LPD vs RGPD : Différences pour les Entreprises Suisses en 2026
Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (nLPD) est entrée en vigueur en Suisse. Si tu diriges une entreprise helvétique ou que tu traites des données de clients européens, tu te poses forcément la question : quelles sont les différences concrètes entre la LPD suisse et le RGPD européen ? Et surtout, comment être conforme aux deux sans devenir fou ?
Dans ce guide, on décortique point par point les similitudes, les différences et les obligations qui s'appliquent réellement à ton entreprise en 2026.
LPD vs RGPD : définitions rapides
La LPD (Loi fédérale sur la protection des données) est la loi suisse qui encadre le traitement des données personnelles par les entreprises privées et les organes fédéraux. Sa version révisée (nLPD) est entrée en vigueur le 1er septembre 2023.
Le RGPD (Règlement général sur la protection des données) est le règlement européen applicable depuis le 25 mai 2018 à toute entité traitant des données de résidents de l'UE, où qu'elle soit dans le monde.
Les deux textes partagent une philosophie commune : donner aux individus le contrôle sur leurs données personnelles. Mais leurs approches diffèrent sur plusieurs points cruciaux.
Tableau comparatif : LPD vs RGPD en un coup d'œil
| Critère | LPD (Suisse) | RGPD (UE) |
|---|---|---|
| Entrée en vigueur | 1er septembre 2023 (nLPD) | 25 mai 2018 |
| Portée territoriale | Suisse + effets en Suisse | UE + entités ciblant l'UE |
| Personnes protégées | Personnes physiques uniquement | Personnes physiques uniquement |
| Amende maximale | 250 000 CHF (contre la personne responsable) | 20 M€ ou 4% du CA mondial |
| DPO obligatoire | Non (mais recommandé) | Oui dans certains cas |
| Notification de violation | Dès que possible au PFPDT | 72h à l'autorité |
| Registre des traitements | Obligatoire (sauf PME < 250) | Obligatoire (sauf PME < 250) |
| Consentement explicite | Requis pour données sensibles | Requis dans plus de cas |
| Analyse d'impact (AIPD) | Obligatoire si risque élevé | Obligatoire si risque élevé |
| Autorité de contrôle | PFPDT | Autorité nationale (CNIL, etc.) |
Les 7 différences majeures entre LPD et RGPD
1. Le régime de sanctions
C'est probablement la différence la plus marquante. Le RGPD prévoit des amendes administratives colossales pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. La LPD, elle, adopte une logique pénale : les amendes (jusqu'à 250 000 CHF) sont infligées aux personnes physiques responsables (dirigeants, DPO), pas à l'entreprise elle-même.
Concrètement : sous RGPD, ton entreprise paie. Sous LPD, c'est toi personnellement, en tant que dirigeant, qui peux être sanctionné. Ça change la donne psychologiquement.
2. Les données personnelles couvertes
La LPD protégeait historiquement les données des personnes physiques ET morales. Depuis la révision de 2023, elle s'aligne sur le RGPD : seules les personnes physiques sont désormais concernées. Une convergence bienvenue.
En revanche, la définition des données sensibles diffère légèrement. La LPD y inclut explicitement les données sur les mesures d'aide sociale et les poursuites administratives/pénales, ce qui est plus étendu que le RGPD.
3. Le délégué à la protection des données (DPO)
Le RGPD impose la désignation d'un DPO dans trois cas : autorités publiques, suivi systématique à grande échelle, traitement à grande échelle de données sensibles.
La LPD, elle, ne rend pas le DPO obligatoire. Elle parle de « conseiller à la protection des données », dont la désignation est facultative mais fortement recommandée. Si tu en désignes un, tu bénéficies même d'un allègement : plus besoin de consulter le PFPDT pour certaines analyses d'impact.
4. La notification des violations de données
Sous RGPD, tu as 72 heures pour notifier une fuite de données à l'autorité compétente. Un délai strict et connu.
Sous LPD, la règle est plus floue : « dès que possible » au Préposé fédéral à la protection des données et à la transparence (PFPDT). En pratique, vise 72h aussi pour être irréprochable. Le seuil de déclaration diffère également : LPD parle de « risque élevé » pour la personnalité, RGPD de « risque pour les droits et libertés ».
5. Le consentement
Le RGPD est très strict sur le consentement : il doit être libre, spécifique, éclairé, univoque et facilement révocable. La LPD est plus souple et se base davantage sur des motifs justificatifs (intérêt prépondérant, exécution d'un contrat, base légale). Le consentement explicite n'est requis que pour les données sensibles ou le profilage à risque élevé.
