La nouvelle Loi fédérale sur la protection des données (nLPD) est entrée en vigueur le 1er septembre 2023, modernisant un cadre suisse qui datait de 1992. Beaucoup de dirigeants supposent qu’elle est “le RGPD suisse”. C’est faux. La nLPD s’inspire du RGPD mais conserve sept différences structurelles qui changent la conformité au quotidien — du régime des sanctions au statut du DPO, en passant par les délais de notification.
Cet article tranche les zones grises. Si vous opérez en Suisse, traitez des données de résidents suisses, ou exportez des données depuis l’UE vers la Suisse, vous devez savoir quelle loi s’applique, quand les deux s’appliquent simultanément, et où les exigences divergent. Pour le contexte global, voir notre guide complet RGPD en Suisse.
Points clés
- La nLPD ne protège que les personnes physiques (le RGPD aussi depuis 2018) — le RGPD impose des amendes administratives jusqu’à 4% du CA ; la nLPD impose des sanctions pénales jusqu’à 250 000 CHF contre les personnes physiques responsables.
- Le DPO (conseiller à la protection des données) est obligatoire pour les autorités publiques et certaines entreprises sous RGPD ; il est facultatif sous la nLPD pour les entreprises privées.
- La nLPD n’impose pas le délai strict de 72h pour la notification de violation — la formulation est “dans les meilleurs délais”, uniquement si le risque est élevé.
- L’analyse d’impact (AIPD) reste obligatoire dans les deux régimes pour les traitements à risque élevé, avec des seuils légèrement différents.
- La Suisse bénéficie d’une décision d’adéquation de la Commission européenne (renouvelée en 2024) : les transferts UE → Suisse ne nécessitent pas de garanties supplémentaires.
- Une entreprise suisse traitant des données de résidents UE doit appliquer le RGPD ET la nLPD simultanément.
- Le PFPDT (Préposé fédéral à la protection des données et à la transparence) est l’autorité suisse compétente, équivalent fonctionnel de la CNIL.
1. Champ d’application : qui doit appliquer quoi ?
La première confusion pratique concerne la portée territoriale. Le RGPD s’applique à toute entreprise — suisse ou non — qui traite des données de résidents UE ou EEE, soit par établissement, soit en ciblant ces résidents. La nLPD s’applique aux traitements effectués en Suisse et aux traitements effectués à l’étranger qui produisent des effets en Suisse (article 3 nLPD, principe d’extraterritorialité similaire).
En pratique, une PME suisse qui vend en ligne à des clients allemands et français doit se conformer aux deux régimes. Une PME suisse qui ne traite que des données de résidents suisses n’est soumise qu’à la nLPD. Un éditeur SaaS basé à Berlin qui héberge des comptes d’utilisateurs suisses applique principalement le RGPD ; la nLPD s’applique additionnellement pour la partie suisse.
| Situation | RGPD applicable ? | nLPD applicable ? |
|---|---|---|
| Entreprise suisse, clients suisses uniquement | Non | Oui |
| Entreprise suisse, clients UE/EEE | Oui | Oui |
| Entreprise UE traitant des données suisses | Oui | Oui (si effets en Suisse) |
| Entreprise hors UE/CH, ciblant les résidents suisses | Non | Oui |
2. Régime des sanctions : pénal vs administratif
C’est la différence la plus mal comprise. Le RGPD applique des amendes administratives infligées à l’entreprise par l’autorité de contrôle (CNIL, EDPB, etc.) : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
La nLPD applique au contraire un régime pénal : les amendes ciblent les personnes physiques responsables (dirigeants, DPO interne, responsable de traitement), avec un plafond de 250 000 CHF. Article 60 et suivants nLPD. Cela transforme radicalement la gestion du risque : la responsabilité personnelle d’un dirigeant peut être engagée pour des manquements sur la transparence, la sécurité, ou les transferts internationaux.
Cette architecture pénale a deux conséquences pratiques :
- La preuve doit être apportée par le ministère public, ce qui ralentit les procédures (peu de sanctions effectives en 2024-2025).
- Les dirigeants ne peuvent pas s’auto-assurer contre des amendes pénales — contrairement aux amendes RGPD couvertes par certaines polices D&O.
3. Le DPO : obligatoire vs facultatif
Sous le RGPD (article 37), le DPO est obligatoire pour les autorités publiques, les entreprises dont l’activité principale consiste à surveiller à grande échelle, et celles traitant à grande échelle des données sensibles.
Sous la nLPD, le conseiller à la protection des données est facultatif pour les entreprises privées (article 10 nLPD). Cependant, sa désignation est fortement recommandée car elle dispense l’entreprise de consulter le PFPDT pour certaines AIPD à risque résiduel élevé. Les autorités fédérales suisses doivent désigner un conseiller (article 25 nLPD pour les organes fédéraux).
4. Notification de violation : 72h vs “meilleurs délais”
Le RGPD (article 33) impose une notification au superviseur dans les 72 heures à compter de la prise de connaissance, sauf si la violation est peu susceptible d’engendrer un risque pour les personnes concernées. Le délai s’applique strictement.
La nLPD (article 24) impose la notification au PFPDT “dans les meilleurs délais”, et uniquement si le risque pour les personnes concernées est élevé. Pas de délai chiffré. En pratique, le PFPDT recommande de notifier dans un délai aussi court que possible — l’usage converge vers les 72h, mais la flexibilité existe pour les enquêtes complexes. Pour la procédure complète, voir notre guide notification de violation nLPD.
5. AIPD (analyse d’impact) : seuils différents
Le RGPD (article 35) impose une AIPD pour les traitements à risque élevé, avec une liste indicative et des lignes directrices EDPB. La nLPD (article 22) impose la même obligation mais avec deux particularités :
- Si l’AIPD montre un risque résiduel élevé, l’entreprise doit consulter le PFPDT — sauf si elle a désigné un conseiller à la protection des données.
- Les autorités publiques sont systématiquement soumises à l’obligation pour les traitements automatisés affectant des droits.
6. Données sensibles : définitions divergentes
Les “données sensibles” (RGPD) et “données personnelles sensibles” (nLPD) ne couvrent pas exactement le même périmètre. La nLPD inclut explicitement :
- Les données sur les opinions ou activités religieuses, philosophiques, politiques, syndicales
- Les données génétiques et biométriques permettant l’identification univoque
- Les données sur la santé, la sphère intime ou l’origine raciale ou ethnique
- Les données sur les poursuites et sanctions administratives et pénales
- Les données sur les mesures d’aide sociale
Les deux dernières catégories sont spécifiques à la nLPD — pertinentes notamment pour les RH, l’assurance, le secteur public.
7. Décision d’adéquation : ce que cela change
La Suisse bénéficie d’une décision d’adéquation de la Commission européenne depuis l’année 2000, renouvelée le 15 janvier 2024 sous le régime nLPD. Cette décision reconnaît que la Suisse offre un niveau de protection équivalent au RGPD.
Conséquences concrètes :
- Les transferts de données depuis l’UE vers la Suisse ne nécessitent aucune garantie supplémentaire (clauses contractuelles types, BCR, etc.). C’est un transfert “intra-EEE équivalent”.
- Pour les transferts inverses (Suisse → UE), aucun problème : la Suisse considère l’UE comme adéquate.
- Pour les transferts Suisse → pays tiers (États-Unis hors EU-US Data Privacy Framework, par exemple), la nLPD impose des garanties similaires aux clauses contractuelles types RGPD. Voir notre guide transferts internationaux et nLPD.
Tableau de synthèse : RGPD vs nLPD
| Critère | RGPD | nLPD |
|---|---|---|
| Entrée en vigueur | 25 mai 2018 | 1er septembre 2023 |
| Sanctions | Administratives, jusqu’à 4% CA / 20M€ | Pénales, jusqu’à 250 000 CHF (personnes physiques) |
| DPO | Obligatoire dans certains cas | Facultatif (entreprises privées) |
| Notification violation | 72h | “Meilleurs délais”, risque élevé uniquement |
| Registre des traitements | Obligatoire (sauf <250 salariés et risque faible) | Obligatoire (PME exemptées si <250 et risque faible) |
| AIPD | Obligatoire pour risque élevé | Obligatoire pour risque élevé |
| Droit à l’oubli | Article 17 | Article 32 |
| Portabilité | Article 20 | Article 28 |
| Autorité | CNIL, BfDI, AEPD, etc. | PFPDT |
| Adéquation | — | Reconnue par la Commission européenne (2024) |
Cas pratique : une PME suisse en e-commerce
Une PME suisse de 35 salariés vendant en ligne, dont 40% des clients sont en France et en Allemagne :
- RGPD s’applique pour tous les traitements liés aux clients UE.
- nLPD s’applique pour tous les traitements en Suisse.
- Le registre des traitements doit couvrir les deux régimes.
- La politique de confidentialité doit mentionner les deux bases légales et les deux autorités de contrôle.
- Le DPO n’est pas obligatoire au sens RGPD (pas de surveillance à grande échelle ni de données sensibles à grande échelle), ni au sens nLPD — mais sa désignation simplifie les AIPD à risque élevé.
- En cas de violation affectant des clients UE et suisses : notification CNIL dans les 72h et notification PFPDT dans les meilleurs délais.
C’est précisément ce type de configuration que Legiscope automatise : registre des traitements multilingue, DPA, AIPD, et workflow de notification de violation aligné sur les deux régimes.
Conclusion
La nLPD n’est pas un simple “RGPD suisse”. Elle reprend la structure générale (droits des personnes, principes fondamentaux, registre, AIPD) mais diverge sur quatre points qui changent la conformité opérationnelle : régime de sanctions pénal, DPO facultatif, délai de notification souple, données sensibles élargies. Pour une entreprise opérant des deux côtés de la frontière, l’enjeu n’est pas de choisir un cadre — c’est de bâtir un dispositif unique qui couvre les deux régimes.
Pour aller plus loin, consultez notre checklist de conformité nLPD pour PME suisses et notre guide RGPD en Suisse.
FAQ
La nLPD remplace-t-elle le RGPD pour les entreprises suisses ?
Non. La nLPD complète le RGPD. Une entreprise suisse traitant des données de résidents UE doit appliquer les deux régimes simultanément. La nLPD régit la conformité côté suisse ; le RGPD régit les obligations vis-à-vis des résidents UE.
Quelles sont les sanctions maximales sous la nLPD ?
La nLPD prévoit des amendes pénales jusqu’à 250 000 CHF infligées aux personnes physiques responsables (dirigeants, DPO interne). Contrairement au RGPD, ces amendes ne sont pas infligées à la personne morale.
Le DPO est-il obligatoire sous la nLPD ?
Pour les entreprises privées, non. La désignation d’un conseiller à la protection des données est facultative mais fortement recommandée — elle dispense de consulter le PFPDT pour les AIPD à risque résiduel élevé. Les autorités fédérales suisses doivent désigner un conseiller.
Les transferts UE vers Suisse nécessitent-ils des clauses contractuelles types ?
Non. La Suisse bénéficie d’une décision d’adéquation de la Commission européenne (renouvelée le 15 janvier 2024). Les transferts UE → Suisse sont traités comme des transferts intra-EEE et ne nécessitent aucune garantie supplémentaire.
Quel est l’équivalent suisse de la CNIL ?
Le PFPDT (Préposé fédéral à la protection des données et à la transparence) est l’autorité fédérale suisse de protection des données. Il dispose de pouvoirs d’enquête et peut ordonner la suspension d’un traitement, mais ne prononce pas directement les amendes pénales prévues par la nLPD — celles-ci relèvent du ministère public.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial
