Notification des violations de données selon la nLPD (art. 24) : guide complet pour les PME suisses

Une attaque par rançongiciel verrouille votre base de données clients à 2 heures du matin un vendredi. Un collaborateur envoie par erreur un fichier contenant 3 000 dossiers clients au mauvais destinataire. Une mauvaise configuration cloud expose vos fichiers RH sur l'internet public pendant deux semaines avant que quiconque ne s'en aperçoive. Ce ne sont pas des scénarios hypothétiques — ce sont les cas de violation de données les plus fréquents signalés aux autorités de surveillance en Europe, et ils touchent quotidiennement les PME suisses.

Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la Protection des Données (nLPD / nDSG / nFADP) est en vigueur, et avec elle une obligation formelle de notification des violations de données. L'article 24 nLPD, associé aux articles 15 et 16 de l'Ordonnance sur la protection des données (OPDo), établit un régime de notification que toute entreprise suisse doit comprendre. En cas de manquement, vous risquez des sanctions pénales pouvant atteindre CHF 250 000 — infligées non pas à l'entreprise, mais à la personne physique responsable.

Ce guide couvre tout ce qu'une PME suisse doit savoir : ce qui constitue une violation, quand la signaler, ce que la notification doit contenir, en quoi elle diffère du RGPD, et un plan de réponse aux incidents en 7 étapes que vous pouvez mettre en oeuvre dès aujourd'hui.

Qu'est-ce qu'une violation de données selon la nLPD ?

La nLPD utilise le terme « violation de la sécurité des données » (Verletzung der Datensicherheit / breach of data security). L'article 5 let. h nLPD la définit comme toute violation de la sécurité entraînant, de manière intentionnelle ou non, la perte, l'effacement, la destruction, la modification ou l'accès non autorisé à des données personnelles, que la violation soit accidentelle ou illicite.

Cette définition est délibérément large. Elle couvre trois catégories d'incidents de sécurité :

Violations de la confidentialité

Des données personnelles sont divulguées à des personnes non autorisées ou accessibles par celles-ci. Exemples :

• Une attaque par hameçonnage (phishing) donne à un attaquant accès à une boîte mail contenant des données clients
• Un collaborateur envoie une liste de salaires au mauvais destinataire
• Un ancien employé conserve l'accès au CRM après son départ
• Un espace de stockage cloud est mal configuré avec un accès public en lecture

Violations de l'intégrité

Des données personnelles sont modifiées sans autorisation, que ce soit de manière malveillante ou par erreur système. Exemples :

• Un rançongiciel chiffre et corrompt une base de données de patients
• Un bug logiciel écrase les adresses clients par des données erronées
• Un tiers non autorisé modifie des dossiers financiers

Violations de la disponibilité

Des données personnelles sont temporairement ou définitivement perdues ou rendues inaccessibles. Exemples :

• Une attaque par rançongiciel rend l'ensemble de la base de données clients indisponible
• Une panne de serveur détruit des données sans sauvegarde
• Une attaque DDoS empêche l'accès à un système de dossiers médicaux pendant 48 heures

Important : une violation ne nécessite pas d'intention malveillante. Un pare-feu mal configuré, une suppression accidentelle ou une clé USB perdue constituent des violations. La nLPD se concentre sur le résultat — si la sécurité des données a été compromise — et non sur la cause.

Quand la notification au PFPDT est-elle obligatoire ?

Toute violation de données ne déclenche pas une obligation de notification. L'article 24 al. 1 nLPD impose au responsable du traitement de notifier le Préposé fédéral à la protection des données et à la transparence (PFPDT / EDÖB / FDPIC) dans les meilleurs délais lorsqu'une violation de la sécurité des données entraîne vraisemblablement un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.

Le seuil du risque élevé

La nLPD ne définit pas le « risque élevé » en détail, mais le PFPDT et les travaux législatifs fournissent des indications. Vous devez évaluer :

1. La nature des données concernées : les données sensibles (santé, biométrie, origine raciale/ethnique, convictions religieuses, poursuites pénales, mesures d'aide sociale) élèvent automatiquement le risque. Les données financières, les identifiants de connexion et les numéros d'identification officielle méritent également une attention accrue.

