ChatGPT
Claude
Perplexity
Gemini
GrokAvertissement : Cet article a une visée informative générale et ne constitue pas un avis juridique. La situation de chaque établissement dépend de ses outils, de ses flux de données et de son activité internationale. Consultez votre DPO ou un juriste spécialisé en droit des données suisse pour toute décision relative à vos obligations nLPD.
Quelles données de vos candidats quittent la Suisse chaque jour ?
Un candidat envoie un courriel via votre formulaire de contact hébergé sur Google Workspace : ses données transitent vers des serveurs américains. Il clique sur une publicité Meta Ads et remplit un formulaire lead : ses données entrent dans l'infrastructure de Meta Ireland — mais la maison mère est américaine. Votre chatbot propulsé par l'API OpenAI traite sa question en direct : le contenu de la conversation est envoyé sur les serveurs d'OpenAI aux États-Unis, par défaut.
Ces flux ne sont pas anecdotiques pour les HES privées, les hautes écoles spécialisées (HES-SO, FHNW, HES-Arc) ou les écoles comme EHL, Glion, Les Roches ou l'IMD. 58 % des candidats qui contactent des établissements suisses sont non-francophones — en Suisse multilingue, les outils de traitement multilingue (souvent américains) sont incontournables pour atteindre les candidats alémaniques, italophones et internationaux. (Source : détection de langue automatique sur 8 500 conversations Skolbot, 2025-2026.)
La dépendance aux outils américains n'est pas une faute en soi. C'est un état de fait qui doit être encadré par des garanties appropriées au sens de la nLPD (RS 235.1). Sans ces garanties, chaque envoi de courriel via Gmail professionnel et chaque impression publicitaire sur Meta constitue un transfert de données non conforme — et une exposition personnelle pour les responsables désignés de l'établissement.
nLPD et transferts hors Suisse : ce que la loi suisse exige
La nLPD, en vigueur depuis le 1er septembre 2023, est la loi fédérale suisse sur la protection des données. Elle s'applique à toute organisation traitant des données de personnes physiques en Suisse, quelle que soit la nationalité de ces personnes. La Suisse n'est pas membre de l'Union européenne : la loi applicable n'est pas le RGPD, mais la nLPD — supervisée par le Préposé fédéral à la protection des données et à la transparence (PFPDT).
Le principe : adéquation ou garanties appropriées
L'article 16 nLPD pose une règle claire : les données personnelles ne peuvent être transférées à l'étranger que si le pays destinataire garantit un niveau de protection adéquat. Le Conseil fédéral publie la liste des États reconnus adéquats. Les États-Unis n'y figurent pas comme pays globalement adéquat — chaque transfert vers un prestataire américain requiert donc une garantie spécifique.
Trois mécanismes permettent ces transferts :
1. Les clauses contractuelles types suisses (CCT-CH). Le PFPDT a publié des CCT-CH distinctes des SCC européennes. Certains prestataires américains — dont Google et Microsoft — proposent des CCT-CH dans leurs contrats de traitement des données (DPA). Ces clauses doivent être signées explicitement, elles ne s'activent pas par défaut.
2. Le Swiss-US Data Privacy Framework (SFDPF). Depuis 2023, la Suisse dispose de son propre cadre de transfert vers les États-Unis, distinct de l'EU-US Data Privacy Framework (EU-US DPF). Le PFPDT a reconnu que les entreprises certifiées SFDPF offrent un niveau de protection adéquat au sens de l'article 16 nLPD. Ce cadre est distinct du EU-US DPF : une certification EU-US DPF ne couvre pas automatiquement les données suisses — vérifiez que le prestataire est certifié Swiss DPF sur la liste officielle.
3. Les règles d'entreprise contraignantes (BCR). Les multinationales disposant de BCR approuvées par le PFPDT peuvent s'en prévaloir. Microsoft figure parmi les prestataires disposant de BCR reconnues.
La responsabilité personnelle : spécificité critique de la nLPD
La nLPD se distingue du RGPD sur un point structurel : les sanctions pénales visent la personne physique responsable du manquement, et non l'organisation. Les articles 60 à 63 nLPD prévoient des amendes jusqu'à CHF 250 000 pour les infractions intentionnelles aux obligations de transfert. Cela concerne directement le directeur des admissions, le DSI ou le DPO qui aurait négligé de mettre en place les garanties requises.
Pour aller plus loin sur les obligations générales de la nLPD, notre guide nLPD et données étudiantes pose les bases du cadre légal applicable aux hautes écoles suisses.
