Retour à la vue d'ensemble
Sous-traitanceLPDContrat

Contrat de sous-traitance en Suisse : quand en faut-il un — avec checklist

Hébergement, outil de newsletter, stockage cloud : dès qu'un prestataire traite des données personnelles pour votre compte, il faut un contrat. Quand le contrat de sous-traitance est obligatoire, ce qu'il doit contenir — et pourquoi copier un modèle sans l'adapter est risqué.

Aiara Team··8 min de lecture
Contrat de sous-traitance en Suisse : quand en faut-il un — avec checklist

«Avons-nous en fait un contrat avec notre hébergeur concernant les données ?» Je pose régulièrement cette question aux PME suisses — et la réponse la plus fréquente est un haussement d'épaules. Pourtant, le contrat de sous-traitance (en anglais Data Processing Agreement, DPA) n'est pas un luxe réservé aux grands groupes : c'est une obligation légale dès qu'un prestataire traite des données personnelles pour vous. Autrement dit, presque toujours.

Quand vous avez besoin d'un tel contrat, ce qu'il doit contenir et pourquoi il ne faut jamais reprendre tel quel un modèle trouvé sur internet — un guide pratique avec checklist.

Deux cadres juridiques, un même concept

D'abord, une clarification terminologique. La loi fédérale sur la protection des données (LPD) règle cette constellation à l'art. 9, sous le titre «sous-traitance» : un responsable du traitement confie des données personnelles à un sous-traitant. Le règlement général sur la protection des données (RGPD) européen régit le même concept à l'art. 28.

Dans les deux cas, il s'agit de la même situation : vous décidez de la finalité et des moyens du traitement, un tiers l'exécute sur vos instructions. Le contrat qui encadre cette relation s'appelle contrat de sous-traitance — en Suisse alémanique «Auftragsverarbeitungsvertrag» ou AVV, en anglais Data Processing Agreement. Qui cherche un modèle de contrat de sous-traitance pour la Suisse vise exactement le document exigé par l'art. 9 LPD et l'art. 28 RGPD.

Quand faut-il un contrat de sous-traitance ?

La règle de base : dès qu'un prestataire externe traite des données personnelles dont vous déterminez la finalité, un contrat est nécessaire. La notion de «traitement» est large — le simple stockage ou un accès technique suffit.

Cas typiques dans les PME suisses :

  • Hébergeur — votre site web avec formulaire de contact tourne sur des serveurs tiers ; l'hébergeur stocke donc des données personnelles pour vous.
  • Outils de newsletter (Brevo, Mailchimp) — les adresses e-mail de vos abonnés se trouvent chez le fournisseur.
  • Stockage cloud et suites bureautiques (Microsoft 365, Google Workspace) — dossiers clients, documents RH, correspondance.
  • Logiciels CRM et de comptabilité — données clients, informations de paiement.
  • Agences web avec accès de maintenance — qui a accès à votre base de données de production pour les mises à jour traite des données personnelles pour votre compte.
  • Fournisseurs de gestion du consentement aux cookies — souvent oublié : les consentements journalisés contiennent des horodatages et des identifiants techniques. Votre outil de consentement est lui aussi un sous-traitant.

Cette liste le montre : une PME moyenne n'a pas un, mais cinq à quinze sous-traitants. Chacun d'eux nécessite un contrat.

Quand n'en faut-il pas ?

La délimitation est tout aussi importante. Aucun contrat de sous-traitance n'est nécessaire avec les acteurs qui traitent les données personnelles sous leur propre responsabilité — c'est-à-dire qui décident eux-mêmes de la finalité et des moyens. Exemples classiques : la banque pour le trafic des paiements, la Poste pour l'envoi, l'avocat dans le cadre de son mandat, l'organe de révision pour son contrôle. Ce sont des responsables du traitement à part entière, pas des sous-traitants.

Pas de contrat non plus pour les services qui ne touchent aucune donnée personnelle — par exemple un fournisseur de licences pour des polices que vous intégrez localement. En cas de doute, posez la question de contrôle : «Ce prestataire pourrait-il théoriquement accéder à des données personnelles dont je réponds ?» Si oui, parlez d'un contrat de sous-traitance.

Un cas particulier qui concerne surtout les agences web : la même entreprise peut cumuler les deux rôles. L'agence qui entretient les sites de ses clients agit comme sous-traitante — mais pour son propre fichier clients et sa facturation, elle est elle-même responsable du traitement. Ce qui compte, c'est toujours le traitement concret, pas l'enseigne de l'entreprise. Une agence qui gère des projets clients devrait donc proposer d'elle-même un contrat de sous-traitance à chaque client — c'est devenu un signe de professionnalisme.

