Lorsque les entreprises européennes pensent aux amendes en matière de protection des données, elles visualisent des pénalités colossales infligées à des multinationales — Google, Meta, Amazon. Le RGPD frappe les entreprises. La nLPD suisse, elle, frappe les personnes. Cette distinction fondamentale est encore méconnue de la grande majorité des dirigeants de PME suisses, et elle change radicalement la donne.
Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la Protection des Données (nLPD) est en vigueur. Son régime de sanctions, prévu aux articles 60 à 66, introduit une responsabilité pénale personnelle qui peut atteindre CHF 250 000. Ce guide vous explique qui risque quoi, dans quelles situations, et comment vous en prémunir.
Le régime pénal suisse : une logique radicalement différente du RGPD
La première chose à comprendre est que les sanctions nLPD ne sont pas des amendes administratives — elles constituent des infractions pénales. Ce n'est pas l'autorité de surveillance qui inflige directement une pénalité financière à une entreprise ; c'est le Ministère public qui poursuit pénalement une personne physique identifiée.
Cette approche a des conséquences importantes :
- Les sanctions figurent au casier judiciaire de la personne condamnée
- La procédure suit le Code de procédure pénale suisse (CPP)
- Les entreprises ne peuvent pas être condamnées directement sous la nLPD (contrairement au RGPD)
- La poursuite est conditionnée à une plainte — le PFPDT ne peut pas agir d'office pour les infractions
Qui peut être condamné ?
La nLPD cible les personnes physiques responsables au sein de l'organisation. En pratique, cela peut viser :
- Les directeurs généraux et membres de la direction
- Les responsables informatiques (DSI, CTO) supervisant les systèmes de traitement
- Les responsables de la protection des données (si désignés)
- Tout collaborateur qui a personnellement commis ou ordonné l'infraction
La notion de responsabilité est appréciée concrètement : qui a pris la décision fautive ? Qui avait le pouvoir d'agir et ne l'a pas fait ? C'est cette personne qui encourt la sanction, pas nécessairement le dirigeant formel de l'entreprise.
Les quatre catégories d'infractions sanctionnées
1. Violation des obligations d'information (Art. 60)
Le responsable du traitement doit informer les personnes concernées lorsqu'il collecte des données personnelles. Cette obligation couvre :
- L'identité et les coordonnées du responsable du traitement
- La finalité du traitement
- Les catégories de données traitées
- Les destinataires ou catégories de destinataires
- Le cas échéant, le transfert de données à l'étranger
Scénario concret : une boutique en ligne suisse installe Google Analytics 4 et Meta Pixel sans mentionner ces outils dans sa politique de confidentialité, ni indiquer que les données sont transférées aux États-Unis. Le responsable marketing qui a procédé à cette installation peut être mis en cause.
Peine maximale : CHF 250 000 (Art. 60 al. 1)
2. Violation du devoir de diligence (Art. 61)
Cette infraction couvre les manquements aux obligations de sécurité et de protection des données, notamment :
- Défaut de mesures techniques et organisationnelles adéquates (MTO)
- Absence de registre des activités de traitement alors qu'il est obligatoire
- Non-réalisation d'une analyse d'impact requise (AIPD)
- Transferts de données à l'étranger sans garanties appropriées
Scénario concret : une fiduciaire de 300 collaborateurs traite des données fiscales sensibles sur un serveur non chiffré, sans registre des traitements et sans évaluation des risques formalisée. En cas de fuite, le DSI qui a validé cette infrastructure peut être poursuivi.
Peine maximale : CHF 250 000 (Art. 61)
3. Violation du secret professionnel (Art. 62)
Certaines catégories de personnes astreintes au secret professionnel (médecins, avocats, experts-comptables, etc.) sont soumises à des obligations renforcées. La communication non autorisée de données personnelles obtenues dans ce cadre constitue une infraction distincte.
