facebook-pixel
L
Lunyb

LPD vs RGPD : Différences pour les Entreprises Suisses (Guide 2026)

E
Equipe Securite Lunyb
··10 min read

Depuis le 1er septembre 2023, la Suisse applique sa nouvelle Loi fédérale sur la protection des données (nLPD). Beaucoup d'entrepreneurs suisses se demandent encore : ma société est-elle soumise à la LPD, au RGPD, ou aux deux ? Et concrètement, qu'est-ce qui change dans la pratique ? Ce guide te donne une vision claire des différences entre LPD et RGPD, avec des exemples concrets pour ton entreprise.

LPD vs RGPD : définitions rapides

La LPD (Loi fédérale sur la protection des données) est la loi suisse révisée entrée en vigueur le 1er septembre 2023. Elle encadre le traitement des données personnelles par les entreprises et autorités basées en Suisse. Le RGPD (Règlement général sur la protection des données) est le règlement européen applicable depuis le 25 mai 2018 dans tous les pays de l'UE et l'EEE.

Les deux textes partagent un même objectif : protéger les personnes physiques contre les abus liés au traitement de leurs données. Mais ils diffèrent sur plusieurs points pratiques que toute entreprise suisse doit connaître.

Pourquoi une entreprise suisse peut être soumise aux deux

Le RGPD a une portée extraterritoriale. Cela signifie qu'une entreprise suisse peut être soumise au RGPD, même sans établissement dans l'UE, si elle :

  • Offre des biens ou services à des résidents de l'UE (boutique en ligne, SaaS, hôtellerie touristique)
  • Suit le comportement de personnes situées dans l'UE (tracking, profilage publicitaire)

Concrètement, un e-commerce romand qui vend en France ou un cabinet zurichois qui conseille des clients allemands doit respecter les deux régimes en parallèle. La bonne nouvelle : si tu es conforme RGPD, tu es à 90 % conforme LPD.

Tableau comparatif : LPD vs RGPD

CritèreLPD (Suisse)RGPD (UE)
Entrée en vigueur1er septembre 202325 mai 2018
Autorité de contrôlePFPDT (Préposé fédéral)CNIL (France), autorités nationales
Champ d'applicationPersonnes physiques uniquementPersonnes physiques uniquement
Données sensiblesInclut données génétiques et biométriquesCatégories particulières définies à l'art. 9
Délégué à la protection (DPO)Conseiller à la protection des données : recommandé, non obligatoireDPO obligatoire dans certains cas
Registre des traitementsObligatoire (sauf PME < 250 salariés à risque faible)Obligatoire (sauf PME < 250 salariés à risque faible)
Analyse d'impact (AIPD)Obligatoire si risque élevéObligatoire si risque élevé
Notification de violationDès que possible au PFPDT72 heures à l'autorité
Sanctions maxJusqu'à 250 000 CHF (personne physique responsable)Jusqu'à 20 M€ ou 4 % du CA mondial (entreprise)
ConsentementRequis pour données sensibles et profilage à risque élevéBase légale parmi six, dont le consentement

Les 7 différences clés à connaître

1. Sanctions : la grande surprise de la LPD

Contrairement au RGPD qui sanctionne l'entreprise (jusqu'à 4 % du chiffre d'affaires mondial), la LPD vise les personnes physiques responsables : dirigeants, responsables IT, DPO. Les amendes peuvent atteindre 250 000 CHF et sont prononcées par les tribunaux pénaux cantonaux. C'est un changement de paradigme : ton CEO ou ton CTO peut être personnellement condamné.

2. Le conseiller à la protection des données

Le RGPD impose un DPO pour les administrations, les entreprises traitant des données sensibles à grande échelle ou pratiquant un suivi systématique. La LPD, elle, recommande un conseiller à la protection des données, sans le rendre obligatoire. Le nommer reste néanmoins un avantage : il permet souvent de se passer de la consultation préalable du PFPDT en cas d'AIPD.

3. La notification des violations de données

Le RGPD impose un délai strict de 72 heures pour notifier une fuite à l'autorité. La LPD est plus souple : la notification doit se faire « dans les meilleurs délais », et uniquement si la violation présente un risque élevé pour les personnes concernées. En pratique, vise quand même 72 heures pour rester aligné avec tes partenaires européens.

4. Le profilage à risque élevé

La LPD a créé une catégorie spécifique : le « profilage à risque élevé ». Il s'agit d'une évaluation automatisée qui permet d'apprécier des aspects essentiels de la personnalité d'une personne. Ce type de traitement exige un consentement explicite. Le RGPD parle de « décision automatisée » à l'article 22, avec une logique similaire mais une terminologie différente.

