Guide

La LPD expliquée simplement : la loi suisse sur la protection des données

La LPD est la loi fédérale suisse sur la protection des données — entièrement révisée et en vigueur depuis le 1er septembre 2023, sans période transitoire. Ce guide explique à qui elle s'applique, quelles obligations elle impose et comment les entreprises peuvent les mettre en œuvre de façon pragmatique.

Mis à jour le

La LPD concerne pratiquement toutes les entreprises de Suisse — de la raison individuelle avec un site web au grand groupe. Pourtant, l'incertitude reste grande au quotidien : qu'exige concrètement la loi, que risque-t-on en cas de violation, et où le bon sens suffit-il ? Ce guide répond aux questions essentielles sur la loi suisse sur la protection des données — de façon compréhensible, sans jargon juridique et avec une checklist pour la mise en œuvre.

Qu'est-ce que la LPD ?

La LPD est la loi fédérale sur la protection des données (RS 235.1) — la loi suisse centrale régissant le traitement des données personnelles. Elle protège la personnalité et les droits fondamentaux des personnes dont les données sont traitées et s'applique dans sa version entièrement révisée depuis le 1er septembre 2023 — sans période transitoire. Le texte officiel et faisant foi est publié sur Fedlex, la plateforme de publication du droit fédéral de la Confédération.

Plusieurs noms circulent pour la même loi : nLPD (« nouvelle loi sur la protection des données »), « LPD révisée » ou simplement « nouvelle loi suisse sur la protection des données ». Officiellement, la loi s'appelle toujours simplement LPD. Qui parle de la nLPD ne désigne donc pas un texte distinct, mais la version de la LPD en vigueur depuis 2023.

La révision totale avait deux moteurs. Premièrement, la loi précédente datait de 1992 — une époque sans smartphones, sans services cloud et sans tracking en ligne. Deuxièmement, la Suisse devait aligner son niveau de protection des données sur les standards européens afin que l'UE continue de la reconnaître comme un pays offrant une protection adéquate, condition pour que les données personnelles circulent sans obstacles supplémentaires à travers la frontière.

Sur le fond, la LPD repose sur quelques principes (art. 6) : les données personnelles doivent être traitées de manière licite, conforme à la bonne foi et proportionnée, le traitement doit être lié à une finalité et reconnaissable pour les personnes concernées, les données doivent être exactes — et leur sécurité doit être garantie par des mesures techniques et organisationnelles appropriées. Qui respecte ces principes a déjà posé les fondations de sa conformité.

Une différence avec l'UE souvent négligée : la LPD suit le principe de l'autorisation. Le traitement de données personnelles est en principe licite, sans qu'il faille un consentement ou une autre base juridique — tant que les principes sont respectés et qu'il n'y a pas d'atteinte à la personnalité. Le RGPD fonctionne à l'inverse : là-bas, tout traitement est interdit tant qu'une base juridique ne l'autorise pas. La LPD n'exige un consentement que dans certaines constellations — par exemple lorsque des données sensibles sont traitées en dérogation aux principes, ou pour un profilage à risque élevé.

La loi est surveillée par le Préposé fédéral à la protection des données et à la transparence (PFPDT) — l'autorité suisse de surveillance en matière de protection des données. Il mène des enquêtes, conseille entreprises et particuliers et publie des guides, notamment sur les cookies et le tracking.

Ce qui a changé en détail avec la révision — nouvelles notions, devoirs d'information étendus, sanctions renforcées — est traité dans notre article « LPD révisée : ce qui change vraiment pour les entreprises suisses ». Ce guide se concentre sur le droit en vigueur : qu'exige la LPD d'une entreprise aujourd'hui ?

À qui s'applique la loi sur la protection des données ?

La LPD s'applique à toutes les personnes privées et entreprises ainsi qu'aux organes fédéraux qui traitent des données personnelles — sans seuil de taille, de chiffre d'affaires ou de secteur. Les données personnelles sont toutes les informations qui se rapportent à une personne identifiée ou identifiable : nom, adresse e-mail, numéro de client, mais aussi adresses IP ou données de localisation.

Le champ d'application est donc vite atteint au quotidien :

  • la boulangerie avec un formulaire de contact sur son site web
  • la fiduciaire avec ses dossiers clients et données salariales
  • la boutique en ligne avec ses données de commande, de paiement et de tracking
  • la startup qui envoie une newsletter

Deux distinctions sont importantes. Premièrement : les autorités cantonales et communales ne sont pas soumises à la LPD, mais aux lois cantonales sur la protection des données. Deuxièmement : la LPD a un effet extraterritorial. Selon l'article 3, elle s'applique aux états de fait qui déploient des effets en Suisse — même s'ils se sont produits à l'étranger. Une boutique en ligne allemande qui sert activement une clientèle suisse entre donc dans le champ d'application, tout comme un fournisseur de logiciels américain qui traite des données d'utilisateurs suisses.

