Accueil / Le Long Format / Compliance
ComplianceLong Format

Transferts de données transfrontaliers entre la Suisse et la France : guide de conformité

Les données personnelles circulent librement entre la Suisse et la France dans les deux sens, sans CCT requises. Découvrez quand les CCT et les analyses d'impact s'imposent, comment l'art. 9 nLPD se compare à l'art. 28 RGPD, et quelles obligations sectorielles financières s'appliquent.

Publié Mis à jour Temps de lecture 18 minMots 4,080
Sommaire
  1. L'essentiel en bref
  2. Peut-on transférer des données personnelles entre la Suisse et la France ?
  3. Le cadre légal dans les deux directions
  4. Quand a-t-on réellement besoin de CCT ?
  5. Quand une analyse d'impact relative aux transferts (AIT) est-elle requise ?
  6. Art. 9 nLPD vs art. 28 RGPD : les obligations du sous-traitant
  7. Transferts ultérieurs vers les États-Unis : les Data Privacy Frameworks
  8. Scénarios concrets
  9. Sanctions : pourquoi le modèle suisse est différent
  10. Une feuille de route de conformité pratique
  11. Foire aux questions
  12. Maîtrisez ces enjeux pour l'ensemble de vos fournisseurs
TL;DR

Les données personnelles circulent librement entre la Suisse et la France dans les deux sens, sans CCT requises. Découvrez quand les CCT et les analyses d'impact s'imposent, comment l'art. 9 nLPD se compare à l'art. 28 RGPD, et quelles obligations sectorielles financières s'appliquent.

Transferts de données transfrontaliers entre la Suisse et la France : guide de conformité pour DPO et responsables des tiers

Les données personnelles peuvent être transférées dans les deux directions entre la Suisse et la France sans clauses contractuelles types (CCT). Les transferts vers la Suisse reposent sur la reconnaissance d'adéquation de l'UE à l'égard de la Suisse ; les transferts vers la France reposent sur le fait que la Suisse considère tous les États de l'UE/EEE comme adéquats. Les deux flux relèvent à la fois de la nLPD suisse et du RGPD européen. Les CCT, l'analyse d'impact relative aux transferts et les contrats de sous-traitance ne deviennent décisifs que pour les transferts ultérieurs vers des pays non adéquats.

L'essentiel en bref

  • France → Suisse : transfert libre. La France s'appuie sur la décision d'adéquation de l'UE concernant la Suisse. Pas de CCT, pas de garanties supplémentaires.
  • Suisse → France : transfert libre. La France figure sur la liste suisse des pays disposant d'une protection adéquate (Annexe 1 de l'ordonnance sur la protection des données). Pas de CCT.
  • Les CCT et une analyse d'impact relative aux transferts (AIT) ne concernent que les transferts ultérieurs vers des pays tiers non adéquats — le plus souvent des sous-traitants américains non certifiés au titre d'un Data Privacy Framework.
  • Un contrat de sous-traitance reste obligatoire dès qu'un sous-traitant intervient. L'art. 28 RGPD fixe une norme détaillée ; l'art. 9 nLPD est plus succinct. Un contrat conforme au RGPD satisfait aux deux régimes.
  • Les sanctions diffèrent fondamentalement. La nLPD sanctionne la personne physique responsable d'une amende pouvant aller jusqu'à CHF 250'000. Le RGPD sanctionne l'entreprise jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
  • Les données du secteur financier impliquent des obligations supplémentaires. Le secret bancaire (art. 47 LB) et la Circulaire FINMA 2018/3 sont des couches distinctes que l'adéquation seule ne règle pas.

Peut-on transférer des données personnelles entre la Suisse et la France ?

Oui. Les données personnelles circulent librement entre la Suisse et la France dans les deux sens, sans CCT ni garanties de transfert supplémentaires pour le trajet direct. Chaque pays reconnaît à l'autre un niveau de protection adéquat ; un transfert Suisse–France est donc traité, du point de vue du mécanisme de transfert, presque comme un transfert interne. Les obligations qui subsistent sont les obligations ordinaires : une base légale pour le traitement, la transparence, la sécurité, et un contrat en bonne et due forme dès qu'un sous-traitant intervient.

