ChatGPT
Claude
Perplexity
Gemini
GrokLe transfert de données à l'étranger est un risque nLPD quotidien pour les écoles suisses
Une école suisse à vocation internationale — qu'il s'agisse d'une HES privée, d'une école hôtelière comme EHL ou Glion, ou d'une business school comme l'IMD — transfère des données hors de Suisse à chaque instant. L'email envoyé via Google Workspace, la réunion Zoom avec un candidat thaïlandais, le CRM hébergé sur un serveur américain : chacune de ces actions constitue un transfert international de données personnelles soumis à la nLPD (nouvelle Loi fédérale sur la protection des données, RS 235.1).
La distinction entre la Suisse et l'Union européenne est ici fondamentale. La Suisse n'est pas membre de l'UE. La loi applicable n'est pas le RGPD européen, mais la nLPD — une loi fédérale autonome, en vigueur depuis le 1er septembre 2023, supervisée par le PFPDT (Préposé fédéral à la protection des données et à la transparence). Cette confusion coûte cher aux établissements qui copient des DPA (Data Processing Agreements) RGPD sans vérifier leur compatibilité avec la nLPD.
58 % des prospects des écoles privées suisses sont non-francophones (Source : détection de langue Skolbot sur 8 500 conversations, 2025-2026). Cette réalité impose structurellement des flux de données transfrontaliers : CRM alimenté depuis l'Asie ou le Moyen-Orient, chatbot qui répond en anglais à un candidat de Lagos, outil de marketing automation hébergé aux États-Unis. Ignorer les obligations nLPD dans ce contexte, c'est exposer personnellement les dirigeants à des amendes pénales pouvant atteindre CHF 250 000.
Ce que la nLPD dit sur les transferts internationaux
Le principe : l'adéquation d'abord
L'article 16 de la nLPD pose la règle : les données personnelles ne peuvent être transférées à l'étranger que si le pays destinataire garantit un niveau de protection adéquat. Le Conseil fédéral publie et tient à jour la liste des États et territoires reconnus adéquats — cette liste inclut l'ensemble des pays de l'EEE ainsi que plusieurs autres États comme le Royaume-Uni, le Canada, le Japon ou Israël.
Pour les écoles suisses, cela signifie qu'un transfert vers une université partenaire en France, en Allemagne ou aux Pays-Bas ne pose pas de problème particulier : ces pays figurent sur la liste du Conseil fédéral. En revanche, un transfert vers un prestataire américain — scénario quotidien avec Google, Microsoft, Salesforce ou Zoom — nécessite une garantie appropriée.
Les mécanismes de transfert vers des pays non adéquats
Lorsque le pays destinataire ne figure pas sur la liste du Conseil fédéral, la nLPD prévoit plusieurs mécanismes alternatifs :
1. Les clauses contractuelles types suisses (CCT-CH). Le PFPDT a publié des clauses contractuelles types adaptées au droit suisse, distinctes des clauses standard contractuelles (SCC) européennes. Certains prestataires américains proposent désormais des CCT-CH en complément de leurs SCC RGPD — vérifiez explicitement leur existence avant de signer.
2. Les règles d'entreprise contraignantes (BCR). Les multinationales qui traitent des données pour le compte de plusieurs entités peuvent établir des BCR approuvées par le PFPDT. Pour une école, ce mécanisme est pertinent lorsque le prestataire est lui-même une multinationale dotée de BCR valides (ex. : Microsoft ou Google selon le cas).
3. Les exceptions de l'article 17 nLPD. Dans des cas spécifiques — consentement explicite de la personne concernée, exécution d'un contrat en faveur de la personne, protection d'intérêts vitaux — le transfert peut s'effectuer sans garantie formelle. Ces exceptions sont strictement interprétées et ne sauraient constituer la base habituelle des transferts récurrents.
4. Les clauses contractuelles ad hoc. L'article 16 al. 2 nLPD permet aussi des garanties contractuelles spécifiques approuvées par le PFPDT au cas par cas.
Ce que la Suisse n'est pas
La Suisse bénéficie d'une décision d'adéquation de la Commission européenne : les données peuvent circuler librement de l'UE vers la Suisse. Mais cette adéquation ne joue que dans le sens UE → Suisse. Elle ne confère pas à la Suisse un accès automatique à des transferts vers des pays tiers depuis la Suisse. Une école suisse qui envoie des données vers les États-Unis doit respecter les exigences de la nLPD — pas du RGPD — pour ce flux.