2. Le volume de données et le nombre de personnes concernées : une violation touchant 10 000 clients présente un risque intrinsèquement plus élevé qu'une violation touchant 3 personnes.

3. La nature de la violation : un accès externe non autorisé (piratage) comporte généralement un risque plus élevé qu'une divulgation interne accidentelle rapidement maîtrisée.

4. L'identifiabilité : si les données violées peuvent être directement reliées à des personnes identifiées (noms, adresses, numéros AVS), le risque est plus élevé que pour des données pseudonymisées.

5. Les conséquences potentielles : la violation pourrait-elle entraîner un vol d'identité, une perte financière, une atteinte à la réputation, une discrimination ou un danger physique pour les personnes concernées ?

6. Le chiffrement des données : si les données violées étaient chiffrées avec un algorithme robuste et que les clés n'ont pas été compromises, le risque peut être réduit en dessous du seuil de risque élevé.

Règle pratique : en cas de doute, notifiez. Le PFPDT a publiquement déclaré qu'il préfère la sur-notification à la sous-notification. Déposer une notification qui s'avère finalement inutile n'entraîne aucune sanction. Omettre de déposer une notification obligatoire peut mener à des poursuites pénales.

Pas de délai fixe de 72 heures — mais ne tardez pas

Contrairement au RGPD, qui impose un délai strict de 72 heures (art. 33 RGPD), la nLPD exige une notification « dans les meilleurs délais » (so rasch wie möglich / as soon as possible). Les travaux préparatoires et les recommandations du PFPDT indiquent qu'en pratique, cela signifie généralement dans les 72 heures, mais la loi évite délibérément un délai rigide.

Cette flexibilité a des implications importantes :

• Une violation complexe nécessitant une analyse forensique peut justifier un délai plus long — à condition de pouvoir démontrer que vous avez agi avec diligence
• Une violation simple (un e-mail envoyé au mauvais destinataire avec des données clairement identifiables) devrait être signalée en quelques heures, pas en quelques jours
• Vous pouvez soumettre une notification initiale avec les informations disponibles et la compléter ultérieurement au fur et à mesure de votre enquête (art. 15 al. 3 OPDo)
• Tout retard injustifié sera traité comme un défaut de notification, indépendamment de l'absence de délai fixe

Le PFPDT met à disposition un formulaire de notification en ligne utilisable pour le signalement initial.

Que doit contenir la notification ?

L'article 24 al. 2 nLPD et l'article 15 OPDo précisent le contenu minimal d'une notification de violation au PFPDT :

Informations obligatoires

1. Nature de la violation : décrivez ce qui s'est passé — le type de violation (confidentialité, intégrité, disponibilité), les circonstances et le vecteur d'attaque si connu

2. Catégories et nombre approximatif de personnes concernées : précisez s'il s'agit de clients, d'employés, de patients ou d'autres catégories, et fournissez une estimation des effectifs

3. Catégories et nombre approximatif d'enregistrements de données personnelles concernés : détaillez les types de données compromises (noms, adresses e-mail, données financières, dossiers médicaux, etc.)

4. Conséquences vraisemblables : évaluez l'impact potentiel sur les personnes concernées — risque de vol d'identité, exposition financière, atteinte à la réputation, danger physique

5. Mesures prises ou envisagées : décrivez ce que vous avez fait pour contenir la violation et les mesures que vous prévoyez pour en atténuer les effets et prévenir toute récurrence

6. Personne de contact : nom et coordonnées d'une personne (ou du responsable de la protection des données, s'il est désigné) pouvant fournir des informations complémentaires au PFPDT

Notification par phases

Si vous ne pouvez pas fournir toutes les informations requises lors de la notification initiale, l'article 15 al. 3 OPDo vous permet de transmettre les informations par phases. Cette possibilité est essentielle pour les violations complexes où l'ampleur complète n'est pas immédiatement connue — par exemple, une cyberattaque sophistiquée avec une analyse forensique en cours.