La subtilité qui piège les équipes n'est pas le trajet direct — c'est ce qui se passe ensuite. Dès que les données poursuivent leur route depuis la France ou la Suisse vers un pays dépourvu d'adéquation (un prestataire d'analytique américain, un centre de support délocalisé), l'analyse du mécanisme de transfert redevient nécessaire.

Le cadre légal dans les deux directions

Les transferts Suisse–France se situent à l'intersection de deux régimes. La loi fédérale sur la protection des données (nLPD) — la loi révisée, en vigueur depuis le 1er septembre 2023 — régit le côté suisse. Le Règlement général sur la protection des données (RGPD) régit le côté français. La communication transfrontalière est traitée aux articles 16 à 18 nLPD et au chapitre V (articles 44 à 50) du RGPD.

France → Suisse

La France peut transmettre des données personnelles à la Suisse sans garanties supplémentaires, parce que l'UE reconnaît la Suisse comme un pays adéquat. La Commission européenne a accordé l'adéquation à la Suisse pour la première fois par la décision 2000/518/CE du 26 juillet 2000. Cette reconnaissance demeure la base opérationnelle aujourd'hui : dans son rapport de réexamen du 15 janvier 2024, la Commission a confirmé que la Suisse continue d'assurer un niveau de protection adéquat. Aucune nouvelle décision d'adéquation fondée sur le RGPD ne l'a remplacée — le texte de 2024 est une confirmation, et non une nouvelle décision au sens de l'article 45. En tant qu'État membre de l'UE, la France s'appuie sur cette adéquation au niveau européen : un transfert France → Suisse ne nécessite donc aucune CCT.

Suisse → France

La Suisse peut transmettre des données personnelles à la France sans garanties supplémentaires, parce que la France figure sur la liste suisse des pays adéquats. En vertu de l'article 16 al. 1 nLPD, le Conseil fédéral tient une liste des États assurant un niveau de protection adéquat à l'Annexe 1 de l'ordonnance sur la protection des données (OPDo). Tous les États de l'UE et de l'EEE, dont la France, y figurent. Les données personnelles peuvent être communiquées aux pays inscrits sans mécanisme de transfert spécifique.

Un point propre au droit suisse à garder en tête : accorder depuis l'étranger un accès à distance à des données stockées en Suisse constitue en soi une communication à l'étranger. Une équipe française qui se connecte à un système hébergé en Suisse réalise un transfert, même si les données ne « bougent » jamais.

Quand a-t-on réellement besoin de CCT ?

Les CCT ne sont nécessaires que lorsque les données sont transférées vers — ou accessibles depuis — un pays qui n'est pas couvert par une décision d'adéquation, et qu'aucun autre mécanisme valable ne s'applique. Pour la Suisse et la France, les CCT sont donc déclenchées non par le trajet direct, mais par :

  • les transferts ultérieurs vers des pays non adéquats — par exemple, un prestataire français ou suisse dont le sous-traitant ultérieur se trouve dans un pays sans adéquation ;
  • les sous-traitants situés dans des pays non adéquats, même si le prestataire contractant est établi en France ou en Suisse ;
  • les accès de support ou d'administration à distance depuis un pays non adéquat.

Lorsque des CCT sont requises pour une sortie de l'UE, l'instrument applicable est le jeu modulaire de clauses contractuelles types de l'UE (décision d'exécution (UE) 2021/914 du 4 juin 2021). Les alternatives prévues à l'art. 16 al. 2 nLPD et à l'art. 46 RGPD comprennent les règles d'entreprise contraignantes (BCR) et, dans des cas étroits, les dérogations légales (consentement, exécution d'un contrat, action en justice).

