Entrée en vigueur le 1er septembre 2023, la nouvelle Loi fédérale sur la Protection des Données (nLPD) marque une rupture majeure avec le texte de 1992. Pour des dizaines de milliers de PME suisses, elle impose de nouvelles obligations concrètes — en matière de cookies, de politique de confidentialité et de gestion des violations de données. Ce guide vous aide à comprendre ce qui a changé et à agir efficacement.

Qu'est-ce que la nLPD ?

La nLPD (consultez le texte officiel sur fedlex.admin.ch) est la révision totale de la loi suisse sur la protection des données. Elle s'inspire du RGPD européen tout en conservant des spécificités helvétiques importantes.

Quelques caractéristiques clés :

Elle protège les personnes physiques uniquement — contrairement au RGPD, les personnes morales ne sont pas couvertes
L'autorité de contrôle est le Préposé fédéral à la protection des données et à la transparence (PFPDT)
Elle s'applique à toute entreprise traitant des données de personnes domiciliées en Suisse, quelle que soit sa taille

Obligations clés pour les PME

Voici les cinq obligations principales à mettre en œuvre dès maintenant :

Transparence et politique de confidentialité — informez vos visiteurs de manière claire : quelles données collectez-vous, dans quel but, avec qui les partagez-vous et combien de temps les conservez-vous. La politique doit être rédigée dans un langage compréhensible.
Consentement pour les cookies non essentiels — avant tout dépôt de cookie analytique, publicitaire ou de suivi, vous devez obtenir un consentement libre, éclairé, spécifique et univoque. Un simple bandeau "en continuant à naviguer vous acceptez" n'est plus suffisant.
Notification des violations de données — en cas de fuite ou d'accès non autorisé à des données personnelles, vous devez notifier le PFPDT dans les meilleurs délais (la pratique recommandée est 72 heures, comme sous le RGPD).
Registre des activités de traitement (art. 12 nLPD) — obligatoire pour les entreprises de 250 collaborateurs ou plus, ou dont les traitements présentent des risques élevés. Même en dessous de ce seuil, tenir un registre est une bonne pratique recommandée.
Analyse d'impact sur la protection des données (AIPD) — requise pour tout traitement susceptible de présenter un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées (profilage intensif, données biométriques, données de santé, etc.).

Différences avec le RGPD européen

La nLPD et le RGPD partagent les mêmes principes fondamentaux, mais présentent des différences importantes pour les PME suisses :

Aspect	nLPD (Suisse)	RGPD (UE)
Champ d'application	Personnes physiques uniquement	Personnes physiques et morales
Amendes	Jusqu'à CHF 250 000 (personne physique responsable)	Jusqu'à 20 M€ ou 4% du CA mondial
Représentant UE	Non requis pour entreprises suisses	Requis si clients UE
Délégué à la protection	Recommandé, non obligatoire	Obligatoire dans certains cas

Si votre entreprise a des clients dans l'UE, vous devez également respecter le RGPD. Les deux lois peuvent s'appliquer simultanément.

Comment se mettre en conformité : les étapes concrètes

Voici un plan d'action pragmatique pour les PME :

Auditez votre site web — identifiez tous les cookies et traceurs actifs (Google Analytics, Meta Pixel, etc.) avec un scanner automatisé
Installez une bannière de consentement conforme — elle doit permettre de refuser aussi facilement qu'accepter, et bloquer les scripts tiers jusqu'au consentement
Rédigez ou mettez à jour votre politique de confidentialité — incluez tous les traitements de données, y compris les cookies tiers
Créez un registre des traitements — même simplifié, il démontre votre sérieux en cas de contrôle du PFPDT
Définissez une procédure de notification — sachez qui contacter et dans quel délai en cas de violation de données

Faites le premier pas vers la conformité en analysant gratuitement votre site web. PrivaGuard détecte tous les cookies et traceurs actifs sur votre site, les classe par catégorie, et vous indique précisément ce qui n'est pas conforme à la nLPD.

Lancer le scan gratuit

Qu'est-ce que la nLPD ?

Quelques caractéristiques clés :

Elle protège les personnes physiques uniquement — contrairement au RGPD, les personnes morales ne sont pas couvertes

L'autorité de contrôle est le Préposé fédéral à la protection des données et à la transparence (PFPDT)

Elle s'applique à toute entreprise traitant des données de personnes domiciliées en Suisse, quelle que soit sa taille

Obligations clés pour les PME

Voici les cinq obligations principales à mettre en œuvre dès maintenant :

Transparence et politique de confidentialité — informez vos visiteurs de manière claire : quelles données collectez-vous, dans quel but, avec qui les partagez-vous et combien de temps les conservez-vous. La politique doit être rédigée dans un langage compréhensible.

Consentement pour les cookies non essentiels — avant tout dépôt de cookie analytique, publicitaire ou de suivi, vous devez obtenir un consentement libre, éclairé, spécifique et univoque. Un simple bandeau "en continuant à naviguer vous acceptez" n'est plus suffisant.

Notification des violations de données — en cas de fuite ou d'accès non autorisé à des données personnelles, vous devez notifier le PFPDT dans les meilleurs délais (la pratique recommandée est 72 heures, comme sous le RGPD).

Registre des activités de traitement (art. 12 nLPD) — obligatoire pour les entreprises de 250 collaborateurs ou plus, ou dont les traitements présentent des risques élevés. Même en dessous de ce seuil, tenir un registre est une bonne pratique recommandée.

Analyse d'impact sur la protection des données (AIPD) — requise pour tout traitement susceptible de présenter un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées (profilage intensif, données biométriques, données de santé, etc.).

Différences avec le RGPD européen

La nLPD et le RGPD partagent les mêmes principes fondamentaux, mais présentent des différences importantes pour les PME suisses :

Aspect

nLPD (Suisse)

RGPD (UE)

Champ d'application

Personnes physiques uniquement

Personnes physiques et morales

Amendes

Jusqu'à CHF 250 000 (personne physique responsable)

Jusqu'à 20 M€ ou 4% du CA mondial

Représentant UE

Non requis pour entreprises suisses

Requis si clients UE

Délégué à la protection

Recommandé, non obligatoire

Obligatoire dans certains cas

Si votre entreprise a des clients dans l'UE, vous devez également respecter le RGPD. Les deux lois peuvent s'appliquer simultanément.

Comment se mettre en conformité : les étapes concrètes

Voici un plan d'action pragmatique pour les PME :

Auditez votre site web — identifiez tous les cookies et traceurs actifs (Google Analytics, Meta Pixel, etc.) avec un scanner automatisé

Installez une bannière de consentement conforme — elle doit permettre de refuser aussi facilement qu'accepter, et bloquer les scripts tiers jusqu'au consentement

Rédigez ou mettez à jour votre politique de confidentialité — incluez tous les traitements de données, y compris les cookies tiers

Créez un registre des traitements — même simplifié, il démontre votre sérieux en cas de contrôle du PFPDT

Définissez une procédure de notification — sachez qui contacter et dans quel délai en cas de violation de données

nLPD : Guide de conformité pour les PME suisses

Qu'est-ce que la nLPD ?

Obligations clés pour les PME

Différences avec le RGPD européen

Comment se mettre en conformité : les étapes concrètes

nLPD : Guide de conformité pour les PME suisses

Qu'est-ce que la nLPD ?

Obligations clés pour les PME

Différences avec le RGPD européen

Comment se mettre en conformité : les étapes concrètes