Les outils numériques des écoles et leur statut de transfert
La plupart des écoles suisses utilisent un socle d'outils SaaS américains identique à celui de leurs homologues européennes. Voici leur statut au regard de la nLPD :
| Outil | Éditeur / siège | Mécanisme nLPD applicable | Hébergement UE/CH disponible |
|---|---|---|---|
| Google Workspace | Google (USA) | CCT-CH + DPA Google nLPD | Oui (UE) — demander explicitement |
| Microsoft 365 | Microsoft (USA) | CCT-CH / BCR Microsoft | Oui (Suisse et UE) |
| Zoom | Zoom (USA) | CCT-CH | Oui (UE) |
| Salesforce CRM | Salesforce (USA) | CCT-CH | Oui (UE) |
| HubSpot | HubSpot (USA) | CCT-CH | Oui (UE) |
| Mailchimp | Intuit (USA) | CCT-CH | Non — vérifier alternatives |
| OpenAI (API) | OpenAI (USA) | CCT-CH (si DPA signé) | Non par défaut |
| Skolbot | Hébergement EEE | Adéquation Conseil fédéral | Oui |
Deux points méritent une attention particulière. Premièrement, la présence d'un hébergement européen chez un prestataire américain ne suffit pas : il faut activer l'option (souvent payante ou nécessitant une demande explicite) et signer un DPA conforme à la nLPD — pas seulement au RGPD. Deuxièmement, l'utilisation d'API d'IA générative comme GPT-4 envoie le contenu des conversations de vos candidats vers des serveurs américains — chaque conversation chatbot non hébergée en Europe constitue un transfert de données.
Cas pratiques pour les écoles suisses internationales
L'école hôtelière qui recrute en Asie et au Moyen-Orient
Une école comme EHL ou Glion accueille des candidats de 50 nationalités. Son CRM contient des données de candidats de pays non adéquats au sens du droit suisse et européen. Trois obligations s'imposent :
- Registre des activités : documenter explicitement le flux CRM avec mention des pays destinataires des données et du mécanisme retenu (CCT-CH ou BCR)
- DPA conforme nLPD : le contrat avec l'éditeur du CRM doit contenir des clauses conformes à la nLPD suisse, pas seulement au RGPD
- Information des candidats : la politique de confidentialité doit indiquer que les données peuvent être transférées dans des pays tiers avec les garanties appropriées
La business school avec alumni network mondial
L'IMD ou une école similaire gère une base alumni internationale. Partager les données de ces alumni avec des organisateurs d'événements partenaires hors UE — aux États-Unis, à Dubaï, à Singapour — constitue une communication à un tiers avec transfert international. La base juridique doit être documentée pour chaque flux : CCT-CH avec l'organisateur américain, adéquation pour l'organisateur japonais, consentement explicite pour l'organisateur dubaïote.
La HES privée qui utilise Google Workspace for Education
Google Workspace for Education est largement utilisé dans les HES suisses. Google propose un DPA conforme au RGPD et des engagements de traitement conformes à la nLPD — mais ces engagements ne s'activent pas automatiquement. L'école doit :
- Configurer l'hébergement des données en Europe (option disponible dans la Google Admin Console)
- Signer le Data Processing Amendment (DPA) Google incluant les engagements nLPD
- Documenter ce mécanisme dans son registre des activités de traitement
Sans ces étapes, l'usage de Google Workspace constitue un transfert non encadré vers les États-Unis.
Sanctions nLPD et risque pénal personnel
La nLPD se distingue du RGPD sur un point capital : les sanctions pénales visent la personne physique responsable, pas l'organisation. Un directeur d'admissions, un DSI ou un DPO qui néglige ses obligations de transfert s'expose à une amende pouvant atteindre CHF 250 000 (articles 60 à 63 nLPD), prononcée par les tribunaux pénaux sur dénonciation du PFPDT.
Cette responsabilité personnelle change radicalement le profil de risque. Ce n'est pas l'école en tant qu'entité qui est sanctionnée, mais la personne identifiée comme responsable du manquement. Pour les écoles privées suisses dont les équipes de direction sont souvent réduites, cela signifie que le directeur général, le directeur IT ou le responsable admissions peuvent être mis en cause directement.
Les transferts non conformes font partie des infractions couvertes par le régime pénal nLPD. Un audit annuel des transferts — avec vérification de l'existence et de la validité des CCT-CH ou BCR pour chaque prestataire non adéquat — est donc une nécessité, pas une option.
Plan d'action : mettre ses transferts en conformité nLPD
Étape 1 : Cartographier les flux de données (2-3 semaines)
Listez chaque outil SaaS utilisé par votre école : CRM, emailing, chatbot, plateforme d'admission, analytics, outils de visioconférence. Pour chacun, identifiez le siège de l'éditeur, le lieu d'hébergement des données, et l'existence ou non d'un DPA conforme nLPD.
