nLPD expliquée simplement : la nouvelle loi suisse sur la protection des données pour les PME
Depuis le 1er septembre 2023, la nLPD s'applique — sans période transitoire et à pratiquement toutes les entreprises. Ce que la nouvelle loi sur la protection des données signifie concrètement pour les PME suisses : les cinq obligations principales, les sanctions et une checklist pour démarrer sans jargon juridique.

« Est-ce que le RGPD s'applique désormais à nous — ou quelque chose de propre à la Suisse ? » Cette question, nous l'entendons régulièrement de la part de dirigeants de PME suisses dès que la protection des données arrive sur la table. La réponse : la Suisse a sa propre loi modernisée sur la protection des données — la nLPD. Elle s'applique depuis septembre 2023 à pratiquement toutes les entreprises du pays, de la raison individuelle avec un site web à l'entreprise industrielle. La bonne nouvelle : les obligations de base restent gérables et peuvent être mises en œuvre sans service juridique. Cet article explique la nLPD depuis le début — de façon compréhensible, sans jargon juridique et avec une checklist concrète à la fin.
Pour une vue d'ensemble complète de la loi — des obligations aux sanctions — consultez notre guide LPD.
Que veut dire « nLPD » au juste ?
nLPD signifie « nouvelle loi sur la protection des données » et est l'abréviation courante de la loi fédérale sur la protection des données entièrement révisée (LPD, RS 235.1). Officiellement, la loi s'appelle toujours simplement LPD — le « n » placé devant s'est imposé dans l'usage pour distinguer la version révisée de la loi précédente datant de 1992. Que l'on parle de nLPD, de LPD révisée ou de « nouvelle loi suisse sur la protection des données » : il s'agit toujours de la même loi.
Pourquoi cette révision totale ? L'ancienne loi datait d'une époque sans smartphones, sans services cloud et sans tracking en ligne. En parallèle, la Suisse devait se mettre à niveau pour continuer d'être reconnue par l'UE comme un pays offrant un niveau de protection des données adéquat — la condition pour que les données personnelles circulent entre la Suisse et l'UE sans obstacles supplémentaires.
Important pour votre planification : la nLPD est entrée en vigueur le 1er septembre 2023 sans période transitoire. Il n'existe donc aucun délai de grâce à invoquer — les obligations s'appliquent intégralement depuis le premier jour.
Qui souhaite examiner en détail les différents changements par rapport à l'ancien droit les trouvera dans l'article « LPD révisée : ce qui change vraiment pour les entreprises suisses ». Ici, nous nous concentrons sur la vue d'ensemble : que doit savoir et faire une PME ?
À qui s'applique la nLPD ?
En bref : à tout le monde. La nLPD ne connaît aucun seuil de chiffre d'affaires, d'effectif ou de secteur. Dès qu'une entreprise traite des données personnelles — c'est-à-dire des données pouvant être rattachées à une personne déterminée — elle entre dans le champ d'application. Et pratiquement toute entreprise traite des données personnelles :
- la boulangerie avec un formulaire de contact sur son site web
- la fiduciaire avec ses dossiers clients
- la boutique en ligne avec ses données de commande et de paiement
- la menuiserie avec les données du personnel de ses cinq employés
Les entreprises étrangères tombent également sous la nLPD lorsque leur traitement de données produit des effets en Suisse. Pour les PME suisses avec une clientèle dans l'UE se pose en plus la question de savoir si le règlement général européen sur la protection des données (RGPD) s'applique en parallèle — nous y revenons plus bas.
Les cinq obligations les plus importantes pour les PME
1. Politique de confidentialité — le devoir d'information selon l'art. 19
Le cœur de la nLPD du point de vue d'un exploitant de site web : qui collecte des données personnelles doit en informer les personnes concernées. L'article 19 exige au minimum l'identité et les coordonnées du responsable, la finalité du traitement, les destinataires ou catégories de destinataires et — si des données partent à l'étranger — l'État de destination ainsi que les garanties de protection.
En pratique, on remplit ce devoir avec une politique de confidentialité sur le site web. Le point décisif : elle doit correspondre à votre configuration réelle. Un modèle copié qui ne mentionne pas Google Analytics alors que l'outil tourne ne remplit pas l'obligation — au contraire, il documente même la violation.
2. Registre des activités de traitement — avec exception pour les PME
Le registre des activités de traitement est un catalogue interne : quelles données traitons-nous, dans quel but, qui y a accès, combien de temps les conservons-nous ? La bonne nouvelle pour les petites structures : les entreprises de moins de 250 collaborateurs en sont dispensées — tant qu'elles ne traitent pas de données sensibles à grande échelle et ne pratiquent pas de profilage à risque élevé. Sont notamment sensibles les données sur la santé, les opinions religieuses ou politiques et les données biométriques.
