Retour à la vue d'ensemble
LPDAmendesPFPDT

Amendes en matière de protection des données en Suisse : qui est puni — et pour quoi

La loi suisse sur la protection des données prévoit des amendes jusqu'à CHF 250'000 — mais qui les prononce réellement, et qui frappent-elles ? La réponse surprend : ni le PFPDT, ni l'entreprise. Ce qui est réellement punissable, les cas devenus publics à ce jour et où se situe le vrai risque au quotidien sur le web.

Aiara Team··8 min de lecture
Amendes en matière de protection des données en Suisse : qui est puni — et pour quoi

« Des amendes jusqu'à 250'000 francs — c'est donc le PFPDT qui les distribue, comme les autorités européennes distribuent leurs millions au titre du RGPD ? » Voilà, en substance, ce que l'on entend souvent dans les directions d'entreprises suisses dès qu'il est question de protection des données. Les deux hypothèses sont fausses : le PFPDT ne peut prononcer aucune amende, et l'amende ne frappe pas non plus l'entreprise. Qui comprend la mécanique réelle des sanctions de la LPD peut évaluer son propre risque de façon réaliste — sans panique, mais sans fausse insouciance non plus. Cet article explique qui est puni en Suisse et pour quoi, ce qui s'est réellement passé depuis l'entrée en vigueur de la loi révisée, et quelles erreurs du quotidien web créent le plus de risques.

Pour les bases de la loi elle-même, consultez notre guide LPD et l'article « nLPD expliquée simplement ».

La clarification la plus importante : le PFPDT ne prononce pas d'amendes

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) ne peut pas prononcer d'amendes — la loi fédérale sur la protection des données (LPD, RS 235.1) ne lui donne tout simplement pas cet instrument. Ce que le PFPDT peut faire n'en est pas moins incisif : il ouvre des enquêtes d'office ou sur dénonciation et rend, depuis la révision de la loi, des décisions contraignantes. Il peut ainsi ordonner qu'un traitement de données soit adapté, suspendu ou totalement abandonné, que des données soient effacées ou détruites — en pratique, de véritables interdictions de traitement. Les décisions d'intérêt général sont en outre publiées, avec le nom de l'entreprise.

Les amendes elles-mêmes sont prononcées par les autorités cantonales de poursuite pénale — ministères publics ou, selon le canton, préfectures. La LPD attribue expressément la poursuite et le jugement de ses infractions aux cantons (art. 65 LPD). Le PFPDT peut dénoncer une infraction et faire valoir les droits d'une partie plaignante dans la procédure — rien de plus.

Trois conditions limitent en outre le risque d'amende :

  • La plainte pénale : les infractions des art. 60 à 62 LPD ne sont poursuivies que sur plainte — typiquement celle de la personne dont les droits ont été violés. Pas de plainte, pas de procédure. Seule exception : le non-respect d'une décision du PFPDT (art. 63 LPD) est poursuivi d'office.
  • L'intention : seul est punissable celui qui agit intentionnellement. La négligence — l'omission accidentelle, le formulaire bâclé — reste impunie. Attention toutefois : le dol éventuel suffit. Qui sait que quelque chose ne va pas et l'accepte consciemment agit intentionnellement.
  • Les personnes physiques : le destinataire de l'amende n'est pas la société, mais l'être humain qui répond de la violation.

Qui l'amende frappe : des personnes, pas des sociétés

L'amende vise la personne physique responsable — dans une PME, typiquement la direction ; dans les organisations plus grandes, le cadre qui a pris la décision ; dans certains cas, des spécialistes comme des juristes d'entreprise ou des responsables de la protection des données. Le législateur l'a voulu ainsi : une amende imputée à la caisse de l'entreprise peut se budgétiser, une procédure pénale contre sa propre personne, non.

La seule exception figure à l'art. 64 LPD : lorsqu'une amende de CHF 50'000 au plus entre en ligne de compte et que l'identification de la personne punissable au sein de l'entreprise exigerait des mesures d'instruction disproportionnées, l'autorité peut renoncer à poursuivre des individus et condamner à la place l'entreprise au paiement de l'amende. Il s'agit d'une simplification pour les autorités, pas d'un bouclier pour la direction — lorsque la responsabilité est clairement attribuable, la punissabilité personnelle demeure.

La question de savoir si un employeur peut prendre en charge une amende infligée à un collaborateur est juridiquement controversée. Personne ne devrait s'y fier : la procédure pénale elle-même — audition, frais d'avocat, dossier à son nom — pèse dans tous les cas sur la personne concernée.