Le « Swiss Finish » sur les CCT de l'UE

Pour utiliser les CCT de l'UE en vue d'un transfert au départ de la Suisse, il faut les adapter au droit suisse — le fameux « Swiss Finish ». Le 27 août 2021, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a reconnu les CCT de l'UE moyennant les adaptations nécessaires. En pratique :

  • les références au RGPD se lisent comme des références à la nLPD lorsque seul le droit suisse s'applique ;
  • le PFPDT est désigné comme autorité de surveillance compétente (aux côtés de l'autorité européenne lorsque les deux régimes s'appliquent) ;
  • la notion d'« État membre » ne doit pas priver les personnes concernées suisses de leur droit de faire valoir leurs prétentions à leur lieu de résidence habituelle ;
  • le droit applicable et le for sont adaptés afin que la Suisse puisse être désignée lorsque seule la nLPD s'applique.

La Suisse ne dispose pas de CCT nationales distinctes ; elle s'appuie sur les clauses de l'UE adaptées (et reconnaît les clauses types du Conseil de l'Europe).

Quand une analyse d'impact relative aux transferts (AIT) est-elle requise ?

Une AIT est requise dès que l'on s'appuie sur des CCT ou des BCR pour transférer des données vers un pays non adéquat — et non pour le trajet direct Suisse–France. Cette obligation découle de l'arrêt Schrems II de la Cour de justice de l'Union européenne (affaire C-311/18, 16 juillet 2020), selon lequel l'exportateur qui recourt à des garanties contractuelles doit vérifier si le droit du pays de destination assure une protection essentiellement équivalente, et ajouter des mesures supplémentaires lorsque ce n'est pas le cas. Le PFPDT a adopté la même logique pour la Suisse et a publié un guide d'évaluation des transferts, assorti d'un questionnaire spécifique aux États-Unis.

Pour la Suisse–France, une AIT sur le transfert direct est inutile, les deux parties étant adéquates. L'AIT devient obligatoire dès qu'un transfert ultérieur atteint un pays non adéquat — et un programme de gestion des risques fournisseurs devrait en exiger une par sous-traitant, documentée et reproductible.

Art. 9 nLPD vs art. 28 RGPD : les obligations du sous-traitant

Un contrat de sous-traitance est obligatoire dès qu'un responsable du traitement recourt à un sous-traitant, mais les deux régimes fixent des exigences très différentes. L'art. 28 RGPD est prescriptif et détaillé ; l'art. 9 nLPD est bref et fondé sur des principes. Si vous relevez des deux régimes, construire au standard de l'art. 28 RGPD satisfait automatiquement à la nLPD.

Exigence Art. 28 RGPD Art. 9 nLPD
Contrat écrit Obligatoire (y c. forme électronique) Recommandé ; non strictement imposé
Contenu minimal prescrit Oui — liste détaillée à l'art. 28 par. 3 Aucun contenu prescrit
Traitement sur instructions documentées Oui Implicite (traiter uniquement comme le responsable le pourrait)
Mesures de sécurité Renvoi à l'art. 32 Requises (art. 8 nLPD / OPDo)
Autorisation de sous-traitance ultérieure Écrite et préalable, spécifique ou générale Autorisation préalable requise (art. 9 al. 3)
Droit d'audit / d'inspection Exprès Non prescrit
Confidentialité Requise Requise — et sans violer un secret légal

En vertu de l'art. 28 par. 3 RGPD, le contrat doit préciser l'objet, la durée, la nature et la finalité du traitement, les types de données et les catégories de personnes concernées, et imposer l'ensemble des obligations du sous-traitant : agir sur instructions seulement, garantir la confidentialité, appliquer les mesures de sécurité de l'art. 32, respecter les règles de sous-traitance ultérieure, prêter assistance pour les droits des personnes et pour les art. 32 à 36, supprimer ou restituer les données au terme de la prestation, et se soumettre aux audits.

