LPD vs RGPD : Différences Clés pour les Entreprises Suisses 2026
Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (nLPD) est entrée en vigueur en Suisse. Si tu diriges une entreprise suisse ou que tu traites des données de citoyens européens, tu te poses sans doute la question : faut-il appliquer la LPD, le RGPD, ou les deux ? Ce guide te donne toutes les clés pour comprendre les différences et te mettre en conformité.
LPD et RGPD : Définitions Rapides
La LPD (Loi fédérale sur la protection des données) est la loi suisse qui régit le traitement des données personnelles. Sa version révisée, appelée nLPD, est en vigueur depuis le 1er septembre 2023. Le RGPD (Règlement général sur la protection des données) est le règlement européen entré en application le 25 mai 2018, applicable dans tous les États membres de l'UE.
Les deux textes poursuivent le même objectif : protéger les données personnelles des individus. Mais ils diffèrent sur plusieurs points importants, notamment en matière de sanctions, de désignation d'un délégué à la protection des données, et de portée territoriale.
Pourquoi la Suisse a Révisé sa LPD ?
L'ancienne LPD datait de 1992 et n'était plus adaptée à l'ère numérique. La révision avait trois objectifs principaux :
- Renforcer la protection des citoyens suisses face aux nouveaux traitements de données (IA, big data, profilage).
- Maintenir la reconnaissance d'adéquation accordée par l'UE à la Suisse, permettant le libre flux de données entre les deux zones.
- S'aligner partiellement sur le RGPD pour faciliter la conformité des entreprises actives sur les deux marchés.
La Confédération a donc choisi une approche pragmatique : se rapprocher du RGPD sans le copier intégralement, en préservant certaines spécificités suisses.
Champ d'Application : Qui est Concerné ?
La nLPD s'applique à...
Toute entreprise, association ou personne traitant des données personnelles en Suisse, qu'elle soit suisse ou étrangère, à partir du moment où le traitement produit ses effets en Suisse. Contrairement au RGPD, la nLPD ne protège que les personnes physiques (les données des entreprises ne sont plus couvertes dans la version révisée).
Le RGPD s'applique à...
Toute organisation qui traite des données de personnes résidant dans l'UE, peu importe où l'organisation est établie. Une PME suisse qui vend en France ou en Allemagne doit donc respecter les deux textes.
Comparatif Détaillé : LPD vs RGPD
| Critère | nLPD (Suisse) | RGPD (UE) |
|---|---|---|
| Entrée en vigueur | 1er septembre 2023 | 25 mai 2018 |
| Personnes protégées | Personnes physiques uniquement | Personnes physiques uniquement |
| Sanctions maximales | 250 000 CHF (personnes physiques responsables) | 20 M€ ou 4% du CA mondial (entreprise) |
| Qui est sanctionné ? | La personne physique responsable | L'entreprise (personne morale) |
| Délégué à la protection (DPO) | Recommandé, pas obligatoire | Obligatoire dans certains cas |
| Registre des activités | Obligatoire (sauf PME < 250 employés sous conditions) | Obligatoire (sauf petites entités) |
| Analyse d'impact (AIPD/DPIA) | Obligatoire si risque élevé | Obligatoire si risque élevé |
| Notification de violation | Au PFPDT dès que possible | Sous 72h à l'autorité |
| Consentement | Pas systématiquement requis | Souvent requis, conditions strictes |
| Profilage à risque élevé | Notion spécifique introduite | Encadré mais pas avec ce terme |
| Autorité de contrôle | PFPDT | CNIL (France), autres autorités nationales |
Les 7 Différences Clés à Retenir
1. Les Sanctions Visent les Personnes, Pas les Entreprises
C'est la particularité la plus surprenante de la nLPD : les amendes (jusqu'à 250 000 CHF) sont infligées à la personne physique responsable de la violation, pas à l'entreprise. Concrètement, c'est le dirigeant ou le responsable du traitement qui paie de sa poche. Côté RGPD, c'est l'entreprise qui est sanctionnée, avec des montants bien plus lourds (jusqu'à 4% du chiffre d'affaires mondial).
2. Le Conseiller à la Protection des Données est Facultatif
Là où le RGPD impose un DPO (Délégué à la Protection des Données) dans plusieurs cas, la nLPD se contente de recommander la nomination d'un Conseiller à la protection des données. C'est facultatif, mais fortement conseillé si tu traites beaucoup de données sensibles.
