facebook-pixel

LPD vs RGPD : Différences pour les Entreprises Suisses en 2026

E
Equipe Securite Lunyb
··10 min read

Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (nLPD) est entrée en vigueur en Suisse. Si tu diriges une entreprise helvétique ou que tu traites des données de clients européens, tu te poses forcément la question : quelles sont les différences concrètes entre la LPD suisse et le RGPD européen ? Et surtout, comment être conforme aux deux sans devenir fou ?

Dans ce guide, on décortique point par point les similitudes, les différences et les obligations qui s'appliquent réellement à ton entreprise en 2026.

LPD vs RGPD : définitions rapides

La LPD (Loi fédérale sur la protection des données) est la loi suisse qui encadre le traitement des données personnelles par les entreprises privées et les organes fédéraux. Sa version révisée (nLPD) est entrée en vigueur le 1er septembre 2023.

Le RGPD (Règlement général sur la protection des données) est le règlement européen applicable depuis le 25 mai 2018 à toute entité traitant des données de résidents de l'UE, où qu'elle soit dans le monde.

Les deux textes partagent une philosophie commune : donner aux individus le contrôle sur leurs données personnelles. Mais leurs approches diffèrent sur plusieurs points cruciaux.

Tableau comparatif : LPD vs RGPD en un coup d'œil

Critère LPD (Suisse) RGPD (UE)
Entrée en vigueur 1er septembre 2023 (nLPD) 25 mai 2018
Portée territoriale Suisse + effets en Suisse UE + entités ciblant l'UE
Personnes protégées Personnes physiques uniquement Personnes physiques uniquement
Amende maximale 250 000 CHF (contre la personne responsable) 20 M€ ou 4% du CA mondial
DPO obligatoire Non (mais recommandé) Oui dans certains cas
Notification de violation Dès que possible au PFPDT 72h à l'autorité
Registre des traitements Obligatoire (sauf PME < 250) Obligatoire (sauf PME < 250)
Consentement explicite Requis pour données sensibles Requis dans plus de cas
Analyse d'impact (AIPD) Obligatoire si risque élevé Obligatoire si risque élevé
Autorité de contrôle PFPDT Autorité nationale (CNIL, etc.)

Les 7 différences majeures entre LPD et RGPD

1. Le régime de sanctions

C'est probablement la différence la plus marquante. Le RGPD prévoit des amendes administratives colossales pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial. La LPD, elle, adopte une logique pénale : les amendes (jusqu'à 250 000 CHF) sont infligées aux personnes physiques responsables (dirigeants, DPO), pas à l'entreprise elle-même.

Concrètement : sous RGPD, ton entreprise paie. Sous LPD, c'est toi personnellement, en tant que dirigeant, qui peux être sanctionné. Ça change la donne psychologiquement.

2. Les données personnelles couvertes

La LPD protégeait historiquement les données des personnes physiques ET morales. Depuis la révision de 2023, elle s'aligne sur le RGPD : seules les personnes physiques sont désormais concernées. Une convergence bienvenue.

En revanche, la définition des données sensibles diffère légèrement. La LPD y inclut explicitement les données sur les mesures d'aide sociale et les poursuites administratives/pénales, ce qui est plus étendu que le RGPD.

3. Le délégué à la protection des données (DPO)

Le RGPD impose la désignation d'un DPO dans trois cas : autorités publiques, suivi systématique à grande échelle, traitement à grande échelle de données sensibles.

La LPD, elle, ne rend pas le DPO obligatoire. Elle parle de « conseiller à la protection des données », dont la désignation est facultative mais fortement recommandée. Si tu en désignes un, tu bénéficies même d'un allègement : plus besoin de consulter le PFPDT pour certaines analyses d'impact.

4. La notification des violations de données

Sous RGPD, tu as 72 heures pour notifier une fuite de données à l'autorité compétente. Un délai strict et connu.

Sous LPD, la règle est plus floue : « dès que possible » au Préposé fédéral à la protection des données et à la transparence (PFPDT). En pratique, vise 72h aussi pour être irréprochable. Le seuil de déclaration diffère également : LPD parle de « risque élevé » pour la personnalité, RGPD de « risque pour les droits et libertés ».

