LPDConformitéOdoo
7 octobre 20258 min

Conformité LPD avec Odoo : ce que les PME suisses doivent mettre en place

La LPD révisée est en vigueur depuis septembre 2023. Voici ce qu'une PME suisse doit concrètement mettre en place dans son Odoo.

La nouvelle Loi sur la Protection des Données (LPD) est entrée en vigueur le 1er septembre 2023. Elle impose aux PME suisses des obligations précises sur le traitement des données personnelles, similaires au RGPD européen. Ne pas se mettre en conformité expose à des sanctions (amendes jusqu'à 250'000 CHF) et à une perte de confiance des clients.

Cet article décrit ce que demande la LPD aux PME suisses, et comment Odoo permet de couvrir ces exigences. Notre holding utilise Odoo depuis 2018, et nous avons mis à jour notre approche LPD au moment de l'entrée en vigueur de la nouvelle loi. Ce que nous décrivons est notre configuration réelle.

[01]

Ce que la LPD impose aux PME suisses

Résumé des obligations principales

Obligations clés de la LPD pour PME

  • -Registre des activités de traitement : recensement de toutes les opérations sur données personnelles (clients, employés, prospects)
  • -Information des personnes : politique de confidentialité claire, accessible, expliquant les traitements
  • -Droits des personnes : capacité à répondre aux demandes d'accès, rectification, effacement, portabilité
  • -Sécurité : mesures techniques et organisationnelles adéquates (chiffrement, contrôle d'accès, sauvegardes)
  • -Notification des violations : informer le PFPDT et les personnes concernées en cas de fuite avec risque élevé
  • -Encadrement des sous-traitants : DPA signé avec chaque prestataire qui traite vos données
  • -Analyse d'impact pour les traitements à haut risque (données sensibles, profilage massif)
[02]

Comment Odoo aide à la conformité

Fonctionnalités natives utiles

01

Gestion fine des droits d'accès

Odoo permet de définir précisément qui voit quoi : par module, par champ, par enregistrement. Limiter l'accès aux données personnelles aux seuls collaborateurs qui en ont besoin (principe de minimisation).

02

Audit trail intégré

Toutes les opérations sur les données sensibles sont tracées automatiquement : qui a modifié quoi, quand, depuis où. Indispensable en cas de demande d'audit du PFPDT ou de contestation d'une personne concernée.

03

Suppression et export

Capacité de supprimer ou d'exporter toutes les données relatives à une personne, sur demande. Odoo permet ces opérations via des requêtes structurées, complétée avec modules custom si nécessaire.

04

Chiffrement

Chiffrement au repos et en transit sur Odoo.sh et la plupart des hébergements professionnels. Configuration HTTPS obligatoire pour l'accès utilisateurs et l'API.

05

Champs personnalisés sensibles

Possibilité de marquer certains champs comme 'sensibles' et de restreindre leur visibilité à un groupe restreint d'utilisateurs.

[03]

Le registre des traitements dans Odoo

Recenser ce que vous faites des données

Le registre des activités de traitement est l'obligation centrale de la LPD pour les PME. Il liste tous les traitements de données personnelles que vous effectuez : pourquoi, comment, où, avec qui partagez-vous, combien de temps vous gardez.

Traitements typiques d'une PME suisse sur Odoo

  • -Gestion clients : nom, email, téléphone, adresse, historique d'achats. Base légale : contrat. Durée : 10 ans (LPD comptable).
  • -Gestion prospects : email, téléphone, source. Base légale : consentement ou intérêt légitime. Durée : 3 ans sans contact actif.
  • -Gestion employés : données RH, salaires, évaluations. Base légale : contrat de travail. Durée : 10 ans après départ.
  • -Newsletter : email, préférences. Base légale : consentement. Durée : jusqu'à désinscription.
  • -Support client : tickets, conversations, données techniques. Base légale : contrat. Durée : 5 ans.

Le registre peut être maintenu dans un document partagé (Google Doc, Notion, Confluence) ou via un module Odoo dédié. L'essentiel est qu'il soit à jour et accessible aux personnes en charge.

[04]

L'hébergement et la LPD

Region, DPA, garanties contractuelles

La LPD ne demande pas une localisation stricte en Suisse pour la plupart des données. Elle demande des garanties contractuelles et techniques qui assurent une protection équivalente.

