facebook-pixel
L
Lunyb

LPD vs RGPD : Différences Clés pour les Entreprises Suisses en 2026

E
Equipe Securite Lunyb
··9 min read

Depuis le 1er septembre 2023, la Suisse applique sa nouvelle Loi fédérale sur la protection des données (nLPD), souvent comparée au RGPD européen. Si tu diriges une entreprise suisse ou que tu travailles avec des données personnelles, tu te demandes sûrement : quelles sont les vraies différences entre la LPD et le RGPD ? Et surtout, laquelle dois-tu appliquer ?

Dans ce guide complet, on décortique les deux textes côte à côte, on liste les obligations concrètes pour les entreprises suisses, et on explique comment éviter les sanctions qui peuvent atteindre 250 000 CHF en Suisse ou 20 millions d'euros côté UE.

LPD et RGPD : définitions rapides

La LPD (Loi fédérale sur la protection des données) est la législation suisse qui encadre le traitement des données personnelles par les entreprises privées et les organes fédéraux. Sa version révisée (nLPD) est entrée en vigueur le 1er septembre 2023.

Le RGPD (Règlement général sur la protection des données) est le règlement européen entré en vigueur le 25 mai 2018. Il s'applique à toutes les entreprises traitant des données de résidents de l'Union européenne, peu importe où l'entreprise est basée.

Pourquoi la Suisse a révisé sa LPD ?

L'ancienne LPD datait de 1992 et n'était plus adaptée à l'ère numérique. La révision visait deux objectifs :

  1. Renforcer la protection des citoyens suisses face aux traitements de données modernes (profilage, IA, big data).
  2. Maintenir l'équivalence avec le RGPD, pour que la Suisse reste un pays « adéquat » aux yeux de l'UE et que les flux de données transfrontaliers continuent sans entrave.

LPD vs RGPD : tableau comparatif complet

Critère nLPD (Suisse) RGPD (UE)
Date d'entrée en vigueur 1er septembre 2023 25 mai 2018
Champ d'application Personnes physiques uniquement Personnes physiques uniquement (depuis 2018)
Portée territoriale Effet sur territoire suisse Tout traitement visant des résidents UE
Sanctions maximales 250 000 CHF (sanction pénale visant les personnes physiques responsables) 20 M€ ou 4% du CA mondial (sanction administrative)
DPO obligatoire Non obligatoire (recommandé) Obligatoire dans certains cas
Registre des traitements Obligatoire (sauf PME < 250 employés à faible risque) Obligatoire (sauf PME < 250 employés à faible risque)
Notification de violation « Dans les meilleurs délais » 72 heures
Analyse d'impact (AIPD) Obligatoire si risque élevé Obligatoire si risque élevé
Consentement Requis pour données sensibles et profilage à risque élevé Requis dans plus de cas (base légale stricte)
Autorité de contrôle PFPDT (Préposé fédéral) CNIL (France), autres autorités nationales

Les 7 différences majeures à connaître

1. Les sanctions visent des personnes différentes

C'est la différence la plus surprenante. Sous le RGPD, c'est l'entreprise qui paie l'amende (jusqu'à 4% du chiffre d'affaires mondial). Sous la nLPD suisse, ce sont les personnes physiques responsables (dirigeants, responsables informatiques) qui peuvent être condamnées à payer jusqu'à 250 000 CHF de leur poche.

Concrètement : un CEO suisse peut être personnellement sanctionné en cas de violation grave et intentionnelle. Cette approche pénale change profondément la perception du risque.

2. Pas de DPO obligatoire en Suisse

Le RGPD impose un Délégué à la Protection des Données (DPO) pour les entreprises traitant des données sensibles à grande échelle. La nLPD recommande un « conseiller à la protection des données » mais ne l'impose pas.

Attention toutefois : si tu désignes volontairement un conseiller, il bénéficie d'avantages réglementaires (dispense de consultation préalable du PFPDT pour certaines AIPD).

3. Délai de notification des violations

Le RGPD est strict : 72 heures pour notifier la CNIL (ou autre autorité) après la découverte d'une fuite de données. La nLPD est plus souple avec la formule « dans les meilleurs délais », mais en pratique le PFPDT recommande aussi une notification rapide.

4. Profilage à risque élevé : nouveauté suisse

La nLPD introduit la notion de « profilage à risque élevé » qui exige un consentement explicite. Cela vise les algorithmes de scoring (crédit, assurance, RH) qui ont un impact significatif sur la personne.

5. Données des personnes morales

Avant 2023, la LPD protégeait aussi les données des entreprises (personnes morales). Ce n'est plus le cas avec la nLPD, qui s'aligne sur le RGPD : seules les personnes physiques sont protégées.

6. Le « Privacy by Design » devient obligatoire

Les deux textes imposent désormais la protection des données dès la conception (privacy by design) et par défaut (privacy by default). En clair : ton site web doit collecter le minimum de données nécessaires, par défaut.

7. Transferts internationaux

Le RGPD encadre strictement les transferts hors UE (clauses contractuelles types, décisions d'adéquation). La nLPD adopte une approche similaire mais avec sa propre liste de pays « adéquats » établie par le Conseil fédéral.

Quelle loi s'applique à ton entreprise suisse ?

Voici la règle simple : tu peux être soumis aux deux en même temps.

Tu appliques uniquement la nLPD si :

  • Ton activité se limite au marché suisse
  • Tu ne traites que des données de résidents suisses
  • Tu ne cibles pas activement des clients dans l'UE

Tu dois aussi appliquer le RGPD si :

  • Tu vends des produits ou services à des résidents UE (même sans bureau en UE)
  • Ton site web est accessible en plusieurs langues européennes
  • Tu acceptes des paiements en euros
  • Tu fais du marketing ciblé vers des utilisateurs européens
  • Tu surveilles le comportement de visiteurs UE (cookies, analytics)

En pratique, la majorité des PME suisses avec un site web international doivent respecter les deux réglementations simultanément.

Checklist de conformité pour entreprises suisses

Voici les 10 actions concrètes à mettre en place pour être conforme à la nLPD (et au RGPD si tu touches l'UE) :

  1. Cartographier les données : liste tous les traitements (RH, clients, marketing, fournisseurs).
  2. Tenir un registre des traitements obligatoire dès que tu as plus de 250 employés ou que tu traites des données sensibles.
  3. Rédiger une politique de confidentialité claire, accessible et conforme aux exigences d'information renforcées.
  4. Recueillir le consentement de façon explicite pour le profilage à risque élevé et les données sensibles.
  5. Sécuriser techniquement : chiffrement, gestion des accès, sauvegardes, MFA.
  6. Préparer un plan de notification en cas de violation (qui prévient le PFPDT et les personnes concernées ?).
  7. Encadrer les sous-traitants avec des contrats de traitement de données conformes.
  8. Vérifier les transferts internationaux : utilises-tu des services US (AWS, Google) ? Vérifie les garanties juridiques.
  9. Former tes équipes : la sensibilisation reste la première ligne de défense.
  10. Réaliser des AIPD pour tout traitement à risque élevé (vidéosurveillance, IA, données biométriques).

Cas pratiques : ce qui change concrètement

Cas 1 : E-commerce suisse vendant dans toute l'Europe

Une boutique en ligne basée à Lausanne qui vend en France, Allemagne et Italie doit appliquer les deux régimes. Elle doit notamment :

  • Mettre en place un cookie banner conforme RGPD (consentement granulaire)
  • Désigner un représentant dans l'UE (article 27 RGPD)
  • Notifier les violations sous 72h à la CNIL et au PFPDT

Cas 2 : Cabinet médical genevois

Un cabinet traitant uniquement des patients suisses applique la nLPD. Les données de santé sont des données sensibles : consentement explicite obligatoire, sécurité renforcée, AIPD recommandée si dossier patient numérique.

Cas 3 : Startup SaaS B2B zurichoise

Une startup vendant un logiciel à des entreprises européennes doit gérer des contrats de sous-traitance (DPA) avec ses clients UE, héberger les données idéalement en Suisse ou UE, et documenter ses mesures de sécurité.

Outils et bonnes pratiques pour la conformité

Pour limiter les risques au quotidien, quelques pratiques simples font une grande différence :

  • Minimiser le partage de données : par exemple, quand tu partages un lien interne sensible, utilise un raccourcisseur sécurisé comme Lunyb avec protection par mot de passe et expiration automatique, plutôt qu'une URL publique permanente.
  • Activer le chiffrement DNS (DoH/DoT) sur les postes de travail pour limiter la fuite de métadonnées.
  • Auditer régulièrement les permissions des applications tierces connectées à tes comptes pro.
  • Sensibiliser au phishing et aux arnaques téléphoniques, qui restent la première cause de fuites. Notre guide pour signaler un numéro d'arnaque peut aider tes employés.

Pour aller plus loin sur la protection individuelle, consulte aussi notre guide complet pour protéger sa vie privée en ligne en 2026, ainsi que notre enquête sur les courtiers en données qui revendent vos informations.

Sanctions et risques : ce que tu risques vraiment

En Suisse, les sanctions sont prononcées par les tribunaux pénaux cantonaux sur plainte du PFPDT. Les infractions sanctionnées incluent :

  • Violation des obligations d'information
  • Manquement aux exigences de sécurité minimales
  • Refus de coopérer avec le PFPDT
  • Communication illicite de données à l'étranger

L'amende maximale est de 250 000 CHF par infraction, à la charge de la personne physique responsable. C'est moins que le RGPD en valeur absolue, mais beaucoup plus impactant à titre personnel.

Calendrier : où en es-tu en 2026 ?

La nLPD est en vigueur depuis plus de deux ans. Le PFPDT a annoncé renforcer ses contrôles en 2025-2026, notamment sur :

  • Les politiques de confidentialité incomplètes
  • L'usage non conforme de cookies et trackers
  • Les transferts vers des prestataires US sans garanties
  • L'absence de registre des traitements

Si tu n'as encore rien fait, c'est le moment d'agir avant un éventuel contrôle.

FAQ : LPD vs RGPD

La nLPD est-elle plus stricte que le RGPD ?

Globalement non, la nLPD est plus souple sur certains points (DPO non obligatoire, délais de notification plus flous, sanctions financières moindres en valeur absolue). Mais elle innove sur la responsabilité pénale personnelle, ce qui peut être plus dissuasif pour les dirigeants.

Une entreprise suisse doit-elle nommer un représentant dans l'UE ?

Oui, si elle traite régulièrement des données de résidents UE à grande échelle ou des données sensibles. C'est l'article 27 du RGPD. Ce représentant sert de point de contact pour les autorités européennes.

Le PFPDT peut-il infliger des amendes directement ?

Non. Contrairement à la CNIL française, le PFPDT n'a pas de pouvoir de sanction administrative directe. Il enquête, recommande et peut saisir les tribunaux pénaux cantonaux qui prononceront les sanctions.

Faut-il refaire toute sa conformité RGPD pour la nLPD ?

Non, si tu es déjà conforme RGPD, tu es à 90% conforme à la nLPD. Il reste quelques ajustements spécifiques : politique de confidentialité adaptée au droit suisse, mention du PFPDT, vérification de la liste suisse des pays adéquats.

Mon site WordPress avec Google Analytics est-il conforme ?

Pas par défaut. Google Analytics transfère des données aux États-Unis, ce qui pose problème sous RGPD et nLPD. Il faut soit anonymiser les IP et obtenir le consentement, soit basculer sur une alternative européenne ou suisse (Plausible, Matomo auto-hébergé).

Conclusion

La nLPD suisse et le RGPD européen partagent la même philosophie : redonner aux personnes le contrôle de leurs données. Pour une entreprise suisse en 2026, l'enjeu n'est pas de choisir entre les deux, mais de comprendre que les deux peuvent s'appliquer simultanément.

Mets en place les bases (registre, politique, sécurité technique), forme tes équipes, et adopte des outils respectueux de la vie privée. La conformité n'est pas qu'une contrainte juridique : c'est devenu un argument commercial fort, particulièrement en Suisse où la confiance numérique fait partie de l'ADN national.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

PFPDT Suisse : Comment Déposer une Plainte (Guide 2026)

Tu veux signaler une violation de tes données personnelles en Suisse ? Ce guide t'explique étape par étape comment déposer une plainte auprès du PFPDT : procédure, délais, preuves à fournir et recours possibles selon la nouvelle LPD.

10 min

Protection des Données pour les PME Belges : Guide Complet 2026

Guide pratique pour mettre ta PME belge en conformité RGPD : étapes concrètes, outils recommandés, budget réaliste et erreurs à éviter. Tout ce qu'il faut savoir pour protéger les données de ton entreprise en 2026.

10 min

CNIL : Comment Porter Plainte Étape par Étape (Guide 2026)

Tu veux faire respecter tes droits sur tes données personnelles ? Ce guide complet t'explique comment porter plainte à la CNIL en 2026, étape par étape, avec tous les délais, recours et conseils pratiques pour maximiser tes chances d'aboutir.

10 min

RGPD en Belgique : Vos Droits Expliqués (Guide Complet 2026)

Le RGPD te donne 8 droits puissants sur tes données personnelles en Belgique. Découvre comment les exercer concrètement, avec des modèles de courrier et la procédure complète en cas de refus.

10 min