5. Le consentement

Le RGPD est très strict sur le consentement : il doit être libre, spécifique, éclairé, univoque et facilement révocable. La LPD est plus souple et se base davantage sur des motifs justificatifs (intérêt prépondérant, exécution d'un contrat, base légale). Le consentement explicite n'est requis que pour les données sensibles ou le profilage à risque élevé.

6. Le profilage à risque élevé

La LPD introduit une notion spécifique : le « profilage à risque élevé », qui déclenche des obligations renforcées (consentement explicite, analyse d'impact). Le RGPD parle de « décision individuelle automatisée » avec des critères un peu différents.

7. Le transfert international de données

Les deux régimes exigent un niveau de protection adéquat pour les transferts hors zone. La Suisse et l'UE se reconnaissent mutuellement comme offrant un niveau adéquat, ce qui facilite les échanges bilatéraux. Pour les transferts vers d'autres pays, la LPD publie sa propre liste (similaire mais pas identique à celle de la Commission européenne).

Mon entreprise suisse doit-elle appliquer le RGPD ?

Question cruciale. La réponse est oui, si :

  1. Tu offres des biens ou services à des personnes résidant dans l'UE (même gratuits)
  2. Tu suis le comportement de personnes dans l'UE (cookies, analytics, tracking)
  3. Tu as un établissement dans l'UE

Exemple concret : une boutique en ligne genevoise qui vend en France ? RGPD ET LPD. Un cabinet médical vaudois qui n'a que des patients suisses ? LPD uniquement.

La bonne nouvelle : si tu es conforme RGPD, tu es à 95% conforme LPD. L'inverse n'est pas forcément vrai. En cas de doute, vise le standard le plus élevé.

Les obligations concrètes pour ton entreprise suisse

Le registre des activités de traitement

Obligatoire sous les deux régimes, sauf pour les PME de moins de 250 employés dont les traitements ne présentent pas de risque élevé. Ce document liste :

  • Les catégories de données traitées
  • Les finalités du traitement
  • Les catégories de destinataires
  • Les durées de conservation
  • Les mesures de sécurité mises en place

La politique de confidentialité

Ton site web doit obligatoirement présenter une politique de confidentialité claire, accessible et à jour. Elle doit mentionner :

  • L'identité du responsable de traitement
  • Les données collectées et leurs finalités
  • Les bases légales
  • Les destinataires (y compris hors Suisse/UE)
  • Les droits des personnes concernées
  • La durée de conservation

Les droits des personnes concernées

La LPD garantit les mêmes droits fondamentaux que le RGPD :

  • Droit d'accès : savoir quelles données sont détenues
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : demander la suppression
  • Droit à la portabilité : récupérer ses données
  • Droit d'opposition : refuser certains traitements

Tu dois répondre gratuitement dans un délai raisonnable (30 jours max recommandés).

La sécurité des données

Les deux régimes imposent des mesures techniques et organisationnelles appropriées. Concrètement :

  1. Chiffrement des données sensibles au repos et en transit
  2. Contrôle d'accès basé sur les rôles
  3. Sauvegardes régulières et testées
  4. Formation des collaborateurs
  5. Procédure de gestion des incidents
  6. Audits de sécurité périodiques

Pour les données particulièrement sensibles (santé, RH), pense aussi à utiliser des solutions de stockage chiffré. Notre guide sur les coffres-forts chiffrés donne des pistes applicables aussi aux documents professionnels.

Les outils marketing et la conformité

C'est là que ça se corse pour beaucoup d'entreprises. Chaque outil que tu utilises traite potentiellement des données personnelles.

Analytics et tracking

Google Analytics, Meta Pixel, Hotjar : tous soumis à la double conformité. Il te faut un bandeau cookies conforme, avec consentement granulaire et refus aussi facile que l'acceptation.

Emailing

Consentement explicite requis pour les newsletters commerciales (spécifiquement pour B2C). Double opt-in recommandé. Désinscription en un clic obligatoire.

Raccourcisseurs d'URL

Peu d'entreprises y pensent, mais les raccourcisseurs d'URL collectent souvent l'IP, la géolocalisation et le user-agent des utilisateurs qui cliquent. Choisir un service respectueux de la vie privée comme Lunyb, hébergé en Europe et conforme RGPD/LPD, évite bien des soucis. Compare les options dans notre comparatif Bitly vs TinyURL ou notre guide sur les alternatives gratuites à Bitly.

