Protection des donnéesSàrl

Loi sur la protection des données : guide complet pour les entreprises suisses

Loi sur la protection des données en Suisse (nLPD) : obligations des entreprises, déclaration de confidentialité et sanctions. Guide de mise en conformité.

Vérifié il y a 2 jours
5 min de lecture
Mis à jour juin 2026
Vérifié auprès de sources officielles suisses. Dernière vérification il y a 2 jours, fr_authority, FDPIC, AFC GE.Statut: à jour
CantonGenèveZurichZougBerneBâleVaud
ThèmeTVACréation d'entrepriseAVSDroit du travailProtection des donnéesObligations annuelles
Forme juridiqueIndépendantSàrlSAEmployeur
Aperçu

Loi sur la protection des données : obligations et conformité pour les entreprises suisses

La loi sur la protection des données (LPD) est entrée en vigueur le 1er septembre 2023, marquant une étape décisive dans la modernisation du cadre juridique suisse en matière de traitement des données personnelles. Cette nouvelle réglementation, souvent désignée sous le nom de nLPD, renforce les droits des individus et impose des obligations strictes aux responsables du traitement, qu’il s’agisse d’entreprises privées ou d’organisations publiques. La loi est directement applicable aux traitements de données basés sur l’intelligence artificielle (IA), comme le rappelle le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans un communiqué du 9 novembre 2023. Elle s’inscrit dans une logique de neutralité technologique, ce qui signifie que les principes fondamentaux s’appliquent indépendamment de la méthode utilisée pour traiter les données. Toutes les entreprises du pays doivent désormais se conformer à ces nouvelles exigences, notamment en matière de consentement, de sécurité des données et de notification en cas de violation. La loi sur la protection des données suisse s’inspire du RGPD européen tout en tenant compte des spécificités du système juridique suisse, notamment en matière de transferts internationaux de données.
Ce que couvre ce guide
  • Obligations légales: Découvrez les exigences clés que les entreprises doivent respecter pour se conformer à la loi sur la protection des données en vigueur.
  • Transferts de données: Apprenez comment transférer des données personnelles à l’étranger tout en respectant les conditions de niveau de protection adéquat.
  • IA et données: Comprenez comment la loi sur la protection des données s’applique aux traitements basés sur l’intelligence artificielle.
  • Responsabilité du traitement: Décidez si vous êtes responsable du traitement ou sous-traitant, et les obligations qui en découlent.
1er septembre 2023
Entrée en vigueur
La loi sur la protection des données est entrée en vigueur le 1er septembre 2023, conformément à la nouvelle loi sur la protection des données.
États certifiés
Niveau de protection adéquat
Le Conseil fédéral détermine les États offrant un niveau de protection des données adéquat, comme les États-Unis, selon la liste annexe 1 de l'ordonnance sur la protection des données.
30 jours
Violation de sécurité
Le responsable du traitement doit notifier une violation de sécurité au PFPDT dans un délai de 30 jours, selon les instructions sur la notification des violations.
Obligatoire pour risques élevés
Analyse d'impact
Une analyse d'impact sur la protection des données est requise pour les traitements à risque élevé, comme le prévoit l'article 22, paragraphe 1 de la LPD.
Requis pour traitement non obligatoire
Consentement éclairé
Le consentement doit être donné de manière éclairée, spécifique et revocable, comme le précise le guide sur la protection des données dans les associations.
Obligatoire
Journalisation des traitements
Le responsable du traitement doit journaliser tous les accès et modifications aux données personnelles, conformément aux recommandations techniques sur la journalisation.
01
15 minutes
Évaluer votre statut de responsable du traitement
Avant toute action, il est essentiel de déterminer si votre entreprise est un responsable du traitement ou un sous-traitant. Le responsable du traitement est celui qui décide des finalités et des moyens du traitement des données personnelles. Ce rôle implique des obligations claires, notamment en matière de sécurité, de consentement et de notification en cas de violation. Si vous externalisez des traitements, vous devez veiller à ce que votre sous-traitant respecte les mêmes exigences. Le guide relatif aux mesures techniques et organisationnelles de la protection des données (TOM) fournit des orientations concrètes pour établir ces responsabilités. En outre, les institutions de prévoyance, comme les caisses de pension, doivent s’assurer que leurs partenaires externes ne deviennent pas des responsables non contrôlés du traitement.
02
30 minutes
Établir un règlement de traitement pour les traitements sensibles
Lorsque vous traitez des données sensibles ou engagez un profilage à risque élevé, vous devez établir un règlement de traitement. Ce document doit décrire les finalités, les catégories de données, les destinataires, les mesures de sécurité et les droits des personnes concernées. Pour les organes fédéraux, ce règlement est obligatoire selon les instructions pour établir un règlement de traitement pour des organes fédéraux. Pour les personnes privées, ce processus est également recommandé, surtout si le traitement concerne des données à grande échelle. Le règlement doit être mis à jour régulièrement et accessible aux autorités de contrôle. Il sert de base pour la transparence et la responsabilité dans le traitement des données.
03
45 minutes
Mettre en œuvre des mesures de sécurité techniques et organisationnelles
La sécurité des données est une obligation fondamentale. Vous devez appliquer des mesures techniques comme le chiffrement, l’authentification forte, la limitation d’accès et la journalisation des traitements. Les recommandations techniques sur la journalisation précisent que chaque accès, modification ou suppression de données doit être enregistré. En outre, les organisations doivent former leur personnel à la protection des données et mettre en place des procédures de gestion des incidents. Le guide sur la notification des violations de la sécurité des données détaille les conditions d’information des personnes concernées et les délais à respecter. Une faille de sécurité peut entraîner des sanctions financières importantes, donc la prévention est essentielle.
04
60 minutes
Évaluer les risques liés à l’intelligence artificielle
L’intelligence artificielle soulève des enjeux spécifiques en matière de protection des données. La loi sur la protection des données est directement applicable aux traitements basés sur l’IA, comme le confirme le PFPDT. Vous devez évaluer si votre système d’IA pose des risques élevés pour les droits et libertés des personnes, notamment en matière de décision automatisée ou de profilage. Si tel est le cas, une analyse d’impact sur la protection des données (AIPD) est obligatoire. Cette analyse doit évaluer les risques, les mesures de mitigation et les droits des personnes concernées. Le guide sur la protection des données dans les associations fournit des exemples concrets d’application. En outre, toute utilisation de deepfakes ou de synthèse vocale doit être clairement identifiable pour éviter la confusion.
Transferts de données entre la Suisse et les États-Unis
Grâce au Swiss-U.S. Data Privacy Framework, les entreprises suisses peuvent transférer des données personnelles vers des entreprises américaines certifiées sans nécessiter de garanties supplémentaires. Ce cadre, mis en place par le Conseil fédéral, garantit un niveau de protection adéquat, comme le précise le communiqué de presse de l’Office fédéral de la justice. Les entreprises américaines certifiées s’engagent à respecter des obligations strictes, notamment en matière de limitation d’usage et d’accès par les autorités publiques. En cas de transfert vers un pays non certifié, des garanties contractuelles ou des mécanismes internes doivent être mis en place. Le cadre pour le transfert de données personnelles explique les conditions d’application.
Le non-respect de la loi sur la protection des données peut entraîner des sanctions financières importantes, allant jusqu’à 2,5 millions de francs suisses pour les personnes morales. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) peut également ordonner la suspension du traitement, imposer des amendes administratives ou demander la rectification des données. En outre, les personnes concernées peuvent exercer leur droit à réparation des dommages. Les entreprises doivent donc adopter une approche proactive, notamment en mettant en place des audits réguliers et des formations internes. Le guide sur la notification des violations de la sécurité des données détaille les conséquences juridiques d’un retard dans la déclaration d’un incident.
Sources

Sources officielles utilisées dans cet article

Vérifié auprès de sources gouvernementales officielles

Tous les taux et règles vérifiés auprès des principaux portails fédéraux et cantonaux suisses.

Fr_authority
Canton of Fribourg, Official Portal
Official portal of Canton Fribourg/Freiburg. Bilingual (FR/DE) cantonal business services for this French-German border canton.
fr.ch
Fdpic
Federal Data Protection and Information Commissioner
Federal authority overseeing Swiss nFADP (new Federal Act on Data Protection). Authoritative source for data protection obligations, including when businesses must appoint a data privacy advisor.
edoeb.admin.ch
Ge_tax
Canton of Geneva, Cantonal Tax Administration
Geneva cantonal tax authority (Administration Fiscale Cantonale). Source for Geneva-specific profit tax, ICC cantonal tax, and filing obligations for businesses.
ge.ch
Content verified against these sources. Not legal advice.See full disclaimer

Tools that help with Protection des données

Software used by SMEs in Switzerland. Affiliate links: we earn a small commission at no cost to you.

DataGuardSwiss-FADP + GDPR compliance platform. Privacy policy generator, data-processing records, breach-notification workflow. Used by SMEs handling EU data.
Book a demo
OneTrustEnterprise-grade privacy management. Cookie consent, vendor risk assessment, data-subject request handling. Useful for Swiss businesses with > 10 EU employees.
Compare plans
IubendaPrivacy + cookie policy generator with built-in nDSG and GDPR templates. Cheapest entry point for solo founders and small Swiss SMEs.
Try free
Affiliate disclosure: Canton Compliance Hub earns a commission if you purchase a paid plan via these links. This does not affect our editorial recommendations. We only list tools we consider genuinely suitable for the use case described.

Not sure where Protection des données compliance applies to you?

Get a free personalised report covering your specific situation, Protection des données-specific rules included.

Thèmes connexes
Protection des données dans d'autres cantons
Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique ou fiscal. La réglementation suisse évolue fréquemment ; vérifiez toujours auprès de sources officielles ou d'une fiduciaire qualifiée avant toute décision.