Google Workspace, Meta Ads, OpenAI — conformité nLPD en 2026
Le tableau suivant présente l'état de conformité nLPD des trois outils les plus fréquemment utilisés par les équipes admissions et marketing des HES et écoles privées suisses.
| Outil | Siège / hébergement par défaut | Mécanisme nLPD disponible | Swiss-US DPF certifié | Démarche requise par l'école |
|---|---|---|---|---|
| Google Workspace for Education | Google LLC (USA) / serveurs UE en option | CCT-CH via DPA Google | Oui (Google LLC) | Activer hébergement UE dans Admin Console + signer DPA nLPD |
| Meta Ads (Lead Ads) | Meta Platforms (USA) / traitement USA par défaut | CCT-CH via conditions Meta | Oui (Meta Platforms) | Vérifier et accepter les CCT-CH dans les conditions Business — non automatique |
| OpenAI API (chatbot, analyse) | OpenAI (USA) / serveurs USA | CCT-CH si DPA enterprise signé | Non listé (vérifier) | Souscrire un contrat OpenAI Enterprise avec DPA incluant CCT-CH ; Zero Data Retention si disponible |
| Microsoft 365 / Teams | Microsoft (USA) / hébergement CH et UE disponible | CCT-CH + BCR Microsoft | Oui (Microsoft Corp.) | Activer région Suisse ou EEE ; signer DPA avec engagements nLPD |
| Skolbot | Hébergement EEE | Adéquation Conseil fédéral | N/A | Aucune démarche supplémentaire — adéquation directe |
Google Workspace : la conformité ne s'active pas toute seule
Google Workspace for Education est présent dans la quasi-totalité des HES suisses. Google propose un Data Processing Amendment (DPA) incluant des CCT-CH adaptées au droit suisse et une certification Swiss-US DPF valide. Mais trois conditions doivent être remplies activement : configurer l'hébergement des données en Europe (option dans la Google Admin Console), signer le DPA Google qui inclut les engagements nLPD, et documenter ce mécanisme dans le registre des activités de traitement. Une HES qui utilise Google Workspace sans avoir accompli ces étapes opère un transfert de données vers les États-Unis sans garantie au sens de l'article 16 nLPD.
Meta Ads et Lead Ads : un flux souvent ignoré
Les formulaires Lead Ads Meta sont populaires pour la génération de prospects dans le recrutement étudiant. Or, chaque candidat qui remplit un formulaire Lead Ads fournit des données personnelles — prénom, nom, courriel, numéro de téléphone, parfois sa filière d'intérêt — qui sont traitées par Meta aux États-Unis. Meta Platforms est certifié Swiss-US DPF et propose des CCT-CH dans ses conditions Business, mais ces clauses ne sont pas signées automatiquement lors de la création d'un compte publicitaire. Le responsable marketing de l'école doit vérifier que les conditions Business actuellement acceptées incluent les CCT-CH, et mettre à jour la politique de confidentialité de l'établissement pour mentionner Meta comme sous-traitant.
OpenAI : le cas le plus exposé en 2026
L'intégration de l'API OpenAI dans un chatbot ou un outil d'analyse de candidatures constitue le transfert de données le plus mal encadré dans la majorité des établissements suisses. Contrairement à Google ou Microsoft, OpenAI ne figure pas sur la liste Swiss-US DPF vérifiée par le PFPDT à la date de publication de cet article. Les conversations traitées par l'API OpenAI partent par défaut vers des serveurs américains sans garantie formelle au titre de l'article 16 nLPD — sauf si l'école a souscrit un contrat OpenAI Enterprise incluant un DPA avec CCT-CH et activé l'option Zero Data Retention.
La nLPD ne contient pas d'équivalent de l'IA Act européen — pas de classification des risques IA, pas d'obligation de marquage des contenus générés. En revanche, l'article 22 nLPD sur les décisions automatisées s'applique : toute décision influençant un candidat prise exclusivement sur base algorithmique doit pouvoir faire l'objet d'une révision humaine à sa demande. Un chatbot qui filtre des candidatures ou oriente des candidats vers certains programmes sans intervention humaine entre dans ce champ.
Pour les critères de sélection d'un fournisseur de chatbot conforme à la nLPD, notre article chatbot conforme nLPD pour hautes écoles suisses détaille les clauses contractuelles et les certifications à exiger.
5 mesures concrètes pour votre école suisse
1. Cartographier vos flux de données vers les États-Unis
Listez chaque outil SaaS utilisé par votre équipe admissions et marketing : CRM, emailing, chatbot, analytics, publicité en ligne, visioconférence. Pour chacun, identifiez le siège de l'éditeur, le lieu d'hébergement des données, et l'existence d'un DPA conforme à la nLPD. Cette cartographie est le point de départ obligatoire — sans elle, il est impossible de savoir quels transferts sont conformes et lesquels ne le sont pas.
2. Vérifier la certification Swiss-US DPF de vos prestataires américains
Rendez-vous sur la liste officielle du Swiss-US Data Privacy Framework et vérifiez que chacun de vos prestataires américains y figure avec une certification valide et couvrant la catégorie de données que vous traitez (notamment « Human Resources Data » pour les données de candidats). Une certification EU-US DPF ne suffit pas — la certification doit expressément couvrir le cadre suisse. Si un prestataire n'est pas certifié SFDPF, des CCT-CH signées constituent l'alternative.
3. Signer les DPA incluant les CCT-CH avec Google, Meta et vos autres prestataires américains
Les CCT-CH et les engagements nLPD existent chez la plupart des grands prestataires — mais ils ne sont pas signés automatiquement. Pour Google Workspace, accédez à la Google Admin Console et activez les engagements de traitement des données conformes à la nLPD. Pour Meta, vérifiez les conditions Business et acceptez explicitement les clauses de transfert. Conservez une copie signée ou une capture des acceptations dans votre dossier de conformité.
4. Mettre à jour votre politique de confidentialité
La politique de confidentialité publiée sur le site de votre école doit nommer vos sous-traitants principaux pour le traitement des données de candidats, mentionner les transferts hors Suisse et les garanties mises en place (CCT-CH, SFDPF, BCR), et permettre aux candidats d'exercer leurs droits d'accès et d'effacement. Une mention générique du type « vos données peuvent être traitées par des tiers » ne suffit plus au sens de la nLPD. Pour les durées de conservation, notre article sur la durée de rétention des données prospects précise les délais applicables en contexte suisse.
5. Documenter et réviser annuellement
La conformité nLPD n'est pas un état permanent acquis une fois pour toutes. Les certifications SFDPF peuvent expirer, les DPA peuvent être modifiés unilatéralement par les prestataires, et la liste des pays adéquats peut évoluer. Un audit annuel des transferts — idéalement coordonné par votre DPO ou un conseiller externe en protection des données — garantit que vos garanties restent effectives et documentées face à un éventuel contrôle du PFPDT.
Testez Skolbot sur votre école en 30 secondesQuestions fréquentes
La décision d'adéquation UE-Suisse couvre-t-elle les transferts vers les États-Unis ?
Non. La décision d'adéquation de la Commission européenne concernant la Suisse signifie que l'UE reconnaît le niveau de protection suisse comme équivalent au standard européen — elle autorise les flux de données de l'UE vers la Suisse. Elle ne dit rien sur les transferts que la Suisse opère vers des pays tiers comme les États-Unis. Une HES suisse qui envoie des données vers Google ou Meta doit respecter les exigences de la nLPD (CCT-CH ou SFDPF), indépendamment de la décision d'adéquation UE-Suisse.
Le Swiss-US DPF est-il la même chose que l'EU-US DPF ?
Non, ce sont deux cadres distincts. L'EU-US Data Privacy Framework a été adopté par la Commission européenne en juillet 2023 pour encadrer les transferts de données de l'UE vers les États-Unis. Le Swiss-US Data Privacy Framework (SFDPF) est le mécanisme équivalent pour la Suisse, reconnu par le PFPDT comme offrant des garanties appropriées au sens de l'article 16 nLPD. Une entreprise américaine peut être certifiée EU-US DPF sans être certifiée SFDPF — vérifiez la colonne « Swiss » sur la liste officielle du cadre. OpenAI, par exemple, doit être vérifié séparément sur ce critère.
Mon école n'a que 30 employés — les obligations nLPD s'appliquent-elles quand même ?
Oui. Contrairement au RGPD qui prévoit des exemptions partielles pour les petites structures, la nLPD ne prévoit pas d'exemption générale liée à la taille de l'organisation. L'obligation de garanties appropriées pour les transferts hors Suisse (art. 16 nLPD) s'applique à toute organisation qui traite des données personnelles — y compris les petites écoles privées, les instituts de formation et les académies indépendantes. Le registre des activités de traitement est obligatoire pour les organisations de 250 employés ou plus, mais les obligations de fond (information, garanties, sécurité) s'appliquent dès le premier traitement.
Les sanctions nLPD peuvent-elles réellement viser le directeur d'une école personnellement ?
Oui, c'est la particularité la plus importante de la nLPD par rapport au RGPD. Les amendes pénales prévues aux articles 60 à 63 nLPD (jusqu'à CHF 250 000) visent la personne physique identifiée comme responsable du manquement — pas l'établissement en tant que personne morale. Le PFPDT peut dénoncer des situations problématiques aux autorités de poursuite pénale. Pour les écoles privées dont les équipes dirigeantes sont restreintes, cela signifie que le directeur général, le responsable IT ou le directeur des admissions peuvent être mis en cause directement en cas de transfert non conforme.
Faut-il un DPO dans une HES suisse ?
La nLPD ne rend pas le DPO (ou conseiller à la protection des données) obligatoire, contrairement au RGPD pour certaines catégories d'organisations. En revanche, le PFPDT encourage vivement les organisations traitant des données à grande échelle — ce qui est le cas des HES et des écoles privées avec plusieurs centaines de candidats par année — à désigner un responsable protection des données interne ou externe. Pour les HES publiques cantonales, certains cantons imposent un DPO dans leur propre législation sur la protection des données. Vérifiez la législation cantonale applicable à votre établissement en complément de la nLPD fédérale.
Cet article a une visée informative générale et ne constitue pas un avis juridique. La situation réglementaire de chaque établissement suisse dépend de son activité spécifique, de ses fournisseurs et de son exposition au marché américain ou international. Consultez un professionnel du droit des données ou votre DPO pour toute décision relative à vos obligations nLPD.
Sources principales : PFPDT — pfpdt.admin.ch · nLPD RS 235.1 — fedlex.admin.ch · Swiss-US Data Privacy Framework
Testez Skolbot sur votre école suisse en 30 secondes
