Proton quitte la Suisse : quels risques pour la confidentialité de vos données ?
En bref
Proton a entamé une relocalisation d’une partie de son infrastructure hors de Suisse après l’annonce d’une révision en cours du cadre suisse de surveillance.
Les obligations évoquées portent sur l’identification des utilisateurs et une conservation de données sur six mois pour certains services dépassant un seuil d’utilisateurs, selon les informations publiées par des médias spécialisés.
Le déplacement d’hébergement déjà observé concerne Lumo, un service de Proton hébergé en Allemagne, avec d’autres destinations citées comme la Norvège.
Pour les organisations suisses clientes, la priorité reste la cartographie des traitements, la gestion des transferts et la revue des DPA si la localisation change.
Proton quitte la Suisse et relocalise des services, sur fond de réforme de la surveillance
Proton a entamé la relocalisation d’une partie de son infrastructure hors de Suisse, en lien avec une réforme suisse de la surveillance encore en consultation, selon plusieurs publications de presse technologique.
Les éléments rapportés évoquent une orientation qui viserait les services de messagerie et de VPN au-delà d’un seuil de 5’000 utilisateurs, avec des exigences d’identification et de conservation de données pendant six mois, sans que les paramètres finaux ne soient documentés publiquement dans les informations disponibles ici.
Proton a motivé sa position par une incertitude réglementaire jugée incompatible avec son modèle de confidentialité, d’après des reprises médiatiques d’une déclaration de l’entreprise dont la formulation exacte varie selon les sources. L’entreprise s’est historiquement appuyée sur la juridiction suisse pour encadrer les demandes d’accès, y compris provenant de l’étranger, un point régulièrement mis en avant dans sa communication publique.
Hébergement en Allemagne, transferts et obligations LPD pour les clients suisses
Selon les informations citées, le chatbot d’IA Lumo a déjà été hébergé en Allemagne et d’autres services ont été annoncés comme susceptibles de suivre, avec l’Allemagne et la Norvège comme destinations évoquées.
Pour une entreprise romande utilisant Proton pour des échanges avec des clients, le changement se traduit opérationnellement par une vérification du rôle de chacun, responsable de traitement et sous-traitant, puis par l’actualisation du registre si la localisation des traitements évolue. Les clauses contractuelles de sous-traitance, souvent regroupées dans un DPA, restent l’outil attendu pour fixer mesures techniques et organisationnelles, sous-traitance ultérieure et assistance en cas de violation de la sécurité des données.
La LPD ne prohibe pas un transfert à l’étranger, mais attend que la protection soit assurée et documentée selon le contexte et la sensibilité des données. L’attention se porte aussi sur les flux UE, car des exigences RGPD peuvent s’imposer aux organisations suisses qui ciblent des personnes dans l’UE ou agissent comme sous-traitants d’un donneur d’ordre européen.
Confidentialité, rétention et exposition aux risques en cas de changement de cadre légal
Proton a maintenu, selon les sources reprises, que son chiffrement de bout en bout ne change pas et que l’entreprise ne dispose pas d’un accès au contenu, ce qui limite l’impact d’une localisation physique des serveurs sur la lecture des messages. Des analyses de médias spécialisés ont aussi rappelé que l’architecture technique de Proton a été conçue pour réduire l’effet de l’hébergement sur la confidentialité.
Le point de tension rapporté concerne plutôt la rétention et l’identification des utilisateurs, qui touchent directement la minimisation, la finalité et la proportionnalité attendues dans les programmes de conformité. Une PME fictive de services médicaux à Lausanne utilisant un VPN d’entreprise illustre l’enjeu, car l’obligation éventuelle de conservation de métadonnées chez un prestataire peut modifier l’analyse de risque, même si le contenu reste chiffré.
Selon TechRadar, la décision s’est accompagnée d’un gel d’investissements en Suisse, mais l’ampleur, le calendrier et les services concernés n’ont pas été précisés dans les éléments disponibles ici.
Un déplacement des serveurs Proton hors de Suisse change-t-il le droit applicable ?
La loi applicable dépend des rôles contractuels, des entités impliquées et des lieux de traitement. Pour un client suisse, la LPD continue de s’appliquer au traitement qu’il détermine, et un hébergement en Allemagne implique de documenter le transfert et les garanties associées dans la relation de sous-traitance.
Quelles actions de conformité une organisation doit-elle mener si Proton change de juridiction d’hébergement ?
La pratique attendue consiste à mettre à jour le registre des traitements, revoir le DPA et les sous-traitants ultérieurs, vérifier les mesures techniques et organisationnelles annoncées, et adapter l’information interne et externe si la localisation des traitements fait partie des éléments communiqués.
Le chiffrement de bout en bout suffit-il à écarter tout risque LPD ?
Le chiffrement réduit le risque d’accès au contenu, mais n’élimine pas les enjeux liés aux métadonnées, à la rétention, à l’identification, à la gouvernance des accès et à la gestion des incidents. Ces aspects restent déterminants dans l’évaluation de proportionnalité et de sécurité.
Quand le RGPD peut-il entrer en jeu pour une entreprise suisse utilisant Proton ?
Le RGPD peut s’appliquer si l’organisation suisse cible des personnes dans l’UE ou traite des données pour le compte d’un responsable européen. Dans ce cas, les exigences contractuelles, la gestion des transferts et l’accountability peuvent s’ajouter aux obligations LPD.