Peine maximale : CHF 250 000 (Art. 62)
4. Violation des obligations de coopération avec le PFPDT (Art. 63-64)
Le PFPDT dispose de pouvoirs d'enquête étendus. Refuser de coopérer à une enquête, fournir des informations fausses, ou ne pas respecter les injonctions de l'autorité constitue une infraction autonome.
Peine maximale : CHF 250 000
Tableau comparatif : sanctions nLPD vs RGPD
| Critère | nLPD (Suisse) | RGPD (UE) |
|---|---|---|
| Nature de la sanction | Pénale (infraction au CP) | Administrative (amende directe) |
| Destinataire | Personne physique responsable | Entreprise (personne morale ou physique) |
| Montant maximum | CHF 250 000 par infraction | 20 M€ ou 4% du CA mondial |
| Autorité | Ministère public (sur plainte) | Autorité de contrôle (d'office) |
| Conséquences | Casier judiciaire | Registre public des sanctions |
| Prescription | 3 ans à compter de l'infraction | Variable selon les États membres |
| Responsabilité solidaire de l'entreprise | Non prévue par la nLPD | Oui, sous le RGPD |
La différence est saisissante : sous le RGPD, Amazon a reçu une amende de 746 M€ en tant qu'entreprise. Sous la nLPD, c'est le directeur ou le responsable IT de la PME valaisanne ou zurichoise qui se retrouve personnellement devant le Ministère public.
Le rôle du PFPDT : enquêteur, pas juge
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l'autorité de surveillance indépendante chargée de contrôler l'application de la nLPD. Ses pouvoirs sont larges :
- Ouvrir des enquêtes de sa propre initiative ou sur dénonciation
- Exiger des informations des responsables du traitement
- Émettre des recommandations (non contraignantes)
- Rendre des décisions/injonctions ordonnant des mesures correctives (contraignantes)
- Déposer plainte auprès du Ministère public pour les infractions pénales
Important : le PFPDT ne prononce pas lui-même les amendes pénales. Il enquête, constate les violations, et peut transmettre le dossier au Ministère public compétent qui, lui, peut engager des poursuites pénales.
En pratique, le PFPDT a publié plusieurs décisions contre des entreprises suisses notables (voir ses rapports d'activité annuels), notamment dans les secteurs bancaire, des assurances et de la santé.
Cas pratiques : quand une PME suisse s'expose
Cas 1 — L'e-commerce sans bannière conforme
Une boutique en ligne genevoise de 15 collaborateurs utilise Google Analytics, Hotjar et le pixel Facebook. Elle affiche un bandeau "Nous utilisons des cookies" avec un seul bouton "Accepter". Pas de possibilité de refus, pas de liste des cookies, pas de mention des transferts aux États-Unis.
Risque : violation de l'obligation d'information (Art. 60) et du devoir de diligence (Art. 61). Le responsable du site ou le CEO peut être personnellement mis en cause si un utilisateur ou le PFPDT porte plainte.
Cas 2 — La fuite de données sans notification
Un cabinet RH de Zurich subit une intrusion informatique. Les données personnelles (CV, salaires, évaluations) de 500 candidats sont exfiltrées. La direction décide de ne pas notifier le PFPDT pour "éviter le scandale". Trois mois plus tard, les données apparaissent sur un forum en ligne.
Risque : violation du devoir de diligence et entrave à l'enquête. Le DRH et le DSI s'exposent à des poursuites pénales. L'absence de notification aggrave la situation.
Cas 3 — Le prestataire informatique négligent
Une fiduciaire bâloise sous-traite son hébergement à un prestataire IT qui stocke les données clients sans chiffrement, sans contrôle d'accès formalisé, et sans contrat de traitement des données conforme à l'Art. 9 nLPD. En cas d'audit PFPDT, la fiduciaire et son dirigeant sont dans l'illégalité — même si c'est le prestataire qui a failli.
Risque : le responsable du traitement reste responsable même pour les sous-traitants. La direction de la fiduciaire peut être poursuivie.
Cas 4 — Le formulaire de contact non déclaré
Un cabinet médical valaisan collecte des données de santé via un formulaire en ligne hébergé sur un serveur tiers en Allemagne. Ni la politique de confidentialité, ni les patients ne sont informés de ce transfert hors de Suisse. Pas d'AIPD, pas de garanties contractuelles.
Risque : violation de l'obligation d'information et du devoir de diligence pour des données sensibles (santé). Exposition maximale sous l'Art. 60 et 61.
Comment vous protéger : les mesures de conformité essentielles
1. Auditez vos traitements de données
Commencez par un inventaire complet : quelles données collectez-vous ? Sur quels systèmes ? Avec quels prestataires ? Quels pays ? Ce travail de cartographie est la base de toute conformité sérieuse.
2. Documentez tout
En cas de litige ou d'enquête, la documentation est votre première ligne de défense. Conservez :
- Le registre des activités de traitement (même simplifié pour les PME < 250 collaborateurs)
- Les analyses d'impact réalisées
- Les contrats avec vos sous-traitants (clauses de protection des données)
- Les preuves de consentement de vos utilisateurs
- Les procédures internes de sécurité
3. Mettez en place une bannière de consentement conforme
La bannière doit permettre de refuser aussi facilement qu'accepter. Les scripts tiers (analytics, réseaux sociaux, publicité) doivent être bloqués jusqu'à l'obtention du consentement. C'est le minimum légal.
4. Formez vos collaborateurs
La responsabilité pénale peut atteindre n'importe quel collaborateur qui a pris une décision fautive. Une formation sur les obligations de base de la nLPD — même d'une demi-journée — réduit considérablement les risques.
5. Désignez un responsable interne
Même si la nLPD ne rend pas le délégué à la protection des données obligatoire pour les PME, désigner un référent interne (ou externe) crée une responsabilité claire et facilite la coordination en cas d'incident.
Assurances : D&O et cyber, des protections complémentaires
Face à un risque de responsabilité personnelle, deux types d'assurances méritent votre attention :
Assurance Responsabilité des dirigeants (D&O — Directors & Officers) Elle couvre les frais de défense et les dommages-intérêts découlant d'une mise en cause personnelle du dirigeant pour des manquements dans l'exercice de ses fonctions. Certaines polices incluent explicitement les violations réglementaires.
Assurance cyber (Cyber Liability) Elle couvre les coûts liés à une violation de données : notification aux personnes concernées, gestion de crise, frais IT, et dans certains cas les frais de défense juridique. Elle ne couvre généralement pas les amendes pénales, mais réduit considérablement l'impact financier global d'un incident.
Attention : vérifiez attentivement les exclusions de votre police. Certaines assureurs excluent les violations intentionnelles ou les manquements "délibérés" à la réglementation — ce qui peut être invoqué si vous n'avez pris aucune mesure de conformité.
Ce que la nLPD n'interdit pas
Il est important de ne pas surinterpréter le régime des sanctions. La nLPD ne punit pas l'imperfection, elle punit la négligence caractérisée et le mépris délibéré des obligations. Une PME qui :
- a fait un effort de bonne foi pour se conformer,
- a documenté ses démarches,
- a corrigé ses manquements lorsqu'ils ont été identifiés,
...sera dans une position bien plus solide que celle qui n'a rien fait, même si sa conformité n'est pas parfaite.
Le PFPDT a publiquement indiqué qu'il privilégiait une approche pédagogique et préventive — particulièrement pour les PME de bonne foi — avant de recourir à des poursuites pénales.
La meilleure protection contre les sanctions nLPD commence par savoir exactement quels traceurs et cookies sont actifs sur votre site. Analysez votre site gratuitement avec PrivaScan et obtenez un rapport de conformité immédiat.