CRM et prospection

Attention aux fichiers achetés ou scrapés. Les courtiers en données vendent souvent des listes acquises sans consentement valide. En cas de plainte, c'est toi qui es responsable.

Plan d'action : mise en conformité en 10 étapes

  1. Cartographie : recense tous les traitements de données dans ton entreprise
  2. Registre : formalise le registre des activités de traitement
  3. Base légale : identifie le motif justificatif pour chaque traitement
  4. Politique de confidentialité : rédige ou mets à jour ta politique
  5. Bandeau cookies : implémente une solution CMP conforme
  6. Contrats sous-traitants : signe des accords DPA avec tous tes prestataires
  7. Sécurité : audite et renforce tes mesures techniques
  8. Formation : sensibilise tes équipes (surtout marketing, RH, IT)
  9. Procédures : documente la gestion des demandes d'accès et des violations
  10. Audit annuel : réévalue la conformité chaque année

Les pièges à éviter

  • Croire que la LPD est plus laxiste : les sanctions personnelles peuvent être plus dissuasives que les amendes RGPD
  • Ignorer les sous-traitants : ta responsabilité s'étend à tes prestataires (hébergeur, SaaS, freelances)
  • Négliger les transferts hors Suisse/UE : utiliser un service US sans garanties adéquates est risqué
  • Oublier les collaborateurs : les données RH sont soumises aux mêmes règles
  • Considérer la conformité comme un projet ponctuel : c'est un processus continu

Pour approfondir la protection au quotidien, consulte aussi notre guide complet sur la protection de la vie privée en ligne.

FAQ : LPD vs RGPD

Une PME suisse doit-elle vraiment tenir un registre des traitements ?

Les entreprises de moins de 250 employés sont dispensées, sauf si leurs traitements présentent un risque élevé pour les personnes concernées (données sensibles, profilage). En pratique, dès que tu traites des données clients de manière automatisée, tenir un registre reste la meilleure preuve de conformité en cas de contrôle.

Que risque concrètement un dirigeant en cas de non-conformité LPD ?

Les personnes physiques responsables peuvent être condamnées à une amende pénale allant jusqu'à 250 000 CHF pour violation intentionnelle des obligations d'information, de renseignement ou de collaboration avec le PFPDT. La faute doit être intentionnelle, pas simplement négligente.

Le RGPD s'applique-t-il si mon site est en français mais basé en Suisse ?

La langue française seule ne suffit pas à déclencher le RGPD. Ce qui compte, c'est le ciblage : prix en euros, livraison en France, mentions explicites d'un marché européen, publicités ciblant l'UE. Si tu ne fais que rendre ton site accessible sans démarche active vers l'UE, tu restes sous LPD uniquement.

Dois-je désigner un DPO en Suisse ?

Non, la LPD ne l'impose pas. Mais désigner un « conseiller à la protection des données » présente des avantages : allègement de certaines obligations de consultation du PFPDT, meilleure crédibilité en cas de contrôle, expertise interne. Si tu tombes aussi sous RGPD avec des traitements à grande échelle, un DPO devient obligatoire.

Comment gérer les transferts de données vers les États-Unis ?

Les États-Unis ne bénéficient pas d'une décision d'adéquation générale ni sous LPD ni sous RGPD. Il faut donc des garanties supplémentaires : clauses contractuelles types, adhésion au Data Privacy Framework pour les entreprises certifiées, ou mesures techniques renforcées (chiffrement de bout en bout). Privilégier des prestataires européens ou suisses simplifie considérablement la conformité.

Conclusion

LPD et RGPD partagent le même ADN : protéger les personnes physiques face au traitement de leurs données. Les différences sont réelles mais gérables. Pour une entreprise suisse, la stratégie la plus efficace est simple : vise la conformité RGPD par défaut, tu seras automatiquement conforme LPD. C'est un investissement, pas une contrainte : la confiance de tes clients en dépend directement, et un incident de données mal géré peut coûter bien plus cher que la mise en conformité initiale.

La protection des données n'est plus une option en 2026. C'est un avantage concurrentiel.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles