Données personnelles

Notification de violation de données sous la nLPD : procédure 2026

Procédure complète de notification au PFPDT en cas de violation de données sous la nLPD. Critères de risque, délais, contenu et différences avec le RGPD.

TD
Dr. Thiébaut Devergranne
30 avril 20268 min read

L’article 24 de la nouvelle Loi fédérale sur la protection des données (nLPD) impose la notification au PFPDT (Préposé fédéral à la protection des données et à la transparence) en cas de violation de données présentant un risque élevé pour les personnes concernées. Le régime est plus souple que celui du RGPD (pas de délai chiffré de 72h) mais plus exigeant qu’on ne le pense — et la responsabilité pénale du dirigeant est en jeu.

Cet article détaille la procédure étape par étape : qualification de la violation, critères de risque, contenu de la notification, communication aux personnes concernées, et coordination avec le RGPD pour les violations transfrontalières. Pour le cadre nLPD général, voir nLPD vs RGPD : 7 différences clés.

Points clés

  • La nLPD impose la notification au PFPDT dans les meilleurs délais — pas de délai strict de 72h.
  • Critère déclencheur : risque élevé pour les personnes concernées. Risque modéré ou faible : pas d’obligation de notifier au PFPDT, mais documentation interne obligatoire.
  • Communication aux personnes concernées : obligatoire si nécessaire à leur protection ou si le PFPDT l’exige.
  • L’omission délibérée de notifier expose le dirigeant à une amende pénale jusqu’à 250 000 CHF (article 60 nLPD).
  • Pour une PME suisse avec clients UE, la double notification (PFPDT + autorité UE compétente) est requise. Le délai RGPD de 72h s’impose alors de fait.

1. Qu’est-ce qu’une violation de données sous la nLPD ?

L’article 5 lettre h nLPD définit la violation comme tout incident entraînant la perte, l’altération non autorisée, la divulgation à des tiers non autorisés, ou la rendre inaccessible des données personnelles, qu’il soit accidentel ou illicite.

Trois catégories typiques :

Type Exemple
Confidentialité Vol de base de données, e-mail envoyé au mauvais destinataire, accès illicite par un employé
Intégrité Altération non autorisée d’un dossier RH, modification de données par un attaquant
Disponibilité Ransomware bloquant l’accès aux fichiers clients, perte de sauvegarde unique

Attention : la perte temporaire d’accès due à une panne planifiée ou à une maintenance n’est pas une violation au sens de la nLPD. La perte définitive ou prolongée l’est.

2. Critère déclencheur : le risque élevé

Contrairement au RGPD qui impose la notification dès qu’il existe un risque (sauf exceptions), la nLPD limite l’obligation aux violations présentant un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées (article 24 al. 1 nLPD).

Indicateurs de risque élevé (analyse au cas par cas) :

  • Catégories de données : données sensibles (santé, opinions politiques, données pénales) → risque élevé par défaut
  • Nature de la violation : exfiltration vers un tiers identifié comme malveillant > simple perte d’un fichier chiffré
  • Volume : 50 000 dossiers compromis > 5 dossiers
  • Identifiabilité : données nominatives identifiables > données pseudonymisées correctement
  • Conséquences possibles : usurpation d’identité, fraude financière, discrimination, atteinte à la réputation

Méthode pratique : pour chaque violation détectée, scorer sur 5 dimensions (catégorie, nature, volume, identifiabilité, conséquences). Si 3 dimensions ou plus sont en zone “élevée”, notifier.

3. Procédure interne en 7 étapes

Étape 1 — Détection et alerte (T+0)

Sources de détection :

  • Outils de monitoring (SIEM, EDR, alertes cloud)
  • Signalement par un employé ou utilisateur
  • Notification d’un sous-traitant ou prestataire
  • Demande de rançon (ransomware)
  • Investigation post-incident

Mettre en place une boîte mail dédiée (incident@... ou security@...) et un canal de signalement interne accessible à tous les collaborateurs.

Étape 2 — Confinement (T+0 à T+24h)

Avant toute analyse :

  • Isoler les systèmes compromis
  • Révoquer les accès suspects
  • Préserver les preuves (logs, captures, copies forensiques)
  • Activer la cellule de crise

Étape 3 — Qualification (T+24h à T+72h)

Déterminer :

  • Y a-t-il violation au sens nLPD ?
  • Quelles données sont concernées ? (catégories, volume, nominatif/pseudonymisé)
  • Combien de personnes ?
  • Cause : externe (attaque), interne (négligence, malveillance), tiers (sous-traitant) ?
  • Étendue temporelle : depuis quand ? Encore en cours ?

Étape 4 — Évaluation du risque (T+72h)

Appliquer la méthode des 5 dimensions (cf. section 2). Décision :

  • Risque élevé → notifier le PFPDT (étape 5)
  • Risque non élevé → documenter sans notifier (étape 7)
  • Doute → notifier par précaution (le PFPDT préfère un faux positif à un défaut de notification)

Étape 5 — Notification au PFPDT (dans les meilleurs délais)

Le PFPDT met à disposition un formulaire en ligne sur edoeb.admin.ch. Contenu obligatoire :

  • Description de la violation
  • Catégories et nombre approximatif de personnes concernées
  • Catégories et nombre approximatif de jeux de données concernés
  • Conséquences probables
  • Mesures prises ou envisagées pour remédier à la violation et atténuer ses effets
  • Coordonnées du conseiller à la protection des données ou du point de contact

“Meilleurs délais” : pas de chiffrage, mais l’usage et la doctrine convergent vers 72h après prise de connaissance certaine. Au-delà, motiver le retard par la complexité de l’enquête.

Étape 6 — Communication aux personnes concernées

Obligatoire si nécessaire à leur protection (article 24 al. 2 nLPD) ou si le PFPDT l’exige.

Cas typiques imposant la communication :

  • Compromission de mots de passe → recommander la modification
  • Exfiltration de données financières ou de santé → permettre vigilance
  • Risque d’usurpation d’identité

Forme : courriel individuel, courrier postal, ou — si volume très important — communication publique (page web dédiée + presse).

Contenu :

  • Description claire de la violation
  • Conséquences possibles
  • Mesures recommandées (changer mot de passe, surveiller comptes bancaires, etc.)
  • Coordonnées du point de contact

Étape 7 — Documentation interne

Toutes les violations doivent être documentées, qu’elles soient notifiées ou non. Le PFPDT peut auditer ce registre. Format minimum :

  • Date de détection et de prise de connaissance
  • Description factuelle
  • Données et personnes concernées
  • Évaluation du risque (motivée)
  • Décision (notifier / ne pas notifier)
  • Mesures correctives prises
  • Leçons apprises et améliorations

4. Coordination RGPD + nLPD : la double notification

Pour une PME suisse traitant des données de résidents UE, une violation peut déclencher deux obligations parallèles :

Obligation Délai Autorité Critère
nLPD article 24 “Meilleurs délais” PFPDT Risque élevé
RGPD article 33 72h CNIL / autorité chef de file UE Tout risque (sauf exceptions)

En pratique, le délai RGPD de 72h s’impose pour les deux. Coordination utile :

  • Notification PFPDT et autorité UE le même jour
  • Cohérence des informations communiquées
  • Désignation d’un porte-parole unique

5. Sanctions en cas de défaut de notification

L’article 60 al. 1 lettre b nLPD punit d’une amende pouvant atteindre 250 000 CHF la personne physique qui, intentionnellement, viole les obligations de notification. Conditions :

  • Caractère intentionnel (la négligence simple n’est pas pénalement réprimée)
  • Personne physique responsable (dirigeant, conseiller à la protection des données, responsable de la sécurité)

Risque indirect plus immédiat : action du PFPDT (recommandation, mise en demeure) et atteinte réputationnelle si la violation est révélée par la presse ou par les personnes concernées.

6. Cas pratique : ransomware sur PME suisse

Une PME suisse de 80 salariés est victime d’un ransomware un vendredi soir. Le système de gestion RH (3 200 dossiers nominatifs incluant données médicales) est chiffré. Pas de preuve d’exfiltration. Sauvegarde fonctionnelle datée de la veille.

T+0 (vendredi 22h) : alerte EDR. Cellule de crise activée. Réseau isolé.

