« Cet outil est-il conforme ? » C'est presque toujours la mauvaise question. Un même logiciel peut convenir à une organisation et poser problème à une autre. Tout dépend de la configuration retenue, de ce que le contrat engage, et du cadre légal applicable. Trois analyses menées pour Executive Education HEC Lausanne l'ont montré, sur des outils très différents. Récit et trois enseignements.
Contexte
Executive Education HEC Lausanne est l'organe de formation continue de la Faculté HEC de l'Université de Lausanne. Elle forme des cadres et des professionnels en activité.
Son rattachement à l'Université place son activité sous un cadre légal particulier. D'abord la LPrD vaudoise : la loi cantonale de protection des données, plus stricte que la loi fédérale sur certains points. Ensuite le secret de fonction, qui protège les informations confiées dans une mission publique. Comme toute organisation, l'organe de formation s'appuie sur des outils digitaux : relation apprenant, marketing, gestion documentaire, communication. L'enjeu : documenter et arbitrer leur conformité dans un cadre exigeant.
Le défi
L'organe de formation a sollicité YBCS pour analyser la conformité de plusieurs outils digitaux, utilisés ou envisagés. Trois analyses sur des outils très différents. Un CRM, c'est-à-dire un logiciel de gestion de la relation client. Un outil publicitaire en ligne. Une solution de gestion des ressources digitales.
Dès l'ouverture du mandat, la question se reformule. « Cet outil est-il conforme ? » n'a pas de réponse utile. La bonne question est : « Cet outil, dans cette configuration, avec ces engagements contractuels, est-il défendable pour notre organisation et son cadre légal ? »
Reformulée ainsi, la question ne tient plus dans une seule discipline. Un juriste seul ne sait pas ce que l'outil fait techniquement, ni quelles options changent l'évaluation. Un informaticien seul ne sait pas ce que la LPrD ou le secret de fonction exigent. C'est aussi la logique de la LPD, la loi fédérale sur la protection des données : un traitement s'apprécie en contexte, pas dans l'absolu.
L'approche YBCS
L'analyse croise trois axes dans un seul travail.
Juridique. Le cadre légal applicable et ce que les engagements signés couvrent vraiment : au-delà des conditions générales, les accords spécifiques comme le DPA (l'accord qui encadre les données confiées à un prestataire), le droit applicable, l'encadrement des transferts hors de Suisse.
Technique. L'architecture de l'outil, les mécanismes de sécurité documentés, les certifications, et surtout les options de configuration qui changent la nature du traitement.
Organisationnel. L'usage réel : qui pilote l'outil, comment la pratique se vérifie dans le temps, que faire en cas d'indisponibilité.
Ces axes ne s'additionnent pas, ils s'éclairent. Un point technique fragile peut être tenu par un engagement contractuel solide ; une zone juridique sensible, réduite par une décision organisationnelle. Le verdict naît du croisement. Les référentiels mobilisés (normes ISO 27001 et 27701, principes EBIOS pour coter les risques) restent au service du récit.
Trois enseignements du mandat
La conformité dépend de la configuration
Une première analyse porte sur une solution de gestion des ressources digitales, installée localement plutôt que dans le cloud. Le verdict ne tient pas à l'outil en tant que tel. Il tient à un choix explicite : retenir la version de base. Les modules avancés, par exemple des fonctions d'intelligence artificielle, ont été écartés. Activés, ils auraient déplacé une partie du traitement vers les serveurs de l'éditeur.
Autrement dit, ce qui a été jugé défendable n'est pas « l'outil ». C'est un usage précis de l'outil, dans une configuration donnée. Ce qu'on n'active pas compte autant que ce qu'on active.
Le croisement est ici décisif. Sans l'axe technique, on n'aurait pas vu que les modules avancés changent la nature même du traitement. Sans l'axe juridique, on n'aurait pas mesuré ce que ce changement implique pour une organisation soumise à la LPrD et au secret de fonction.
Ce que le contrat engage, pas ce que le marketing promet
Une autre analyse porte sur un CRM couramment utilisé. L'éditeur héberge bien les données européennes en Europe. Rassurant, en apparence. À la lecture précise du contrat, cette localisation n'est pourtant pas garantie : elle relève d'une pratique commerciale, révisable sans avenant.
L'inverse existe aussi. Certaines fonctions présentées comme « bientôt disponibles », par exemple un chiffrement piloté par des clés propres au client, n'étaient à ce stade qu'une intention de feuille de route. Pas un engagement.
Distinguer les deux demande trois lectures simultanées : lire un contrat, savoir ce qu'une fonction promise engage vraiment, traduire le tout en arbitrage. Il ne s'agit pas de faire le procès des éditeurs : la pratique commerciale révisable est leur modèle, pas une faute. Le rôle d'un accompagnement sérieux est de donner une lecture lucide. C'est la même logique que pour un corpus contractuel : l'engagement écrit fait foi, pas l'usage du moment.
Une analyse de conformité n'est pas un état, c'est une pratique
Le mandat lui-même le montre. Trois analyses successives, sur des outils différents, dans un contexte où la LPrD vaudoise est elle-même en révision. Un outil évolue. Son contrat évolue. L'usage interne évolue. Le cadre légal évolue. Une analyse figée à un instant T ne tient pas trois ans.
Tenir la conformité dans la durée suppose trois veilles, pas une. La veille juridique : la LPrD qui se révise, les transferts hors de Suisse, le règlement européen sur l'intelligence artificielle et ses effets ici. La veille technique : nouvelles fonctions et options de configuration chez les éditeurs, à commencer par l'intégration de l'IA dans des outils qui n'en comportaient pas. La veille organisationnelle : l'évolution des usages côté client. C'est ce qui sépare un audit ponctuel d'un accompagnement. Avec Executive Education HEC Lausanne, la relation se poursuit.
Résultat
Pour chaque outil évalué, le client dispose d'une analyse documentée, lisible par sa direction comme par ses équipes techniques. Pas un avis sur les conditions générales : un verdict opérationnel, des conditions d'usage explicites, des points de vigilance pour les revues suivantes.
Aucun outil n'a été « validé » ni « refusé » par YBCS. Ce ne serait pas notre rôle. L'analyse a éclairé des décisions ; ces décisions appartiennent au client, qui les prend en connaissance de cause. Et la relation se poursuit dans la durée : c'est probablement le résultat le plus important, moins un audit qu'un appui de lecture qui dure.
Ce qu'on en retient
Ce mandat est un cas. Les principes qui en sortent valent pour toute organisation qui adopte des outils digitaux : entreprise, administration publique, fondation, association.
Le bon réflexe n'est pas « cet outil est-il conforme ? ». C'est : « cet outil, dans cette configuration, avec ces engagements, est-il défendable pour mon organisation ? ». Reformuler la question est la première étape, et déjà beaucoup change.
Une analyse sérieuse exige plusieurs angles. Le juridique seul ne suffit pas. Le technique seul ne suffit pas. L'organisationnel seul ne suffit pas. Quand un prestataire ne sait porter qu'un seul angle, demandez-vous ce que les autres ne disent pas. C'est le cœur d'un accompagnement en protection des données qui ne s'arrête pas aux conditions générales.
La conformité d'un outil n'est jamais acquise. Les outils, les contrats, les usages et le cadre légal évoluent. Une analyse documentée est une base utile, pas un certificat permanent. C'est pourquoi la conformité d'un outil se réexamine, elle ne se classe pas : c'est tout l'enjeu d'une digitalisation menée avec lucidité.
Trois questions sur vos propres outils digitaux
Sans expertise juridique ni technique :
- Pour vos outils les plus utilisés, savez-vous quelles options exactes sont activées, et lesquelles ne le sont pas ? Si non, l'évaluation tient sur un terrain mouvant.
- Dans vos contrats avec ces éditeurs, savez-vous distinguer ce qui est garanti de ce qui relève d'une simple pratique ? Et l'éditeur peut-il modifier seul ses conditions ? Beaucoup s'en réservent le droit.
- Quand avez-vous revu pour la dernière fois la conformité d'un outil utilisé depuis plus de deux ans ? Si la réponse est « jamais », c'est probablement le moment.
Aller plus loin : Une analyse de conformité d'outil digital à mener ? On regarde avec vous.