En pratique, vous devriez :

• Déposer la notification initiale dans les 72 heures avec les informations disponibles
• Indiquer clairement que la notification est préliminaire
• Fournir les informations complémentaires au fur et à mesure qu'elles deviennent disponibles
• Maintenir un calendrier documenté de votre enquête

Notification aux personnes concernées

Au-delà du PFPDT, l'article 24 al. 4 nLPD impose au responsable du traitement d'informer les personnes concernées lorsque :

1. Cela est nécessaire à leur protection : si les personnes concernées doivent agir pour se protéger — changer leurs mots de passe, bloquer leurs cartes de crédit, surveiller leurs comptes — elles doivent être informées

2. Le PFPDT l'exige : le PFPDT peut ordonner au responsable du traitement de notifier les personnes concernées, même si le responsable avait initialement décidé de ne pas le faire

Contenu de la notification aux personnes concernées

La notification aux personnes affectées doit être rédigée dans un langage clair et compréhensible et inclure :

• Ce qui s'est passé (nature de la violation)
• Quelles données ont été affectées
• Quelles sont les conséquences vraisemblables
• Ce que le responsable du traitement a fait et fait pour remédier à la violation
• Ce que les personnes concernées peuvent faire pour se protéger (mesures concrètes et réalisables)
• Les coordonnées pour toute question complémentaire

Exceptions à la notification individuelle

La loi n'exige pas la notification individuelle dans tous les cas. Le responsable du traitement peut recourir à une communication publique (par exemple, un avis sur son site internet) si la notification individuelle exigerait un effort disproportionné — par exemple, lorsque les coordonnées de toutes les personnes concernées ne sont pas disponibles.

De plus, la notification aux personnes concernées peut ne pas être nécessaire si :

• Les données étaient effectivement chiffrées et les clés de chiffrement n'ont pas été compromises
• Le responsable du traitement a pris des mesures éliminant le risque pour les personnes concernées
• La violation est peu susceptible d'entraîner un préjudice tangible

Le rôle des sous-traitants dans la notification des violations

L'article 9 al. 2 nLPD impose aux sous-traitants (Auftragsbearbeiter / data processor) de notifier le responsable du traitement dans les meilleurs délais lorsqu'ils ont connaissance d'une violation de la sécurité des données. L'obligation du sous-traitant est d'informer le responsable du traitement — pas directement le PFPDT.

Cela a des implications importantes pour vos relations avec vos prestataires :

Exigences contractuelles

Vos contrats de sous-traitance (DPA) doivent inclure :

• Une obligation pour le sous-traitant de vous notifier toute violation sans retard injustifié (précisez un délai — 24 ou 48 heures est la pratique courante)
• L'exigence de fournir suffisamment de détails pour que vous puissiez évaluer si la violation déclenche vos propres obligations de notification
• Des devoirs de coopération du sous-traitant pour vous assister dans votre enquête et vos mesures correctives
• Une clarification indiquant si le sous-traitant peut notifier de manière indépendante le PFPDT ou les personnes concernées (en règle générale, il ne devrait pas le faire sans votre approbation)

Défis pratiques

De nombreuses PME suisses dépendent fortement de services cloud, de plateformes SaaS et de prestataires informatiques externes. Une violation chez votre sous-traitant est juridiquement votre violation — vous restez responsable de la notification et des mesures correctives en tant que responsable du traitement. Cela signifie :

• Vous devez surveiller les pratiques de sécurité de vos sous-traitants
• Vous devez inclure des exigences de notification de violations dans chaque DPA
• Vous avez besoin d'un chemin d'escalade clair entre vos sous-traitants et votre équipe de réponse aux incidents
• Évaluez si les engagements de notification de violation de votre sous-traitant sont réalistes et exécutoires

nLPD vs. RGPD : comparaison de la notification des violations

Les PME suisses qui traitent également des données personnelles de l'UE doivent comprendre les deux régimes. Les différences sont significatives :

Point clé

Le seuil plus élevé de la nLPD (« risque élevé » vs. « sauf si le risque est improbable ») signifie que moins de violations doivent être notifiées au PFPDT qu'à une autorité de surveillance européenne. Toutefois, la nature pénale des sanctions nLPD — ciblant la personne physique responsable plutôt que l'entreprise — rend les conséquences d'un manquement bien plus personnelles.

