Conformité 28.03.2026 9 min de lecture

Bureau à distance conforme RGPD en Suisse : guide pratique

Ce que le RGPD et la nLPD suisse imposent aux outils de bureau à distance — localisation, sous-traitance, audit trail. Checklist pratique.

Ce qu’exigent le RGPD et la nLPD

Le RGPD européen et la nouvelle Loi fédérale suisse sur la protection des données (nLPD, en vigueur depuis 2023) régissent le traitement des données personnelles. Pour la maintenance à distance sont pertinents :

  1. Registre des traitements (Art. 30 RGPD / Art. 12 nLPD) : vous devez documenter qui a accédé à quelles données et quand.
  2. Contrat de sous-traitance (Art. 28 RGPD / Art. 9 nLPD) : si un prestataire IT externe accède à des données personnelles (même seulement « voir » suffit), un contrat de sous-traitance est requis.
  3. Sécurité des données (Art. 32 RGPD / Art. 8 nLPD) : chiffrement, contrôle d’accès, audit trail.
  4. Localisation des données : UE ou pays tiers reconnus (la Suisse est reconnue).

Les pièges les plus fréquents

Repli sur un serveur cloud US. Vous utilisez un outil P2P, mais sur NAT symétrique un relais TURN prend le relais — situé aux USA. Le flux à travers une infrastructure US relève du CLOUD Act. Solution : choisir un outil avec relais suisse/UE.

Pas de contrat de sous-traitance avec l’éditeur. Si vous menez des sessions à distance sur des appareils clients en tant que prestataire IT, vous êtes sous-traitant pour les données clients. L’éditeur de l’outil est sous-sous-traitant. Les deux contrats doivent exister.

Pas d’audit trail. Lors d’un audit RGPD, vous devez prouver qui a mené quelle session quand. Certains outils ne tracent que « 47 sessions ce mois » — c’est insuffisant. Requis : par session le nom du technicien, l’appareil cible, la durée, les transferts de fichiers.

Enregistrement de session sans consentement. Si vous enregistrez les sessions (p.ex. pour conformité), vous avez besoin du consentement explicite de l’utilisateur final à l’appareil hôte. Sans consentement : violation.

Les avantages suisses

Si vous êtes prestataire IT suisse choisissant un fournisseur suisse :

  • Pas de CLOUD Act. Les Sàrl suisses sans maison-mère US ne peuvent être contraintes de divulguer des données aux autorités US.
  • Entraide judiciaire plus courte. Les litiges chez un fournisseur suisse se règlent devant un tribunal suisse — pas de complexité multi-juridictions.
  • PFPDT comme point de contact. Les plaintes vont au Préposé fédéral à la protection des données — pragmatique et spécialisé en droit suisse.

Checklist pratique

Avant d’utiliser un outil distant pour des clients régulés :

  1. Localisation documentée ? Serveurs en Suisse ou UE.
  2. Contrat de sous-traitance ? DPA standard de l’éditeur lu + archivé.
  3. Chiffrement E2E ? AES-256 ou équivalent, documenté.
  4. Audit trail activé ? Par session : qui/quand/quoi, exportable en CSV.
  5. Rôles + permissions ? Pas chaque technicien sur tout. Principe du moindre privilège.
  6. Consentement pour enregistrement ? Si les sessions sont enregistrées.
  7. Éditeur sans dépendance CLOUD Act ? Pour données sensibles (santé, finance, avocat) clairement pertinent.
  8. Configuration tracking explicite ? Pas de « tout passe au marketing du fournisseur en anonyme ».

Où WinDesk se situe

WinDesk a été conçu explicitement pour le contexte de conformité suisse :

  • Serveurs en Suisse et UE, pas de saut cloud US
  • Lightnet Multimedia GmbH est une Sàrl suisse sans maison-mère US — pas de CLOUD Act
  • AES-256-GCM E2E par session, clé éphémère
  • Audit trail par défaut, export CSV, filtre par utilisateur/période/appareil
  • DPA standard disponible dans le portail
  • Rôles : Admin / Supporter / Lecture seule
  • Enregistrement de session optionnel arrive en 2026 avec workflow de consentement

Page sécurité avec preuves détaillées. Pour questions DPA : info@windesk.ch.

Essayer WinDesk en 30 secondes

Plan Free sans compte, sans carte bancaire. Multi-plateforme Windows + Mac + Linux + Pi.

Télécharger maintenant Plus d'articles