Depuis l'entrée en vigueur de la nouvelle Loi fédérale sur la protection des données (nLPD) le 1er septembre 2023, de nombreuses PME suisses se retrouvent face à une double obligation : respecter la loi suisse et, si elles traitent des données de résidents européens, le Règlement général sur la protection des données (RGPD) de l'UE. Ces deux textes partagent les mêmes ambitions — protéger les données personnelles — mais diffèrent sur des points essentiels que chaque dirigeant ou responsable de PME doit maîtriser.
Ce guide pratique vous présente les 10 différences les plus importantes entre la nLPD suisse et le RGPD européen, avec les implications concrètes pour votre entreprise.
Tableau comparatif rapide
| Critère | nLPD (Suisse) | RGPD (UE) |
|---|---|---|
| Champ d'application | Personnes physiques uniquement (depuis la révision 2023) | Personnes physiques uniquement |
| Amendes | Jusqu'à CHF 250 000 (pénales, personne physique) | Jusqu'à € 20 millions ou 4 % CA mondial (administratives, entreprise) |
| DPO obligatoire | Non (recommandé) | Oui dans certains cas |
| Base légale par défaut | Intérêt prépondérant | Consentement / intérêt légitime |
| Notification de violation | 72h si risque élevé | 72h si risque élevé pour les droits et libertés des personnes |
| Registre de traitement | Toutes entreprises (sauf exception) | Entreprises > 250 employés ou traitement à risque |
| Autorité de surveillance | PFPDT | Autorité nationale de chaque État membre |
| Transferts hors Suisse | Décision d'adéquation PFPDT | Décision d'adéquation CE |
| Délégué à la protection des données | Conseillé (Art. 10 nLPD) | Obligatoire (Art. 37 RGPD) dans certains cas |
| Données sensibles | Liste plus étendue (génétiques, biométriques) | Liste similaire mais différente |
1. Le champ d'application personnel : alignement avec le RGPD
nLPD : Depuis la révision entrée en vigueur le 1er septembre 2023, la loi suisse ne protège plus que les personnes physiques. L'ancienne LPD couvrait également les personnes morales — cette particularité helvétique a été abandonnée pour s'aligner sur les standards européens.
RGPD : Le règlement européen ne concerne que les données des personnes physiques. Les informations sur une SARL ou une SA ne sont pas couvertes.
Implication pratique : Les deux lois sont désormais alignées sur ce point. Les données de contact B2B relatives à des personnes physiques (p. ex. interlocuteurs au sein d'entreprises) restent protégées. Les données purement commerciales (raisons sociales, inscriptions au registre du commerce) ne relèvent plus de la nLPD.
2. Le régime des sanctions : pénal vs administratif
C'est l'une des différences les plus importantes — et souvent mal comprise.
nLPD : Les sanctions sont de nature pénale, jusqu'à CHF 250 000 d'amende. Elles visent les personnes physiques responsables (dirigeants, responsables informatiques), pas l'entreprise en tant que telle. Une poursuite pénale suppose une plainte ou une action du Préposé fédéral à la protection des données (PFPDT).
RGPD : Les amendes sont administratives, jusqu'à € 20 millions ou 4 % du chiffre d'affaires mondial annuel. Elles frappent l'entreprise directement. Les autorités de contrôle peuvent les prononcer d'office.
Implication pratique : En Suisse, le risque pèse personnellement sur les dirigeants. En cas de litige avec un client ou partenaire européen, c'est une amende d'entreprise potentiellement massive qui est en jeu. Les deux risques coexistent si vous avez des clients UE.
3. Le délégué à la protection des données (DPD / DPO)
nLPD (Art. 10) : La désignation d'un conseiller à la protection des données est facultative mais recommandée. Si vous en désignez un, il bénéficie d'une protection contre le licenciement et doit être indépendant.
RGPD (Art. 37) : Le DPO est obligatoire pour les autorités publiques, les entreprises dont le traitement principal requiert un suivi régulier à grande échelle, et celles traitant des données sensibles à grande échelle.
Implication pratique : De nombreuses PME suisses ne sont pas tenues d'avoir un DPO au sens du RGPD. Cependant, nommer un responsable interne de la conformité reste une bonne pratique et peut éviter des sanctions en cas d'incident.
4. Les bases légales du traitement
nLPD : Le traitement est en principe licite s'il n'est pas contraire aux principes généraux (Art. 6). L'intérêt prépondérant du responsable suffit dans de nombreux cas. Le consentement n'est pas systématiquement requis.
RGPD (Art. 6) : Six bases légales explicites, dont le consentement, l'exécution d'un contrat, l'intérêt légitime et l'obligation légale. Chaque traitement doit s'appuyer sur l'une d'elles et être documenté.
Implication pratique : La nLPD est légèrement plus souple sur la justification des traitements courants. Toutefois, si vous ciblez des utilisateurs de l'UE, vous devez documenter une base légale RGPD pour chaque traitement — ce qui impose une rigueur accrue.
5. La notification des violations de données
nLPD (Art. 24) : Vous devez notifier le PFPDT dans les meilleurs délais en cas de violation susceptible d'entraîner un risque élevé pour les personnes concernées. La notification aux individus concernés n'est requise que si nécessaire pour leur protection.
RGPD (Art. 33-34) : Toute violation probable doit être notifiée à l'autorité compétente dans les 72 heures, sauf si elle est «peu susceptible d'engendrer un risque». Les personnes concernées doivent être informées directement en cas de risque élevé.