5. Données des personnes morales

Point important : la nLPD ne protège plus les données des personnes morales (sociétés, associations). Avant 2023, c'était le cas. Désormais, la LPD est alignée sur le RGPD : seules les données des personnes physiques sont protégées. Bonne nouvelle pour le B2B suisse.

6. Transferts internationaux

Le Conseil fédéral publie une liste des pays offrant un niveau de protection adéquat. Vers les autres pays, il faut des garanties (clauses contractuelles types, règles d'entreprise contraignantes). C'est très similaire au RGPD, mais les clauses doivent être adaptées au contexte suisse (mention du PFPDT, droit applicable, etc.).

7. Le registre des activités de traitement

Les deux régimes l'imposent, avec une exemption pour les PME de moins de 250 salariés dont les traitements présentent un risque faible. Concrètement, tu dois lister : finalités, catégories de données, destinataires, durées de conservation, mesures de sécurité.

Quelles obligations concrètes pour ton entreprise suisse ?

Voici un plan d'action en 8 étapes pour te mettre en conformité avec la LPD (et accessoirement avec le RGPD si tu cibles l'UE) :

  1. Cartographier tes traitements : liste tous les flux de données personnelles (clients, employés, prospects, fournisseurs)
  2. Tenir le registre : documente chaque traitement avec finalité, base légale, durée de conservation
  3. Mettre à jour ta politique de confidentialité : informe clairement les personnes sur leurs droits et l'identité du responsable
  4. Réviser les contrats sous-traitants : ajoute les clauses LPD obligatoires (sécurité, sous-traitance ultérieure, audits)
  5. Sécuriser les transferts hors Suisse : vérifie la liste des pays adéquats et utilise les clauses adaptées sinon
  6. Réaliser une AIPD pour les traitements à risque élevé (profilage, biométrie, surveillance)
  7. Préparer un processus de gestion des incidents : qui décide, qui notifie, dans quel délai
  8. Former tes équipes : RH, marketing, IT sont les premiers concernés

Droits des personnes : ce qui change pour tes clients

La LPD reprend la plupart des droits du RGPD : accès, rectification, effacement, opposition. Le droit à l'effacement (souvent appelé droit à l'oubli) est notamment renforcé. Si tu veux comprendre comment ce droit s'applique concrètement, lis notre guide sur le droit à l'oubli et comment faire la demande.

En revanche, la LPD n'introduit pas explicitement un droit à la portabilité aussi détaillé que l'article 20 du RGPD. C'est l'une des rares différences en faveur des entreprises suisses.

Sécurité technique : les bonnes pratiques attendues

Les deux régimes exigent des mesures « appropriées » à l'état de la technique. Concrètement, le PFPDT et la CNIL attendent au minimum :

  • Chiffrement des données au repos et en transit (TLS 1.3, AES-256)
  • Authentification forte (MFA) pour les accès aux systèmes sensibles
  • Politique de mots de passe et de session
  • Journalisation des accès aux données sensibles
  • Sauvegardes régulières et testées
  • Pseudonymisation lorsque c'est possible
  • Procédure d'effacement sécurisé en fin de vie

Côté outils, choisis des prestataires hébergés en Suisse ou dans l'EEE, et privilégie ceux qui chiffrent les données et limitent la collecte. Par exemple, pour partager des liens en interne ou avec des clients sans exposer tes paramètres UTM ou identifiants internes, un raccourcisseur d'URL respectueux comme Lunyb peut compléter ta stratégie de minimisation des données.

Cas particuliers : marketing, cookies et tracking

La LPD ne contient pas l'équivalent de la directive ePrivacy européenne. En Suisse, l'article 45c de la Loi sur les télécommunications (LTC) régit les cookies, et il fonctionne sur un modèle opt-out (informer suffit, le consentement explicite n'est pas requis). Mais attention : si tu cibles aussi des utilisateurs de l'UE, tu dois appliquer la règle la plus stricte, c'est-à-dire le consentement explicite du RGPD/ePrivacy.

Le tracking publicitaire, lui, peut tomber sous le coup du « profilage à risque élevé » de la LPD. Si tes utilisateurs souhaitent limiter ce suivi, oriente-les vers notre article sur comment bloquer les traceurs sur son téléphone ou celui sur comment effacer son historique de navigation.

Comparaison rapide avec la Belgique

Si tu as des partenaires ou clients en Belgique, sache que le RGPD y est complété par la loi du 30 juillet 2018 et appliqué par l'APD (Autorité de protection des données). Pour un panorama détaillé, consulte notre guide sur le RGPD en Belgique et tes droits expliqués.