En vertu de l'art. 9 nLPD, le responsable peut confier le traitement à un sous-traitant à condition que (i) celui-ci ne traite les données que comme le responsable serait lui-même en droit de le faire, et (ii) qu'aucune obligation légale ou contractuelle de confidentialité ne l'interdise. L'art. 9 al. 3, nouveau dans la nLPD révisée, impose au sous-traitant d'obtenir l'autorisation préalable du responsable avant de recourir à un sous-traitant ultérieur. La nLPD ne prescrit ni contenu contractuel minimal ni droit d'audit explicite — raison pour laquelle un contrat de niveau RGPD constitue le plus petit dénominateur commun le plus sûr.

Transferts ultérieurs vers les États-Unis : les Data Privacy Frameworks

Les sous-traitants américains sont la raison la plus fréquente pour laquelle un flux de données Suisse–France finit par nécessiter un mécanisme de transfert. Deux cadres s'appliquent :

  • DPF Suisse–États-Unis : opérationnel depuis le 15 septembre 2024, date à laquelle les États-Unis ont été ajoutés à l'Annexe 1 de l'OPDo. Les organisations suisses peuvent transférer des données vers des destinataires américains certifiés DPF sans garanties supplémentaires.
  • DPF UE–États-Unis : adopté par la Commission européenne le 10 juillet 2023 (décision d'exécution (UE) 2023/1795). Les exportateurs de l'UE, y compris français, peuvent transférer des données vers des destinataires certifiés sans garanties supplémentaires.

Vérifiez la certification avant de vous appuyer sur l'un ou l'autre cadre. Le destinataire américain doit être activement auto-certifié, et la certification doit couvrir le type de données concerné (RH ou non-RH). Pour un destinataire américain non certifié DPF, on retombe sur les CCT (avec le « Swiss Finish » pour le volet suisse), une AIT et, le cas échéant, des mesures supplémentaires.

Un point de statut à suivre : le DPF UE–États-Unis a été contesté puis confirmé par le Tribunal de l'Union européenne le 3 septembre 2025 (affaire T-553/23, Latombe c. Commission), sur la base des faits tels qu'ils existaient à l'adoption de la décision de 2023. Un pourvoi est désormais pendant devant la Cour de justice (formé le 31 octobre 2025). Le cadre reste valable et utilisable, mais les programmes prudents conservent des CCT en réserve pour les flux vers les États-Unis.

Scénarios concrets

Un éditeur SaaS établi en France qui sert des clients suisses

Le flux France↔Suisse est couvert par l'adéquation mutuelle — aucune CCT pour ce trajet. Le risque se loge dans les sous-traitants ultérieurs de l'éditeur : prestataires américains d'analytique, de support ou d'infrastructure. Cartographiez-les, confirmez la certification DPF ou mettez en place des CCT « Swiss Finish » assorties d'une AIT, et assurez-vous que le contrat reflète l'autorisation préalable de l'art. 9 al. 3. C'est le scénario où le vrai travail repose sur la diligence fournisseur, et non sur le transfert principal.

Une banque suisse qui recourt à un sous-traitant français

Le droit de la protection des données traite cette opération comme un transfert libre fondé sur l'adéquation — mais deux couches distinctes s'appliquent, et l'adéquation n'en règle aucune :

  • Le secret bancaire (art. 47 LB). Communiquer des données identifiant le client à un prestataire à l'étranger exige en règle générale soit le consentement exprès de chaque client (généralement recueilli via les conditions générales de la banque), soit des mesures techniques — chiffrement ou pseudonymisation, la banque conservant les clés — afin que le prestataire ne puisse pas réidentifier les clients. Les garanties de protection des données ne se substituent pas au consentement exigé par le droit du secret bancaire.
  • La Circulaire FINMA 2018/3 (« Externalisation – banques et assureurs »), en vigueur depuis le 1er avril 2018. Pour une externalisation transfrontalière, la banque doit garantir qu'elle-même, son auditeur et la FINMA peuvent exercer leurs droits d'inspection et d'audit, et que les données stockées à l'étranger restent accessibles depuis la Suisse en tout temps, à des fins de continuité et de liquidation.

