LPD vs. RGPD : les différences clés pour les entreprises suisses en 2026

« Nous sommes une entreprise suisse, donc seule la LPD nous concerne. » J'entends souvent cette phrase — et elle est parfois vraie, parfois non. La réalité : dès que vous opérez au-delà de la frontière suisse, vous devez probablement observer les deux régimes. Voici les différences clés en aperçu pragmatique.

Champ d'application — le point décisif

La LPD révisée se rattache à l'entité de traitement. Quiconque siège en Suisse et traite des données personnelles tombe sous son emprise — peu importe où résident les personnes concernées. Les entreprises étrangères ciblant des personnes en Suisse peuvent aussi tomber dans son champ.

Le RGPD se rattache à la protection de la personne concernée. Quiconque cible des personnes dans l'UE (« offer goods or services ») ou observe leur comportement tombe sous le RGPD — même si l'entreprise est en Suisse.

La question pratique : « Est-ce que je m'adresse activement à une clientèle UE ? » Si oui, les deux s'appliquent. Si non, seulement la LPD.

Consentement — où ça diverge vraiment

Le RGPD exige fondamentalement une base légale pour chaque traitement. L'une est le consentement (opt-in, documenté, révocable). D'autres sont l'exécution de contrat, l'obligation légale ou l'intérêt légitime.

La LPD est moins formelle. Le consentement n'est obligatoire que si des données sensibles sont traitées ou s'il existe un risque élevé pour la personnalité (par exemple profilage). Pour beaucoup de traitements standard (traitement de commande, newsletter avec accord client), la reconnaissabilité depuis le contexte suffit.

Pratique : si vous voulez être conforme LPD et RGPD, traitez les consentements de manière conforme RGPD. Vous êtes ainsi automatiquement au-dessus du standard LPD.

Droit d'accès — similaire, pas identique

Les deux lois donnent aux personnes concernées un droit d'accès au traitement de leurs données. Les deux fixent un délai de 30 jours. Mais :

• RGPD définit très précisément ce que doit contenir l'information — finalités, catégories de destinataires, durée de conservation, origine des données, décisions automatisées.
• LPD est formulée plus ouvertement, mais en pratique très similaire. Une réponse conforme RGPD satisfait aussi la LPD.

En pratique, un processus d'accès commun est rentable : un destinataire défini dans l'entreprise, un modèle, un workflow documenté.

Politique de confidentialité — différence formelle, contenu identique

Les art. 13 et 14 du RGPD listent les mentions obligatoires d'une politique de confidentialité. La LPD a depuis la révision des exigences similaires, mais les formule plus compactement.

Quiconque a une politique conforme RGPD couvre automatiquement la LPD. L'inverse n'est pas forcément vrai — un modèle LPD pourrait être incomplet aux yeux du RGPD.

Représentation — spécifique au RGPD

Les entreprises suisses qui traitent régulièrement des données de personnes UE ont besoin d'un représentant UE selon l'art. 27 RGPD. Cette personne agit comme point de contact pour les autorités de surveillance UE et les personnes concernées.

En pratique cela signifie : un service juridique de représentation (plusieurs centaines d'euros par an) ou une filiale UE propre. La LPD connaît une obligation similaire pour les entreprises étrangères traitant des données en Suisse — les entreprises suisses avec activité UE peuvent donc avoir à organiser deux représentations.

Sanctions — la plus grande divergence

Ici cela devient drastiquement différent :

• RGPD : amendes jusqu'à 20 M EUR ou 4 % du chiffre d'affaires mondial du groupe — selon ce qui est le plus élevé. Destinataire : l'entreprise.
• LPD : amendes jusqu'à CHF 250'000. Destinataire : la personne physique responsable de la violation (typiquement le directeur).

Les deux logiques ont leur justification. Le RGPD frappe l'entreprise — ce qui a un effet dissuasif pour les grands groupes. La LPD frappe les personnes — ce qui est plus proche de la réalité des PME car les directeurs sont généralement directement responsables.

Approche pratique de double conformité

Pour les PME suisses avec activité DACH, je recommande la stratégie suivante :

1. Bannière cookies conforme RGPD — opt-in, documenté, révocable, approche en couches
2. Politique de confidentialité conforme RGPD — tous les points art. 13/14 remplis
3. Processus d'accès conforme RGPD — délai 30 jours, destinataire défini
4. Représentant UE — service juridique (par ex. VGS Datenschutz) à partir de CHF 500/an
5. Registre des activités de traitement — même si pas obligatoire selon LPD, donne une structure

Avec cette configuration vous êtes conforme LPD et RGPD. L'effort se sent au début, ensuite c'est de la routine.

Là où la LPD est plus douce

Trois points où le droit suisse est plus pragmatique :

• Analyse d'impact — seulement pour les traitements vraiment à haut risque, pas pour chaque nouvel outil
• Délégué à la protection des données — volontaire, pas obligatoire
• Logique de sanction — personnes au lieu d'entreprises, ce qui maintient le seuil de menace bas pour les petites amendes mais sensibilise les directeurs

Pour les PME, la LPD est globalement le régime plus agréable — à condition de la prendre au sérieux et de ne pas se cacher derrière le mythe que « c'est de toute façon une peccadille ».

Ce qu'apporte Aiara

Aiara est construit de fond en comble pour le double monde suisse. Bannière cookies, politique de confidentialité et mentions légales couvrent simultanément LPD et RGPD. Vous configurez une fois, et le système choisit automatiquement le standard plus strict. Pour les agences web suisses avec clientèle DACH, cela fait gagner une demi-journée de travail manuel par client — et le risque de violer involontairement l'une des deux lois.