La plupart des PME sont donc formellement tirées d'affaire. Un registre allégé reste néanmoins recommandé, même pour les petites entreprises : un simple tableau des principales catégories de données oblige à faire l'inventaire et facilite massivement toute demande d'accès ultérieure.
3. Obligation d'annoncer les violations de la sécurité des données
Nouveauté du droit suisse : si la sécurité des données est violée — par une cyberattaque, un ordinateur portable perdu ou un envoi de masse mal adressé — et qu'il en résulte vraisemblablement un risque élevé pour les personnes concernées, l'entreprise doit annoncer le cas au Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais.
Pour les PME, cela signifie concrètement : il faut un plan d'urgence minimal. Si chacun sait en interne qui décide et qui annonce en cas de crise, aucun temps n'est perdu sous stress. Une feuille A4 avec les responsabilités et le canal d'annonce au PFPDT suffit largement comme point de départ.
4. Protection des données dès la conception et par défaut
Deux termes techniques, une idée simple : la protection des données doit être pensée dès le départ (« privacy by design ») et le réglage le plus respectueux de la vie privée doit être le réglage par défaut (« privacy by default »).
Concrètement : qui introduit un nouvel outil de gestion clients pose la question du lieu de stockage et du concept de suppression dès la sélection — pas trois ans plus tard. Qui construit un formulaire d'inscription ne précoche pas la case newsletter. La bannière cookie est elle aussi un cas d'application : un tracking qui ne démarre qu'après le consentement, c'est la protection par défaut mise en pratique.
5. Droit d'accès des personnes concernées
Toute personne peut vous demander quelles données vous traitez à son sujet, d'où elles proviennent et à qui elles sont communiquées. Le délai est de 30 jours, l'information est en principe gratuite. Cela paraît banal, mais c'est le point faible le plus fréquent au quotidien des PME : les demandes atterrissent dans la boîte générale, personne ne se sent responsable, le délai expire. Définissez une personne responsable et un modèle de réponse simple — il n'en faut généralement pas plus.
Sanctions : les amendes visent les personnes, pas les entreprises
En matière d'amendes, la nLPD se distingue nettement du RGPD. Les violations intentionnelles d'obligations centrales — comme le devoir d'information ou le droit d'accès — peuvent être punies, sur plainte, d'amendes allant jusqu'à CHF 250'000. Le destinataire n'est pas l'entreprise, mais la personne physique responsable de la violation. Dans une PME, c'est typiquement la direction.
Cela fait de la protection des données une affaire de direction. Deux précisions pour éviter toute panique : premièrement, seules les violations intentionnelles sont punissables, pas les négligences. Deuxièmement, une plainte est nécessaire — le PFPDT ne distribue pas lui-même des amendes à grande échelle. Qui remplit ses obligations de base de façon documentée n'a pas grand-chose à craindre. Qui les ignore sciemment porte le risque personnellement.
Trois malentendus fréquents
« Nous sommes trop petits, cela ne nous concerne pas. » La nLPD ne connaît aucune limite inférieure. L'exception PME pour le registre est le seul allégement notable — toutes les autres obligations s'appliquent à la raison individuelle comme au grand groupe.
« Nous avons une politique de confidentialité de 2019, cela suffit. » Malheureusement non. Le devoir d'information selon l'art. 19 exige des indications que les textes plus anciens ne contiennent généralement pas — en particulier sur les destinataires et les transferts à l'étranger. Un texte antérieur à septembre 2023 est très probablement lacunaire.
« Sans clients UE, pas besoin de nous occuper des cookies. » La nLPD exige la transparence sur les services de tracking utilisés, et les recommandations du PFPDT vont clairement dans le sens d'une véritable liberté de choix. Dès que des services à risque ou des visiteurs de l'UE entrent en jeu, il n'y a guère de moyen de contourner une solution de consentement propre.
nLPD et RGPD : lequel s'applique à qui ?
Beaucoup de PME suisses ne savent pas si le RGPD s'applique à elles en plus. La règle empirique : qui s'adresse activement à une clientèle dans l'UE — par exemple avec une boutique en ligne qui livre en Allemagne — doit respecter les deux cadres. Qui travaille uniquement sur le marché intérieur n'est soumis qu'à la nLPD.
Les points où les deux lois divergent en détail — consentement, logique des sanctions, représentation dans l'UE — sont décortiqués dans notre article « LPD vs RGPD : les différences essentielles ». Pour commencer, retenez ceci : qui respecte le RGPD, plus strict, respecte automatiquement aussi la nLPD.