Des obligations de secret professionnel équivalentes s'appliquent aux gestionnaires de fortune, trustees et maisons de titres en vertu de l'art. 69 de la loi sur les établissements financiers (LEFin).

Une entreprise suisse qui utilise un hébergement cloud français

Transfert libre au titre de l'adéquation mutuelle, et l'hébergement français/européen est souvent choisi précisément pour éviter l'exposition aux États-Unis. La réserve : si le prestataire est sous contrôle américain ou si ses sous-traitants peuvent accéder aux données, l'exposition au droit d'accès des autorités américaines (par exemple le CLOUD Act) peut réintroduire des considérations de pays tiers, alors même que les serveurs se trouvent en France.

Transferts ultérieurs vers d'autres pays tiers

Tout transfert ultérieur vers un pays sans adéquation exige un mécanisme — certification DPF (États-Unis uniquement), CCT assorties d'une AIT et de mesures supplémentaires, ou une dérogation légale étroite au sens de l'art. 17 nLPD / art. 49 RGPD.

Sanctions : pourquoi le modèle suisse est différent

La nLPD sanctionne la personne physique responsable, et non l'entreprise. Les violations intentionnelles — notamment la communication illicite à l'étranger, le recours à un sous-traitant non conforme ou le non-respect des exigences minimales de sécurité — sont passibles d'amendes pénales pouvant atteindre CHF 250'000, prononcées contre la personne physique responsable et poursuivies par les autorités pénales cantonales. Seules les violations intentionnelles sont punissables ; il n'existe pas d'amende pour négligence au titre de ces dispositions. Lorsque l'identification de la personne responsable exigerait des mesures disproportionnées et que l'amende n'excéderait pas CHF 50'000, l'entreprise peut être condamnée à sa place.

À l'inverse, le RGPD prévoit des amendes administratives à la charge de l'entreprise pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Pour une organisation soumise aux deux régimes, il faut donc budgéter deux types d'exposition très différents — un risque financier au niveau de l'entreprise côté UE, une responsabilité pénale personnelle pour des personnes nommément désignées côté suisse.

Une feuille de route de conformité pratique

Jours 0–30 — Cartographier. Recensez chaque flux de données Suisse–France et, surtout, chaque transfert ultérieur et chaque sous-traitant. Documentez que le trajet direct repose sur l'adéquation (reconnaissance de la Suisse par l'UE ; France à l'Annexe 1 de l'OPDo). Signalez tout sous-traitant situé dans un pays non adéquat.

Jours 30–60 — Combler les lacunes contractuelles. Pour les sous-traitants américains, vérifiez la certification DPF ; à défaut, concluez des CCT de l'UE « Swiss Finish » assorties d'une AIT. Mettez en place des contrats de sous-traitance au niveau de l'art. 28 RGPD (qui satisfont également à l'art. 9 nLPD, y compris l'autorisation de sous-traitance ultérieure de l'art. 9 al. 3).

Jours 60–90 — Superposer les règles sectorielles. Pour les données du secteur financier, ajoutez des contrôles de secret bancaire (consentement du client et/ou clés de chiffrement conservées par la banque) ainsi que les clauses d'audit, d'inspection et d'accessibilité depuis la Suisse de la Circulaire FINMA 2018/3, par-dessus le contrat de sous-traitance.

En continu — Surveiller. Suivez le pourvoi Latombe devant la Cour de justice et toute nouvelle décision d'adéquation de l'UE concernant la Suisse ; conservez des CCT en réserve pour les flux vers les États-Unis ; refaites les AIT chaque fois qu'une loi ou un sous-traitant change.

Foire aux questions

La Suisse est-elle un pays adéquat au sens du RGPD ?

Oui. La Commission européenne a reconnu l'adéquation de la Suisse par la décision 2000/518/CE (2000) et a confirmé, lors de son réexamen du 15 janvier 2024, que la Suisse continue d'assurer un niveau de protection adéquat. La France, en tant qu'État membre de l'UE, s'appuie sur cette reconnaissance.

