Refondre ou rapiécer ses contrats ? L'exemple Wedo

Wedo édite un logiciel suisse de gestion des réunions, utilisé par des organisations privées comme publiques. Plutôt que multiplier les avenants au gré des clients et des lois cantonales, un seul corpus contractuel refondu, utilisable sans négociation. Récit et trois enseignements.

Cas client Protection des données 16 mai 2026 Livio di Tria

Refondre ou rapiécer ses contrats ? L'exemple Wedo

Wedo édite un logiciel suisse de gestion des réunions et des décisions, utilisé par des organisations privées comme publiques. Comme tout éditeur, il traite des données pour le compte de ses clients. Cela passe par trois documents : un DPA (l'accord qui encadre le traitement des données confié à un prestataire), des conditions générales, une déclaration de protection des données. Ces documents doivent satisfaire le droit suisse sur la protection des données : la LPD fédérale, et la loi propre au canton de chaque client public. Au fil des années, ce corpus s'était empilé, avenant après avenant. Le refondre, ou continuer à le rapiécer ? Récit d'une refonte.

Contexte

Au départ, un ensemble classique : des conditions générales, une déclaration de protection des données, et un DPA. Rien de mauvais. Mais l'ensemble avait grandi par couches, au fil des années, des clients et de leurs exigences.

Wedo n'avait pas de problème aigu. Aucun litige, aucun client mécontent. C'est justement ce qui rend ce type de décision difficile : rien ne casse, mais quelque chose se dégrade lentement.

Les signaux étaient discrets. Quelques avenants signés au cas par cas pour répondre à la demande d'un client. De légères incohérences d'un document à l'autre. Une articulation entre le DPA et les conditions générales devenue floue. Pris isolément, aucun n'imposait d'agir. Ensemble, ils disaient la même chose : à force de retouches, le corpus ne se tenait plus de lui-même.

Le défi

L'objectif tenait en une phrase. Sa réalisation, beaucoup moins. Un seul corpus contractuel, utilisable par tous les clients sans avenant. Qui satisfasse à la fois la LPD et la loi de chaque canton concerné. Et qui reste lisible par un non-juriste.

Le cadre légal. Ces lois partagent un socle commun, mais chacune a ses particularités. Tout l'enjeu est de les concilier dans un seul contrat, sans le rendre illisible.

La LPD : la loi fédérale suisse sur la protection des données. Elle s'applique à tous les clients privés.

Les lois cantonales : chaque canton a la sienne. C'est elle, et non la LPD, qui s'applique quand le client est une commune ou une administration cantonale. Elle est souvent plus exigeante (confidentialité renforcée, encadrement des transferts).

Face à ça, deux réflexes courants, mauvais l'un comme l'autre. Le premier : un contrat différent par type de client. Ingérable dès qu'on a quelques dizaines de clients. Le second : tout empiler dans un document unique qui prévoit chaque cas. Plus personne ne le lit, et il devient impossible à maintenir. Wedo voulait l'inverse : un seul contrat, sans avenant, compréhensible par ceux qui le signent.

L'approche YBCS

La valeur n'était pas dans la rédaction du DPA proprement dite, mais dans le travail en amont et dans les arbitrages d'écriture. Ce travail s'est fait en quatre temps.

D'abord, cartographier les exigences de chaque loi concernée. Identifier ce que ces lois partagent (un fond commun), ce qui est propre à chacune, et les points où elles divergent et qu'il faut trancher explicitement plutôt que laisser dans le flou.

Ensuite, réécrire le DPA en tenant toutes ces exigences à la fois. Pas une section par type de client. Pas un document qui dit « si vous êtes une entité publique, lisez ceci ». Un seul texte qui tient debout pour tous, avec les exigences cantonales intégrées là où elles s'imposent.

Troisième temps : la lisibilité comme objectif, pas comme bonus. Un DPA reste un document juridique. Mais il devait pouvoir être lu par le responsable informatique d'une commune ou le dirigeant d'une entreprise, pas seulement par leur juriste.

Enfin, réarticuler les trois documents. La déclaration de protection des données, recentrée sur le site web, ne couvre plus que l'information et le marketing. Le DPA encadre les données confiées par les clients. Les conditions générales fixent les règles d'utilisation. Plus de redoublement, plus de contradiction : chaque document renvoie aux autres proprement.

Résultat

Le corpus est cohérent : les trois documents se tiennent, sans contradiction à la marge. Surtout, il s'utilise tel quel. Wedo l'écrit dans son propre article : « plus besoin de proposer des avenants ou des adaptations spécifiques ».

Un même DPA couvre désormais la sous-traitance, les obligations de confidentialité, l'encadrement des transferts de données et la conduite à tenir en cas d'incident, pour un client privé comme pour une entité publique. Le cas d'un nouveau client est déjà prévu : Wedo n'a plus à rédiger un avenant à chaque contrat. La charge se traite une fois, en amont, au lieu de se répéter à chaque vente. Côté client, le contrat colle déjà à son cadre légal, loi cantonale comprise : rien à renégocier, pas de projet juridique à lancer pour adopter l'outil.

Ce qu'on en retient

Wedo est un exemple. La règle qui en ressort, elle, vaut pour toute organisation dont le corpus contractuel dérive.

Le bon moment pour refondre n'est pas une crise. C'est le moment où l'on commence à signer des avenants, ou à se dire « il faudrait clarifier ce point un jour ». Attendre la crise, c'est attendre trop.

Un corpus contractuel est un outil, pas juste un document juridique. Sa fonction est d'être lu et compris par ceux qui le signent. La lisibilité n'est pas accessoire : c'est elle qui fait que le contrat fait son travail.

Concilier plusieurs lois dans un seul document est possible. À condition de cartographier en amont, et d'accepter que le résultat ne soit pas un simple assemblage des clauses types de chaque loi. C'est précisément le travail d'un accompagnement juridique transdisciplinaire.

Trois questions sur votre propre corpus

Sans expertise juridique :

Combien d'avenants avez-vous signés ces douze derniers mois ? Trois ou plus, c'est peut-être le signe que votre contrat type ne suffit plus.
Vos documents (conditions générales, DPA, déclaration, mentions) se renvoient-ils proprement les uns aux autres, ou se redoublent-ils ? Le redoublement crée mécaniquement des incohérences avec le temps.
Le DPA que vous faites signer est-il compréhensible par la direction de vos clients, ou seulement par leur juriste ? Si seulement par leur juriste, c'est un frein commercial, pas une protection.

Aller plus loin : Votre corpus contractuel commence à dériver ? On regarde ensemble.

Vous aimerez aussi

Sur les mêmes thématiques que cet article.

Protection des données

Demande d'accès aux données : être prêt le jour où elle arrive

Un e-mail arrive : « Communiquez-moi toutes les données que vous détenez sur moi. » C'est un droit, et le délai de réponse court dès sa réception. Comment y répondre sans improviser ni refuser par réflexe, et en faire une formalité une fois la marche à suivre en place.

Protection des données

Votre site web collecte plus de données que vous ne pensez

Vous pensez avoir « juste un site vitrine ». Dès qu'un visiteur arrive, une dizaine de tiers reçoivent peut-être des données sur lui, sans que vous l'ayez décidé. Comment cartographier ce que votre site collecte vraiment, et reprendre la main avant la prochaine refonte.

Cas client, Protection des données

Conformité d'outils digitaux : le cas Executive Education HEC Lausanne

« Cet outil est-il conforme ? » est presque toujours la mauvaise question. Pour Executive Education HEC Lausanne, YBCS a analysé trois outils digitaux très différents en croisant les angles juridique, technique et organisationnel. Résultat : des verdicts opérationnels, des conditions d'usage explicites, et une relation qui se poursuit dans la durée. Récit et trois enseignements.