Droits des personnes concernées sous la nLPD : le guide complet pour les PME suisses

Lorsqu'un client, un collaborateur ou même un simple visiteur de votre site web vous envoie un courriel demandant « Quelles données possédez-vous à mon sujet ? », votre réponse ne relève pas seulement de la bonne pratique — c'est une obligation légale en droit suisse. Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la Protection des Données (nLPD, connue sous le nom de nDSG en allemand et nFADP en anglais) a considérablement renforcé les droits des personnes concernées, et les PME suisses sont tenues de traiter ces demandes avec diligence, précision et gratuité.

Pourtant, la réalité du terrain est préoccupante. La plupart des petites et moyennes entreprises en Suisse n'ont jamais reçu de demande d'accès formelle, ne disposent d'aucune procédure documentée et ne sauraient pas par où commencer si une telle requête arrivait demain. Ce guide change la donne. Il détaille chaque droit des personnes concernées établi par la nLPD, explique les étapes pratiques pour traiter les demandes, met en lumière les exceptions qui vous permettent de refuser lorsque cela est justifié, et compare le cadre suisse avec le RGPD pour que vous sachiez exactement où vous en êtes.

Pourquoi les droits des personnes concernées importent pour votre entreprise

Les droits des personnes concernées ne sont pas un concept juridique abstrait réservé aux multinationales. Ils constituent le mécanisme par lequel toute personne peut demander des comptes à votre entreprise sur la manière dont vous traitez ses données personnelles. Sous la nLPD, ces droits s'appliquent indépendamment de la taille de votre entreprise, du volume de données que vous traitez ou de votre activité exclusivement nationale.

Le Préposé fédéral à la Protection des Données et à la Transparence (PFPDT) — l'autorité de surveillance suisse (EDÖB en allemand, FDPIC en anglais) — a souligné à plusieurs reprises que le respect des droits des personnes concernées constitue un domaine prioritaire. Les lignes directrices publiées sur edoeb.admin.ch précisent clairement que même les PME doivent pouvoir démontrer qu'elles sont en mesure de répondre à ces demandes dans les délais légaux.

Les enjeux pratiques sont significatifs :

• Sanctions : le non-respect des obligations d'information peut déclencher des poursuites en vertu de l'art. 60 nLPD, avec des amendes pouvant atteindre CHF 250 000 contre la personne physique responsable
• Dommage réputationnel : une demande d'accès mal gérée peut déboucher sur une enquête du PFPDT et un rapport public
• Confiance client : le traitement correct des demandes de données signale le professionnalisme et renforce la confiance
• Avantage concurrentiel : dans les relations B2B, la démonstration d'une gouvernance des données mature influence de plus en plus la sélection des fournisseurs

Le droit d'accès (art. 25 nLPD)

Le droit d'accès est la pierre angulaire des droits des personnes concernées sous la nLPD. Il permet à toute personne de demander à un responsable du traitement si des données personnelles la concernant sont traitées et, le cas échéant, de recevoir un ensemble complet d'informations sur ce traitement.

Ce que la personne concernée peut demander

En vertu de l'art. 25 al. 2 nLPD, la personne concernée a le droit de recevoir :

1. L'identité et les coordonnées du responsable du traitement
2. Les données personnelles traitées en tant que telles (les données effectives, pas un simple résumé)
3. La finalité du traitement
4. La durée de conservation des données ou les critères utilisés pour la déterminer
5. Les informations disponibles sur l'origine des données (si elles n'ont pas été collectées directement auprès de la personne concernée)
6. Toute décision individuelle automatisée (art. 21 nLPD), y compris la logique sous-jacente
7. Les destinataires ou catégories de destinataires auxquels les données sont communiquées
8. Le cas échéant, les informations relatives aux transferts transfrontières, y compris les pays de destination et les garanties mises en place

Il s'agit d'une obligation de communication plus large que ce que beaucoup de PME réalisent. Il ne suffit pas de confirmer « oui, nous avons votre adresse e-mail ». Vous devez fournir toutes les données que vous détenez, expliquer pourquoi vous les détenez, indiquer qui y a eu accès et préciser combien de temps vous les conserverez.