Plan de réponse aux incidents en 7 étapes pour les PME

Disposer d'un plan de réponse aux incidents documenté n'est pas seulement une bonne pratique — c'est une preuve de diligence qui peut vous protéger en cas de violation. Voici un plan pratique adapté aux PME suisses :

Étape 1 : Détecter et contenir

Objectif : stopper la violation et empêcher tout dommage supplémentaire.

• Isoler les systèmes affectés (déconnecter du réseau, révoquer les identifiants compromis)
• Préserver les preuves (ne pas effacer ni reconstruire les systèmes avant l'analyse forensique)
• Activer votre équipe de réponse aux incidents (même dans une entreprise de 5 personnes, désignez qui fait quoi)
• Enregistrer l'heure de détection — c'est le point de départ du « dans les meilleurs délais »

Conseil PrivaGuard : des analyses de conformité régulières peuvent détecter des erreurs de configuration — comme des scripts de suivi exposés, une absence de consentement aux cookies ou des flux de données non sécurisés — avant qu'elles ne deviennent des vecteurs de violation. La surveillance proactive réduit votre surface d'attaque.

Étape 2 : Évaluer l'ampleur et la gravité

Objectif : déterminer ce qui s'est passé, quelles données sont concernées et si le seuil de risque élevé est atteint.

• Identifier la nature de la violation (confidentialité, intégrité, disponibilité)
• Déterminer quelles catégories de données personnelles sont affectées
• Estimer le nombre de personnes concernées
• Évaluer si des données sensibles (art. 5 let. c nLPD) sont impliquées
• Évaluer la probabilité et la gravité des conséquences pour les personnes concernées
• Documenter votre évaluation des risques et le raisonnement sous-jacent

Étape 3 : Notifier le PFPDT (si nécessaire)

Objectif : respecter l'art. 24 nLPD en déposant une notification dans les délais.

• Utiliser le formulaire de notification en ligne du PFPDT
• Inclure toutes les informations obligatoires prévues par l'art. 15 OPDo
• Si l'évaluation est en cours, déposer une notification préliminaire en indiquant que des mises à jour suivront
• Désigner une personne de contact pour les demandes du PFPDT
• Documenter la date et l'heure de la notification

Étape 4 : Notifier les personnes concernées (si nécessaire)

Objectif : permettre aux personnes concernées de se protéger.

• Déterminer si la notification individuelle est nécessaire (art. 24 al. 4)
• Rédiger une notification claire et non technique dans les langues pertinentes (FR, DE, EN selon le cas)
• Inclure des mesures concrètes que les personnes concernées doivent prendre (changer les mots de passe, surveiller les comptes, etc.)
• Choisir le canal de communication approprié (e-mail, courrier postal, avis sur le site web)
• Documenter la notification, y compris son contenu, le moment de l'envoi et la méthode de diffusion

Étape 5 : Remédier et rétablir

Objectif : éliminer la vulnérabilité et reprendre les opérations normales.

• Corriger la cause profonde de la violation (appliquer les correctifs, reconfigurer les contrôles d'accès, etc.)
• Restaurer les systèmes affectés à partir de sauvegardes saines
• Réinitialiser les identifiants compromis
• Vérifier que la violation a été entièrement maîtrisée
• Tester les mesures correctives avant de remettre les systèmes en production

Étape 6 : Tout documenter

Objectif : respecter l'art. 24 al. 5 nLPD, qui impose la documentation de toutes les violations.

Votre registre des violations doit inclure :

• Date et heure de la violation et de sa détection
• Nature et ampleur de la violation
• Catégories de données et nombre de personnes affectées
• Conséquences de la violation (réelles et potentielles)
• Mesures prises pour remédier à la violation
• Si le PFPDT et/ou les personnes concernées ont été notifiés, avec la justification
• Chronologie de toutes les actions entreprises

Important : vous devez documenter toutes les violations, pas seulement celles qui ont été notifiées au PFPDT. Ce registre sert de preuve de vos efforts de conformité et peut être demandé par le PFPDT lors d'une enquête.

Étape 7 : Tirer les leçons et s'améliorer

Objectif : prévenir la récurrence et renforcer votre posture de protection des données.

