La nouvelle Loi sur la Protection des Données (LPD) est entree en vigueur le 1er septembre 2023. Elle impose aux PME suisses des obligations precises sur le traitement des données personnelles, similaires au RGPD europeen. Ne pas se mettre en conformité exposé a des sanctions (amendes jusqu'a 250'000 CHF) et à une perte de confiance des clients.
Cet article décrit ce que demande la LPD aux PME suisses, et comment Odoo permet de couvrir ces exigences. Notre holding utilisé Odoo depuis 2018, et nous avons mis a jour notre approche LPD au moment de l'entree en vigueur de la nouvelle loi. Ce que nous décrivons est notre configuration réelle.
Ce que la LPD impose aux PME suisses
Résumé des obligations principales
Obligations clefs de la LPD pour PME
- -Registre des activites de traitement : recensement de toutes les opérations sur données personnelles (clients, employes, prospects)
- -Information des personnes : politique de confidentialite claire, accessible, expliquant les traitements
- -Droits des personnes : capacite a répondre aux demandes d'accès, rectification, effacement, portabilite
- -Sécurité : mesures techniques et organisationnelles adéquates (chiffrement, contrôle d'accès, sauvegardes)
- -Notification des violations : informer le PFPDT et les personnes concernées en cas de fuite avec risque élevé
- -Encadrement des sous-traitants : DPA signe avec chaque prestataire qui traite vos données
- -Analyse d'impact pour les traitements à haut risque (données sensibles, profilage massif)
Comment Odoo aide à la conformité
Fonctionnalites natives utiles
Gestion fine des droits d'accès
Odoo permet de définir précisément qui voit quoi : par module, par champ, par enregistrement. Limiter l'accès aux données personnelles aux seuls collaborateurs qui en ont besoin (principe de minimisation).
Audit trail intégré
Toutes les opérations sur les données sensibles sont tracees automatiquement : qui a modifie quoi, quand, depuis ou. Indispensable en cas de demande d'audit du PFPDT ou de contestation d'une personne concernée.
Suppression et export
Capacite de supprimer ou d'exporter toutes les données relatives à une personne, sur demande. Odoo permet ces opérations via des requetes structurees, complète avec modules custom si nécessaire.
Chiffrement
Chiffrement au repos et en transit sur Odoo.sh et la plupart des hébergements professionnels. Configuration HTTPS obligatoire pour l'accès utilisateurs et l'API.
Champs personnalises sensibles
Possibilite de marquer certains champs comme 'sensibles' et de restreindre leur visibilite à un groupe restreint d'utilisateurs.
Le registre des traitements dans Odoo
Recenser ce que vous faites des données
Le registre des activites de traitement est l'obligation centrale de la LPD pour les PME. Il liste tous les traitements de données personnelles que vous effectuez : pourquoi, comment, ou, avec qui partagez-vous, combien de temps vous gardez.
Traitements typiques d'une PME suisse sur Odoo
- -Gestion clients : nom, email, téléphone, adresse, historique d'achats. Base légale : contrat. Duree : 10 ans (LPD comptable).
- -Gestion prospects : email, téléphone, source. Base légale : consentement ou intérêt legitime. Duree : 3 ans sans contact actif.
- -Gestion employes : données RH, salaires, évaluations. Base légale : contrat de travail. Duree : 10 ans après départ.
- -Newsletter : email, préférences. Base légale : consentement. Duree : jusqu'a desinscription.
- -Support client : tickets, conversations, données techniques. Base légale : contrat. Duree : 5 ans.
Le registre peut être maintenu dans un document partage (Google Doc, Notion, Confluence) ou via un module Odoo dedie. L'essentiel est qu'il soit a jour et accessible aux personnes en charge.
L'hébergement et la LPD
Region, DPA, garanties contractuelles
La LPD ne demande pas une localisation stricte en Suisse pour la plupart des données. Elle demande des garanties contractuelles et techniques qui assurent une protection equivalente.
Ce qui rend un hébergement conforme LPD
- Region equivalente : UE, Suisse, ou autre pays reconnu par le Conseil federal (décisions d'adéquation)
- DPA signe avec l'hébergeur : Data Processing Agreement formalisant les obligations du sous-traitant
- Mesures de sécurité : chiffrement, contrôle d'accès, certifications (ISO 27001, SOC 2)
- Localisation documentee : savoir ou sont vos données, pour pouvoir le prouver
- Procedure de violation : engagement contractuel a notifier en cas de fuite
Pour notre holding, le choix est Odoo.sh sur cloud Google Europe avec DPA conforme. C'est l'option qui combine simplicite, performance et conformité pour la majorite des PME suisses.