Une catégorie particulière est celle des données personnelles sensibles : données sur la santé, opinions religieuses, philosophiques ou politiques, données génétiques et biométriques, informations sur des poursuites pénales et sur des mesures d'aide sociale. Des règles plus strictes s'y appliquent — là où un consentement est nécessaire, il doit être exprès. Qui traite de telles données devrait mettre en œuvre chaque obligation de ce guide avec un soin accru.

Les principales obligations pour les entreprises

La LPD exige en substance six choses des entreprises : informer, donner accès, documenter, annoncer les violations de la sécurité des données, intégrer la protection des données dès la conception et encadrer contractuellement les prestataires. Les sections suivantes expliquent chaque obligation avec l'article de loi correspondant.

Un soulagement d'emblée : contrairement au RGPD, la LPD n'impose pas de nommer un délégué à la protection des données. Les entreprises peuvent désigner volontairement un conseiller ou une conseillère à la protection des données — pour la plupart des PME, il suffit d'attribuer clairement la responsabilité en interne.

Devoir d'information et politique de confidentialité (art. 19)

Quiconque collecte des données personnelles doit en informer les personnes concernées — au préalable et de manière compréhensible. L'article 19 exige au minimum l'identité et les coordonnées du responsable du traitement, la finalité du traitement, les destinataires ou catégories de destinataires et, en cas de communication à l'étranger, l'État de destination ainsi que les garanties applicables.

L'information doit être fournie lors de la collecte ; si les données ne sont pas collectées directement auprès de la personne concernée, au plus tard un mois après leur réception. Pour les exploitants de sites web, cela signifie : il faut une politique de confidentialité qui corresponde au setup réel. Un modèle copié qui passe Google Analytics sous silence alors qu'il tourne ne remplit pas l'obligation — au contraire, il documente la violation. Comment élaborer une déclaration conforme est expliqué dans l'article « Créer une déclaration de protection des données pour la Suisse ».

Droit d'accès des personnes concernées (art. 25)

Toute personne peut demander à une entreprise quelles données elle traite à son sujet, d'où elles proviennent et à qui elles sont communiquées. Le renseignement est en principe gratuit et doit être fourni dans un délai de 30 jours.

Refuser, restreindre ou différer le renseignement n'est admis que dans des limites étroites — par exemple lorsqu'une loi le prévoit ou que des intérêts prépondérants de tiers sont touchés — et la décision doit être motivée. Dans le quotidien des PME, le droit d'accès est le point faible le plus fréquent : les demandes atterrissent dans la boîte générale, personne ne se sent responsable, le délai expire. Une responsabilité définie et un modèle de réponse simple règlent le problème avec un effort minimal.

Registre des activités de traitement (art. 12)

Le registre est un catalogue interne de tous les traitements de données : quelles données, dans quel but, qui y a accès, combien de temps sont-elles conservées ? Pour les petites entreprises, il existe un allégement important : les entreprises de moins de 250 collaborateurs sont dispensées de l'obligation — tant qu'elles ne traitent pas de données sensibles à grande échelle et ne pratiquent pas de profilage à risque élevé.

Un aperçu allégé reste néanmoins recommandé. Il oblige à faire l'inventaire et facilite considérablement toute demande d'accès ultérieure.

Annonce des violations de la sécurité des données (art. 24)

Si la sécurité des données est violée — par une cyberattaque, un ordinateur portable perdu ou un envoi en masse mal adressé — et qu'il en résulte vraisemblablement un risque élevé pour les personnes concernées, l'entreprise doit l'annoncer dans les meilleurs délais au Préposé fédéral à la protection des données et à la transparence (PFPDT).

De plus, une information des personnes concernées peut s'avérer nécessaire — lorsque leur protection l'exige ou que le PFPDT le demande. En pratique, cela exige un plan d'urgence minimal : qui décide en cas d'incident, qui annonce, par quel canal ? Une page A4 avec les responsabilités et la voie d'annonce au PFPDT suffit largement comme point de départ.

Protection des données dès la conception et par défaut (art. 7)

La protection des données doit être prise en compte dès la planification (« privacy by design »), et le réglage le plus respectueux de la vie privée doit être le réglage par défaut (« privacy by default »). Concrètement : qui introduit un nouveau CRM clarifie le lieu de stockage et le concept de suppression avant l'achat. Qui construit un formulaire ne précoche pas la case newsletter. Et une bannière de cookies qui ne démarre le tracking qu'après le consentement, c'est du privacy by default en action.

Sous-traitance et contrat de sous-traitance (art. 9)

Quiconque externalise le traitement des données à des tiers — hébergeur, service de newsletter, comptabilité externe — reste responsable et doit encadrer le traitement par contrat. Cela se fait avec un contrat de sous-traitance des données. Le sous-traitant ne peut traiter les données que de la manière dont le responsable lui-même serait autorisé à le faire, et doit garantir une sécurité des données appropriée. S'il fait lui-même appel à des tiers — par exemple lorsque le service de newsletter héberge dans un cloud étranger — l'approbation préalable du responsable est requise. Ce qui doit figurer dans un tel contrat est expliqué dans l'article « Le contrat de sous-traitance des données en Suisse ».