Le délai de 30 jours

Le responsable du traitement doit répondre dans un délai de 30 jours à compter de la réception de la demande d'accès (art. 25 al. 6 nLPD). Ce délai court dès le jour de réception de la demande, et non à partir du jour où vous en accusez réception ou vérifiez l'identité du demandeur.

Si la demande est particulièrement complexe ou porte sur un très grand volume de données, vous pouvez prolonger ce délai. Cependant, vous devez :

• Informer la personne concernée de la prolongation dans les 30 jours initiaux
• Fournir les raisons spécifiques du retard
• Indiquer la date de réponse prévue

En pratique, le délai de 30 jours passe vite. Si vous ne disposez d'aucune procédure, identifier toutes les données pertinentes dans les boîtes mail, les systèmes CRM, les plateformes d'analyse, les dossiers papier et les sauvegardes en un mois représente un défi sérieux. C'est là qu'un inventaire systématique des données — tel que celui géré via le registre des traitements de PrivaGuard — devient précieux.

Forme et remise de la réponse

Les informations doivent être fournies par écrit (y compris par voie électronique), sous une forme précise, transparente, compréhensible et facilement accessible (art. 25 al. 5). La nLPD ne prescrit pas de format spécifique, mais les bonnes pratiques suggèrent :

• Une lettre ou un PDF structuré couvrant chaque catégorie d'information
• Une annexe contenant les données effectives (exports de bases de données, copies de correspondance, etc.)
• Un langage clair, évitant le jargon juridique inutile
• Une transmission par canal sécurisé (courriel chiffré, envoi recommandé ou lien de téléchargement sécurisé)

Gratuité — avec exceptions

La communication des renseignements est gratuite par principe (art. 25 al. 6 nLPD). Toutefois, l'ordonnance d'exécution du Conseil fédéral (l'OPDo, ou DSV en allemand) permet au responsable de facturer une participation raisonnable aux frais dans deux situations spécifiques :

1. Effort excessif : lorsque la demande requiert un effort disproportionné, par exemple parce que la personne concernée formule des demandes répétées dans un court laps de temps
2. Informations déjà communiquées : lorsque les mêmes renseignements ont été récemment transmis à la personne concernée

Le montant doit être proportionné aux frais administratifs et communiqué au demandeur avant la transmission des informations. Le demandeur peut alors choisir de retirer ou de restreindre sa demande.

Important : la facturation doit rester l'exception et non la règle. Le PFPDT a indiqué que les responsables qui facturent systématiquement les demandes d'accès feront l'objet d'un examen attentif.

Le droit à la portabilité des données (art. 28 nLPD)

Le droit à la portabilité des données est une nouveauté de la nLPD révisée, reflet de la reconnaissance croissante que les données personnelles ne doivent pas être enfermées dans des systèmes propriétaires.

Ce que la portabilité signifie en pratique

En vertu de l'art. 28 nLPD, toute personne concernée peut demander que ses données personnelles lui soient remises dans un format électronique usuel. Si le responsable traite les données de manière automatisée, la personne concernée peut également demander que les données soient transmises directement à un autre responsable, pour autant que cela soit techniquement possible et ne requière pas un effort disproportionné.

Les éléments clés :

• Format lisible par machine : les données doivent être fournies dans un format structuré et couramment utilisé (p. ex. CSV, JSON, XML)
• Transfert direct : lorsque cela est techniquement faisable, la personne concernée peut demander la transmission à un nouveau prestataire
• Périmètre : uniquement les données fournies par la personne concernée ou générées par son utilisation du service (pas les données déduites ni les résultats analytiques)
• Gratuité : le même principe de gratuité s'applique

Exemple pratique

Un client changeant de plateforme de comptabilité cloud suisse peut demander que son historique de transactions, ses fiches contacts et ses documents téléversés soient exportés au format CSV et soit téléchargés, soit transmis directement au nouveau prestataire. La plateforme d'origine ne peut pas refuser au motif que cela bénéficierait à un concurrent.

Comparaison avec la portabilité RGPD (art. 20 RGPD)

Le droit à la portabilité du RGPD en vertu de l'art. 20 est limité aux données traitées sur la base du consentement ou d'un contrat et réalisées par des moyens automatisés. Le droit de portabilité de la nLPD est plus large à un égard — il n'est pas restreint à des bases juridiques spécifiques — mais plus étroit à un autre, car il ne s'applique que lorsque le responsable traite les données de manière automatisée et que le transfert est techniquement faisable sans effort disproportionné.

Le droit à la rectification et à l'effacement

Bien que la nLPD ne crée pas un « droit à la rectification » ou un « droit à l'effacement » autonome de la même manière explicite que les articles 16 et 17 du RGPD, les mêmes résultats sont atteints par les principes généraux de traitement de la loi.

Rectification

En vertu de l'art. 6 al. 5 nLPD, quiconque traite des données personnelles doit s'assurer que les données sont exactes. Si la personne concernée démontre que ses données personnelles sont inexactes, le responsable doit les rectifier. La personne concernée peut faire valoir ce droit conjointement avec le droit d'accès — une fois qu'elle a pris connaissance des données détenues, elle peut en contester l'exactitude.

Conseil pratique : lorsqu'une personne concernée demande une rectification, documentez les données d'origine, la correction demandée, la date de la modification et les preuves fournies. Cette piste d'audit vous protège en cas de contestation ultérieure.

Effacement

Le droit de demander l'effacement découle des principes de limitation de la finalité et de proportionnalité (art. 6 nLPD). Lorsque les données personnelles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées, ou lorsque la personne concernée retire son consentement et qu'aucune autre base juridique ne s'applique, le responsable doit supprimer les données.

Limitations importantes : les demandes d'effacement ne priment pas sur les obligations légales de conservation. Le droit commercial suisse impose aux entreprises de conserver les documents comptables pendant 10 ans (art. 958f CO), et le droit du travail exige la conservation de certains dossiers du personnel. Lorsque de telles obligations existent, le responsable doit informer la personne concernée que les données ne peuvent être supprimées mais que leur traitement sera limité à la finalité légalement requise.

Le droit de s'opposer aux décisions individuelles automatisées (art. 21 nLPD)

La nLPD traite de la prise de décision individuelle automatisée à l'art. 21, qui accorde aux personnes concernées le droit d'être informées lorsqu'une décision les affectant de manière significative est prise exclusivement par des moyens automatisés, et le droit de demander que la décision soit réexaminée par une personne physique.

Cela concerne les PME qui utilisent :

• L'évaluation automatisée de la solvabilité ou des risques
• Le tri algorithmique des candidatures ou des CV
• La souscription d'assurance automatisée
• La catégorisation de clients par intelligence artificielle

Si votre entreprise prend des décisions ayant des effets juridiques ou significativement similaires sur des personnes par des processus exclusivement automatisés, vous devez :

1. Informer la personne concernée du caractère automatisé de la décision
2. Lui permettre de faire valoir son point de vue
3. Offrir la possibilité d'un réexamen humain

Comparaison avec l'art. 22 RGPD

L'art. 22 du RGPD crée une interdiction générale des décisions individuelles automatisées ayant des effets juridiques, sous réserve d'exceptions spécifiques. La nLPD adopte une approche plus légère — elle n'interdit pas ce type de traitement mais exige la transparence et la possibilité d'une intervention humaine.

