Conformité 9 min de lecture

RGPD vs LPD suisse : ce qui change pour votre PME en 2026

La nouvelle Loi suisse sur la protection des données (nLPD) est entrée en vigueur le 1erseptembre 2023. Près de trois ans plus tard, beaucoup de PME suisses se demandent encore concrètement ce qui les concerne, et où la nLPD diffère vraiment du RGPD européen.

Cet article fait le point pratique : champ d'application, obligations concrètes pour une PME basée en Suisse, et différences les plus importantes avec le RGPD. Sans jargon, et sans annoncer la catastrophe à chaque paragraphe.

Disclaimer : je ne suis pas avocat. Cet article donne une lecture pragmatique pour une PME, pas un avis juridique. Si votre cas comporte une dimension internationale ou un risque réglementaire élevé, parlez-en avec un juriste spécialisé.

Champ d'application : qui est concerné ?

Première différence importante :

  • nLPD : s'applique à tout traitement de données personnelles effectué en Suisse, et aux traitements qui produisent des effets en Suisse. Elle protège uniquement les personnes physiques (les données des personnes morales ne sont plus protégées par la nLPD, contrairement à l'ancienne LPD).
  • RGPD : s'applique à tout traitement de données de personnes situées dans l'UE, peu importe où est établi le responsable de traitement.

Pour une PME suisse, cela signifie en pratique :

  • Si vous traitez des données de clients ou prospects résidant en Suisse → nLPD.
  • Si vous traitez des données de personnes résidant dans l'UE (newsletter, e-commerce, prestation transfrontalière) → RGPD en plus.
  • Beaucoup de PME suisses tombent dans les deux régimes, et doivent appliquer le plus exigeant des deux sur chaque sujet.

Bases légales du traitement

Les deux textes partagent la même logique : pour traiter des données personnelles, il faut une base légale claire.

Bases courantes pour une PME :

  • Exécution d'un contrat (un client commande, vous traitez son adresse).
  • Obligation légale (conservation comptable, déclarations sociales).
  • Intérêt légitime (sécurité informatique, prévention de la fraude, marketing direct dans certaines limites).
  • Consentement, qui doit être libre, spécifique, éclairé et révocable.

Différence concrète : le RGPD impose une base légale parmi six explicitement listées. La nLPD est plus souple sur la qualification, mais exige toujours une justification réelle et une information transparente.

Droits des personnes

Les deux textes accordent essentiellement les mêmes droits aux personnes concernées : accès, rectification, effacement, opposition, portabilité. Quelques nuances :

  • Délai de réponse à une demande d'accès : 30 jours dans les deux cas, prolongeable de manière motivée.
  • La nLPD reconnaît explicitement le droit à la remise des données dans un format usuel et lisible par machine.
  • Le droit à l'effacement n'est jamais absolu, ni en LPD ni en RGPD : les obligations légales de conservation priment (10 ans pour la comptabilité en Suisse, par exemple).

Pour une PME, l'essentiel est d'avoir un processus écrit pour traiter une demande quand elle arrive. Une demande mal traitée est ce qui finit en plainte.

Registre des traitements

C'est probablement l'obligation la moins glamour, mais la plus regardée en cas de contrôle.

  • nLPD : registre obligatoire pour le responsable de traitement et le sous-traitant. Exception : les PME de moins de 250 collaborateurs peuvent en être dispensées si leurs traitements ne présentent pas de risque élevé pour les personnes (pas de données sensibles à large échelle, pas de profilage à haut risque).
  • RGPD : registre obligatoire dès qu'il y a traitement régulier, ou traitement de données sensibles, ou traitement à risque élevé.

Concrètement, pour une PME suisse de 30 personnes qui fait de la facturation, du marketing léger et de la gestion RH, je recommande toujours de tenir un registre, même quand l'exception théorique pourrait s'appliquer. C'est ce document qui vous sauve en cas de contrôle ou d'incident. Un tableur bien tenu suffit largement pour la plupart des PME.

Ce que le registre doit contenir, au minimum :

  • Le responsable du traitement (votre entreprise).
  • Les finalités (pourquoi vous traitez ces données).
  • Les catégories de données et de personnes concernées.
  • Les destinataires (y compris les sous-traitants).
  • Les transferts hors de Suisse / hors UE, le cas échéant.
  • Les durées de conservation prévues.
  • Les mesures de sécurité techniques et organisationnelles.

Notification de violation

C'est l'un des changements les plus concrets pour les PME suisses depuis 2023.

  • nLPD : notification au PFPDT « dans les meilleurs délais » en cas de violation susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Pas de délai chiffré explicite dans la loi, mais l'esprit reste rapide.
  • RGPD : notification à l'autorité compétente sous 72 heures après en avoir pris connaissance.

Côté communication aux personnes concernées, les deux textes l'imposent si le risque pour elles est élevé.

Conseil pratique : documentez chaque incident, même ceux que vous décidez de ne pas notifier. La trace écrite de l'analyse de risque qui justifie la non-notification fait partie de votre conformité.

Sanctions

Différence structurelle importante :

  • RGPD : sanctions administratives prononcées contre l'entreprise, pouvant atteindre des montants significatifs en pourcentage du chiffre d'affaires mondial. Plafonds élevés, prévus pour avoir un effet dissuasif.
  • nLPD : sanctions pénales, prononcées contre la personne physique responsable de l'infraction (typiquement un dirigeant ou un responsable hiérarchique). Plafond à l'amende personnelle, et non un pourcentage du CA.

Cette différence est moins anodine qu'elle en a l'air. En Suisse, une violation grave de la LPD peut concerner directement et personnellement le dirigeant, pas seulement la société.

Cas pratiques pour une PME suisse

Fiduciaire à Bienne, 12 collaborateurs. Traite des données financières et fiscales de clients (PME et particuliers). Doit tenir un registre, formaliser sa politique de confidentialité, encadrer ses sous-traitants (logiciel comptable cloud, hébergeur), et avoir un plan de réponse à incident. Le risque "données sensibles" rend l'exception PME inopérante.

Bureau d'architectes à Neuchâtel, 8 collaborateurs. Traite essentiellement des données B2B et des coordonnées de clients privés. Obligations plus légères, mais une politique de confidentialité publique sur le site, des contrats de sous-traitance écrits (notamment pour les outils cloud) et un registre simplifié restent attendus.

PME industrielle à Granges, 35 collaborateurs, clients en France et Allemagne.Tombe sous nLPD et RGPD. Doit en pratique appliquer le RGPD (plus exigeant) sur la plupart des sujets : registre, information transparente, encadrement strict des transferts, notification de violation sous 72 heures.

Par où commencer concrètement

  1. Lister vos traitements principaux (facturation, RH, marketing, support client, sécurité IT).
  2. Identifier vos sous-traitants (M365, comptabilité cloud, hébergement, e-mailing) et signer un contrat de sous-traitance avec chacun.
  3. Publier ou mettre à jour votre politique de confidentialité sur votre site web.
  4. Désigner une personne référente en interne pour les demandes liées aux données.
  5. Documenter votre processus de notification de violation.
  6. Auditer une fois par an que ce qui est écrit correspond à ce qui se fait.

La conformité n'est pas un état, c'est un entretien. Une PME qui fait sérieusement ces six étapes est très loin du tout-venant.

Mettre en place une conformité réaliste

Le Cap Sécurité inclut un volet conformité nLPD / RGPD adapté à votre taille, sans vous faire signer dix politiques que personne ne lira. Forfait 900 CHF.

CyberSuisse logo
Modesto CybersécuritéCybersécurité PME · Suisse
Biel/Bienne, Suisse
078 208 95 45[email protected]

Navigation

Prestations

© 2025 CyberSuisse — Luís Modesto / Consultant indépendant en cybersécurité / Biel/Bienne, Suisse