Étape 2 : Qualifier chaque transfert (1-2 semaines)
Pour chaque outil dont les données transitent hors Suisse, déterminez le mécanisme applicable : pays adéquat selon la liste du Conseil fédéral, CCT-CH, BCR, ou exception article 17. Si le mécanisme est absent ou incertain, contactez l'éditeur pour demander un DPA conforme à la nLPD.
Étape 3 : Mettre à jour le registre des activités de traitement
L'article 12 nLPD impose un registre pour les organisations de 250 employés ou plus, et pour toute organisation traitant des données sensibles à grande échelle. Le registre doit mentionner, pour chaque activité, les garanties prévues en cas de communication à l'étranger.
Étape 4 : Mettre à jour la politique de confidentialité
La politique de confidentialité publiée sur le site de l'école doit informer les candidats des éventuels transferts à l'étranger et des garanties mises en place. Une mention générique du type « vos données peuvent être transférées hors de Suisse » ne suffit plus — la nLPD exige une information adéquate sur les destinataires et les mécanismes.
Étape 5 : Vérifier annuellement
Les mécanismes de transfert évoluent : les CCT-CH peuvent être révisées, la liste des pays adéquats peut changer, les prestataires peuvent modifier leurs offres. Un audit annuel des transferts, coordonné par le DPO ou le conseiller à la protection des données, garantit que la conformité reste effective dans le temps.
Pour aller plus loin sur les obligations générales de la nLPD, consultez notre guide nLPD et données étudiantes pour les écoles suisses. Pour le recrutement international, voir notre guide complet pour recruter des étudiants internationaux.
Testez Skolbot sur votre école — 30 secondes, sans engagementFAQ — Transferts de données et nLPD pour les écoles suisses
La Suisse est-elle soumise au RGPD européen ?
Non. La Suisse n'est pas membre de l'Union européenne et n'est pas soumise au RGPD. La loi applicable aux traitements de données effectués par des organisations suisses est la nLPD (nouvelle Loi fédérale sur la protection des données), en vigueur depuis le 1er septembre 2023, supervisée par le PFPDT. Cela dit, le RGPD s'applique en parallèle lorsqu'une école suisse cible activement des candidats résidant dans l'EEE — si vous faites de la publicité ciblée en France ou en Allemagne, les données de ces candidats sont protégées par le RGPD, en plus de la nLPD.
Qu'est-ce que la nLPD et en quoi diffère-t-elle du RGPD ?
La nLPD est le cadre fédéral suisse de protection des données, inspiré du RGPD mais distinct sur plusieurs points structurels. Principale différence : les sanctions nLPD sont pénales et visent la personne physique responsable (jusqu'à CHF 250 000), alors que le RGPD prévoit des amendes administratives contre l'organisation (jusqu'à 4 % du chiffre d'affaires mondial). Autre différence : la nLPD ne requiert pas systématiquement le consentement comme base de traitement — l'intérêt prépondérant peut suffire dans le cadre d'une relation pré-contractuelle. La nLPD prévoit également ses propres mécanismes de transfert international (CCT-CH), distincts des SCC européennes.
Google Workspace est-il conforme à la nLPD pour les données d'étudiants ?
Google Workspace peut être conforme à la nLPD, mais la conformité ne s'obtient pas par défaut. Trois conditions sont nécessaires : activer l'option d'hébergement des données en Europe dans la Google Admin Console, signer le Data Processing Amendment (DPA) Google qui inclut les engagements nLPD, et documenter ce mécanisme dans le registre des activités de traitement de l'école. Sans ces démarches actives, l'usage de Google Workspace constitue un transfert de données vers les États-Unis sans garantie formelle au sens de l'article 16 nLPD.
Quelles sanctions prévoit la nLPD pour les transferts non conformes ?
Les articles 60 à 63 de la nLPD prévoient des amendes pénales pouvant atteindre CHF 250 000 pour les infractions intentionnelles — dont le transfert de données à l'étranger sans garanties appropriées. Ces amendes visent la personne physique responsable du manquement (directeur, DSI, DPO selon le cas), prononcées par les tribunaux pénaux sur dénonciation du PFPDT ou d'un tiers. En parallèle, l'école peut faire l'objet d'une enquête du PFPDT, d'un préjudice réputationnel significatif et d'actions civiles de la part des candidats concernés. Pour les écoles traitant aussi des données de candidats UE, les sanctions RGPD s'ajoutent au dispositif nLPD.
À lire aussi : Consentement cookies et formulaires pour les écoles suisses · Protection des données et nLPD : obligations pour les écoles suisses
Sources : PFPDT — Communication de données à l'étranger · EDPB — International data transfers · nLPD RS 235.1 sur fedlex.admin.ch
