Mettre votre CRM en conformité avec la nLPD n'a rien de sorcier. Pas besoin d'être juriste ni informaticien : en 30 minutes, vous pouvez vérifier si votre outil est en règle ou s'il vous expose. Ce guide vous explique comment, sans jargon.
En clair : un CRM conforme à la nLPD, c'est un outil dont vous savez où il range vos données, qui peut y accéder, et qui vous permet de les exporter ou de les supprimer pour de bon. Voici les 8 points à vérifier et comment les contrôler vous-même en 30 minutes.
Pourquoi s'en préoccuper maintenant ? Depuis 2026, la période de transition de la nouvelle Loi fédérale sur la protection des données (nLPD) est terminée. Concrètement, pour votre PME, la plainte d'un client mécontent peut désormais déboucher sur une amende bien réelle, jusqu'à CHF 250 000, prononcée par le PFPDT (le Préposé fédéral à la protection des données et à la transparence, l'autorité suisse qui veille au respect de la loi). Et fait souvent ignoré : cette amende vise la personne qui décide, pas l'entreprise.
Votre CRM est en première ligne, car il contient ce que vous avez de plus sensible : les données de vos clients. Nom, email, téléphone, historique d'achat, notes commerciales. D'où une première question toute simple : savez-vous dans quel pays ces données sont stockées, et qui peut légalement y accéder ?
Si la réponse n'est pas évidente, ce guide est fait pour vous. On va voir ensemble ce que la loi attend vraiment de votre CRM, comment l'auditer en 30 minutes, et combien coûte une mise en conformité.
Qu'est-ce que la nLPD change pour votre CRM ?
La nLPD s'applique à toute organisation suisse qui traite des données personnelles. Une donnée personnelle est toute information qui identifie un individu : nom, email, téléphone, fonction, historique d'achat, notes commerciales. Votre CRM en contient par définition.
La loi repose sur quelques principes de bon sens :
- Une raison légitime de collecter les données
- Le minimum nécessaire : on ne récolte pas plus que ce dont on a besoin
- La transparence : la personne sait que vous traitez ses données
- Un usage fidèle : les données servent uniquement à ce qui était annoncé
- Des données exactes et tenues à jour
- La sécurité : des mesures concrètes protègent les données
- La prudence à l'étranger : tout transfert hors de Suisse demande des garanties
Par rapport à l'ancienne loi, quatre changements concrets :
- Vous devez mieux informer : votre page de confidentialité doit dire à qui vont les données et si elles partent à l'étranger
- Le registre des traitements n'est obligatoire qu'à partir de 250 collaborateurs (la plupart des PME en sont dispensées)
- Une fuite de données doit être signalée au PFPDT rapidement
- Les amendes sont personnelles : jusqu'à CHF 250 000 pour la personne responsable, pas pour l'entreprise
À retenir : la nLPD sanctionne la personne qui décide, pas l'entreprise. Celui qui choisit le CRM, qu'il soit CEO, CFO ou responsable IT, engage sa responsabilité personnelle.
Où sont stockées les données de votre CRM (et pourquoi c'est critique) ?
La réponse à cette question détermine l'essentiel de votre risque. Pourtant, beaucoup de dirigeants de PME seraient incapables de dire dans quel pays leur CRM stocke réellement leurs données.
Les CRM utilisés par les PME suisses se répartissent en 3 catégories :
| Catégorie | Exemples | Statut nLPD |
|---|---|---|
| Cloud américain | HubSpot, Salesforce, Zoho, Pipedrive | Soumis au Cloud Act et au Swiss-US DPF |
| Cloud européen (UE) | OVHcloud, Hetzner, Microsoft Azure UE | UE reconnue adéquate par le Conseil fédéral |
| Cloud suisse | Solutions hébergées chez Infomaniak, Exoscale, Swisscom | Soumis directement au droit suisse |
Le PFPDT recommande de privilégier un hébergement en Suisse ou dans un État offrant une protection jugée adéquate par le Conseil fédéral. Les États-Unis ne bénéficient pas de cette reconnaissance de manière inconditionnelle. Leur statut dépend du Swiss-US Data Privacy Framework (voir section suivante).
L'enjeu n'est pas seulement géographique. Si vos données sont stockées chez un fournisseur soumis au droit américain, ce dernier peut être contraint de les transmettre à des autorités étrangères, y compris si les serveurs sont en Europe.
Pourquoi un CRM américain soulève-t-il des questions sous nLPD ?
Le problème n'est pas la qualité du logiciel. HubSpot et Salesforce sont des CRM reconnus. La question est d'ordre juridique, et elle tient à trois cadres : Cloud Act, DPF UE-US et Swiss-US DPF.
Le Cloud Act est une loi américaine de 2018. Elle permet aux autorités américaines de réclamer les données détenues par une entreprise américaine, où qu'elles soient stockées dans le monde. Autrement dit : même si vos données sont sur un serveur en Europe, si votre fournisseur est une société américaine, la justice américaine peut théoriquement y accéder.
Pour autoriser quand même les échanges, deux accords existent : un entre l'Union européenne et les États-Unis (depuis 2023), et son équivalent entre la Suisse et les États-Unis (reconnu par le Conseil fédéral en 2024). Ils permettent à une entreprise américaine certifiée de recevoir des données européennes ou suisses.
Le hic : la solidité de ces accords est contestée. Un accord précédent a déjà été annulé par la justice européenne, et plusieurs juristes s'attendent à ce que le dispositif actuel connaisse le même sort, un scénario qu'ils surnomment déjà « Schrems III ». Rien n'est tranché à ce jour, mais le risque est réel : si l'accord européen tombait, la Suisse réexaminerait le sien dans la foulée.
Pour une PME suisse, l'incertitude juridique constitue un risque en soi : un transfert considéré comme légal aujourd'hui pourrait ne plus l'être demain.
À noter : anticiper ces évolutions permet de garder le contrôle de son calendrier de mise en conformité plutôt que de subir une migration dans l'urgence.
Pour une analyse détaillée par fournisseur, nous y consacrerons un article dédié prochainement.
Les 8 exigences nLPD pour votre CRM, expliquées simplement
Voici les 8 points qu'un CRM doit cocher pour être en règle. Pour chacun, ce que ça veut dire concrètement, sans le vocabulaire d'avocat.
1. Un contrat de sous-traitance signé
Vous devez avoir un contrat avec votre fournisseur CRM qui précise ce qu'il a le droit de faire de vos données : pour quel usage, combien de temps, quelles données, et avec quelles mesures de sécurité. Il ne peut pas les confier à un autre prestataire sans votre accord écrit.
Sans ce contrat, votre fournisseur n'a tout simplement pas le droit de traiter vos données.
2. Un hébergement vérifiable
Votre fournisseur doit pouvoir vous dire clairement où sont stockées vos données : dans quel pays, et avec quelles garanties (par exemple un label de sécurité reconnu comme la norme ISO 27001). Cette information doit être accessible facilement, pas au prix d'un audit payant.
3. Un chiffrement solide
Vos données doivent être protégées à deux moments : quand elles sont stockées, et quand elles circulent sur internet. Ces protections portent des noms techniques (AES-256, TLS 1.3), mais vous n'avez qu'une chose à vérifier : que votre fournisseur confirme bien chiffrer vos données dans les deux cas. C'est aujourd'hui un standard de base.
4. Un accès limité selon les rôles
Chaque collaborateur ne devrait voir que les données utiles à son travail. Un bon CRM permet de définir des rôles (qui voit quoi) et, idéalement, de garder un historique de qui a consulté ou exporté quoi.
5. Une suppression vraiment définitive
Quand une donnée n'est plus utile, ou qu'une personne demande légitimement son retrait, elle doit réellement disparaître. Pas juste passer en statut « désactivé » tout en restant dans la base et les sauvegardes.
6. Une trace du consentement
Pour la prospection (emails, appels), vous devez pouvoir prouver que la personne était d'accord pour être contactée : quand, comment, et sur quelle base. Et si vous importez des contacts, cet historique doit suivre.
7. L'export des données sur demande
Toute personne peut vous demander une copie de ses données. Votre CRM doit permettre de les exporter simplement, dans un format lisible (un fichier Excel ou CSV), sans devoir passer par le support technique du fournisseur.
8. Une alerte en cas de fuite
Si votre fournisseur subit une faille de sécurité, votre contrat doit l'obliger à vous prévenir vite. Assez vite pour que vous puissiez à votre tour alerter le PFPDT, comme la loi l'exige.
Comment auditer votre CRM en 30 minutes ?
- 1
Identifiez le pays d'hébergement
3 minCherchez dans la documentation officielle ou le contrat de sous-traitance la mention du pays et du lieu de stockage. Notez la réponse.
- 2
Récupérez le contrat de sous-traitance
2 minVérifiez si vous disposez d'un contrat de sous-traitance signé (souvent appelé « DPA » chez les fournisseurs). Si vous ne le trouvez pas, marquez-le comme manquant.
- 3
Testez la suppression d'un contact
4 minCréez un contact test, supprimez-le définitivement. Vérifiez qu'il disparaît de toutes les vues, exports et sauvegardes consultables.
- 4
Testez l'export complet d'un contact
3 minExportez toutes les données d'un contact en un fichier. Vérifiez le format, la complétude (champs custom, pièces jointes, historique) et le délai.
- 5
Vérifiez les rôles et permissions
4 minListez les rôles disponibles. Vérifiez qu'un utilisateur standard ne peut pas accéder aux données d'autres équipes ou exporter la base complète.
- 6
Cherchez l'historique de consentement
3 minPour 5 contacts importés récemment, vérifiez si le consentement est documenté (date, source, moyen). Si l'information est absente, marquez-le comme manquant.
- 7
Vérifiez le chiffrement
2 minConsultez la documentation de sécurité. Cherchez la mention explicite d'AES-256 au repos et de TLS 1.3 en transit.
- 8
Lisez la clause de notification de violation
3 minDans le contrat de sous-traitance, repérez la clause sur la notification en cas de fuite. Notez le délai prévu.
- 9
Vérifiez votre déclaration de confidentialité
3 minVotre site web mentionne-t-il le CRM utilisé, son pays d'hébergement et les transferts à l'étranger ? Si non, votre obligation d'information n'est pas remplie.
- 10
Listez les sous-traitants ultérieurs
3 minDemandez au fournisseur la liste de ses sous-traitants (sub-processors) et leurs pays. Chaque sous-traitant est un transfert potentiel à documenter.
Votre score
| Réponses positives | Niveau de conformité |
|---|---|
| 8-10 OUI | Bon niveau. Maintenez une veille. |
| 5-7 OUI | Risque modéré. Priorisez les points manquants. |
| 0-4 OUI | Risque élevé. Une mise en conformité est urgente. |
Que faire si votre CRM n'est pas au niveau attendu ?
Trois approches, par ordre croissant d'investissement :
Option 1 : mettre en conformité l'outil actuel
Adapté si les manques sont surtout administratifs (contrat de sous-traitance absent, page de confidentialité incomplète, rôles mal réglés). Réclamez le contrat à votre fournisseur, mettez à jour vos documents, ajustez les permissions.
Option 2 : renforcer techniquement l'outil actuel
Si le CRM est hébergé en Suisse ou dans l'UE mais manque de fonctionnalités (consentement non journalisé, suppression incomplète), activez les modules disponibles ou demandez les évolutions au fournisseur.
Option 3 : migrer vers un CRM mieux adapté
À envisager si le CRM est hébergé aux États-Unis sans alternative crédible aux risques juridiques, ou si l'outil ne permet structurellement pas la conformité (suppression impossible, consentement absent).
Combien coûte un CRM aligné avec la nLPD ?
Comparaison des quatre profils de CRM disponibles pour les PME suisses en 2026 :
| Type de CRM | Prix par utilisateur/mois | Conformité nLPD native |
|---|---|---|
| CRM hébergé en Suisse | CHF 29-89 | Oui (selon fournisseur) |
| CRM européen (UE) | CHF 25-150 | Conditionnée à la configuration |
| CRM américain | USD 25-300 | Non, exige contrat + analyse de risque + clauses de protection |
| CRM open-source self-hébergé | CHF 0 + infra | Selon votre infrastructure |
Pour une PME de 10 utilisateurs, un CRM hébergé en Suisse représente un budget annuel de CHF 3 500 à 10 000. À mettre en regard de l'amende potentielle de CHF 250 000 et du coût d'une procédure devant le PFPDT (procédure pouvant durer plusieurs mois et engendrer des frais juridiques).
FAQ : les questions que les PME suisses nous posent
La nLPD s'applique-t-elle à ma PME de 5 employés ?
Oui. La nLPD ne fait pas de distinction de taille pour la majorité de ses obligations (sécurité, information, droits des personnes, contrats de sous-traitance). Seule exception : le registre des activités de traitement, obligatoire uniquement à partir de 250 collaborateurs.
Que risque concrètement une PME en cas de non-conformité ?
Trois risques : une amende personnelle jusqu'à CHF 250 000 ; une plainte d'un client ou employé au PFPDT pouvant aboutir à une suspension du traitement ; un risque commercial, car les grands comptes suisses exigent de plus en plus une attestation de conformité nLPD.
Les CRM suisses sont-ils automatiquement conformes ?
Non. L'hébergement en Suisse est un atout, mais la conformité dépend aussi des fonctionnalités : suppression effective, gestion des consentements, contrôle d'accès, portabilité, chiffrement, notification de violation contractualisée.
Puis-je continuer à utiliser HubSpot ou Salesforce avec des clauses contractuelles types ?
C'est possible, à quatre conditions : un contrat de sous-traitance signé, une analyse documentée des risques liés à ce transfert vers les États-Unis, des clauses de protection annexées au contrat, et une information explicite dans votre déclaration de confidentialité. C'est à vous de prouver que tout est en ordre.
Suis-je concerné par la nLPD si personne ne me l'a encore demandé ?
Oui, totalement. La loi s'applique avant tout traitement de données, indépendamment des demandes de vos clients. L'absence de demande aujourd'hui ne préjuge pas de demain : la conformité devient un critère dans les appels d'offres B2B suisses.
Combien de temps prend une mise en conformité ?
Pour une PME de 10-30 employés, comptez 2 à 4 semaines de travail réparties sur 2-3 mois. Contrat de sous-traitance et documents légaux : 1 semaine. Audit et paramétrage : 2 semaines. Page de confidentialité et formation : 1 semaine. Une migration complète ajoute 4-8 semaines.
Dois-je déclarer mon CRM au PFPDT ?
Non. Le registre des activités de traitement n'est obligatoire que pour les entreprises de 250 employés et plus. Documenter votre traitement en interne reste une bonne pratique, mais vous n'avez à prévenir le PFPDT qu'en cas de fuite de données.
Quelle est la première chose à faire dès aujourd'hui ?
Trois actions : 1) auditez votre CRM avec la grille en 10 étapes ci-dessus, 2) demandez à votre fournisseur le contrat de sous-traitance par email (gardez une trace), 3) mettez à jour votre page de confidentialité pour mentionner le CRM utilisé et son pays d'hébergement. Coût : zéro franc. Impact : immédiat.
La conformité nLPD comme avantage concurrentiel
Les PME qui prennent la conformité au sérieux ont une longueur d'avance. Elles répondent aux appels d'offres exigeant des garanties nLPD. Elles rassurent leurs clients. Elles protègent leurs dirigeants d'amendes personnelles dont le montant dépasse largement le coût d'une mise en conformité.
En 2026, un CRM aligné avec la nLPD n'est pas un luxe. C'est la nouvelle norme.
Cet article a été rédigé sur la base des sources officielles disponibles à mai 2026. Le cadre légal évolue ; nous le mettons à jour tous les 6 mois.
Sources officielles :
- Site officiel du PFPDT
- Texte intégral de la nLPD (RS 235.1)
- Ordonnance sur la protection des données (OPDo, RS 235.11)
- Transfert de données à l'étranger (informations PFPDT)
- Texte du Cloud Act américain (H.R. 4943)
Avez-vous besoin d'aide ? Pour auditer votre CRM ou comparer les solutions suisses, contactez-nous. Audit gratuit de 30 minutes pour évaluer votre conformité et identifier les actions prioritaires.