• Mener une revue post-incident avec toutes les parties impliquées
• Identifier ce qui a mal fonctionné et ce qui a bien marché
• Mettre à jour vos mesures de sécurité, politiques et procédures en conséquence
• Former les collaborateurs sur les enseignements tirés
• Tester votre plan de réponse aux incidents mis à jour
• Planifier des revues de conformité régulières

Exigences de documentation et de conservation

L'article 24 al. 5 nLPD impose au responsable du traitement de documenter les violations de la sécurité des données. Cette obligation s'applique à toutes les violations — pas seulement celles ayant déclenché une notification au PFPDT.

Que documenter ?

Pour chaque violation, vos dossiers doivent inclure :

• Description factuelle : ce qui s'est passé, quand, comment la violation a été découverte
• Évaluation de l'ampleur : catégories de données, volume, nombre de personnes affectées
• Évaluation des risques : votre analyse indiquant si la violation a atteint le seuil de risque élevé, et les facteurs pris en compte
• Décisions de notification : si vous avez notifié le PFPDT et/ou les personnes concernées, et les raisons de votre décision
• Mesures correctives : ce que vous avez fait pour contenir la violation, restaurer les systèmes et prévenir toute récurrence
• Chronologie : un historique chronologique de toutes les actions, de la détection à la clôture

Conservation

La nLPD ne précise pas de durée de conservation pour la documentation des violations. La bonne pratique consiste à conserver les dossiers pendant au moins 10 ans (aligné sur le délai de prescription général en droit civil suisse) ou pendant la durée de toute enquête ou procédure en cours.

Pourquoi la documentation est essentielle

La documentation remplit trois fonctions :

1. Protection juridique : si le PFPDT enquête ou si des poursuites pénales sont engagées, votre documentation démontre votre diligence et votre bonne foi
2. Amélioration continue : un registre des violations vous aide à identifier les schémas récurrents et les faiblesses systémiques
3. Responsabilité : elle démontre à vos clients, partenaires et régulateurs que vous prenez la protection des données au sérieux

Sanctions en cas de défaut de notification

Le cadre de sanctions pénales de la nLPD s'applique aux manquements en matière de notification de violations de plusieurs manières :

Sanctions directes

• Art. 60 nLPD (violation des obligations d'information) : si vous omettez d'informer les personnes concernées d'une violation lorsque c'est obligatoire, la personne physique responsable encourt jusqu'à CHF 250 000
• Art. 61 nLPD (violation des devoirs de diligence) : le défaut de mesures de sécurité adéquates ayant conduit à la violation, ou le défaut de tenue d'un registre des violations, peut déclencher cette disposition
• Art. 63 nLPD (inobservation de décisions du PFPDT) : si le PFPDT vous ordonne de notifier les personnes concernées et que vous n'obtempérez pas, la personne responsable encourt jusqu'à CHF 250 000

Conséquences indirectes

Au-delà des sanctions pénales, un défaut de notification peut entraîner :

• Responsabilité civile : les personnes concernées peuvent réclamer des dommages-intérêts en vertu de l'art. 32 nLPD
• Atteinte à la réputation : la divulgation publique d'une violation mal gérée peut détruire la confiance des clients
• Surveillance accrue : le PFPDT peut ouvrir une enquête formelle (art. 49 nLPD) et imposer des mesures contraignantes
• Pénalités contractuelles : de nombreux contrats B2B et DPA prévoient des obligations de notification de violations assorties de pénalités financières en cas de non-respect
• Conséquences sur les assurances : le défaut de notification peut invalider la couverture d'une assurance cyber

Qui est personnellement responsable ?

Comme pour toutes les sanctions nLPD, la responsabilité vise la personne physique responsable — pas l'entreprise. Il peut s'agir :

• Du directeur général qui a décidé de ne pas notifier
• Du responsable informatique qui a dissimulé la violation
• Du responsable de la protection des données qui n'a pas escaladé l'incident
• De tout collaborateur qui avait l'autorité et le devoir d'agir mais ne l'a pas fait

Scénarios de violations courants pour les PME suisses

Comprendre les schémas de violations réels vous aide à vous préparer. Voici les scénarios les plus fréquents affectant les entreprises suisses :

Attaques par rançongiciel

Un acteur malveillant chiffre vos systèmes et exige un paiement. Il s'agit simultanément d'une violation de la confidentialité (l'attaquant a vraisemblablement exfiltré des données avant le chiffrement) et de la disponibilité (les données sont inaccessibles). Partez toujours du principe qu'il y a eu exfiltration de données lors d'un incident de rançongiciel — le seuil de risque élevé est presque certainement atteint.