Restrictions et exceptions (art. 26 nLPD)

Toute demande de la personne concernée ne doit pas nécessairement être satisfaite intégralement. L'art. 26 nLPD autorise le responsable à restreindre, différer ou refuser la communication de renseignements dans des circonstances spécifiques.

Motifs de restriction

Le responsable peut restreindre le droit d'accès lorsque :

1. Une loi formelle l'exige — par exemple, la législation anti-blanchiment peut empêcher la divulgation de certaines activités de surveillance
2. Des intérêts prépondérants de tiers nécessitent protection — par exemple, lorsque la divulgation révélerait des informations sur une autre personne identifiable
3. Les intérêts propres du responsable le justifient — mais uniquement si les données ne sont pas communiquées à des tiers. C'est une limitation significative : vous ne pouvez pas invoquer votre propre intérêt comme bouclier si vous avez déjà partagé les données
4. Un intérêt public l'exige — par exemple, dans le contexte d'une enquête officielle en cours

Comment appliquer les restrictions en pratique

Si vous invoquez une restriction au titre de l'art. 26, vous devez :

• Documenter votre raisonnement en détail
• Informer la personne concernée que sa demande a été restreinte et les raisons de cette restriction (sauf si la communication des motifs irait à l'encontre du but de la restriction)
• Fournir les informations qui peuvent être communiquées, même si d'autres parties sont restreintes
• Examiner si une communication partielle est possible

Point essentiel : la charge de la preuve incombe au responsable. En cas d'enquête du PFPDT ou de contestation judiciaire, vous devez pouvoir démontrer que la restriction était justifiée, nécessaire et proportionnée.

Le rôle du PFPDT

Si une personne concernée conteste une restriction, elle peut déposer une plainte auprès du PFPDT. Le PFPDT a le pouvoir d'enquêter, de servir de médiateur, d'émettre des recommandations et — depuis la révision de 2023 — de rendre des décisions contraignantes ordonnant au responsable de se conformer (art. 51 nLPD). C'est un changement significatif par rapport à l'ancien régime, où le PFPDT ne pouvait émettre que des recommandations non contraignantes.

Comparaison avec les droits du RGPD (art. 15 à 22 RGPD)

Les PME suisses qui servent également des clients européens ou emploient du personnel basé dans l'UE doivent comprendre comment les droits de la nLPD se comparent à leurs équivalents sous le RGPD. Voici une comparaison pratique :

Implication pratique : si vous êtes conforme au RGPD, vous l'êtes largement aussi sous la nLPD en matière de droits des personnes concernées — mais pas entièrement. La nLPD a ses spécificités, notamment en ce qui concerne les motifs de restriction et le régime de sanctions pénales.

Procédure pratique de traitement pour les PME suisses

Le traitement des demandes des personnes concernées ne devrait pas être improvisé. Une procédure documentée et reproductible protège votre entreprise juridiquement et garantit des réponses cohérentes. Voici un cadre étape par étape :

Étape 1 : réceptionner et enregistrer la demande

• Désigner un point de contact unique (adresse e-mail, formulaire web) pour les demandes des personnes concernées
• Enregistrer la demande immédiatement avec la date de réception, l'identité du demandeur et la nature de la requête
• Démarrer le compteur de 30 jours

Étape 2 : vérifier l'identité du demandeur

Avant de communiquer des données personnelles, vous devez vérifier que la personne qui formule la demande est bien celle qu'elle prétend être. Transmettre des données à la mauvaise personne constitue en soi une violation de la protection des données.

Les méthodes de vérification acceptables comprennent :

• Pièce d'identité officielle (passeport, carte d'identité) — caviardez les informations inutiles telles que la photo ou le numéro d'identité si non nécessaire
• Comparaison avec les données en dossier — vérifiez que les informations du demandeur correspondent à celles de votre système (e-mail, adresse, date de naissance)
• Identification électronique — le cas échéant, via SwissID ou des services similaires
• Vérification à deux facteurs — pour les clients existants, confirmez par un canal de communication connu

Important : la méthode de vérification doit être proportionnée à la sensibilité des données. Pour un abonné à une lettre d'information demandant ses préférences, un courriel de confirmation peut suffire. Pour un patient demandant ses dossiers médicaux, une pièce d'identité officielle est appropriée.