Ce qui est puni : le catalogue d'infractions des art. 60 à 63 LPD

Quatre groupes de violations sont punissables — tous passibles d'amendes jusqu'à CHF 250'000, tous uniquement en cas d'intention :

  • Violation des devoirs d'informer, de renseigner et de collaborer (art. 60 LPD) : qui, lors de la collecte de données, omet intentionnellement d'informer les personnes concernées ou les informe faussement — la déclaration de protection des données est ici le cas d'application principal — se rend punissable. Il en va de même de qui fournit un renseignement inexact ou incomplet en réponse à une demande d'accès, ou de qui refuse de collaborer à une enquête du PFPDT ou y fournit des informations inexactes. Particularité du droit d'accès : selon la lecture dominante, ignorer purement et simplement une demande d'accès n'est pas punissable — répondre en fournissant intentionnellement des informations fausses ou incomplètes l'est. Pour le devoir d'information, en revanche, l'omission complète est également punissable.
  • Violation des devoirs de diligence (art. 61 LPD) : en font partie la communication de données personnelles à l'étranger en violation des conditions légales, la délégation d'un traitement à un sous-traitant sans respecter les conditions de l'art. 9 LPD — pensez au contrat de sous-traitance manquant — et le non-respect des exigences minimales de sécurité des données édictées par le Conseil fédéral.
  • Violation du devoir de discrétion (art. 62 LPD) : qui révèle intentionnellement des données personnelles secrètes dont il a eu connaissance dans l'exercice de sa profession est puni sur plainte. Cette disposition va nettement plus loin que le secret professionnel classique des médecins ou des avocats — elle couvre pratiquement toute activité professionnelle.
  • Insoumission à une décision (art. 63 LPD) : qui ne se conforme pas intentionnellement à une décision du PFPDT ou à une décision des autorités de recours est puni d'office. C'est le levier qui donne du mordant aux décisions du PFPDT : la décision elle-même ne coûte rien — son non-respect, jusqu'à CHF 250'000.

LPD et RGPD : deux logiques de sanction totalement différentes

Le Règlement général sur la protection des données de l'UE sanctionne les entreprises, la LPD suisse punit des personnes — c'est la différence fondamentale. Sous le RGPD, les autorités de contrôle infligent directement des amendes administratives à l'entreprise : jusqu'à EUR 20 millions ou 4 pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les violations par négligence sont elles aussi sanctionnables, et aucune plainte pénale n'est nécessaire.

Le modèle suisse est un modèle de droit pénal : procédure pénale cantonale, exigence d'intention, infractions poursuivies sur plainte, responsabilité personnelle. Les montants sont plus faibles et les obstacles procéduraux plus nombreux — mais le risque est strictement personnel. Pour les entreprises suisses avec une clientèle dans l'UE, les deux régimes s'appliquent le plus souvent en parallèle : le RGPD pour les traitements ayant un lien avec l'UE, la LPD pour tout le reste. Nous avons détaillé les deux cadres dans notre guide LPD et notre guide RGPD.

Ce qui s'est réellement passé jusqu'ici

Depuis l'entrée en vigueur de la LPD révisée le 1er septembre 2023, seules quelques amendes sont devenues publiques — et les montants connus sont modestes. Un cas documenté publiquement : la préfecture (Statthalteramt) du district de Zurich a infligé, par ordonnance pénale du 4 mars 2025, une amende de CHF 600 (plus CHF 430 de frais de procédure) à un juriste d'entreprise de TX Group AG — pour renseignements intentionnellement inexacts ou incomplets en réponse à une demande d'accès (art. 60 al. 1 let. a LPD). L'ordonnance pénale n'était pas entrée en force au moment où elle a été rendue publique ; l'intéressé a formé opposition. Par ailleurs, des études d'avocats d'affaires rapportent de premières amendes entrées en force pour violation intentionnelle du droit d'accès — toutes inférieures à CHF 1'000 frais compris, aucune publiée officiellement.

L'activité de surveillance du PFPDT est nettement plus visible. Sur sa page des décisions, il publie les enquêtes closes en nommant les entreprises : contre Cembra Money Bank AG (janvier 2025, délais et étendue des réponses aux demandes d'accès), contre Inkasso-Team AG (avril 2025, publication en ligne de données de débiteurs) ou encore, en avril 2026, contre deux sociétés liées à la marque de mode Philipp Plein (principes de traitement, droits d'effacement et d'opposition). Dans son rapport d'activités 2024/2025, le PFPDT annonce en outre une intervention renforcée contre les violations du droit — avec environ 30 pour cent de personnel supplémentaire dans la surveillance.

Le bilan honnête est donc le suivant : le danger pratique réside aujourd'hui moins dans une amende spectaculaire que dans trois autres conséquences. Premièrement, dans l'enquête du PFPDT elle-même — elle mobilise des ressources, peut se terminer par une décision publiée avec le nom de l'entreprise et crée, via l'art. 63 LPD, un vrai risque d'amende pour l'avenir. Deuxièmement, dans l'atteinte à la réputation : une décision publiée ou un article de presse sur une procédure en matière de protection des données laisse des traces bien plus durables que n'importe quelle amende. Troisièmement, dans les prétentions civiles des personnes concernées, de l'action en accès ou en effacement jusqu'à la réparation du tort moral. Sans oublier : même une amende de CHF 600 signifie une procédure pénale contre une personne précise — avec tout ce que cela implique.