Implication pratique : Le RGPD est plus contraignant avec son délai fixe de 72 heures. La nLPD laisse davantage de latitude sur le moment mais exige quand même une réaction rapide. Dans tous les cas, documentez immédiatement tout incident et préparez un plan de réponse.
6. Le champ d'application territorial
nLPD : S'applique aux entreprises établies en Suisse ainsi qu'aux entreprises étrangères dont le traitement déploie ses effets en Suisse (principe d'effet).
RGPD : S'applique à toute entreprise ciblant des résidents de l'UE, quelle que soit la localisation de l'entreprise. Si votre site web propose des biens ou services à des Allemands ou des Français, le RGPD s'applique.
Implication pratique : Une PME zurichoise dont le site web est en anglais et accepte des clients français est soumise aux deux lois simultanément. Une PME 100 % suisse sans activité transfrontalière ne doit se conformer qu'à la nLPD.
7. Les droits des personnes concernées
Les deux lois reconnaissent des droits similaires (accès, rectification, suppression, portabilité), mais avec des nuances :
nLPD (Art. 25) : Droit à l'information renforcé dès la collecte. Le droit d'accès peut être exercé gratuitement sauf usage abusif. Le droit à la portabilité existe mais est moins détaillé.
RGPD (Art. 15-22) : Droits très détaillés, délai de réponse fixé à 1 mois (prolongeable à 3 mois). Droit à la portabilité dans un format structuré et lisible par machine. Droit d'opposition explicite au profilage.
Implication pratique : Mettez en place une procédure interne pour traiter les demandes d'exercice des droits. Sous RGPD, vous avez une obligation de résultat dans le délai d'un mois. Prévoyez un registre des demandes reçues et des réponses fournies.
8. Les transferts internationaux de données
nLPD : Le PFPDT publie une liste des pays offrant une protection adéquate. En dehors de cette liste, des garanties appropriées (clauses contractuelles types suisses, BCR) sont nécessaires.
RGPD : La Commission européenne publie sa propre liste des pays adéquats. La Suisse figure sur cette liste côté UE, mais pas forcément l'inverse. Les clauses contractuelles types (CCT) de l'UE sont fréquemment utilisées.
Implication pratique : Si vous transférez des données vers les États-Unis, vous devez vérifier les exigences à la fois du PFPDT et de la Commission européenne. Un accord avec un sous-traitant américain doit contenir des garanties conformes aux deux régimes.
9. Le registre des activités de traitement
nLPD (Art. 12) : Toutes les entreprises sont en principe tenues de tenir un registre des activités de traitement, sauf les entreprises de moins de 250 collaborateurs dont les traitements ne comportent pas de risque élevé.
RGPD (Art. 30) : Obligation pour les entreprises de plus de 250 employés, sauf si les traitements présentent des risques élevés, concernent des données sensibles ou sont réguliers.
Implication pratique : La nLPD est potentiellement plus exigeante pour les petites structures. Une PME de 10 employés traitant uniquement des données peu sensibles peut quand même être soumise à l'obligation de registre en Suisse. Adoptez un registre simple mais complet dès le départ.
10. Les autorités de surveillance
nLPD : Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l'unique autorité compétente pour la Suisse. Il publie des recommandations, peut mener des enquêtes et faire des recommandations contraignantes.
RGPD : Chaque État membre de l'UE dispose de sa propre autorité (CNIL en France, BfDI en Allemagne, etc.). Le mécanisme du « guichet unique » permet de traiter certains cas transfrontaliers via l'autorité du pays d'établissement principal.
Implication pratique : Vous pouvez avoir à interagir avec plusieurs autorités si vous avez des activités dans différents pays de l'UE. En Suisse, un seul interlocuteur : le PFPDT. Tenez-vous informé de ses lignes directrices sur edoeb.admin.ch.
Quand les deux lois s'appliquent simultanément
Si votre PME suisse propose des biens ou services à des résidents de l'UE, ou surveille leur comportement en ligne (analytics, cookies de ciblage), vous êtes soumis aux deux régimes.
La règle pratique : appliquer le standard le plus élevé. Dans la plupart des cas, le RGPD est plus contraignant (délais de réponse, DPO, amendes). Cependant, certaines exigences de la nLPD — comme la responsabilité pénale personnelle des dirigeants ou le registre pour toutes les tailles d'entreprises — sont proprement suisses.
Checklist pour les entreprises doublement exposées :
- Politique de confidentialité bilinguiste (ou adaptée par marché) couvrant les deux lois
- Registre des traitements complet (Art. 12 nLPD + Art. 30 RGPD)
- Procédure de notification des violations (72h RGPD en cas de client UE)
- Bases légales documentées pour chaque traitement
- Contrats de sous-traitance avec clauses conformes aux deux lois
- Bannière cookies conforme au RGPD pour les visiteurs UE
Conclusion
La nLPD et le RGPD partagent une philosophie commune mais diffèrent dans leurs mécanismes, leurs sanctions et leurs obligations pratiques. Pour une PME suisse active uniquement sur le marché helvétique, la nLPD seule s'applique. Dès que vous avez des clients, partenaires ou prestataires dans l'UE, le RGPD s'invite dans l'équation.
La bonne nouvelle : les deux lois sont suffisamment proches pour qu'une seule démarche de mise en conformité couvre l'essentiel. L'investissement dans la conformité est aussi un signal de confiance pour vos clients.
Vous ne savez pas si votre site est conforme à la nLPD ? Lancez une analyse gratuite avec PrivaScan — détection automatique des cookies, traceurs et lacunes de conformité en quelques minutes.