LPD révisée 2025 : ce qui change vraiment pour les entreprises suisses
La LPD révisée est en vigueur depuis septembre 2023. Pourtant, beaucoup de PME n'ont mis en œuvre les ajustements qu'à moitié. Un guide pratique avec les cinq changements les plus importants — et ce qu'il faut faire concrètement en 2026.
La LPD révisée est en vigueur en Suisse depuis le 1er septembre 2023. Plus de deux ans plus tard, les conversations avec des agences web et des dirigeants de PME révèlent toujours le même schéma : beaucoup ont abordé les ajustements consciencieusement mais ne les ont jamais vraiment finalisés. Le cas classique — une politique de confidentialité publiée juste avant septembre 2023, une bannière cookie qui n'a plus été touchée depuis, et le sentiment latent qu'il reste quelque chose en suspens.
Cet article résume ce que la LPD révisée a réellement changé et où des actions sont encore nécessaires en 2026.
Pourquoi la LPD a été révisée
La Suisse a modernisé sa loi sur la protection des données pour deux raisons. D'abord, la loi de 1992 était simplement dépassée. Ensuite, sans adaptation, le statut de la Suisse comme « pays tiers adéquat » au sens du droit européen aurait été menacé — et avec lui, la libre circulation des données entre la Suisse et l'UE.
La LPD révisée s'est rapprochée du RGPD sans en être une copie conforme. La logique reste pragmatiquement suisse : la responsabilité incombe à ceux qui traitent les données, sans noyer chaque opération dans la bureaucratie.
Les cinq changements majeurs en bref
1. Devoir d'information étendu
Quiconque collecte des données personnelles doit en informer la personne concernée — non seulement sur le qui, mais aussi sur le pourquoi. Concrètement : identité et coordonnées du responsable, finalité du traitement, éventuels destinataires des données, ainsi qu'une mention en cas d'export à l'étranger.
Ces informations relèvent de la politique de confidentialité. Un modèle générique tiré d'internet ne suffit pas — destinataires et finalités doivent correspondre à votre installation concrète.
2. Registre des activités de traitement
Les entreprises de 250 employés ou plus doivent tenir un registre de toutes les activités de traitement. Ce qui semble anodin est en pratique un catalogue Excel ou outil sobre : quelles données sont traitées dans quel but, par qui, où stockées, combien de temps conservées.
Pour les PME de moins de 250 employés, cela ne s'applique que si le traitement est étendu ou concerne des données sensibles. En pratique, je recommande quand même un simple registre à toutes les agences web disposant de bases clients — ne serait-ce que pour pouvoir répondre de manière structurée à une demande d'accès.
3. Analyse d'impact relative à la protection des données (AIPD)
Pour les traitements à haut risque pour les droits de la personnalité, une AIPD est obligatoire. Cela paraît rébarbatif mais est précis : qui introduit un nouvel outil de tracking agrégeant des profils comportementaux, ou met en œuvre une surveillance des employés, doit évaluer et documenter les risques au préalable.
Si l'AIPD montre que le risque ne peut être suffisamment réduit, il faut consulter le PFPDT. En pratique, cette voie est rarement empruntée — on trouve généralement des mesures d'atténuation suffisantes.
4. Sanctions plus sévères
Amendes jusqu'à CHF 250'000 — par violation. Important : l'amende ne vise pas l'entreprise mais la personne physique responsable. En pratique, c'est souvent la direction. Cela fait du sujet une affaire de direction, pas un problème IT délégable.
Sont notamment sanctionnées les violations intentionnelles des obligations d'information, de communication et de collaboration. Les violations par négligence ne sont pas directement punissables — ce qui ne signifie pas qu'on peut les ignorer.
5. Droits renforcés des personnes concernées
Le droit d'accès n'est pas nouveau mais a été précisé. Les personnes concernées peuvent demander à savoir quelles données les concernant sont traitées, d'où elles proviennent et à qui elles sont communiquées. Le délai est de 30 jours. Une extension par rapport à l'ancienne loi : les décisions individuelles automatisées doivent aussi être expliquées — par exemple, vérifications de solvabilité, déterminations tarifaires automatiques ou screenings de candidats.
Ce que les exploitants de sites doivent concrètement faire
Quand je passe un site PME suisse au crible LPD, je regarde cinq points :
- La politique de confidentialité est-elle à jour ? Vérifier la date. Si avant septembre 2023, certainement obsolète. Si de 2024 ou 2025, lire de manière critique — beaucoup de modèles ont été formellement adaptés mais pas substantiellement personnalisés à l'entreprise concrète.
- La bannière cookie est-elle proprement implémentée ? Les cookies marketing sont-ils définis seulement après consentement ? « Refuser » est-il équivalent à « Accepter » ? Le consentement est-il documenté ?
- Les outils tiers sont-ils déclarés ? Google Analytics, Meta Pixel, HubSpot, Mailchimp — tout doit être nommé dans la politique, avec finalité et pays destinataire.
