La nouvelle Loi fédérale sur la protection des données (nLPD), en vigueur depuis le 1er septembre 2023, impose aux PME suisses douze obligations concrètes. Cet article décompose chacune en actions vérifiables — pas en généralités. Si vous cochez les douze points avec preuves documentées, vous êtes en conformité matérielle. Si trois ou plus restent ouverts, vous portez un risque pénal direct (jusqu’à 250 000 CHF contre les dirigeants ou le DPO).
Cette checklist est pensée pour une PME suisse de 10 à 250 salariés. Pour les bases du cadre suisse, voir notre guide RGPD en Suisse. Pour les différences avec le RGPD, nLPD vs RGPD : 7 différences clés.
Points clés
- 12 obligations matérielles : registre, AIPD, transferts, contrats sous-traitants, sécurité, droits des personnes, conservation, transparence, formation, notification de violation, conseiller, gouvernance.
- Les PME de moins de 250 salariés et avec un risque faible peuvent être dispensées du registre formel — mais doivent prouver le risque faible. En pratique, le registre est nécessaire dès que vous traitez des données RH ou clients en volume.
- Le risque de sanction pénale (250 000 CHF) repose sur les personnes physiques responsables, pas sur l’entreprise.
- Le PFPDT a publié plusieurs guides sectoriels en 2024-2025 ; ils doivent être consultés pour les secteurs sensibles (santé, RH, finance).
☐ 1. Cartographier vos traitements et établir le registre
Article 12 nLPD. Le registre des activités de traitement liste chaque traitement avec :
- Finalité du traitement
- Catégories de données concernées
- Catégories de personnes concernées
- Destinataires (internes et externes)
- Pays destinataire si transfert international
- Durée de conservation
- Description générale des mesures de sécurité
Exception PME : entreprises de moins de 250 salariés dont le traitement présente un risque faible pour les personnes concernées (article 11 OPDo). En pratique, dès que vous gérez des fiches clients, des données RH, ou un site web avec inscription, vous êtes au-dessus du seuil. Tenez le registre.
Test pratique : pouvez-vous, en moins de 5 minutes, lister tous les traitements de votre PME et leurs caractéristiques ? Si non, votre registre est insuffisant.
☐ 2. Désigner (ou non) un conseiller à la protection des données
Article 10 nLPD. Pour les entreprises privées, la désignation est facultative — mais elle dispense de consulter le PFPDT pour les AIPD à risque résiduel élevé. Avantage net pour les PME qui traitent des données sensibles (santé, RH, finance).
Le conseiller doit être indépendant, disposer des compétences nécessaires, et ne doit pas occuper de fonction incompatible (par exemple, le responsable IT qui fixe les budgets de sécurité).
À documenter : décision de désignation, fiche de poste, mention sur le site web (coordonnées de contact), notification au PFPDT (recommandée mais non obligatoire).
☐ 3. Identifier les traitements à haut risque et conduire les AIPD
Article 22 nLPD. Une analyse d’impact (AIPD) est obligatoire dès lors qu’un traitement présente un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Indicateurs typiques :
- Profilage à grande échelle
- Traitement de données sensibles à grande échelle
- Surveillance systématique d’espaces ouverts au public (vidéosurveillance)
- Traitement automatisé entraînant des décisions ayant des effets juridiques
L’AIPD documente : description du traitement, nécessité, risques pour les personnes, mesures de mitigation, risque résiduel.
Si le risque résiduel reste élevé : consultation du PFPDT obligatoire (sauf si vous avez désigné un conseiller).
☐ 4. Encadrer les transferts internationaux
Articles 16-18 nLPD. Cinq cas de figure :
- Pays adéquat (UE/EEE, UK, Canada commercial, etc.) : transfert libre.
- Pays non adéquat avec garanties : clauses contractuelles types (CCT du Conseil fédéral, équivalent des CCT UE), règles d’entreprise contraignantes (BCR), code de conduite reconnu.
- Garanties spécifiques : ad hoc, soumis à l’approbation du PFPDT.
- Dérogations : consentement exprès, exécution du contrat, motifs d’intérêt public.
- États-Unis : pour les organisations certifiées Swiss-U.S. Data Privacy Framework (DPF), transfert libre. Hors DPF, CCT obligatoires + analyse d’impact (TIA).
À documenter : liste des sous-traitants étrangers, mécanisme de garantie pour chacun, copie signée des CCT.
Voir transferts de données vers la Suisse et nLPD pour les flux dans l’autre sens.
☐ 5. Contrats avec les sous-traitants
Article 9 nLPD. Tout sous-traitant qui traite des données pour votre compte doit être encadré par un contrat écrit prévoyant :
- L’objet et la durée du traitement
- Les obligations de sécurité
- L’interdiction de sous-traiter sans autorisation
- L’obligation d’assistance en cas de violation
- La restitution ou suppression des données en fin de contrat
Liste à constituer : tous les fournisseurs cloud (Microsoft 365, Google Workspace, AWS), CRM, paie, RH, marketing, support client. Pour chacun, vérifier l’existence d’un DPA signé et à jour.
Voir notre guide article 28 RGPD — la logique nLPD est analogue.
☐ 6. Sécurité technique et organisationnelle
Article 8 nLPD + OPDo article 1-3. Mesures attendues :
- Contrôle d’accès logique (mots de passe forts, MFA pour les accès sensibles)
- Chiffrement des données en transit (TLS) et au repos pour les données sensibles
- Sauvegardes régulières et testées
- Journalisation des accès (logs conservés 1 an minimum pour les traitements à risque)
- Procédure de gestion des incidents
- Mise à jour régulière des systèmes
- Politique de gestion des accès en cas de départ d’un collaborateur
Test pratique : un collaborateur quitte l’entreprise vendredi à 18h. Combien de temps avant que tous ses accès soient révoqués ? Au-delà de 24h, votre dispositif est insuffisant.
☐ 7. Procédure pour les droits des personnes
Articles 25-32 nLPD. Les personnes concernées disposent de :
- Droit d’accès (article 25)
- Droit de rectification (article 32)
- Droit à l’effacement (article 32)
- Droit à la portabilité (article 28)
- Droit d’opposition au traitement
- Droit de ne pas faire l’objet d’une décision individuelle automatisée
Délai de réponse : 30 jours, prorogeable de 60 jours pour les demandes complexes. Procédure obligatoire :
- Boîte mail dédiée (privacy@… ou rgpd@…)
- Vérification d’identité du demandeur
- Coordination interne (RH, IT, marketing) pour rassembler les données
- Réponse motivée écrite
☐ 8. Politique de conservation et suppression
Article 6 nLPD. Principe de limitation de la conservation : les données ne doivent pas être conservées plus longtemps que nécessaire à la finalité du traitement. Vous devez documenter, par catégorie de traitement, la durée de conservation et le mécanisme de suppression.
Exemples de durées usuelles :
- Candidatures non retenues : 6 mois (sauf consentement explicite)
- Contrats signés : 10 ans après la fin du contrat (prescription civile)
- Logs de connexion : 1 an
- Cookies : 13 mois maximum
- Données de prospection commerciale : 3 ans après le dernier contact
☐ 9. Information et transparence
Articles 19-21 nLPD. Toute personne concernée doit être informée — au moment de la collecte — de :
- L’identité et les coordonnées du responsable de traitement
- Les finalités du traitement
- Les destinataires des données
- Le pays destinataire en cas de transfert international
- L’existence des droits
Politique de confidentialité du site web : à jour, accessible depuis chaque page, datée. Mention claire de l’application combinée RGPD + nLPD si vous avez des clients UE.
☐ 10. Formation et sensibilisation
Aucune obligation explicite de formation dans la nLPD, mais elle est requise indirectement via l’obligation de sécurité organisationnelle (article 8). En cas de violation, l’absence de formation est considérée comme une faute organisationnelle.
Minimum acceptable : formation initiale à l’embauche, rappel annuel, traçabilité (feuille de signature ou plateforme e-learning).
☐ 11. Procédure de notification de violation
Article 24 nLPD. En cas de violation de données présentant un risque élevé pour les personnes concernées, le PFPDT doit être notifié dans les meilleurs délais. Les personnes concernées doivent également être informées si nécessaire à leur protection.
Procédure interne :
- Détection (logs, signalement utilisateur, alerte fournisseur)
- Qualification (s’agit-il d’une violation ? Quelle est l’étendue ?)
- Décision (risque élevé ou non ?)
- Notification PFPDT et personnes concernées si nécessaire
- Documentation interne de toutes les violations (même non notifiées)
Détail dans notre guide notification de violation nLPD.
☐ 12. Gouvernance et revue annuelle
Désigner un responsable conformité (peut être le dirigeant lui-même), tenir un comité trimestriel, conduire une revue annuelle complète :
- Mise à jour du registre
- Réévaluation des AIPD existantes
- Audit des sous-traitants
- Revue des incidents de l’année
- Plan d’action pour l’année suivante
Auto-évaluation : où en êtes-vous ?
| Score | Statut |
|---|---|
| 12/12 cochés avec preuves | Conformité matérielle solide |
| 9-11/12 | Risque résiduel modéré, plan d’action prioritaire |
| 6-8/12 | Risque significatif, mise en conformité urgente |
| <6/12 | Risque pénal pour les dirigeants, action immédiate |
Outillage et automatisation
La conformité nLPD se gère manuellement avec un volume de données limité — au-delà, un outil automatisé devient nécessaire. Legiscope automatise le registre des traitements (lecture des contrats sous-traitants par IA), génère les AIPD, audite les formulaires de collecte, et tient à jour la cartographie des transferts internationaux. Pour une PME suisse traitant des clients UE, un outil unique permet de couvrir RGPD + nLPD sans dédoubler les efforts.
Conclusion
La nLPD ne tolère pas l’à-peu-près. Le régime de sanctions pénales (250 000 CHF contre les personnes physiques) impose une rigueur documentaire constante. Cette checklist couvre les douze obligations matérielles ; elle ne dispense pas d’un audit annuel par un expert externe pour les PME traitant des données sensibles à grande échelle.
Pour creuser les points spécifiques : PFPDT — rôle et pouvoirs, transferts vers la Suisse, nLPD vs RGPD.
FAQ
Une PME de 30 salariés est-elle dispensée du registre des traitements ?
Non, pas automatiquement. L’exemption (entreprises de moins de 250 salariés) ne s’applique que si le traitement présente un risque faible pour les personnes concernées. Dès que vous gérez des fiches RH, des clients en volume, ou un site web avec inscription, vous dépassez ce seuil et devez tenir le registre.
Combien de temps faut-il pour mettre une PME suisse en conformité nLPD ?
Pour une PME de 50 salariés sans données sensibles à grande échelle : 4 à 8 semaines en mode projet, avec un consultant externe ou un outil automatisé. Le poste le plus chronophage est la cartographie des sous-traitants et la rédaction des contrats manquants.
Les sanctions pénales nLPD ont-elles déjà été prononcées ?
Très peu en 2024-2025 — la procédure pénale est lente. Le PFPDT privilégie les recommandations et les mises en demeure. Mais les premiers dossiers commencent à émerger pour des manquements graves (transparence, transferts internationaux non encadrés). La menace est réelle pour 2026-2027.
Faut-il un DPO pour une PME suisse ?
Pas obligatoirement. Sa désignation est facultative pour les entreprises privées. Recommandée si vous traitez des données sensibles (santé, RH à grande échelle, finance) car elle dispense de consulter le PFPDT pour les AIPD à risque résiduel élevé.
Le RGPD s’ajoute-t-il à la nLPD pour une PME suisse ?
Oui, dès que vous traitez des données de résidents UE/EEE. Une PME suisse vendant en France doit appliquer les deux régimes simultanément. Un dispositif unique de conformité (registre, politique, procédures) peut couvrir les deux.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo
