Données personnelles

PFPDT : rôle, pouvoirs et procédures de l'autorité suisse

Le PFPDT, autorité suisse de protection des données : missions, pouvoirs d'enquête, procédure de plainte, sanctions et différences avec la CNIL.

TD
Dr. Thiébaut Devergranne
30 avril 20267 min read

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l’autorité fédérale suisse chargée d’appliquer la nouvelle Loi fédérale sur la protection des données (nLPD) ainsi que la Loi sur la transparence (LTrans). Son rôle se distingue nettement de celui de la CNIL française ou du BfDI allemand : le PFPDT enquête et recommande, mais il ne prononce pas directement les amendes — celles-ci relèvent du ministère public dans un cadre pénal.

Cet article détaille la structure, les pouvoirs, et la pratique réelle du PFPDT en 2026, avec un focus sur ce qu’une entreprise doit savoir en cas de plainte ou d’enquête. Pour le cadre légal nLPD, voir nLPD vs RGPD : 7 différences clés.

Points clés

  • Le PFPDT est une autorité indépendante rattachée administrativement à la Chancellerie fédérale, basée à Berne.
  • Ses pouvoirs : enquête, demande de renseignements, accès aux locaux et systèmes, recommandation, mesures provisionnelles, ordres de conformité.
  • Le PFPDT ne prononce pas d’amendes administratives. Les sanctions pénales nLPD (jusqu’à 250 000 CHF contre les personnes physiques) sont prononcées par le juge pénal sur dénonciation.
  • En 2024-2025, le PFPDT a publié plusieurs recommandations sectorielles et conduit des enquêtes médiatisées (Digitec Galaxus, banques, autorités cantonales).
  • Toute personne peut déposer plainte auprès du PFPDT en cas de violation présumée de la nLPD.

1. Statut et structure

Le PFPDT est désigné par le Conseil fédéral et confirmé par l’Assemblée fédérale pour un mandat de quatre ans renouvelable. Il jouit d’une indépendance fonctionnelle garantie par la nLPD. Adrian Lobsiger est PFPDT depuis 2016 ; le mandat actuel court jusqu’en 2027.

Le PFPDT couvre :

  • L’application de la nLPD aux organes fédéraux et aux personnes privées
  • L’application de la Loi sur la transparence (accès aux documents officiels)
  • La supervision des transferts internationaux
  • Les avis sur les projets législatifs touchant la protection des données
  • La représentation de la Suisse au Comité européen de la protection des données (en tant qu’observateur — la Suisse n’est pas membre de l’UE)

L’effectif est limité (autour de 50 collaborateurs en 2026) — beaucoup plus modeste que la CNIL (~280 collaborateurs) ou le BfDI (~330). Cette taille conditionne la stratégie d’action : priorisation forte, recommandations publiques plutôt qu’enquêtes systématiques.

2. Pouvoirs d’enquête

L’article 49 nLPD confère au PFPDT des pouvoirs étendus :

Pouvoir Portée
Demande de renseignements Toute personne, organe fédéral ou entreprise
Examen sur place Accès aux locaux, systèmes, documents
Audition de témoins Personnes concernées, employés, experts
Production de documents Y compris correspondance interne, contrats
Mesures provisionnelles Suspension d’un traitement en urgence
Constat de violation Décision motivée
Recommandation Adressée au responsable de traitement
Ordre de mise en conformité En cas d’inexécution d’une recommandation

Limite importante : le PFPDT ne peut pas perquisitionner sans mandat judiciaire. Sa compétence administrative s’arrête à l’examen sur place dans le cadre d’une procédure ouverte.

3. Comment se déroule une enquête PFPDT ?

Phase 1 — Ouverture

Trois sources possibles :

  • Plainte d’une personne concernée (formulaire en ligne sur edoeb.admin.ch)
  • Auto-saisine suite à information publique (presse, signalement)
  • Notification de violation (article 24 nLPD) — peut déclencher une enquête approfondie

Le PFPDT examine la recevabilité (compétence territoriale, matérielle, qualité du plaignant). Délai indicatif : 4 à 8 semaines.

Phase 2 — Instruction

Demandes de renseignements écrites. L’entreprise doit répondre dans un délai imparti (généralement 30 jours). Refus de coopérer : article 60 nLPD, amende pénale jusqu’à 250 000 CHF.

L’instruction peut inclure :

  • Examen de documents (registre, AIPD, contrats sous-traitants)
  • Examen sur place
  • Audition d’employés ou de la direction
  • Avis d’experts externes (sécurité, IA, etc.)

Durée typique : 3 à 12 mois selon la complexité.

Phase 3 — Constat et recommandation

Si violation constatée : recommandation écrite et motivée adressée à l’entreprise. Contenu typique :

  • Faits constatés
  • Articles violés
  • Mesures correctives à prendre
  • Délai de mise en œuvre (3 à 12 mois)

L’entreprise dispose de 30 jours pour accepter ou contester. Si elle accepte et exécute, l’affaire se clôt sans publicité (généralement).

Phase 4 — Recours en cas de désaccord

Si l’entreprise refuse la recommandation, le PFPDT peut saisir le Tribunal administratif fédéral. Le Tribunal peut ordonner la mise en conformité. En cas d’inexécution, le PFPDT peut prononcer des mesures coercitives administratives. La sanction pénale (250 000 CHF) reste séparée et requiert dénonciation au ministère public.

4. Le PFPDT n’inflige pas d’amendes — pourquoi c’est important

C’est la différence structurelle majeure avec la CNIL ou le BfDI. Sous le RGPD, l’autorité de contrôle inflige directement des amendes administratives (jusqu’à 4% du CA). Sous la nLPD, le PFPDT :

  • Constate la violation
  • Recommande des mesures
  • Peut ordonner la mise en conformité (via le TAF)
  • Peut dénoncer les responsables au ministère public pour sanctions pénales

Les amendes pénales nLPD (250 000 CHF maximum) sont prononcées par le juge pénal, sur dénonciation, contre des personnes physiques. Cette architecture explique le faible nombre de sanctions effectives en 2024-2025 : la procédure pénale est lente, exigeante en preuves, et orientée vers les manquements graves intentionnels.

5. Activité réelle du PFPDT en 2024-2025

Recommandations marquantes :

  • 2024 : recommandation à plusieurs autorités cantonales sur la publication de données fiscales en ligne — accès trop large constaté.
  • 2024 : enquête sur l’utilisation de cookies de suivi sur des sites de presse suisses, avec demande d’alignement sur le standard ePrivacy européen.
  • 2025 : positionnement public sur l’intelligence artificielle générative — le PFPDT confirme que la nLPD s’applique aux traitements IA sans nécessité de régulation supplémentaire.
  • 2025 : recommandations adressées à plusieurs banques sur l’utilisation des données client à des fins marketing sans base légale claire.
  • 2025 : début d’enquêtes sur des plateformes de courtage de données.

Rapport d’activité annuel publié sur edoeb.admin.ch — lecture recommandée pour identifier les priorités sectorielles.

6. Comment déposer une plainte au PFPDT

Toute personne concernée peut déposer plainte. Conditions :

  • Avoir tenté préalablement une démarche auprès du responsable de traitement (recommandé, pas obligatoire)
  • Décrire les faits avec précision
  • Joindre les pièces utiles (échanges, captures d’écran, contrats)

Procédure :

  • Formulaire en ligne sur edoeb.admin.ch
  • Courrier postal possible
  • Pas de frais

Le PFPDT ne représente pas le plaignant en justice — il instruit dans l’intérêt général. Pour obtenir réparation civile (dommages-intérêts), une action distincte devant les tribunaux civils suisses est nécessaire.

7. Comment se préparer en cas d’enquête PFPDT

Réflexes utiles pour une entreprise contactée par le PFPDT :

  1. Désigner un point de contact unique (DPO interne, responsable juridique) pour toutes les communications.
  2. Constituer le dossier de défense : registre des traitements, AIPD, contrats sous-traitants, politique de confidentialité, procédure de notification, formations.
  3. Répondre dans les délais — refus ou retard injustifié peut basculer le dossier en pénal.
  4. Documenter chaque échange par écrit.
  5. Faire appel à un conseil juridique externe spécialisé en droit suisse de la protection des données dès la première demande de renseignements.

Legiscope maintient automatiquement le dossier de conformité — registre, DPA, AIPD, journal des incidents — exportable en cas de demande PFPDT. Pour une PME, c’est la différence entre fournir un dossier en 24h et improviser pendant trois semaines.

Conclusion

Le PFPDT est moins offensif que la CNIL en termes de sanctions directes, mais il dispose de pouvoirs d’enquête étendus et d’un canal pénal qui engage la responsabilité personnelle des dirigeants. La trajectoire 2024-2026 montre une montée en puissance progressive : recommandations sectorielles, enquêtes médiatisées, premières dénonciations pénales. Pour une entreprise opérant en Suisse, la conformité matérielle reste le meilleur bouclier — un dossier solide rend une enquête PFPDT routinière plutôt qu’existentielle.

Pour aller plus loin : checklist nLPD pour PME, notification de violation nLPD, transferts vers la Suisse.

FAQ

Le PFPDT peut-il infliger des amendes ?

Non. Le PFPDT ne prononce pas d’amendes administratives. Il enquête, recommande et peut ordonner la mise en conformité via le Tribunal administratif fédéral. Les amendes pénales nLPD (jusqu’à 250 000 CHF) sont prononcées par le juge pénal sur dénonciation, et visent les personnes physiques responsables.

Combien de temps dure une enquête PFPDT ?

Variable. Une enquête simple (réponse à une plainte ciblée) peut se conclure en 3 à 6 mois. Une enquête complexe (sectorielle, multi-entités) peut durer 12 à 24 mois. Le PFPDT n’a pas de délai légal contraignant pour rendre sa décision.

Comment le PFPDT se compare-t-il à la CNIL ?

Le PFPDT est plus modeste en effectif (~50 vs ~280) et n’inflige pas d’amendes administratives. Il privilégie les recommandations publiques et les enquêtes ciblées. La CNIL prononce directement des amendes administratives sous RGPD. Pour une entreprise suisse exposée aux deux régimes, le risque CNIL est plus immédiat financièrement.

Faut-il notifier le PFPDT pour toute violation de données ?

Non. La notification (article 24 nLPD) est limitée aux violations présentant un risque élevé pour les personnes concernées. Les violations à risque faible ou modéré doivent être documentées en interne, sans notification.

Le PFPDT supervise-t-il aussi la Loi sur la transparence ?

Oui. Le PFPDT est compétent à la fois pour la nLPD (protection des données) et la LTrans (accès aux documents officiels des autorités fédérales). Pour les autorités cantonales, des préposés cantonaux distincts sont compétents.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

Continue reading

Articles connexes

Article 28 of the GDPR: Obligations Imposed on Processors
Personal Data

Article 28 of the GDPR: Obligations Imposed on Processors

BCR vs SCC vs DPF: Choosing the Right GDPR Transfer Mechanism
Data Privacy

BCR vs SCC vs DPF: Choosing the Right GDPR Transfer Mechanism

Best GDPR Compliance Software for SMEs (2026)
Data Privacy

Best GDPR Compliance Software for SMEs (2026)

Consent Management Platforms Compared (2026)
Data Privacy

Consent Management Platforms Compared (2026)

Cookie Audit: How to Map Your Website's Cookies
Data Privacy

Cookie Audit: How to Map Your Website's Cookies

Cookie Banner Compliance: What Actually Meets the Law
Data Privacy

Cookie Banner Compliance: What Actually Meets the Law