3. Nouvelle Notion : le Profilage à Risque Élevé
La nLPD introduit une notion absente du RGPD : le « profilage à risque élevé ». Il s'agit d'un profilage automatisé qui crée un risque accru pour la personnalité ou les droits fondamentaux. Si ton entreprise fait du scoring clients, du ciblage publicitaire poussé ou de l'analyse comportementale, tu es concerné et le consentement explicite est exigé.
4. Le Registre des Traitements est Obligatoire (avec une Exception PME)
Comme le RGPD, la nLPD impose un registre des activités de traitement. Bonne nouvelle : les PME de moins de 250 employés en sont dispensées, sauf si elles traitent à grande échelle des données sensibles ou pratiquent du profilage à risque élevé.
5. Notification de Violation : Moins Strict en Suisse
Le RGPD impose une notification dans les 72 heures après la découverte d'une fuite. La nLPD demande simplement de notifier le PFPDT (Préposé fédéral à la protection des données) « dans les meilleurs délais ». Plus souple, mais ne traîne pas non plus.
6. Les Données des Entreprises ne Sont Plus Protégées
L'ancienne LPD protégeait aussi les données des personnes morales (entreprises). La nLPD a aligné sa portée sur le RGPD : seules les personnes physiques sont concernées. Une simplification bienvenue pour la B2B.
7. Le Droit à l'Oubli n'est Pas Explicite
Le RGPD consacre un « droit à l'effacement » (article 17). La nLPD ne le formalise pas aussi clairement, mais le droit à la rectification et à la suppression des données inexactes existe bel et bien.
Comment Mettre ton Entreprise Suisse en Conformité ?
Voici une feuille de route en 8 étapes pour te mettre en conformité avec la nLPD (et le RGPD si tu touches le marché européen) :
- Cartographie tes traitements de données : quelles données collectes-tu, où, pourquoi, combien de temps ?
- Crée ton registre des activités de traitement, même si tu es une PME (par sécurité).
- Mets à jour ta politique de confidentialité avec les informations exigées : finalités, base légale, durée de conservation, transferts à l'étranger.
- Identifie les traitements à risque élevé et réalise une analyse d'impact (AIPD) si nécessaire.
- Sécurise techniquement tes données : chiffrement de bout en bout, gestion des accès, sauvegardes, journalisation.
- Forme tes collaborateurs aux bonnes pratiques (phishing, mots de passe, traitement des demandes).
- Prépare une procédure en cas de violation : qui notifier, dans quel délai, avec quels éléments.
- Choisis des prestataires conformes, idéalement hébergés en Suisse ou dans l'UE, avec contrats de sous-traitance en règle.
Outils Numériques : Choisir des Prestataires Conformes
Une erreur fréquente des PME suisses est d'utiliser des services américains gratuits (raccourcisseurs d'URL, outils analytics, formulaires) sans vérifier où sont hébergées les données. Or, les transferts de données vers les États-Unis posent toujours un problème de conformité, malgré le Data Privacy Framework.
Pour des outils comme les raccourcisseurs d'URL, privilégie des solutions européennes ou suisses qui respectent la nLPD et le RGPD par défaut. Lunyb, par exemple, propose un raccourcisseur d'URL avec hébergement européen, sans traçage publicitaire et avec analytics anonymes — un bon réflexe pour rester en conformité sans sacrifier les fonctionnalités. Si tu hésites entre plusieurs solutions, consulte notre comparatif des raccourcisseurs de liens 2026 ou le match Lunyb vs Bitly.
Les Sanctions en Pratique : À Quoi t'Attendre ?
Le PFPDT peut ouvrir une enquête de sa propre initiative ou suite à une plainte. Les sanctions pénales (amendes jusqu'à 250 000 CHF) ne sont prononcées que par le juge pénal, sur dénonciation. Les infractions visées incluent :
- Violation des obligations d'information envers les personnes concernées
- Violation des devoirs de diligence (par ex. transferts illégaux à l'étranger)
- Violation de l'obligation de discrétion professionnelle
- Non-respect des décisions du PFPDT
Côté RGPD, la CNIL et ses homologues européens infligent régulièrement des amendes records (Google, Meta, Amazon ont tous été frappés de centaines de millions d'euros). Pour les PME, les amendes restent généralement plus mesurées (quelques milliers à quelques dizaines de milliers d'euros), sauf en cas de manquement grave.
Cas Particulier : Tu Vends en Suisse ET en Europe
Si ton entreprise suisse a des clients dans l'UE, tu dois respecter les deux textes. Bonne nouvelle : en respectant le RGPD (plus strict), tu seras quasi automatiquement conforme à la nLPD. Quelques ajustements suisses restent à faire :
- Mentionner le PFPDT comme autorité de contrôle dans ta politique de confidentialité
- Adapter les mentions aux spécificités suisses (profilage à risque élevé)
- Désigner un représentant en Suisse si tu n'y as pas d'établissement (et vice versa pour les entreprises étrangères)
FAQ : LPD vs RGPD
Une PME suisse doit-elle vraiment respecter le RGPD ?
Oui, dès qu'elle traite des données de résidents européens (clients, visiteurs du site, newsletter). Le simple fait d'avoir un site web accessible depuis l'UE ne suffit pas, mais proposer ses produits/services en euros, livrer en France ou cibler une clientèle européenne déclenche l'application du RGPD.
Dois-je nommer un Conseiller à la protection des données ?
Ce n'est pas obligatoire sous la nLPD, mais fortement recommandé. En revanche, si tu es soumis au RGPD et que tu fais du suivi à grande échelle ou que tu traites des données sensibles, un DPO devient obligatoire. Dans le doute, désigne un référent interne — ça rassure tes clients et les autorités.
Que risque concrètement le dirigeant d'une PME suisse ?
Une amende personnelle jusqu'à 250 000 CHF, infligée par le tribunal pénal sur dénonciation. Ce n'est pas l'entreprise qui paie, c'est toi. Raison de plus pour traiter la conformité avec sérieux et documenter chaque décision.
Mes données peuvent-elles être hébergées aux États-Unis ?
C'est possible mais risqué. Tu dois t'assurer que le prestataire offre des garanties suffisantes (clauses contractuelles types, Data Privacy Framework, chiffrement). Le plus simple reste de choisir un hébergeur suisse ou européen pour éviter les complications juridiques.
Combien de temps puis-je conserver les données de mes clients ?
Aussi longtemps que nécessaire à la finalité du traitement, plus la durée légale de prescription (10 ans pour la comptabilité en Suisse, par exemple). Au-delà, les données doivent être supprimées ou anonymisées. Documente tes durées de conservation dans ton registre.
Conclusion
La nLPD et le RGPD partagent une philosophie commune : protéger les individus face aux traitements massifs de données. Mais leurs différences (sanctions individuelles vs collectives, profilage à risque élevé, obligations du DPO) imposent une attention particulière aux entreprises suisses. Si tu fais du business des deux côtés de la frontière, vise le standard le plus élevé : en respectant le RGPD, tu seras conforme à la nLPD avec quelques ajustements mineurs.
La conformité n'est pas une case à cocher, c'est un processus continu. Cartographie tes traitements, choisis des outils respectueux de la vie privée et forme tes équipes : c'est le meilleur investissement pour éviter les sanctions et gagner la confiance de tes clients.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Protection des Données en France 2026 : Le Guide Complet RGPD & CNIL
Découvre le panorama complet de la protection des données personnelles en France en 2026 : RGPD, CNIL, IA Act, sanctions et obligations. Un guide pratique pour les entreprises et les citoyens qui veulent comprendre leurs droits et leurs devoirs.
LPD : La Loi Suisse sur la Protection des Données Expliquée (2026)
La nouvelle Loi sur la Protection des Données (nLPD) est entrée en vigueur le 1er septembre 2023 et redéfinit complètement la protection des données en Suisse. Ce guide t'explique en détail ce que dit la LPD, qui elle concerne, quelles obligations elle impose et comment elle se compare au RGPD européen.
PFPDT Suisse : Comment Déposer une Plainte (Guide 2026)
Comment déposer une plainte auprès du PFPDT, l'autorité suisse de protection des données ? Découvre la procédure complète depuis la nLPD de 2023, avec modèle de lettre, étapes clés et conseils pour maximiser tes chances d'aboutir.
CNIL : Comment Porter Plainte Étape par Étape (Guide 2026)
Tu veux porter plainte à la CNIL mais tu ne sais pas par où commencer ? Découvre dans ce guide complet la procédure étape par étape, les délais à connaître, un modèle de demande préalable et tous les conseils pour faire valoir tes droits RGPD efficacement.