nLPD : nouvelle loi suisse sur la protection des données (2023)

Q: La nLPD s'applique-t-elle aux PME suisses ?

Oui. La nLPD s'applique à toute personne ou entreprise établie en Suisse qui traite des données personnelles de personnes physiques — sans seuil de taille. Les PME doivent donc respecter les nouvelles obligations : tenir un registre des activités de traitement (si leur traitement peut présenter un risque élevé), désigner un conseiller à la protection des données (facultatif mais recommandé), notifier les violations de données au Préposé fédéral à la protection des données (PFPDT) et aux personnes concernées, et effectuer une analyse d'impact (AIPD) pour les traitements à risque élevé.

Q: Quelle est la différence entre la nLPD et le RGPD européen ?

La nLPD et le RGPD partagent les mêmes grands principes (minimisation des données, transparence, droits des personnes, sécurité). Parmi les différences notables : la nLPD ne protège que les données des personnes physiques (pas morales), alors que l'ancienne LPD protégeait aussi les personnes morales. Le registre des activités de traitement est obligatoire uniquement pour les traitements à risque sous nLPD (pas universel comme sous RGPD). Les sanctions pénales de la nLPD visent les personnes physiques (amendes jusqu'à 250 000 CHF), non les entreprises — contrairement aux amendes administratives RGPD (jusqu'à 4% du CA mondial).

Q: La nLPD impose-t-elle un DPO (délégué à la protection des données) ?

La nLPD ne rend pas le conseiller à la protection des données (CPD) obligatoire, contrairement au RGPD qui impose un DPO dans certains cas. La désignation d'un CPD est facultative sous nLPD mais recommandée pour les organisations traitant régulièrement des données sensibles à grande échelle. La désignation volontaire d'un CPD peut simplifier les relations avec le PFPDT.

Définition

La nLPD (nouvelle Loi fédérale sur la Protection des Données) est la révision totale de la loi suisse sur la protection des données (LPD) du 25 septembre 2020, entrée en vigueur le 1er septembre 2023. Elle remplace l'ancienne LPD de 1992 et modernise en profondeur le cadre juridique suisse pour le mettre en adéquation avec les évolutions technologiques et les standards européens (RGPD).

Elle est accompagnée par l'Ordonnance sur la protection des données (OPDo) et par les directives du PFPDT (Préposé fédéral à la protection des données et à la transparence).

Principales obligations

Registre des activités de traitement

Les entreprises dont les traitements de données présentent un risque élevé pour les droits des personnes concernées doivent tenir un registre des activités de traitement documentant : la finalité du traitement, les catégories de données, les destinataires, les délais de conservation et les mesures de sécurité.

Analyse d'impact (AIPD)

Avant de lancer un traitement de données susceptible de présenter un risque élevé (profilage, traitement à grande échelle de données sensibles, surveillance systématique), une analyse d'impact relative à la protection des données (AIPD) est obligatoire.

Notification des violations

En cas de violation de la sécurité des données (fuite, piratage, perte), l'entreprise doit le notifier au PFPDT dans les meilleurs délais si la violation est susceptible d'entraîner un risque élevé pour les personnes concernées. Les personnes directement affectées doivent également être informées.

Privacy by Design et by Default

La nLPD codifie les principes de protection des données dès la conception (privacy by design) et par défaut (privacy by default) : les systèmes et processus doivent intégrer la protection des données dès leur création, et les paramètres par défaut doivent être les plus protecteurs.

Droits des personnes concernées

La nLPD renforce les droits des personnes physiques dont les données sont traitées :

Droit d'accès — obtenir une copie des données détenues.
Droit de rectification — faire corriger des données inexactes.
Droit à la portabilité — recevoir ses données dans un format structuré.
Droit d'opposition — s'opposer au traitement, notamment au profilage à risque élevé.

Contexte suisse

La nLPD s'applique aux entreprises établies en Suisse et, par extension, aux entreprises étrangères dont les traitements ont des effets en Suisse (principe d'extraterritorialité comparable au RGPD). Le PFPDT est l'autorité de surveillance indépendante chargée de son application. Il peut mener des investigations et rendre des recommandations contraignantes.

Contrairement au RGPD dont les amendes visent les entreprises (jusqu'à 4% du CA mondial), la nLPD prévoit des sanctions pénales à l'encontre des personnes physiques responsables des infractions — amendes jusqu'à 250 000 CHF par infraction.

Comment Neoffice le prend en compte

Neoffice héberge les données de ses clients sur des serveurs situés en Suisse, respectant les exigences de localisation des données. L'ERP intègre des mécanismes de traçabilité (logs d'accès, historique des modifications), de contrôle d'accès par rôle, et de gestion des droits des personnes concernées (accès, rectification, suppression). Ces fonctionnalités facilitent la conformité nLPD des PME clientes.

Termes liés

erp plan comptable suisse swissdec

Questions fréquentes — nLPD

La nLPD s'applique-t-elle aux PME suisses ?

Quelle est la différence entre la nLPD et le RGPD européen ?

La nLPD impose-t-elle un DPO (délégué à la protection des données) ?

Données sécurisées dans Neoffice

Neoffice héberge vos données en Suisse, applique les principes nLPD (minimisation, sécurité, traçabilité) et vous aide à documenter vos traitements.

Essai gratuit 7 jours

Des questions sur nLPD ?

Discutez avec Nora, notre assistante IA, pour en savoir plus sur votre activité.

Nora

En ligne

Bonjour ! Je suis Nora. Vous consultez notre service **nLPD**. Comment puis-je vous aider ?

Propulsé par IA locale — vos données restent en Suisse

Qu'est-ce que la nLPD ?