Envoi d'e-mail au mauvais destinataire

Un collaborateur envoie un fichier contenant des données personnelles au mauvais destinataire. La gravité dépend des données concernées : envoyer une invitation de réunion à la mauvaise personne est différent d'envoyer une liste de salaires ou de diagnostics médicaux à une adresse externe.

Mauvaise configuration cloud

Un espace de stockage, une base de données ou un point d'accès API est accidentellement exposé sur l'internet public. Ces violations sont particulièrement dangereuses car elles peuvent passer inaperçues pendant des semaines ou des mois, et l'ampleur de l'accès potentiel est difficile à déterminer.

Hameçonnage et vol d'identifiants

Un collaborateur est victime d'un e-mail d'hameçonnage, et l'attaquant accède à des systèmes contenant des données personnelles. L'ampleur de la violation dépend des droits d'accès du compte compromis — la compromission d'un compte administrateur est bien plus grave que celle d'un compte à accès limité.

Appareils perdus ou volés

Un ordinateur portable, un téléphone ou une clé USB contenant des données personnelles est perdu ou volé. Le chiffrement intégral du disque avec une phrase secrète robuste réduit considérablement le risque — documentez cet élément dans votre évaluation des risques.

Menaces internes

Un collaborateur mécontent ou sur le départ copie des données clients, conserve un accès aux systèmes ou sabote délibérément l'infrastructure. C'est pourquoi la gestion des accès et les procédures de départ (offboarding) sont essentielles.

Comment PrivaGuard vous aide en matière de prévention et de réponse aux violations

Bien qu'aucun outil ne puisse empêcher toutes les violations, une surveillance proactive de la conformité réduit considérablement vos risques :

• L'analyse de conformité automatisée détecte les scripts de suivi, les cookies et les flux de données susceptibles de devenir des vecteurs de violation — en identifiant les problèmes avant qu'ils ne conduisent à des incidents
• La surveillance continue vous alerte en cas de changements de configuration et de nouvelles vulnérabilités sur vos propriétés web
• La gestion du consentement aux cookies garantit que la collecte de données est licite et documentée, réduisant l'ampleur des violations potentielles
• La génération de politique de confidentialité maintient votre documentation des traitements à jour, soutenant vos obligations de notification
• Le registre des traitements fournit l'ossature documentaire exigée par l'art. 24 al. 5 nLPD

La notification des violations de données n'est pas un exercice de conformité ponctuel — elle nécessite une vigilance continue, des processus documentés et une culture de sensibilisation à la protection des données. En comprenant vos obligations au titre de l'art. 24 nLPD et en vous préparant à l'avance, vous transformez la notification des violations d'une situation de crise en un processus maîtrisé.

Points clés à retenir

1. Toutes les violations ne doivent pas être notifiées — uniquement celles susceptibles d'entraîner un risque élevé pour les personnes concernées
2. Agissez vite mais agissez bien — il n'y a pas de délai fixe de 72 heures, mais un retard injustifié est traité comme un manquement
3. Documentez tout — toutes les violations, pas seulement celles notifiées, doivent être consignées
4. La responsabilité personnelle est réelle — les amendes pénales de CHF 250 000 visent la personne physique responsable, pas l'entreprise
5. Préparez-vous maintenant — un plan de réponse aux incidents documenté est votre meilleure protection en cas de violation
6. Surveillez vos sous-traitants — une violation chez votre prestataire est juridiquement votre violation
7. La prévention l'emporte sur la réaction — des analyses de conformité régulières réduisent à la fois le risque de violation et la charge de notification

Sources : Loi fédérale sur la protection des données (nLPD), Ordonnance sur la protection des données (OPDo), Recommandations du PFPDT sur les violations de la sécurité des données