Faut-il des CCT pour transférer des données personnelles de la France vers la Suisse ?

Non. La France s'appuie sur la reconnaissance d'adéquation de l'UE à l'égard de la Suisse ; le transfert ne nécessite donc ni CCT ni garanties supplémentaires, seulement les obligations ordinaires de traitement et de contrat.

Faut-il des CCT pour transférer des données personnelles de la Suisse vers la France ?

Non. La France figure sur la liste suisse des pays disposant d'une protection adéquate (Annexe 1 de l'ordonnance sur la protection des données) ; le transfert est donc exempt de CCT.

La nLPD est-elle identique au RGPD ?

Non. La nLPD est largement alignée sur le RGPD, mais plus succincte. Ses règles de sous-traitance sont plus légères, et ses sanctions visent la personne physique responsable (jusqu'à CHF 250'000) plutôt que d'imposer des amendes assises sur le chiffre d'affaires de l'entreprise.

Quelles sont les sanctions des transferts illicites en droit suisse ?

Les violations intentionnelles sont passibles d'amendes pénales pouvant atteindre CHF 250'000, prononcées contre la personne physique responsable et poursuivies par les autorités cantonales. L'entreprise ne peut être condamnée (jusqu'à CHF 50'000) que lorsque l'identification de la personne responsable exigerait des mesures disproportionnées.

Les clauses contractuelles types de l'UE sont-elles valables en Suisse ?

Oui, moyennant des adaptations. Le PFPDT reconnaît les CCT de l'UE sous réserve d'un « Swiss Finish » — désignation du PFPDT comme autorité de surveillance, application de la nLPD et protection des droits d'action des personnes concernées suisses.

Un accès à distance depuis l'étranger constitue-t-il un transfert en droit suisse ?

Oui. Accorder depuis l'étranger un accès à des données stockées en Suisse constitue une communication à l'étranger, même si les données ne sont ni copiées ni déplacées.

Une banque suisse peut-elle recourir à un sous-traitant en France ?

Oui, mais l'adéquation en matière de protection des données ne suffit pas. Le secret bancaire (art. 47 LB) et la Circulaire FINMA 2018/3 s'appliquent séparément et imposent en règle générale le consentement du client ou un chiffrement avec clés conservées par la banque, ainsi que des garanties d'audit et d'accessibilité depuis la Suisse.

Le DPF Suisse–États-Unis est-il valable ?

Oui. Le DPF Suisse–États-Unis est opérationnel depuis le 15 septembre 2024 et permet les transferts vers des destinataires américains certifiés sans garanties supplémentaires. Les destinataires non certifiés requièrent toujours des CCT et une analyse du transfert.

Qu'est-ce qu'une analyse d'impact relative aux transferts et quand est-elle nécessaire ?

Une AIT est une vérification documentée du point de savoir si le pays de destination offre une protection essentiellement équivalente. Elle est requise lorsque l'on s'appuie sur des CCT ou des BCR pour transférer vers un pays non adéquat — et non pour le trajet direct Suisse–France.

Maîtrisez ces enjeux pour l'ensemble de vos fournisseurs

La plupart des manquements de conformité Suisse–France ne tiennent pas au transfert principal — mais au sous-traitant ultérieur situé trois niveaux plus bas. Supplier Shield cartographie vos flux de données, valide les mécanismes de transfert de vos fournisseurs et met vos contrats de sous-traitance à l'épreuve de la nLPD comme du RGPD.

Réservez une consultation DPO →

À lire également : La nLPD expliquée · Art. 28 RGPD : les obligations du sous-traitant

Cet article fournit des informations générales et ne constitue pas un conseil juridique. Vérifiez votre situation spécifique au regard des sources primaires — la nLPD et l'ordonnance sur la protection des données (Fedlex), les directives du PFPDT, la CNIL et les pages d'adéquation de la Commission européenne — ou consultez un conseil qualifié.

Quelle est la prochaine étape ?

Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.