Étape 3 : localiser toutes les données pertinentes

C'est là que la plupart des PME rencontrent des difficultés. Les données personnelles peuvent être dispersées dans :

• Les bases de données CRM et clients
• Les boîtes mail et archives
• Les systèmes RH et de paie
• Les outils d'analyse web (Google Analytics, etc.)
• Les registres de consentement aux cookies
• Les dossiers papier et archives physiques
• Les systèmes de sauvegarde
• Les sous-traitants (fournisseurs cloud, outils de marketing par e-mail)

Un registre des traitements complet — que la nLPD exige déjà pour la plupart des entreprises — est essentiel ici. Si vous en disposez, répondre aux demandes d'accès revient à consulter le registre pour identifier où résident les données. Si vous n'en avez pas, envisagez d'en créer un avec un outil comme le registre des traitements de PrivaGuard, qui cartographie vos activités de traitement et vos flux de données de manière systématique.

Étape 4 : compiler et examiner la réponse

• Rassembler toutes les données personnelles relatives au demandeur
• Les organiser par catégorie (données d'identité, données de contact, données financières, données d'utilisation, etc.)
• Vérifier les données pour s'assurer qu'aucune donnée de tiers n'est accidentellement incluse
• Appliquer toute restriction légitime au titre de l'art. 26 (documenter votre raisonnement)
• Préparer la réponse dans un format clair et structuré

Étape 5 : transmettre la réponse

• Envoyer la réponse dans les 30 jours
• Utiliser une méthode de transmission sécurisée adaptée à la sensibilité des données
• Conserver une copie de la réponse et de la confirmation d'envoi pour vos dossiers
• Si vous avez besoin de plus de temps, communiquer la prolongation dans le délai de 30 jours

Étape 6 : suivi si nécessaire

• Si la personne concernée demande une rectification ou un effacement à la suite de sa demande d'accès, traiter cette requête comme une action distincte avec sa propre documentation
• Mettre à jour votre registre des traitements pour refléter les modifications
• Si les données ont été communiquées à des tiers, les informer des corrections ou suppressions

Modèle de lettre de réponse

Pour vous aider à démarrer, voici une structure pour une réponse à une demande d'accès :

Objet : Réponse à votre demande d'accès du [date]

Madame, Monsieur [Nom],

Nous accusons réception de votre demande du [date] formulée en vertu de l'art. 25 de la Loi fédérale sur la Protection des Données (nLPD).

Suite à la vérification d'identité effectuée le [date], nous vous communiquons les informations suivantes :

1. Responsable du traitement : [Raison sociale, adresse, coordonnées]

2. Données personnelles que nous traitons vous concernant :

• [Catégorie] : [Données spécifiques]
• [Catégorie] : [Données spécifiques]

3. Finalités du traitement : [Lister les finalités]

4. Durées de conservation : [Préciser par catégorie]

5. Destinataires : [Lister les destinataires ou catégories]

6. Transferts transfrontières : [Pays et garanties, ou « Aucun »]

7. Origine des données : [Mode de collecte des données]

8. Décisions automatisées : [Oui/Non — si oui, expliquer la logique]

Si vous souhaitez exercer d'autres droits tels que la rectification ou l'effacement de vos données, veuillez nous contacter à l'adresse ci-dessus.