Quelles erreurs créent le plus de risques dans le contexte web

Trois situations du quotidien des sites web mènent le plus directement aux dispositions pénales et dans le viseur de la surveillance :

Premièrement : la déclaration de protection des données fausse ou manquante. L'art. 60 LPD punit aussi bien l'omission d'informer que l'information fausse. Le cas le plus délicat est le modèle copié qui ne correspond pas à la réalité : qui sait que des services d'analyse et de marketing tournent sur le site sans figurer dans la déclaration, et laisse sciemment les choses en l'état, se rapproche du dol éventuel — et documente lui-même la contradiction.

Deuxièmement : les demandes d'accès ignorées ou mal traitées. Le seul cas d'amende documenté publiquement à ce jour concerne précisément ce devoir, et la première décision publiée du PFPDT contre une entreprise portait elle aussi sur les délais de réponse aux demandes d'accès. Le remède est sans éclat : une personne responsable, un modèle de réponse, le délai de 30 jours à l'œil.

Troisièmement : le tracking sans transparence et sans consentement là où il est requis. Les cookies et services de suivi dont personne n'est informé violent le devoir d'information ; en cas de profilage à risque élevé ou de visiteurs de l'UE, il est difficile de se passer d'un consentement véritable. C'est exactement là qu'interviennent les critères d'examen que le PFPDT utilise pour sa surveillance — nous les avons décortiqués dans l'article sur le radar de risques selon l'annexe A du PFPDT. Qui veut savoir où en est son propre site peut le vérifier avec le scanner de site web gratuit : il montre quels cookies et services tournent réellement — la base d'une déclaration de protection des données conforme à la réalité.

Conclusion : de petites amendes, un vrai risque personnel

Le système de sanctions suisse n'est pas un clone du RGPD : le PFPDT enquête et rend des décisions, tandis que les amendes viennent des autorités cantonales de poursuite pénale — sur plainte, uniquement en cas d'intention et contre la personne responsable plutôt que contre la société. Les amendes connues à ce jour sont modestes et le nombre de cas limité. En conclure qu'il n'y a rien à craindre serait pourtant une erreur : le PFPDT développe visiblement sa surveillance, les décisions publiées touchent la réputation, et le risque pénal pèse personnellement sur la direction.

La bonne nouvelle : les obligations qui créent le plus de risques dans le contexte web peuvent être sécurisées systématiquement. Avec Aiara, votre déclaration de protection des données et votre bannière de cookies restent automatiquement synchronisées avec ce qui tourne réellement sur votre site — le scanner de cookies le vérifie en continu. Disparaît ainsi précisément la contradiction entre le papier et la réalité qui pèse le plus lourd le moment venu.

Questions fréquentes

Le PFPDT peut-il prononcer des amendes ?

Non. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) enquête sur les violations et peut rendre des décisions contraignantes — par exemple ordonner qu'un traitement de données soit adapté, suspendu ou totalement interdit. Les amendes sont prononcées exclusivement par les autorités cantonales de poursuite pénale, et pour la plupart des infractions uniquement sur plainte d'une personne concernée.

Quel est le montant maximal des amendes selon la loi suisse sur la protection des données ?

Jusqu'à CHF 250'000 — à l'encontre de la personne physique responsable, et non de l'entreprise. Ce n'est que lorsqu'une amende de CHF 50'000 au plus entre en ligne de compte et que l'identification de la personne responsable exigerait des efforts disproportionnés que l'entreprise peut être condamnée au paiement à sa place, selon l'art. 64 LPD.

Qui est puni — l'entreprise ou la direction ?

En principe, la personne physique responsable de la violation : la direction, le cadre qui a pris la décision, voire dans certains cas des spécialistes comme des juristes d'entreprise ou des conseillers à la protection des données. C'est une différence fondamentale avec le Règlement général sur la protection des données de l'UE, qui prévoit des amendes contre les entreprises.

Les violations par négligence sont-elles punissables ?

Non. Seul le comportement intentionnel est punissable — le dol éventuel suffit toutefois, c'est-à-dire le fait d'accepter consciemment une violation. Les infractions des art. 60 à 62 LPD ne sont en outre poursuivies que sur plainte ; seul le non-respect d'une décision du PFPDT (art. 63 LPD) est poursuivi d'office.

Y a-t-il déjà eu des amendes en Suisse sous la nouvelle loi sur la protection des données ?

Quelques-unes — et les montants connus sont modestes. Un cas documenté publiquement : une ordonnance pénale de la préfecture (Statthalteramt) du district de Zurich de mars 2025, infligeant CHF 600 à un juriste d'entreprise pour renseignements inexacts en réponse à une demande d'accès ; des études d'avocats rapportent en outre de premières amendes entrées en force, inférieures à CHF 1'000. Le danger pratique réside aujourd'hui plutôt dans les enquêtes du PFPDT, l'atteinte à la réputation et les prétentions civiles.

Prêt pour un consentement cookies propre ?

Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.

Découvrir Aiara