Ce que l'art. 9 LPD exige concrètement

La loi suisse est d'une concision bienvenue sur ce point. L'art. 9 LPD pose quatre conditions :

  1. Le traitement ne peut être effectué que de la manière dont vous seriez vous-même en droit de le faire.
  2. Aucune obligation légale ou contractuelle de garder le secret ne doit interdire l'externalisation.
  3. La base est un contrat ou la loi — c'est ici qu'intervient le contrat de sous-traitance.
  4. Le sous-traitant ne peut confier le traitement à un tiers qu'avec votre autorisation préalable — la question des sous-traitants ultérieurs.

S'y ajoute l'obligation générale de sécurité des données (art. 8 LPD) : vous devez vous assurer que le prestataire protège les données de manière adéquate. L'art. 28 RGPD suit la même logique, mais de façon nettement plus détaillée — il prescrit un catalogue de contenus contractuels minimaux. Si vous avez des clients dans l'Union européenne, il est donc judicieux de suivre le standard RGPD, plus strict, qui couvre du même coup la LPD.

La checklist : ce que tout contrat de sous-traitance doit contenir

Que vous examiniez le contrat d'un prestataire ou partiez d'un modèle — ces points doivent être réglés :

  • Objet et durée — Quelle prestation est fournie, combien de temps le contrat court-il, que se passe-t-il à la résiliation ?
  • Nature et finalité du traitement — Catégories de données et cercle des personnes concernées (clients, collaborateurs, visiteurs du site).
  • Traitement sur instructions — Le prestataire traite les données exclusivement selon vos instructions documentées, jamais à ses propres fins.
  • Confidentialité — Toutes les personnes ayant accès aux données sont tenues au secret.
  • Mesures techniques et organisationnelles — Chiffrement, contrôle d'accès, sauvegardes ; décrites concrètement, pas seulement «sécurité appropriée» comme formule creuse.
  • Sous-traitants ultérieurs — Liste des sous-prestataires engagés, mécanisme d'approbation et devoir d'information en cas de changement.
  • Devoirs d'assistance — Le prestataire vous aide lors des demandes des personnes concernées et annonce sans délai les violations de données.
  • Effacement et restitution — À la fin du contrat, les données sont restituées ou effacées de manière vérifiable.
  • Droits d'audit — Vous pouvez vérifier le respect du contrat ou exiger des preuves reconnues (certifications, rapports d'audit).
  • Transferts de données à l'étranger — Où se trouvent les serveurs, quelles garanties couvrent un transfert (par exemple les clauses contractuelles types) ?

Si l'un de ces points manque, le contrat est lacunaire — et en cas de litige, la charge de la preuve vous incombe.

Un contrat RGPD vaut-il aussi pour la LPD ?

La question revient à chaque consultation : le fournisseur cloud américain présente un contrat RGPD — cela suffit-il pour la Suisse ? Réponse courte : sur le fond, presque toujours ; sur la forme, deux points méritent un examen.

Premièrement, le contrat devrait inclure expressément le droit suisse de la protection des données — de nombreux fournisseurs internationaux ont entre-temps complété leurs contrats d'une clause Suisse. Deuxièmement, l'art. 9 al. 3 LPD exige l'autorisation préalable des sous-traitants ultérieurs ; un simple mécanisme d'opposition, comme le prévoient certains contrats RGPD, devrait donc être proprement formulé comme une autorisation générale assortie d'un devoir d'information. Si ces deux points sont couverts, un contrat RGPD vous sert bien aussi sous la LPD.

Pourquoi nous n'offrons pas de modèle à copier ici

Un mot sur les attentes : vous ne trouverez délibérément pas de texte contractuel à copier dans cet article. Un contrat de sous-traitance règle des questions de responsabilité — et un modèle qui ne correspond pas à votre situation crée plus de risques qu'il n'en élimine. Qui garantit, en cas de litige, que les mesures techniques et organisationnelles copiées existent réellement chez votre prestataire ?

Un modèle sérieux pour la Suisse se reconnaît à trois choses : il couvre les dix points de la checklist ci-dessus, il mentionne expressément la LPD et il laisse la place aux indications concrètes — catégories de données, sous-prestataires, emplacements des serveurs. Ces lacunes, c'est à vous de les combler. Sinon, le modèle est juridiquement sans valeur, exactement comme les déclarations de protection des données copiées d'un modèle type.

Comment constituer votre inventaire de sous-traitants

Avant d'examiner des contrats, il vous faut la vue d'ensemble : quels prestataires traitent réellement des données personnelles pour vous ? Trois sources livrent la liste en une heure :

  1. Votre propre déclaration de protection des données — tous les destinataires de données personnelles devraient déjà y figurer. Si elle est à jour, c'est votre meilleur inventaire.
  2. Un scan des cookies de votre site — il montre quels services tiers sont réellement intégrés, y compris les outils que plus personne n'avait à l'esprit.
  3. Votre comptabilité fournisseurs — chaque facture logicielle récurrente est un candidat. Qui paie mensuellement traite très probablement aussi des données.

Pour chaque entrée, notez : un contrat existe-t-il, dans quelle version, à quelle date — et où est-il archivé ? En cas d'audit, ce simple tableau vaut plus que n'importe quel classeur rempli de PDF contractuels jamais lus. Pour les prestataires dont les serveurs se trouvent hors de Suisse et de l'Union européenne, notez en plus la base du transfert — le plus souvent les clauses contractuelles types avec les adaptations suisses.

Trois erreurs vues dans la pratique

Erreur 1 — Oublier les «petits» outils. Le contrat avec Microsoft est conclu, mais l'outil de prise de rendez-vous, le fournisseur du widget de chat et l'outil de consentement fonctionnent sans contrat. Ce sont précisément les petits services que les audits repèrent en premier.

Erreur 2 — Signer et classer. Le contrat a été conclu en 2023 ; depuis, le prestataire a modifié trois fois sa liste de sous-traitants. Ignorer ces notifications de changement revient à approuver à l'aveugle — et à négliger son propre devoir de vérification.

Erreur 3 — Aucune preuve. En cas de problème, le Préposé fédéral à la protection des données et à la transparence (PFPDT) ou l'avocat de la partie adverse demande : «Quelle version du contrat était en vigueur le jour de la violation ?» Un PDF quelque part dans les archives de messagerie, sans version ni date de conclusion, est une preuve fragile.

Comment Aiara résout cela pour ses clients

En tant que fournisseur de gestion du consentement aux cookies, Aiara est lui-même sous-traitant de ses clients — les journaux de consentement sont des données personnelles. C'est pourquoi Aiara propose le contrat de sous-traitance en libre-service dans son Trust Center : vous concluez le contrat numériquement, en français, allemand, italien ou anglais. Chaque conclusion est scellée par un hachage SHA-256 — une empreinte cryptographique du document qui prouve à tout moment quelle version du contrat vous avez acceptée, et quand. Pas de paperasse, pas de ping-pong par e-mail, et la preuve pour les audits reste consultable en permanence.

C'est ainsi que la conclusion d'un contrat de sous-traitance devrait fonctionner en 2026, avec chacun de vos prestataires. Là où ce n'est pas le cas, vous savez désormais quoi exiger — la checklist ci-dessus est votre grille de contrôle.

Questions fréquentes

Ai-je besoin d'un contrat de sous-traitance avec chaque outil ?

Non — uniquement avec les prestataires qui traitent des données personnelles pour votre compte. C'est pratiquement toujours le cas pour l'hébergement, les outils de newsletter, le stockage cloud, les systèmes CRM et les fournisseurs de gestion du consentement aux cookies. Aucun contrat n'est nécessaire pour les services qui ne touchent pas de données personnelles (par exemple un simple fournisseur de licences de polices) ni pour les acteurs qui traitent les données sous leur propre responsabilité, comme les banques, les avocats ou la Poste.

Un contrat conforme au RGPD couvre-t-il aussi la LPD ?

En grande partie, oui. Les exigences de l'art. 28 RGPD sont plus détaillées que celles de l'art. 9 LPD — un contrat RGPD solide couvre presque entièrement les obligations suisses. Deux points méritent vérification : le droit suisse de la protection des données est-il mentionné comme droit applicable, et l'approbation des sous-traitants ultérieurs est-elle réglée comme l'exige l'art. 9 al. 3 LPD ?

Que se passe-t-il si je n'ai pas de contrat de sous-traitance ?

La loi révisée sur la protection des données sanctionne l'externalisation d'un traitement sans respecter les conditions de l'art. 9 LPD d'une amende pouvant atteindre CHF 250'000 — dirigée contre la personne physique responsable, typiquement la direction. S'y ajoute le risque pratique : en cas de violation de données chez le prestataire, vous n'avez aucune base contractuelle pour les obligations d'annonce, l'assistance et la responsabilité.

Qui doit fournir le contrat — le client ou le prestataire ?

Juridiquement, c'est à vous, en tant que responsable du traitement, de veiller à ce qu'un contrat existe. En pratique, les prestataires professionnels proposent un contrat standard que vous examinez et concluez. Si un prestataire n'offre rien de tel, considérez cela comme un signal d'alarme sur sa maturité en matière de protection des données.

Le contrat doit-il être signé à la main ?

Non. Le RGPD exige un contrat «par écrit, y compris en format électronique», et la LPD est encore plus ouverte. Une conclusion numérique est admise — l'essentiel est la traçabilité : qui a accepté quelle version du contrat, et quand ? Une preuve d'intégrité comme un hachage SHA-256 du document rend cette preuve solide.

Prêt pour un consentement cookies propre ?

Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.

Découvrir Aiara