Comprendre,
savoir,
mieux décider.

Publiées en 2023 par l'Office fédéral de la cybersécurité (OFCS), ces normes définissent des mesures concrètes pour renforcer la résilience informatique des organisations suisses. Elles s'adressent aussi bien aux PME qu'aux institutions publiques, sans prérequis technique particulier. C'est le point de départ que nous recommandons à tout client qui entame une démarche de sécurisation. Télécharger le document NCSC →

Entrée en vigueur le 1er septembre 2023, la nouvelle ordonnance sur la protection des données modernise la protection des données en Suisse. Elle s'applique à toute organisation traitant des données personnelles de personnes physiques, sans seuil de taille. Elle impose des obligations d'information, de documentation des traitements et de notification en cas de violation. Si vous avez des données d'élèves, de clients ou de collaborateurs, vous êtes concerné. Lire le texte de loi →

Règlement européen en vigueur depuis mai 2018, le RGPD s'applique à toute organisation suisse qui propose des biens ou services à des résidents de l'UE, ou qui surveille leur comportement. En pratique, si vous avez des clients, élèves ou partenaires en Europe, vous êtes soumis au RGPD (en plus de la LPD). Les exigences sont similaires dans l'esprit, mais les sanctions potentielles sont sensiblement plus élevées. Lire le RGPD sur EUR-Lex →

Toute donnée personnelle transmise hors de Suisse ou de l'UE doit faire l'objet de garanties contractuelles et techniques appropriées. En pratique, si vous utilisez un outil cloud dont les serveurs sont aux États-Unis ou ailleurs, vous transférez des données (souvent sans le savoir). La LPD et le RGPD imposent que ces transferts soient documentés et que le destinataire offre un niveau de protection équivalent. C'est un point fréquemment négligé, y compris dans les établissements scolaires.

La Confédération pilote la numérisation dans l'éducation via le SEFRI. Cette stratégie couvre l'intégration du numérique dans les cursus, la formation des enseignants et l'infrastructure des établissements. Pour les directeurs scolaires, elle définit le cadre dans lequel s'inscrivent les décisions IT et parfois les cofinancements disponibles. Consulter la stratégie SEFRI →

La transformation numérique repose sur trois piliers indissociables : les outils (technologie), les processus (comment vous travaillez) et les personnes (compétences et culture). La plupart des transformations qui échouent ont misé uniquement sur les outils. Déployer un nouveau logiciel sans revoir les processus ni accompagner les équipes, c'est obtenir une adoption partielle et un retour sur investissement décevant.

Une stratégie IT alignée, c'est quand vos outils et votre infrastructure servent explicitement vos objectifs organisationnels et pas l'inverse. En pratique, beaucoup d'organisations ont une stratégie métier documentée et une IT qui "suit" sans direction claire. Les symptômes sont des investissements IT réactifs, des outils accumulés sans cohérence, une direction IT absente des décisions stratégiques. Un cadrage annuel entre direction et IT suffit souvent à corriger l'essentiel.

Une stratégie data, c'est savoir quelles données vous collectez, pourquoi, comment vous les utilisez pour décider, et comment vous les protégez. Sans cette clarté, les données s'accumulent sans valeur et/ou deviennent un risque. Pour une PME ou une école, cela commence simplement, avec un inventaire des données traitées, un responsable désigné, une politique de conservation et d'accès documentée.

C'est une bonne question. Car elle touche à la durabilité opérationnelle. Avez-vous les compétences internes, la documentation, les contrats et le budget pour maintenir ce que vous avez déployé dans 3 ou 5 ans ? Une infrastructure complexe sans documentation ni compétences internes est une dette technique. Les organisations qui sous-traitent sans supervision interne sont particulièrement exposées lors d'un changement de prestataire.

Savoir où sont vos données est la première étape de toute gouvernance. Beaucoup d'organisations ont des données réparties sans inventaire précis, avec des serveurs internes, cloud public, outils SaaS tiers, postes locaux. Cet inventaire est exigé par la LPD et le RGPD et il est indispensable pour gérer les risques réellement.

Un inventaire complet couvre matériels, logiciels, licences, services cloud et accès tiers. Sans lui, il est impossible de savoir ce qu'on doit protéger, ce qui est obsolète, ou ce qui est encore utilisé. C'est la base de tout audit de sécurité et souvent la révélation la plus surprenante pour les directions.

Un logiciel non maintenu ne reçoit plus de correctifs de sécurité. Chaque vulnérabilité découverte après sa date de fin de vie reste ouverte indéfiniment ! C'est une des premières choses que nous vérifions lors d'un audit. Windows 10, par exemple, a atteint sa fin de vie en octobre 2025. Un signal d'alerte concret pour beaucoup d'organisations encore en retard.

Des outils qui ne se parlent pas créent des silos. C'est-à-dire que les mêmes données sont saisies plusieurs fois, les erreurs se multiplient, les décisions peuvent être prises sur des informations partielles. La question n'est pas d'avoir peu d'outils, mais que les outils essentiels s'intègrent. Un audit de l'écosystème numérique révèle souvent des redondances coûteuses et des manques critiques.

Le vendor lock-in survient quand il devient difficile ou très coûteux de changer de fournisseur cloud, logiciel métier, ou prestataire IT. C'est un risque stratégique souvent sous-estimé. Si le fournisseur augmente ses prix, dégrade son service ou disparaît, vous n'avez pas de sortie facile. La bonne question à se poser est "Si je devais changer demain, combien de temps et d'argent cela prendrait-il ?".

Une dépendance totale à l'externe sans référent interne est un risque car vous ne pouvez pas piloter ce que vous ne comprenez pas. L'objectif n'est pas que tout le monde devienne technicien, mais qu'il y ait en interne quelqu'un capable de dialoguer avec les prestataires, de comprendre les enjeux et de prendre des décisions éclairées. Cette compétence de "pilotage" est souvent négligée.

La maturité numérique d'une organisation se mesure d'abord dans sa culture. Des équipes qui comprennent les enjeux, signalent les incidents, adoptent les nouveaux outils et questionnent les pratiques risquées valent mieux qu'un budget IT important sans implication humaine. Cela se construit par la formation, l'exemplarité de la direction et une communication transparente sur les décisions numériques.

Un outil adopté à 30 % est un projet raté même si la technologie est excellente. La conduite du changement commence bien avant le déploiement. Communiquer sur le pourquoi, impliquer les utilisateurs dans le choix, former sur le comment, recueillir les retours après. Les résistances viennent rarement de mauvaise volonté. Elles viennent d'un manque d'information et d'un sentiment de perte de contrôle.

Une charte numérique définit les règles d'usage des outils et données de l'organisation, notamment ce qui est permis, ce qui est interdit, les responsabilités de chacun. Elle doit être signée par tous les collaborateurs à l'onboarding. En cas d'incident, elle clarifie les responsabilités. En cas de contrôle RGPD ou LPD, elle démontre que l'organisation a pris des mesures organisationnelles.

L'onboarding numérique couvre la création des accès, la formation aux outils internes, la remise de la charte numérique et la désignation d'un référent pour les questions pratiques. Beaucoup d'organisations négligent cette étape et les nouveaux collaborateurs arrivent sans accès ou avec trop d'accès, sans formation, et apprennent "sur le tas". C'est un risque de sécurité important et un frein à la productivité.

WhatsApp est populaire, mais il n'est pas conçu pour les échanges professionnels sensibles ! Les messages sont liés à des comptes personnels, les données transitent par des serveurs Meta, et la frontière entre vie privée et vie professionnelle devient floue. En cas d'incident, de départ d'un collaborateur ou de contrôle RGPD/LPD, vous n'avez aucune maîtrise sur ces échanges. La règle de base est que toute information confidentielle, tout document interne, toute communication client doit transiter par un canal professionnel maîtrisé (messagerie d'entreprise, plateforme collaborative approuvée). Une politique claire sur les outils de communication autorisés évite la plupart de ces dérives.

Les données des mineurs bénéficient d'une protection renforcée dans la LPD et le RGPD. Concrètement, les outils numériques pédagogiques doivent garantir l'absence de profilage commercial, les données ne doivent pas être hébergées hors de Suisse sans garanties explicites, et les parents doivent pouvoir accéder aux données de leurs enfants sur demande. La conformité commence par l'inventaire des outils utilisés en classe.

La transformation numérique d'un établissement ne réussit pas sans les enseignants. Ils doivent non seulement maîtriser les outils, mais comprendre les enjeux pédagogiques, éthiques et de sécurité. Une formation annuelle courte (demi-journée) et ciblée sur les pratiques réelles de l'établissement est plus efficace qu'une formation générique longue.

Apprendre aux élèves à utiliser un logiciel ne suffit pas. La citoyenneté numérique couvre la compréhension des données personnelles, la reconnaissance des manipulations en ligne, la gestion de l'identité numérique et le sens critique face à l'information. Ces compétences s'acquièrent progressivement et nécessitent une approche cohérente à l'échelle de l'établissement.

Le BYOD soulève d'importantes questions de sécurité sur le réseau, la confidentialité et l'équité. Un réseau sans segmentation qui autorise les appareils personnels expose l'infrastructure interne. Une politique BYOD définit quels appareils peuvent se connecter, sur quel réseau, avec quelles restrictions et comment sont traités les incidents liés à ces appareils.

Beaucoup d'outils numériques éducatifs gratuits ne le sont pas parce qu'ils valorisent (monétisation) les données des utilisateurs. Pour des mineurs, c'est inacceptable. Avant d'adopter un outil pédagogique, trois questions à se poser. Où sont hébergées les données ? L'éditeur fait-il du profilage ? Les données sont-elles transmises à des tiers ? La LPD impose désormais cette diligence.

Le bien-être numérique des élèves est un enjeu pédagogique et de santé publique. Une politique cohérente couvre les règles d'utilisation des écrans en classe, les outils de déconnexion hors temps scolaire et l'éducation des parents. L'établissement a un rôle clair à jouer dans la définition de normes saines, sans pouvoir tout contrôler.