Veuillez agréer, Madame, Monsieur, nos salutations distinguées, [Signature]

Vérification d'identité : les bonnes pratiques

La vérification d'identité mérite une attention particulière car une erreur dans un sens ou dans l'autre crée des risques :

• Vérification insuffisante : communiquer des données personnelles à un imposteur constitue une violation de données
• Vérification excessive : exiger une documentation disproportionnée crée des obstacles inutiles et peut elle-même violer le principe de minimisation des données

L'OPDo (ordonnance d'exécution) prévoit que le responsable doit prendre des mesures appropriées pour vérifier l'identité. Le niveau d'exigence varie selon le contexte :

Conseil : documentez votre politique de vérification et appliquez-la de manière cohérente. Une vérification incohérente invite aux plaintes.

Sanctions en cas de non-conformité (art. 60 nLPD)

Le régime de sanctions de la nLPD est pénal, non administratif. Le non-respect des droits des personnes concernées relève de l'art. 60 nLPD (violation des obligations d'information), qui prévoit des amendes pouvant atteindre CHF 250 000 contre la personne physique responsable — pas l'entreprise.

Points clés sur l'application :

• Le PFPDT ne peut pas infliger d'amendes directement — il enquête, émet des recommandations et des décisions contraignantes, et peut déposer plainte pénale auprès du Ministère public
• Le Ministère public mène la procédure pénale et prononce les sanctions
• Les condamnations figurent au casier judiciaire de la personne concernée
• Le délai de prescription est de 3 ans à compter de la commission de l'infraction (art. 66 nLPD)
• Les violations intentionnelles sont requises pour la poursuite pénale ; les violations par négligence ne sont pas punissables sous le régime actuel

Pour une analyse détaillée du régime de sanctions, consultez notre guide complet sur les sanctions nLPD et la responsabilité personnelle.

Même en dehors du contexte pénal, la non-conformité comporte des risques pratiques :

• Les enquêtes du PFPDT peuvent être chronophages et perturbatrices
• Les décisions contraignantes peuvent exiger des mesures correctives coûteuses
• Les conséquences réputationnelles dans un marché de plus en plus sensibilisé aux données
• La perte de confiance des clients, particulièrement dans les secteurs comme la santé, la finance et les services juridiques

Erreurs courantes et bonnes pratiques

Erreur 1 : ignorer les demandes ou les traiter comme des réclamations

Une demande d'accès constitue une obligation légale, pas une demande au service client. Ne pas répondre dans les 30 jours — ou répondre par un vague « nous allons examiner la question » — expose votre entreprise à des mesures d'exécution.

Bonne pratique : traitez chaque demande d'accès comme une affaire juridique formelle. Enregistrez-la, attribuez-la à une personne responsable et suivez le délai de 30 jours.

Erreur 2 : réponses incomplètes

Ne fournir que les données de votre base de données principale tout en omettant les correspondances par e-mail, les données d'analyse ou les données détenues par vos sous-traitants est un oubli courant et dangereux.

Bonne pratique : utilisez votre registre des traitements pour identifier tous les emplacements où des données personnelles peuvent résider. Si vous n'avez pas de registre, c'est l'argument le plus fort pour en créer un — des outils comme PrivaGuard rendent ce processus simple.

Erreur 3 : s'appuyer excessivement sur les restrictions

Certaines entreprises invoquent systématiquement les « intérêts prépondérants » pour éviter de communiquer des données. Les restrictions de l'art. 26 sont censées être l'exception et non la règle, et doivent être justifiées au cas par cas.

Bonne pratique : n'appliquez les restrictions que lorsqu'elles sont véritablement nécessaires, documentez votre raisonnement de manière approfondie et fournissez toujours les données pouvant être communiquées même lorsque d'autres parties sont restreintes.

Erreur 4 : absence de vérification d'identité

Envoyer des données personnelles à une personne dont l'identité n'a pas été vérifiée constitue une violation de données. C'est également une violation de l'obligation de sécurité du responsable en vertu de l'art. 8 nLPD.

Bonne pratique : mettez en place une procédure de vérification proportionnée et appliquez-la de manière cohérente à chaque demande.

Erreur 5 : facturer par défaut

Certaines entreprises ajoutent des « frais de traitement » à chaque demande d'accès pour tenter de les décourager. Cela viole directement le principe de gratuité.

Bonne pratique : fournissez les informations gratuitement. N'envisagez une facturation que lorsque la demande est véritablement excessive ou manifestement infondée, et communiquez toujours le montant avant le traitement de la demande.

Erreur 6 : absence de documentation interne

En cas d'enquête du PFPDT, votre capacité à démontrer votre conformité dépend de vos dossiers. « Nous avons traité la demande oralement » n'est pas une position défendable.

Bonne pratique : tenez un registre de toutes les demandes de personnes concernées, incluant la date de réception, la méthode de vérification utilisée, la date de réponse et une copie de la réponse. Le journal d'audit de consentement de PrivaGuard peut aider à suivre ces interactions de manière systématique.

Erreur 7 : oublier les sous-traitants

Si vous utilisez des services cloud, des outils SaaS ou des prestataires externes qui traitent des données personnelles pour votre compte, ils peuvent détenir des données pertinentes pour la demande d'accès. Vous restez le responsable du traitement et êtes responsable de la réponse complète.

Bonne pratique : incluez vos sous-traitants dans le processus de collecte des données. Assurez-vous que vos contrats de sous-traitance (DPA) incluent des dispositions exigeant des sous-traitants qu'ils vous assistent dans le traitement des demandes des personnes concernées dans un délai vous permettant de respecter le délai de 30 jours.

Construire un cadre de conformité durable

Le traitement des demandes des personnes concernées ne devrait pas être un exercice de gestion de crise. Il devrait faire partie de vos opérations courantes, soutenu par :

1. Un registre des traitements complet qui cartographie où résident les données personnelles dans votre organisation — c'est le fondement de tout le reste
2. Une procédure documentée de traitement des demandes avec des responsabilités claires, des délais et des voies d'escalade
3. Une politique de vérification d'identité proportionnée et appliquée de manière cohérente
4. Des modèles de lettres de réponse adaptés aux différents types de demandes
5. La formation des collaborateurs susceptibles de recevoir ou traiter des demandes de personnes concernées
6. Des révisions régulières pour s'assurer que les procédures restent à jour à mesure que votre entreprise et vos activités de traitement évoluent

PrivaGuard fournit aux PME suisses les outils pour construire ce cadre efficacement — du registre des traitements requis par l'art. 12 nLPD à la gestion du consentement et à la génération de politiques de confidentialité. La plateforme est conçue spécifiquement pour le droit suisse, hébergée en Suisse, et pensée pour rendre la conformité pratique plutôt que théorique.

Conclusion

Les droits des personnes concernées sous la nLPD ne sont pas optionnels et ne constituent pas exclusivement une préoccupation pour les grandes entreprises. Chaque entreprise suisse qui traite des données personnelles — c'est-à-dire concrètement chaque entreprise suisse — doit être préparée à recevoir, vérifier, traiter et répondre à ces demandes dans les délais légaux.

La bonne nouvelle est que le cadre nLPD est raisonnable. Le délai de 30 jours est gérable avec une préparation adéquate. Les restrictions de l'art. 26 offrent une protection réelle contre les demandes abusives. Le principe de gratuité comporte des exceptions sensées. Et le PFPDT a indiqué sa volonté de travailler de manière constructive avec les PME faisant preuve de bonne foi.

La clé est la préparation. Attendre de recevoir votre première demande d'accès pour définir votre processus est une recette pour la non-conformité. Construire votre cadre maintenant — avec un registre des traitements approprié, des procédures documentées et les bons outils — signifie que vous pourrez répondre avec assurance, rapidité et conformité le moment venu.

Pour le texte intégral de la nLPD, consultez la publication de la Chancellerie fédérale sur fedlex.admin.ch. Pour des orientations pratiques et des modèles, le site web du PFPDT est votre référence principale.