Checklist des obligations : la nLPD pour les PME
L'autocontrôle compact — chaque ligne devrait recevoir un oui :
- Politique de confidentialité en ligne, à jour et adaptée à votre configuration réelle (art. 19)
- Tous les outils et prestataires tiers y sont nommés, transferts à l'étranger compris
- Bannière cookie qui ne démarre le tracking qu'après le consentement
- Responsabilité définie pour les demandes d'accès (délai de 30 jours)
- Plan d'urgence pour les violations de la sécurité des données avec canal d'annonce au PFPDT
- Registre des activités de traitement tenu — obligatoire dès 250 collaborateurs, recommandé en dessous
- Les nouveaux outils et processus sont mis en place selon la protection dès la conception et par défaut
Comment commencer ? Trois étapes pragmatiques
Étape 1 : faire l'inventaire. Une heure, un document : quelles données personnelles détenons-nous, où sont-elles stockées, quels outils tournent sur le site web ? Un scan des cookies de votre propre site révèle presque toujours des surprises — les sites modernes posent plus de cookies que leurs exploitants ne le pensent.
Étape 2 : mettre à jour la politique de confidentialité et la bannière cookie. Ce sont les deux obligations les plus visibles — et celles qui sont contrôlées en premier en cas de plainte.
Étape 3 : définir les processus. Responsabilité pour les demandes d'accès, canal d'annonce pour les fuites de données, contrôle de protection des données pour chaque nouvel outil. Une fois proprement définis, ils ne coûtent presque plus de temps au quotidien.
Conclusion
La nLPD n'est pas un monstre bureaucratique, mais une loi pragmatique avec des obligations de base claires : informer, documenter, annoncer en cas d'incident — et penser la protection des données dès le départ pour toute nouveauté. Qui travaille la checklist ci-dessus a couvert l'essentiel des obligations PME et maîtrise le risque d'amende personnel de la direction.
Et vous n'avez pas à construire la partie la plus visible à la main : avec Aiara, votre politique de confidentialité et votre bannière cookie sont générées automatiquement en conformité avec la nLPD — y compris un scanner de cookies qui maintient en permanence votre site web et votre politique synchronisés. La partie web de la conformité se règle ainsi en une heure au lieu d'une semaine.
Questions fréquentes
Que signifie l'abréviation nLPD ?
nLPD signifie « nouvelle loi sur la protection des données » et désigne la loi fédérale sur la protection des données entièrement révisée, entrée en vigueur le 1er septembre 2023. Officiellement, la loi s'appelle toujours simplement LPD — le « n » s'est imposé dans l'usage courant pour distinguer la version révisée de la loi précédente de 1992.
À qui s'applique la nLPD ?
À toutes les entreprises privées et à tous les organes fédéraux qui traitent des données personnelles — indépendamment de la taille, du chiffre d'affaires ou du secteur. Même une raison individuelle avec un site web et un formulaire de contact entre dans le champ d'application. Des allégements n'existent que ponctuellement, par exemple pour le registre des activités de traitement des entreprises de moins de 250 collaborateurs.
Depuis quand la nouvelle loi sur la protection des données est-elle en vigueur en Suisse ?
Depuis le 1er septembre 2023 — et ce, sans période transitoire. Contrairement au RGPD, qui accordait deux ans de préparation, les obligations de la nLPD se sont appliquées intégralement dès le premier jour. Qui n'est pas encore conforme aujourd'hui ne peut invoquer aucun délai de grâce.
Que risque-t-on en cas de violation de la nLPD ?
Les violations intentionnelles des obligations centrales — devoir d'information, droit d'accès ou obligation de collaborer — peuvent être punies, sur plainte, d'amendes allant jusqu'à CHF 250'000. L'amende ne vise pas l'entreprise, mais la personne physique responsable de la violation : dans une PME, typiquement la direction.
Dois-je tenir un registre des activités de traitement en tant que PME ?
Le registre n'est obligatoire qu'à partir de 250 collaborateurs. Les entreprises plus petites en sont dispensées tant qu'elles ne traitent pas de données sensibles à grande échelle et ne pratiquent pas de profilage à risque élevé. Un aperçu allégé reste néanmoins recommandé — il facilite considérablement toute demande d'accès ultérieure.
Prêt pour un consentement cookies propre ?
Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.
Découvrir AiaraAutres articles

8 janvier 2026 · 7 min de lecture
LPD révisée 2025 : ce qui change vraiment pour les entreprises suisses

3 juillet 2026 · 8 min de lecture
Contrat de sous-traitance en Suisse : quand en faut-il un — avec checklist

16 juin 2026 · 8 min de lecture