- Y a-t-il un processus pour les demandes d'accès ? Qui répond quand quelqu'un demande ses données ? Un simple e-mail à info@ est souvent le maillon faible du quotidien PME.
- Les exports vers l'étranger sont-ils transparents ? Cloud US, hébergement UE — tout ce qui quitte la Suisse relève de la politique. Idéalement avec une référence au mécanisme (clauses contractuelles types, décision d'adéquation).
Pièges fréquents en pratique
Trois points que je vois à presque chaque session d'audit :
Piège 1 — Listes de cookies dépassées. La politique mentionne trois cookies, mais le site en pose douze parce que l'équipe marketing a intégré un nouvel outil. Solution : scans automatiques réguliers révélant les divergences.
Piège 2 — Formulations non contraignantes. « Nous nous soucions de vos données » n'est pas une politique de confidentialité. La LPD exige des informations concrètes — quelles données, quelles finalités, quels destinataires.
Piège 3 — Demandes d'accès oubliées. Sans responsabilité claire, les demandes atterrissent dans la boîte générale et sont oubliées. En cas de silence radio, le délai de 30 jours est vite dépassé — et c'est une violation documentée.
Checklist pratique LPD 2026
Une liste compacte pour l'auto-évaluation :
- Politique de confidentialité incluant finalité, destinataires, exports à l'étranger
- Bannière cookie avec « Refuser » équivalent et journal de consentement
- Tous les outils tiers nommés dans la politique
- Processus de demande d'accès documenté (destinataire, délai, déroulement)
- Exports à l'étranger déclarés avec mécanisme
- Registre des activités de traitement tenu (si requis)
- AIPD réalisée pour les traitements à haut risque
- Inventaire cookie actuel vérifié par scanner
Perspectives
Le PFPDT a commencé en 2025 à enquêter de manière plus proactive — d'abord essentiellement sur indication de la population, puis de plus en plus via des contrôles aléatoires propres. Quiconque a commencé en 2023 et n'a rien adapté depuis devrait planifier une revue de printemps en 2026. Un scan cookie systématique, une mise à jour de la politique et un rafraîchissement du processus de demande d'accès sont réalisables en une demi-journée.
Pour ceux sans générateur propre, Aiara aide : bannière cookie, politique de confidentialité et mentions légales fonctionnent automatiquement en synchronisation avec votre site — conformes LPD et RGPD, avec hébergement suisse et gestion des versions. Le premier domaine est gratuit, scan d'audit cookie inclus.
Questions fréquentes
La LPD révisée s'applique-t-elle aussi aux indépendants et microentreprises ?
Oui. La LPD révisée ne connaît aucun seuil basé sur le nombre d'employés ou le chiffre d'affaires. Quiconque traite des données personnelles — et c'est pratiquement toute entreprise exploitant un site web ou stockant des données clients — tombe sous l'obligation légale. Des allégements existent uniquement pour les entreprises de moins de 250 employés, par exemple pour le registre des activités de traitement.
Ai-je besoin d'un délégué à la protection des données ?
En Suisse, la nomination est volontaire — contrairement à l'UE sous le RGPD. Toutefois, qui annonce un conseiller interne à la protection des données est dispensé de l'obligation de consulter le PFPDT au préalable. Pour les PME avec des volumes de données importants ou des traitements à haut risque, la nomination est recommandée.
Que se passe-t-il en cas de violation ?
Les violations intentionnelles des obligations d'information, de communication ou de collaboration peuvent être sanctionnées par des amendes allant jusqu'à CHF 250'000 — adressées à la personne physique responsable de la violation. Contrairement au RGPD, l'amende vise donc le directeur, pas l'entreprise directement.
Ma vieille politique de confidentialité de 2018 suffit-elle encore ?
Non. Une politique créée avant 2023 ne respecte généralement pas les nouvelles obligations d'information. En particulier, vous devez aujourd'hui divulguer de façon transparente la finalité du traitement, les destinataires et les exports vers l'étranger. Une mise à jour est obligatoire.
En quoi la LPD révisée diffère-t-elle du RGPD ?
Les principes de base sont similaires, mais la LPD suisse est plus pragmatique. Différences clés : le consentement explicite n'est obligatoire que pour les données sensibles ou le profilage à haut risque (pas en général), les amendes visent les personnes physiques plutôt que les entreprises, et la portée territoriale est liée à l'entreprise qui traite — pas à la résidence de la personne concernée.
Prêt pour un consentement cookies propre ?
Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.
Découvrir AiaraAutres articles
22 avril 2026 · 5 min de lecture
Catégories de cookies expliquées : nécessaires, fonctionnels, statistiques, marketing
15 avril 2026 · 4 min de lecture
Radar de risques selon l'annexe A du PFPDT : évaluer systématiquement les risques de protection des données
3 avril 2026 · 5 min de lecture