiment savoir en 2026
Niels Ryze — Fondateur, Ryze SystemsPosez-vous une question simple. Les coordonnées de vos clients, leurs échanges avec vous, leurs documents : sur quel serveur sont-ils stockés, ce soir, pendant que vous lisez ces lignes ? La plupart des dirigeants que je croise ne savent pas répondre. Et c’est précisément le problème que la nouvelle loi sur la protection des données est venue mettre sur la table.
Cet article n’est pas un avis juridique — pour ça, votre avocat ou votre préposé à la protection des données reste l’interlocuteur. C’est un repère pratique, écrit pour un dirigeant pressé, sur ce qui change vraiment quand on regarde son CRM en face.
La nLPD en une phrase utile
Entrée en vigueur en septembre 2023, la révision de la Loi fédérale sur la protection des données aligne la Suisse sur les standards européens du RGPD. Pour une PME, l’esprit tient en peu de mots : vous êtes responsable des données personnelles que vous collectez, vous devez savoir où elles sont, qui y accède, et pouvoir le documenter. Le flou n’est plus une excuse recevable.
Ce qui a changé n’est pas tant la liste des obligations que le niveau d’attente. On vous demande de la transparence sur les traitements, un registre des activités si vous dépassez certains seuils, et une vigilance particulière dès que des données quittent la Suisse. Ce dernier point est celui que presque tout le monde sous-estime.
Un point que peu de dirigeants réalisent mérite d’être dit clairement : sous la nLPD, les sanctions peuvent viser une personne physique, pas seulement l’entreprise. Les amendes — jusqu’à 250’000 francs dans les cas les plus graves — frappent en priorité le responsable qui a manqué à ses obligations, c’est-à-dire souvent le dirigeant lui-même. Ce n’est pas dit pour faire peur, mais pour remettre les priorités à l’endroit : ce n’est plus seulement un risque pour la société, c’est un risque personnel. Et un risque personnel, ça se traite autrement qu’une ligne de plus sur une liste de tâches.
La vraie question n’est pas « mon CRM est-il conforme »
C’est la question que tout le monde pose, et elle est mal posée. Un logiciel n’est pas « conforme » dans l’absolu ; c’est l’usage que vous en faites, et l’endroit où il range vos données, qui le sont ou non. La bonne question, celle qui révèle le risque réel, tient en deux temps : où vivent physiquement mes données, et qui peut légalement y accéder ?
Un CRM peut afficher un beau bandeau « conforme RGPD » et héberger vos données sur un serveur soumis au droit américain. Les deux affirmations ne se contredisent pas. Elles ne parlent simplement pas de la même chose.
La majorité des CRM populaires sont édités par des sociétés américaines. Même avec un centre de données en Europe, la maison mère peut rester soumise à des législations extraterritoriales comme le Cloud Act, qui permet à des autorités américaines de réclamer l’accès à des données détenues par une entreprise US, où qu’elles soient stockées. Ce n’est pas une théorie du complot. C’est écrit dans le texte de loi.
Pourquoi vos données suisses ne devraient pas relever du droit américain
Voici ma position, et je l’assume. Si vous êtes une fiduciaire vaudoise, un cabinet de conseil genevois ou une PME industrielle à Fribourg, les données de vos clients — souvent des Suisses, parfois sensibles — n’ont aucune raison d’être juridiquement accessibles depuis l’autre côté de l’Atlantique. Ce n’est pas une question de méfiance envers tel ou tel fournisseur. C’est une question de souveraineté élémentaire sur ce qui vous a été confié.
Le sujet devient brûlant dans les métiers réglementés. Une fiduciaire qui héberge les pièces comptables de ses clients sur une infrastructure américaine prend un risque qui dépasse le simple cadre technique — et c’est l’un des points qu’on aborde en détail dans la digitalisation d’une fiduciaire suisse.
Lors d'un audit, je pose systématiquement une question très simple : "Où sont hébergées vos données clients ?" Huit dirigeants sur dix ne savent pas répondre. Pas parce qu'ils s'en fichent, pas parce qu'ils manquent de rigueur. Parce que personne ne leur a jamais posé cette question. On leur a vendu un abonnement SaaS avec une belle interface, on leur a montré comment créer des contacts et générer des rapports. La question de l'hébergement, des droits applicables, des obligations légales, elle n'a jamais été soulevée. Un dirigeant qui utilisait HubSpot depuis trois ans a découvert ce jour-là, pendant notre audit, que ses données clients étaient stockées sur des serveurs américains, soumises au Cloud Act américain, ce qui signifie qu'une autorité américaine peut y accéder sans que ni lui ni ses clients n'en soient informés. Sa réaction était simple : "Personne ne m'a jamais dit ça." Pas de la colère, plutôt une réalisation tranquille et inconfortable. La nLPD suisse, en vigueur depuis 2023, est précise sur ces questions. Elle impose que les entreprises sachent où leurs données sont traitées, qu'elles puissent garantir un niveau de protection équivalent au standard suisse, et elle prévoit des sanctions qui visent directement la personne physique responsable, pas juste l'entreprise, jusqu'à CHF 250'000.
Ce que vous pouvez vérifier dès cette semaine
1. Localisez vos données
Ouvrez les conditions de votre CRM et de chaque outil connecté. Cherchez la mention du lieu d’hébergement et la nationalité de l’éditeur. Si l’information est introuvable ou volontairement vague, considérez-le comme un signal.
2. Cartographiez les accès
Qui, en dehors de votre équipe, peut techniquement lire vos données ? Les sous-traitants, les intégrations tierces, les outils d’IA branchés sur votre messagerie comptent. Chaque connexion est une porte.
3. Gardez un humain dans la boucle
La conformité n’est pas qu’une affaire d’hébergement. Dès qu’un traitement automatisé touche des données personnelles — un tri, une relance, une qualification — une personne doit pouvoir le contrôler et le corriger. L’automatisation accélère ; elle ne déresponsabilise pas.
Le jour où un client exerce son droit d’accès
La nLPD donne à toute personne le droit de demander quelles données vous détenez sur elle. C’est un scénario concret, pas une hypothèse d’école. Un client vous écrit : « Quelles informations avez-vous à mon sujet, et où sont-elles ? » Vous avez un délai pour répondre, et la réponse doit être complète.
Posez-vous la question maintenant, à froid : sauriez-vous répondre ? Dans combien d’outils ses données sont-elles éparpillées — le CRM, la messagerie, un tableur, l’outil de facturation, peut-être trois intégrations dont vous avez oublié l’existence ? Si rassembler ces informations vous prendrait des jours et quelques sueurs froides, ce n’est pas un problème juridique abstrait. C’est un problème d’organisation que la loi vient simplement révéler.
Une entreprise qui ne sait pas où vivent ses données ne peut pas les protéger, ni prouver qu’elle les protège. Le reste n’est que conséquence.
L’angle infrastructure : héberger là où vous avez le contrôle
C’est exactement la logique du module Infrastructure de Ryze OS. Vos données vivent sur un hébergement maîtrisé en Suisse ou dans l’Union européenne, avec des accès que vous contrôlez et qui sont documentés. Vous n’êtes pas locataire d’une boîte noire dont les règles peuvent changer du jour au lendemain. Vous restez propriétaire de ce qui vous appartient.
Cette approche, on l’a déployée sur 10+ systèmes livrés, pour des structures soumises à de vraies exigences de confidentialité comme Patrya. La souveraineté des données n’y est pas un argument marketing collé après coup — c’est le point de départ de l’architecture. Et si votre réflexe est de comparer avec un outil de gestion existant, on a posé les critères dans Bexio, Abacus ou CRM sur mesure.
« Hébergé en Suisse » ne veut pas toujours dire ce que vous croyez
Méfiez-vous d’un piège marketing courant. Un fournisseur peut afficher « données hébergées en Suisse » tout en étant une société de droit américain, ou en sous-traitant l’infrastructure à un géant soumis à des lois extraterritoriales. L’emplacement physique du serveur ne suffit pas ; ce qui compte, c’est la nationalité juridique de l’entité qui contrôle l’accès, et la chaîne de sous-traitants derrière elle.
La bonne question à poser à n’importe quel éditeur tient en une phrase : « Quelle entité, soumise à quel droit, peut techniquement accéder à mes données ? » Si la réponse est claire, écrite, et pointe vers une entité suisse ou européenne, vous êtes sur de bonnes bases. Si elle est évasive, vous savez déjà ce que ça cache.
Le bon réflexe
Ne changez pas de CRM dans la panique. Mais arrêtez de ne pas savoir. Prenez une heure, répondez aux trois vérifications ci-dessus, et vous saurez où vous en êtes. Si la réponse vous met mal à l’aise, c’est qu’il y a un chantier — et il vaut mieux l’ouvrir maintenant, au calme, qu’après une demande d’accès que vous ne pourrez pas honorer.
Un audit Ryze inclut systématiquement cette cartographie : où sont vos données, qui y accède, et comment reprendre la main sans tout casser. Nos projets livrés montrent à quoi ça ressemble en pratique.
Savez-vous où vivent réellement les données de vos clients ?