Ce qui rend un hébergement conforme LPD

  • Région équivalente : UE, Suisse, ou autre pays reconnu par le Conseil fédéral (décisions d'adéquation)
  • DPA signé avec l'hébergeur : Data Processing Agreement formalisant les obligations du sous-traitant
  • Mesures de sécurité : chiffrement, contrôle d'accès, certifications (ISO 27001, SOC 2)
  • Localisation documentée : savoir où sont vos données, pour pouvoir le prouver
  • Procédure de violation : engagement contractuel à notifier en cas de fuite

Pour notre holding, le choix est Odoo.sh sur cloud Google Europe avec DPA conforme. C'est l'option qui combine simplicité, performance et conformité pour la majorité des PME suisses.

[05]

Les droits des personnes : comment les gérer

Accès, rectification, effacement

Toute personne dont vous traitez les données peut exercer des droits : accès à ses données, rectification, suppression, portabilité. Vous devez pouvoir répondre dans un délai raisonnable (30 jours pour les demandes complexes).

01

Droit d'accès

Fournir à la personne une copie de toutes les données que vous avez sur elle. Odoo permet d'exporter facilement par client/contact. Compter quelques heures par demande.

02

Droit de rectification

Corriger les données inexactes. Opération simple dans Odoo : modification directe via l'interface, traçage automatique.

03

Droit d'effacement

Supprimer les données, sauf obligations légales contraires (conservation comptable 10 ans). Pour les contacts purement marketing, suppression complète possible. Pour les clients facturés, anonymisation généralement.

04

Droit à la portabilité

Fournir les données dans un format structuré (CSV, JSON). Odoo permet ces exports en standard.

[06]

Notre approche LPD interne

Ce que nous avons mis en place

Notre configuration LPD

  • Registre des traitements maintenu dans un document partagé, mis à jour à chaque évolution
  • Politique de confidentialité sur tous nos sites, claire et à jour
  • Gestion fine des droits Odoo : chaque collaborateur voit uniquement les données pertinentes pour son rôle
  • Audit trail activé sur tous les modules sensibles (RH, compta, clients)
  • Procédure documentée pour traiter les demandes des personnes concernées
  • DPA signé avec tous les sous-traitants (Odoo S.A., Google Cloud, Infomaniak, prestataires)
  • Backup chiffré quotidien avec rétention adaptée

"La conformité LPD n'est pas un projet ponctuel, c'est une discipline continue. Une fois la base en place, ça devient un réflexe : à chaque nouvelle activité, on se pose la question des données personnelles, du registre, des droits."

FAQ

Questions frequentes

Les amendes peuvent atteindre 250'000 CHF pour les violations graves (non-respect délibéré des obligations d'information, de sécurité, de transfert). Mais l'enjeu principal n'est pas l'amende : c'est la perte de confiance des clients et partenaires en cas d'incident.

Pas obligatoirement pour la plupart des PME. Le DPO est obligatoire si vous traitez massivement des données sensibles (santé, religion, opinions politiques) ou si vous faites du profilage à grande échelle. Pour une PME standard, un responsable LPD interne suffit.

Pour une PME standard utilisant déjà Odoo : 5'000 à 20'000 CHF pour le projet initial de mise en conformité (audit, registre, politique, configuration). Plus quelques heures par an de maintenance. Très faible comparé aux risques.

Notifier le PFPDT dans les 72 heures si la fuite présente un risque élevé pour les personnes. Informer les personnes concernées si le risque les concerne directement. Documenter l'incident, la réponse apportée, les mesures correctives. Avoir une procédure documentée à l'avance.

Oui, avec le DPA officiel d'Odoo S.A. et l'hébergement en région UE (Google Cloud Europe). Pour une PME suisse standard, c'est suffisant pour répondre aux exigences LPD.

Si vous traitez des données de personnes résidant dans l'UE, le RGPD s'applique en plus de la LPD. Les principes sont très similaires, donc une PME conforme LPD est généralement conforme RGPD. Mais il faut le vérifier explicitement.

Conclusion

La conformité LPD est devenue un sujet opérationnel pour toutes les PME suisses, pas seulement une préoccupation juridique. Odoo bien configuré couvre les exigences techniques (audit trail, contrôle d'accès, chiffrement) mais ne dispense pas du travail organisationnel (registre, politique, procédures). L'investissement initial est modeste comparé aux risques. Notre conviction : mieux vaut se mettre en conformité proactivement que d'attendre une plainte ou un incident.

Vocabulaire du dictionnaire

Quelques termes liés à cet article, expliqués en clair dans notre dictionnaire digital pour PME suisses.

Vous voulez sécuriser la conformité LPD de votre Odoo ?

Décrivez votre situation via le formulaire : taille de l'entreprise, types de données traitées, état actuel de votre conformité. Notre équipe analyse votre contexte et vous recontacte avec un plan d'actions et une fourchette budgétaire, gratuitement, sans engagement.