swiss hosting – l’hébergement des données en suisse

que signifie le label swiss hosting?

swiss hosting suit deux principes:

  1. Les données restent en Suisse.
  2. L’accès à ces données par des tiers n’est possible que via les autorités suisses.

Les grands prestataires internationaux ayant une filiale en Suisse suivent le premier principe, pas le deuxième.

Il est faux d’affirmer que la protection des données peut être imposée par contrat conformément aux exigences suisses. Les quatre exemples suivants montrent que ce n’est pas le cas:

  1. CLOUD Act: cette loi adoptée en 2018 aux États-Unis permet aux autorités américaines d’accéder aux données hébergées par les entreprises américaines ou soumises aux lois américaines, peu importe le territoire où elles se trouvent.
  2. L’arrêt Schrems-II: le bouclier de protection des données UE-États-Unis (Privacy Shield), a longtemps été considéré comme l’accord qui permettait d’exporter des données de l’Europe vers les États-Unis tout en respectant les normes européennes. En juillet 2020, la Cour de justice de l’Union européenne (CJCE) a rendu l’arrêt Schrems-II, jugeant ce bouclier invalide. La Cour a considéré comme établi que des entreprises américaines ne pouvaient pas s’opposer aux demandes d’accès aux données des organisations gouvernementales nationales, et que la sécurité des données n’était donc pas garantie. Cette décision a créé une fiction juridique. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) s’est joint au jugement peu après, signant la fin de notre accord parallèle. Le PFPDT se prononce explicitement à ce sujet dans son «Guide pour vérifier l'admissibilité des transferts directs ou indirects de données vers l'étranger».
  3. Le cas de Crypto AG: cette entreprise suisse a été achetée en secret par la CIA et le service allemand de renseignement (BND) et a livré des dispositifs de chiffrement à des gouvernements tiers.
  4. La gestion des données au quotidien: la gestion des données entraîne une situation paradoxale. La direction, responsable des données d’une filiale suisse, doit à la fois se conformer au droit suisse et exécuter les ordres de ses supérieurs étrangers. Dans la pratique, les données (p. ex. les données client recueillies à des fins de promotion) sont souvent partagées, même si cela enfreint la loi sur la protection des données. Tant que personne ne porte plainte, personne ne sera jugé. Et peu d’entre nous envions le sort réservé à la plupart des lanceuses et lanceurs d’alerte.

Le label swiss hosting est une promesse juridique. Il indique que, dans le cadre d’une procédure ordinaire, seules les autorités suisses ont accès aux données, et les parties concernées sont traitées conformément au droit suisse.

avantages du label swiss hosting

Malheureusement, il n’est pas rare de voir des entreprises affirmer que les données sont stockées en Suisse pour donner à leur clientèle une fausse impression de sécurité, alors que leur emplacement ne les protège pas suffisamment. Le label swiss hosting est garant de transparence dans le domaine des services sur le cloud. Il signale à la clientèle des secteurs B2B et B2C quels sont les prestataires de services et/ou les applications pour lesquels un accès aux données juridiquement contraignant ne peut se faire que par l’intermédiaire des autorités suisses, et conformément aux lois du pays. La mission de surveillance des autorités suisses cesse dès qu’un pays étranger prend le contrôle d’une entreprise.

Le label swiss hosting est une promesse juridique, pas une promesse technique. Il ne garantit pas la qualité des mesures techniques mises en place pour protéger les données. Il protège les données, mais ne les sécurise pas.

d’où vient swiss hosting?

Le passage aux technologies hébergées dans le cloud et l’entrée en vigueur du RGPD ont montré que le lieu de stockage des données gagne en importance. Dans ce contexte, la création d’un sceau de qualité dans la tradition du swiss made semblait évidente.

Notre nouveau label, baptisé initialement hosted in switzerland, a vu le jour en 2018 et a rapidement gagné en popularité. Plus de 100 entreprises l’ont adopté peu de temps après sa création, et nous avons reçu des retours prometteurs. On nous a notamment priés d’en faire un service distinct.

lien avec le swiss made et le label swiss made software

Le cloud étant un domaine très récent, il n’était pas encore associé à la qualité suisse. Nous avons donc rédigé, en étroite collaboration avec nos membres, un contrat qui forme le cadre légal du label et garantit sa qualité. À leur demande expresse, des sanctions sont prévues dans le contrat en cas d’infraction. Le label swiss hosting est proposé exclusivement à nos membres.

Une entreprise peut adopter les trois labels. Pour ce faire, elle doit déclarer comment elle compte les utiliser, et bien se renseigner sur les conditions préalables.

>rejoindre notre label

conditions préalables à l’utilisation du label

Pour pouvoir associer le logo swiss hosting à ses services, une entreprise doit satisfaire aux conditions suivantes:

  1. Le siège et le site administratif de la détentrice de licence doivent se trouver en Suisse (voir l’art. 49, al. 1 de la LPM).
  2. L’hébergement des
    - applications proposées
    - données personnelles
    - données de l’entreprise (informations commerciales ou d’ordre financier, résultats de recherches, etc.)
    doit se trouver dans un centre de calcul en Suisse. La protection et la sécurité des données sont soumises au droit suisse.
  3. S’il s’agit d’un produit d’excellence SaaS (Software-as-a-Service), l’entreprise ne peut attribuer le logo swiss hosting qu’aux offres pour lesquelles l’hébergeur remplit aussi les conditions susmentionnées. La détentrice de licence doit en obtenir la confirmation écrite de la part de l’hébergeur.
  4. L’accès à l’environnement d’hébergement depuis l’étranger ou aux données nécessaires à la gestion et à l’administration par l’hébergeur doit être protégé de manière à ce que la totalité des données demeure en Suisse et qu’aucune organisation ou gouvernement ne puisse les consulter ou les exiger de manière directe ou indirecte. Cette règle s’applique aussi aux sociétés d’un groupe étranger établies en Suisse.
  5. Si une entreprise propose une offre mixte (hébergement possible en Suisse et à l’étranger), le logo ne peut être utilisé que si l’offre en question remplit entièrement les critères. L’entreprise doit afficher clairement quelles offres satisfont ces critères.

en pratique

Les fournisseurs SaaS doivent signer le contrat de swiss hosting et exiger de leur partenaire d’hébergement qu’il confirme par écrit le respect des conditions générales de la prestation choisie. Le document «Contrat destiné aux hébergeurs/partenaires de cloud non membre du label swiss made software» a été créé à cet effet. Cette étape n’est pas nécessaire si l’hébergeur est déjà membre du label swiss hosting. Dans ce cas, le fournisseur SaaS doit tout de même s’assurer que le service respecte les critères imposés. En effet, certains hébergeurs porteurs du label swiss hosting offrent aussi des services qui ne les remplissent pas. Dans ce cas, il faut pouvoir les distinguer.

  • Vous trouvez ici le contrat destiné aux fournisseurs SaaS
  • Vous trouvez ici le contrat destiné aux hébergeurs/partenaires de cloud
  • Vous trouvez ici le contrat destiné aux hébergeurs/partenaires de cloud non membres de swiss made software

Attention: à la suite de ce lancement, les services d’hébergeurs/partenaires de cloud étrangers (Ali Baba, Amazon, Azure, Google et d’autres entreprises dans des pays tiers) ne peuvent plus être associés au label swiss hosting. Clarifiez la question auprès de votre partenaire et au moyen du formulaire mis à disposition.

partenaires d’hébergement de swiss hosting

Les hébergeurs, fournisseurs d’hébergement, fournisseurs d’hébergement sur le web ou fournisseurs de cloud sont des partenaires directs de swiss hosting, ce qui garantit le respect des conditions générales. Certains fournisseurs limitent l’emploi du label à une partie de leur offre. Ces produits et services sont alors mis en évidence.

La liste de fournisseurs ci-dessous n’est pas exhaustive. Vous trouvez ici les offres détaillées de produits et services. Vous trouvez ici la liste des membres du label swiss hosting et les offres SaaS.

Vous êtes déjà partenaire de swiss hosting (membre de niveau 2, avec services d’hébergement et de cloud destinés à des tiers tels que des fournisseurs de SaaS), mais vous ne figurez pas sur la liste? Contactez-nous.

qui peut télécharger les logos des différents labels?

Attention: l’emploi incorrect ou fallacieux du logo swiss made est interdit par la loi. Ne l’utilisez que si vous remplissez les critères susmentionnés et si vous respectez les dispositions légales correspondantes. Toute infraction sera considérée comme un délit et poursuivie d’office. L’emploi du label swiss hosting est soumis aux conditions définies dans le contrat-cadre.

Vous trouvez ici les conditions d’utilisation du logo swiss made software. Vous trouvez ici les conditions d’utilisation du logo swiss digital services.

N’hésitez pas à nous contacter en cas de questions.

espace de téléchargement

Pour télécharger un logo, vous devez vous enregistrer au préalable. Nous vous envoyons ensuite un login, que vous saisissez après avoir cliqué sur le bouton «Membres» sur la page d’accueil, puis «Se connecter» pour accéder à l’espace de téléchargement.

faq

Informations sur l’application du contrat.

accès au système depuis l’étranger Afficher les détails Masquer les détails

  1. Le personnel en vacances ou en déplacement a accès au système, pour autant que des mesures techniques de protection des données (mot de passe, cryptage, VPN, etc.) soient employées. Ces mesures doivent répondre aux exigences techniques actuelles et ne se limitent pas aux exemples fournis.
  2. Accès temporaire accordé à des tiers – maintenance, mises à jour, etc.: l’accès au système est autorisé, si vous pouvez garantir qu’aucun accès au niveau root n’est possible, et donc qu’il est impossible de siphonner ou de copier les données clients.
  3. Assistance 24 h/24: l’accès au système est autorisé, pour autant que le personnel est employé par la société mère en Suisse, ou dans une filiale détenue exclusivement par la société mère. Les entreprises tierces ne peuvent pas être mandatées à cet effet. Les filiales ne peuvent pas faire valoir de droit légal à accéder à ces données. Sur le plan organisationnel, assurez-vous qu’il est impossible de siphonner ou de copier les données. Mettez également en place des mesures qui satisfont les exigences actuelles, comme nous l’avons mentionné au point 1 ci-dessus.

dispositions transitoires concernant hosted in switzerland Afficher les détails Masquer les détails

Le label hosted in switzerland, l’ancienne version de swiss hosting, est valable jusqu’à fin 2020. Passé ce délai, les entreprises qui l’utilisent encore doivent le supprimer. Depuis 1er janvier 2021, seul le label swiss hosting est associé au contrat-cadre signé.

présentation – les aspects juridiques de swiss hosting Afficher les détails Masquer les détails

Simon Schlauri (avocat et professeur à l’Université de Zurich), associé à l’élaboration du contrat de swiss hosting, a enregistré un exposé (en allemand) sur les aspects juridiques du label. Dans cette vidéo, le professeur Schlauri explique de manière claire et succincte les subtilités juridiques de l’interaction entre la LPD et le label swiss hosting.

les limitations du label «swiss hosting» Afficher les détails Masquer les détails

Nous vivons dans un monde complexe, et notre label ne suffit pas à garantir une maîtrise totale de nos données. Voici quelques exemples:

  • Vous optez pour une app membre du label swiss hosting, mais vous exportez des données et les envoyez par e-mail, peut-être même lors d’échanges avec le fournisseur de ladite app. Quel service de courrier électronique utilisez-vous?
  • Vous utilisez les produits Office usuels pour traiter ou envoyer les données des applications membres de swiss hosting. Dans ce cas, vous devez activer la sauvegarde automatique dans le cloud ou vérifier que votre prestataire peut gérer ces services indépendamment du fournisseur.
  • Vous utilisez les produits de Messenger usuels pour traiter ou envoyer les données des applications membres du label swiss hosting.

services de paiement électronique Afficher les détails Masquer les détails

Les offres pour lesquelles le paiement électronique ne peut être implémenté que via un prestataire étranger peuvent porter notre logo, pour autant que les exigences du logo sont respectées. Les collaborations avec des fournisseurs étrangers restent autorisées, mais les utilisatrices et utilisateurs doivent en être informées de manière transparente.

En effet, nous ignorons s’il existe à l’heure actuelle une solution suisse qui remplit les conditions du label swiss hosting. Des vérifications sont en cours.