6. Le profilage à risque élevé
La LPD introduit une notion spécifique : le « profilage à risque élevé », qui déclenche des obligations renforcées (consentement explicite, analyse d'impact). Le RGPD parle de « décision individuelle automatisée » avec des critères un peu différents.
7. Le transfert international de données
Les deux régimes exigent un niveau de protection adéquat pour les transferts hors zone. La Suisse et l'UE se reconnaissent mutuellement comme offrant un niveau adéquat, ce qui facilite les échanges bilatéraux. Pour les transferts vers d'autres pays, la LPD publie sa propre liste (similaire mais pas identique à celle de la Commission européenne).
Mon entreprise suisse doit-elle appliquer le RGPD ?
Question cruciale. La réponse est oui, si :
- Tu offres des biens ou services à des personnes résidant dans l'UE (même gratuits)
- Tu suis le comportement de personnes dans l'UE (cookies, analytics, tracking)
- Tu as un établissement dans l'UE
Exemple concret : une boutique en ligne genevoise qui vend en France ? RGPD ET LPD. Un cabinet médical vaudois qui n'a que des patients suisses ? LPD uniquement.
La bonne nouvelle : si tu es conforme RGPD, tu es à 95% conforme LPD. L'inverse n'est pas forcément vrai. En cas de doute, vise le standard le plus élevé.
Les obligations concrètes pour ton entreprise suisse
Le registre des activités de traitement
Obligatoire sous les deux régimes, sauf pour les PME de moins de 250 employés dont les traitements ne présentent pas de risque élevé. Ce document liste :
- Les catégories de données traitées
- Les finalités du traitement
- Les catégories de destinataires
- Les durées de conservation
- Les mesures de sécurité mises en place
La politique de confidentialité
Ton site web doit obligatoirement présenter une politique de confidentialité claire, accessible et à jour. Elle doit mentionner :
- L'identité du responsable de traitement
- Les données collectées et leurs finalités
- Les bases légales
- Les destinataires (y compris hors Suisse/UE)
- Les droits des personnes concernées
- La durée de conservation
Les droits des personnes concernées
La LPD garantit les mêmes droits fondamentaux que le RGPD :
- Droit d'accès : savoir quelles données sont détenues
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression
- Droit à la portabilité : récupérer ses données
- Droit d'opposition : refuser certains traitements
Tu dois répondre gratuitement dans un délai raisonnable (30 jours max recommandés).
La sécurité des données
Les deux régimes imposent des mesures techniques et organisationnelles appropriées. Concrètement :
- Chiffrement des données sensibles au repos et en transit
- Contrôle d'accès basé sur les rôles
- Sauvegardes régulières et testées
- Formation des collaborateurs
- Procédure de gestion des incidents
- Audits de sécurité périodiques
Pour les données particulièrement sensibles (santé, RH), pense aussi à utiliser des solutions de stockage chiffré. Notre guide sur les coffres-forts chiffrés donne des pistes applicables aussi aux documents professionnels.
Les outils marketing et la conformité
C'est là que ça se corse pour beaucoup d'entreprises. Chaque outil que tu utilises traite potentiellement des données personnelles.
Analytics et tracking
Google Analytics, Meta Pixel, Hotjar : tous soumis à la double conformité. Il te faut un bandeau cookies conforme, avec consentement granulaire et refus aussi facile que l'acceptation.
Emailing
Consentement explicite requis pour les newsletters commerciales (spécifiquement pour B2C). Double opt-in recommandé. Désinscription en un clic obligatoire.
Raccourcisseurs d'URL
Peu d'entreprises y pensent, mais les raccourcisseurs d'URL collectent souvent l'IP, la géolocalisation et le user-agent des utilisateurs qui cliquent. Choisir un service respectueux de la vie privée comme Lunyb, hébergé en Europe et conforme RGPD/LPD, évite bien des soucis. Compare les options dans notre comparatif Bitly vs TinyURL ou notre guide sur les alternatives gratuites à Bitly.
CRM et prospection
Attention aux fichiers achetés ou scrapés. Les courtiers en données vendent souvent des listes acquises sans consentement valide. En cas de plainte, c'est toi qui es responsable.
Plan d'action : mise en conformité en 10 étapes
- Cartographie : recense tous les traitements de données dans ton entreprise
- Registre : formalise le registre des activités de traitement
- Base légale : identifie le motif justificatif pour chaque traitement
- Politique de confidentialité : rédige ou mets à jour ta politique
- Bandeau cookies : implémente une solution CMP conforme
- Contrats sous-traitants : signe des accords DPA avec tous tes prestataires
- Sécurité : audite et renforce tes mesures techniques
- Formation : sensibilise tes équipes (surtout marketing, RH, IT)
- Procédures : documente la gestion des demandes d'accès et des violations
- Audit annuel : réévalue la conformité chaque année
Les pièges à éviter
- Croire que la LPD est plus laxiste : les sanctions personnelles peuvent être plus dissuasives que les amendes RGPD
- Ignorer les sous-traitants : ta responsabilité s'étend à tes prestataires (hébergeur, SaaS, freelances)
- Négliger les transferts hors Suisse/UE : utiliser un service US sans garanties adéquates est risqué
- Oublier les collaborateurs : les données RH sont soumises aux mêmes règles
- Considérer la conformité comme un projet ponctuel : c'est un processus continu
Pour approfondir la protection au quotidien, consulte aussi notre guide complet sur la protection de la vie privée en ligne.
FAQ : LPD vs RGPD
Une PME suisse doit-elle vraiment tenir un registre des traitements ?
Les entreprises de moins de 250 employés sont dispensées, sauf si leurs traitements présentent un risque élevé pour les personnes concernées (données sensibles, profilage). En pratique, dès que tu traites des données clients de manière automatisée, tenir un registre reste la meilleure preuve de conformité en cas de contrôle.
Que risque concrètement un dirigeant en cas de non-conformité LPD ?
Les personnes physiques responsables peuvent être condamnées à une amende pénale allant jusqu'à 250 000 CHF pour violation intentionnelle des obligations d'information, de renseignement ou de collaboration avec le PFPDT. La faute doit être intentionnelle, pas simplement négligente.
Le RGPD s'applique-t-il si mon site est en français mais basé en Suisse ?
La langue française seule ne suffit pas à déclencher le RGPD. Ce qui compte, c'est le ciblage : prix en euros, livraison en France, mentions explicites d'un marché européen, publicités ciblant l'UE. Si tu ne fais que rendre ton site accessible sans démarche active vers l'UE, tu restes sous LPD uniquement.
Dois-je désigner un DPO en Suisse ?
Non, la LPD ne l'impose pas. Mais désigner un « conseiller à la protection des données » présente des avantages : allègement de certaines obligations de consultation du PFPDT, meilleure crédibilité en cas de contrôle, expertise interne. Si tu tombes aussi sous RGPD avec des traitements à grande échelle, un DPO devient obligatoire.
Comment gérer les transferts de données vers les États-Unis ?
Les États-Unis ne bénéficient pas d'une décision d'adéquation générale ni sous LPD ni sous RGPD. Il faut donc des garanties supplémentaires : clauses contractuelles types, adhésion au Data Privacy Framework pour les entreprises certifiées, ou mesures techniques renforcées (chiffrement de bout en bout). Privilégier des prestataires européens ou suisses simplifie considérablement la conformité.
Conclusion
LPD et RGPD partagent le même ADN : protéger les personnes physiques face au traitement de leurs données. Les différences sont réelles mais gérables. Pour une entreprise suisse, la stratégie la plus efficace est simple : vise la conformité RGPD par défaut, tu seras automatiquement conforme LPD. C'est un investissement, pas une contrainte : la confiance de tes clients en dépend directement, et un incident de données mal géré peut coûter bien plus cher que la mise en conformité initiale.
La protection des données n'est plus une option en 2026. C'est un avantage concurrentiel.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
RGPD en Belgique : Vos Droits Expliqués en 2026
Le RGPD te donne 8 droits fondamentaux pour contrôler tes données personnelles en Belgique. Découvre comment les exercer concrètement, porter plainte auprès de l'APD et te protéger au quotidien. Guide complet 2026 avec cas pratiques et modèles de demandes.
APD Belgique : Comment Porter Plainte (Guide Complet 2026)
L'Autorité de Protection des Données belge (APD) est ton alliée quand une entreprise ne respecte pas tes droits. Voici comment déposer une plainte efficacement, étape par étape, avec les délais et les recours possibles.
RGPD : Vos Droits Expliqués Simplement (Guide 2026)
Le RGPD te donne 8 droits puissants sur tes données personnelles : accès, effacement, portabilité, opposition… Dans ce guide, découvre comment les exercer concrètement, avec un modèle d'email et les recours en cas de refus.
CNIL : Comment Porter Plainte Étape par Étape (Guide 2026)
Guide complet et pratique pour porter plainte à la CNIL en 2026 : démarche préalable, procédure en ligne étape par étape, délais réels et exemples concrets. Que ce soit pour de la prospection abusive, un refus de suppression de données ou une fuite, apprends à défendre efficacement tes droits RGPD.