T+12h (samedi 10h) : confinement validé. Analyse forensique commencée.

T+36h (dimanche 10h) : qualification. Données sensibles (santé) impliquées, volume important, exfiltration non démontrée mais possible. Risque élevé.

T+48h (dimanche 22h) : décision de notifier le PFPDT.

T+60h (lundi 10h) : notification PFPDT déposée. Restauration depuis la sauvegarde commencée.

T+5 jours : communication individuelle aux 3 200 personnes concernées (recommandation de surveillance).

T+10 jours : rapport complémentaire au PFPDT (cause technique, mesures correctives durables).

Cette chronologie respecte les “meilleurs délais” de la nLPD. Si l’entreprise avait des employés ou clients UE, le délai 72h RGPD aurait imposé de notifier la CNIL (ou autorité chef de file) au plus tard le lundi 22h.

7. Outillage : automatiser la notification

Legiscope propose un workflow de gestion des violations qui aligne RGPD et nLPD : qualification assistée par IA, scoring du risque, génération du formulaire PFPDT pré-rempli, modèles de communication aux personnes concernées, et registre interne traçable. Pour une PME, le gain est de l’ordre de 30 à 60 minutes par incident — décisif quand l’horloge tourne.

Conclusion

La nLPD ne fixe pas de délai chiffré mais impose une rigueur procédurale comparable au RGPD. La marge de manœuvre offerte par “meilleurs délais” se referme dès qu’il y a des personnes UE concernées. La meilleure défense contre le risque pénal de l’article 60 reste la documentation : registre des violations, analyse motivée du risque, traçabilité des décisions.

Pour aller plus loin : checklist nLPD pour PME, PFPDT — rôle et pouvoirs, nLPD vs RGPD.

FAQ

Quel est le délai de notification au PFPDT en cas de violation de données ?

La nLPD (article 24) impose la notification “dans les meilleurs délais” — sans délai chiffré. La doctrine et l’usage convergent vers 72h après prise de connaissance certaine. Au-delà, le retard doit être motivé par la complexité de l’enquête.

Faut-il notifier toutes les violations de données ?

Non. La nLPD impose la notification au PFPDT uniquement pour les violations présentant un risque élevé pour les personnes concernées. Les violations à risque modéré ou faible doivent être documentées en interne mais ne sont pas notifiées.

Comment évaluer si le risque est élevé ?

Cinq dimensions : catégorie des données (sensibles ou non), nature de la violation (exfiltration vs perte chiffrée), volume, identifiabilité, conséquences possibles (fraude, usurpation, discrimination). Si trois dimensions ou plus sont en zone élevée, notifier.

Que risque un dirigeant qui ne notifie pas une violation à risque élevé ?

L’article 60 al. 1 lettre b nLPD prévoit une amende pénale jusqu’à 250 000 CHF, à condition que l’omission soit intentionnelle. La négligence simple n’est pas pénalement réprimée — mais expose à une action du PFPDT et à un risque réputationnel.

Une PME suisse vendant en France doit-elle notifier la CNIL en plus du PFPDT ?

Oui, si la violation affecte des résidents UE. Le RGPD (article 33) impose la notification à l’autorité chef de file UE dans les 72h. Pour une PME suisse, l’autorité chef de file est généralement celle du pays où réside l’établissement principal de traitement — sinon, l’autorité de chaque pays concerné.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

Continue reading

Articles connexes

Article 28 of the GDPR: Obligations Imposed on Processors
Personal Data

Article 28 of the GDPR: Obligations Imposed on Processors

BCR vs SCC vs DPF: Choosing the Right GDPR Transfer Mechanism
Data Privacy

BCR vs SCC vs DPF: Choosing the Right GDPR Transfer Mechanism

Best GDPR Compliance Software for SMEs (2026)
Data Privacy

Best GDPR Compliance Software for SMEs (2026)

Consent Management Platforms Compared (2026)
Data Privacy

Consent Management Platforms Compared (2026)

Cookie Audit: How to Map Your Website's Cookies
Data Privacy

Cookie Audit: How to Map Your Website's Cookies

Cookie Banner Compliance: What Actually Meets the Law
Data Privacy

Cookie Banner Compliance: What Actually Meets the Law