Avantages et inconvénients de la LPD pour les entreprises

Avantages

  • Sanctions plafonnées à 250 000 CHF (vs millions au RGPD)
  • Pas de DPO obligatoire dans la majorité des cas
  • Régime des cookies plus souple (opt-out)
  • Délai de notification de violation moins strict
  • Approche pragmatique pour les PME

Inconvénients

  • Sanctions pénales personnelles contre les dirigeants
  • Double conformité souvent nécessaire (LPD + RGPD)
  • Jurisprudence encore peu développée
  • Conseiller à la protection « recommandé » mais utile en pratique
  • Documentation lourde pour les traitements à risque élevé

Erreurs fréquentes à éviter

  1. Croire que la LPD remplace le RGPD : si tu cibles l'UE, les deux s'appliquent
  2. Négliger les contrats sous-traitants : un cloud américain sans clauses adaptées te met en infraction
  3. Oublier les employés : les données RH sont des données personnelles à part entière
  4. Sous-estimer le tracking : un simple pixel publicitaire peut déclencher des obligations
  5. Reporter la sécurité : un incident non préparé coûte 10x plus cher qu'une politique préventive

Et n'oublie pas la sécurité côté utilisateur : les arnaques au QR code sont un vecteur de fuites de données souvent ignoré dans les politiques internes.

FAQ

Mon entreprise est-elle soumise au RGPD si elle est basée en Suisse ?

Oui, si tu offres des biens ou services à des résidents de l'UE/EEE, ou si tu suis leur comportement en ligne. Le simple fait d'avoir un site e-commerce accessible depuis la France et d'accepter les euros peut suffire à déclencher l'application du RGPD.

Dois-je nommer un délégué à la protection des données (DPO) ?

Sous la LPD seule : c'est recommandé mais non obligatoire. Sous le RGPD : c'est obligatoire si tu traites des données sensibles à grande échelle, si tu pratiques un suivi systématique, ou si tu es un organisme public. Dans le doute, en nommer un est une bonne pratique.

Quelles sont les amendes maximales prévues par la LPD ?

Jusqu'à 250 000 CHF, prononcées par les tribunaux pénaux cantonaux contre les personnes physiques responsables (dirigeants, DPO, responsables IT). Les amendes sont pénales, pas administratives comme dans le RGPD.

Comment notifier une violation de données en Suisse ?

Tu dois informer le PFPDT « dans les meilleurs délais » si la violation présente un risque élevé pour les personnes concernées. La notification se fait via le portail en ligne du PFPDT. En pratique, vise 72 heures pour rester aligné avec le RGPD.

Les cookies nécessitent-ils un consentement explicite en Suisse ?

Sous la LPD et la LTC, non : un régime opt-out avec information suffit. Mais si tu cibles aussi l'UE, applique la règle la plus stricte du RGPD/ePrivacy, c'est-à-dire le consentement explicite avant tout dépôt de cookie non essentiel.

Conclusion

La LPD a modernisé la protection des données en Suisse et rapproché le cadre juridique helvétique du RGPD, tout en gardant quelques spécificités pragmatiques pour les entreprises. La règle d'or : si tu cibles l'UE, vise la conformité RGPD, tu seras automatiquement conforme à la LPD. Pour les entreprises strictement suisses, concentre-toi sur le registre des traitements, la mise à jour des contrats sous-traitants et la sécurité technique. Et n'oublie pas : la responsabilité personnelle des dirigeants est réelle, mieux vaut documenter aujourd'hui que se défendre demain.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

RGPD en Belgique : Vos Droits Expliqués (Guide Complet 2026)

Le RGPD te donne des droits puissants sur tes données personnelles en Belgique. Ce guide explique chacun de tes 8 droits fondamentaux avec des exemples concrets et te montre comment les exercer. Tu apprendras aussi quoi faire si une entreprise refuse de coopérer.

9 min

APD Belgique : Comment Porter Plainte (Guide Complet 2026)

Tu veux porter plainte auprès de l'APD Belgique pour une violation de tes données personnelles ? Ce guide complet 2026 détaille la procédure étape par étape, les délais à respecter, les pièces à fournir et les sanctions possibles selon le RGPD.

10 min

CNIL : Comment Porter Plainte Étape par Étape (Guide 2026)

Tu veux porter plainte à la CNIL mais tu ne sais pas par où commencer ? Ce guide détaille étape par étape la procédure complète : motifs recevables, démarche préalable, formulaire en ligne, délais et recours possibles. Tout ce qu'il faut savoir pour faire valoir tes droits RGPD efficacement.

10 min

Protection des Données pour les PME Belges : Guide Complet 2026

La protection des données n'est plus une option pour les PME belges : c'est une obligation légale avec des sanctions qui peuvent atteindre 4% du chiffre d'affaires. Ce guide pratique te montre comment rendre ta PME conforme au RGPD et aux exigences de l'APD belge, sans te ruiner ni y passer des semaines.

11 min