Les droits des personnes : comment les gérer
Accès, rectification, effacement
Toute personne dont vous traitez les données peut exercer des droits : accès à ses données, rectification, suppression, portabilite. Vous devez pouvoir répondre dans un délai raisonnable (30 jours pour les demandes complexes).
Droit d'accès
Fournir à la personne une copie de toutes les données que vous avez sur elle. Odoo permet d'exporter facilement par client/contact. Compter quelques heures par demande.
Droit de rectification
Corriger les données inexactes. Operation simple dans Odoo : modification directe via l'interface, tracage automatique.
Droit d'effacement
Supprimer les données, sauf obligations légales contraires (conservation comptable 10 ans). Pour les contacts purement marketing, suppression complète possible. Pour les clients factures, anonymisation généralement.
Droit à la portabilite
Fournir les données dans un format structure (CSV, JSON). Odoo permet ces exports en standard.
Notre approche LPD interne
Ce que nous avons mis en place
Notre configuration LPD
- Registre des traitements maintenu dans un document partage, mis a jour à chaque évolution
- Politique de confidentialite sur tous nos sites, claire et a jour
- Gestion fine des droits Odoo : chaque collaborateur voit uniquement les données pertinentes pour son role
- Audit trail active sur tous les modules sensibles (RH, compta, clients)
- Procedure documentee pour traiter les demandes des personnes concernées
- DPA signe avec tous les sous-traitants (Odoo S.A., Google Cloud, Infomaniak, prestataires)
- Backup chiffre quotidien avec retention adaptée
"La conformité LPD n'est pas un projet ponctuel, c'est une discipline continue. Une fois la base en place, ça devient un réflexe : a chaque nouvelle activite, on se pose la question des données personnelles, du registre, des droits."
Questions frequentes
Les amendes peuvent atteindre 250'000 CHF pour les violations graves (non-respect deliberement des obligations d'information, de sécurité, de transfert). Mais l'enjeu principal n'est pas l'amende : c'est la perte de confiance des clients et partenaires en cas d'incident.
Pas obligatoirement pour la plupart des PME. Le DPO est obligatoire si vous traitez massivement des données sensibles (santé, religion, opinions politiques) ou si vous faites du profilage a grande échelle. Pour une PME standard, un responsable LPD interne suffit.
Pour une PME standard utilisant déjà Odoo : 5'000 à 20'000 CHF pour le projet initial de mise en conformité (audit, registre, politique, configuration). Plus quelques heures par an de maintenance. Très faible compare aux risques.
Notifier le PFPDT dans les 72 heures si la fuite présenté un risque élevé pour les personnes. Informer les personnes concernées si le risque les concerné directement. Documenter l'incident, la réponse apportee, les mesures correctives. Avoir une procedure documentee à l'avancé.
Oui, avec le DPA officiel d'Odoo S.A. et l'hébergement en region UE (Google Cloud Europe). Pour une PME suisse standard, c'est suffisant pour répondre aux exigences LPD.
Si vous traitez des données de personnes residant dans l'UE, le RGPD s'applique en plus de la LPD. Les principes sont très similaires, donc une PME conforme LPD est généralement conforme RGPD. Mais il faut le vérifier explicitement.
La conformité LPD est devenue un sujet opérationnel pour toutes les PME suisses, pas seulement une preoccupation juridique. Odoo bien configure couvre les exigences techniques (audit trail, contrôle d'accès, chiffrement) mais ne dispense pas du travail organisationnel (registre, politique, procedures). L'investissement initial est modeste compare aux risques. Notre conviction : mieux vaut se mettre en conformité proactivement que d'attendre une plainte ou un incident.
Vous voulez sécuriser la conformité LPD de votre Odoo ?
Décrivez votre situation via le formulaire : taille de l'entreprise, types de données traitees, état actuel de votre conformité. Notre équipe analyse votre contexte et vous recontacte avec un plan d'actions et une fourchette budgétaire, gratuitement, sans engagement.