Étroitement liée est la communication à l'étranger : les données personnelles ne peuvent circuler que vers des États dont le Conseil fédéral juge la protection des données adéquate — pour les autres pays, il faut des garanties contractuelles comme les clauses types de protection des données. Comme de nombreux outils cloud et marketing traitent des données hors de Suisse et de l'UE, cette vérification a sa place dans toute évaluation d'outil.

Cookies, tracking et LPD

Pour les cookies et le tracking, la Suisse s'appuie sur l'interaction de deux lois : la LPD exige la transparence sur le traitement des données, et l'article 45c de la loi sur les télécommunications exige que les utilisateurs soient informés des cookies et puissent les refuser.

Cette interaction est concrétisée par le guide du PFPDT sur les cookies. Sa ligne est claire : les cookies techniquement nécessaires ne posent pas de problème — mais les services de tracking, d'analyse et de marketing exigent une véritable liberté de choix. Dès que des services à risque tournent, que des données sensibles sont en jeu ou que des données partent vers des États sans protection adéquate, il n'y a guère moyen d'éviter le consentement.

Le guide se prononce aussi sur la conception : la liberté de choix doit être réelle. Qui refuse ne doit pas être poussé vers le consentement par des boutons cachés ou des catégories précochées, et un consentement donné doit pouvoir être retiré aussi facilement qu'il a été accordé. Pour les visiteurs de l'UE, leur droit du consentement plus strict s'applique en parallèle.

Pour la pratique, cela signifie : qui utilise Google Analytics, le pixel Meta, des intégrations YouTube ou des services similaires a besoin d'une bannière de cookies qui ne démarre le tracking qu'après le consentement — et d'une politique de confidentialité qui liste ces services intégralement. Quand exactement une bannière est obligatoire et comment la mettre en œuvre correctement est traité dans notre guide sur l'obligation de bannière de cookies en Suisse.

Sanctions : que risque-t-on en cas de violation ?

Les violations intentionnelles des obligations centrales de la LPD peuvent être punies d'amendes allant jusqu'à CHF 250'000 (art. 60 ss). Cela concerne en particulier la violation des devoirs d'information, d'accès et de collaboration ainsi que des devoirs de diligence — par exemple en matière de communication à l'étranger ou de sous-traitance.

Trois particularités distinguent nettement le régime de sanctions suisse du RGPD. Premièrement, l'amende ne vise pas l'entreprise, mais la personne physique responsable de la violation — dans une PME, typiquement la direction. Deuxièmement, seules les violations intentionnelles sont punissables, pas celles commises par négligence. Troisièmement, il s'agit d'infractions poursuivies sur plainte : une plainte pénale est nécessaire, et la poursuite incombe aux autorités cantonales — le PFPDT lui-même ne prononce pas d'amendes, mais il peut ouvrir des enquêtes et rendre des décisions contraignantes.

Au risque pénal s'ajoute un risque de surveillance : le PFPDT peut ouvrir une enquête d'office ou sur dénonciation et ordonner de manière contraignante qu'un traitement soit adapté, suspendu ou cessé — jusqu'à l'effacement des données. Pour une entreprise, une telle décision peut être plus incisive qu'une amende, par exemple lorsqu'un outil marketing central ne peut plus être utilisé. S'y ajoute le dommage réputationnel — les violations de la protection des données sont depuis longtemps un sujet médiatique.

À titre de comparaison : le RGPD prévoit des amendes d'entreprise allant jusqu'à 20 millions d'euros ou 4 pour cent du chiffre d'affaires annuel mondial. Les amendes suisses paraissent modérées à côté — mais les décideurs répondent personnellement. Cela fait de la protection des données une affaire de direction.

LPD et RGPD : lequel s'applique à qui ?

La règle de base : pour les entreprises suisses, la LPD s'applique toujours — le RGPD européen entre en jeu en plus lorsqu'une entreprise cible activement une clientèle dans l'UE ou observe son comportement. Une boutique en ligne qui livre en Allemagne doit respecter les deux régimes ; une entreprise artisanale purement orientée vers le marché intérieur, uniquement la LPD.

La bonne nouvelle : les deux lois sont étroitement apparentées. Qui respecte le RGPD, plus strict, couvre largement les obligations de la LPD. Inversement, toute l'économie suisse profite de cette convergence : l'UE reconnaît le niveau suisse de protection des données comme adéquat, raison pour laquelle les données personnelles peuvent circuler de l'UE vers la Suisse sans contrats supplémentaires — un avantage concret, par exemple pour les agences et prestataires informatiques avec une clientèle européenne.

Les différences de détail — logique du consentement, sanctions, représentant dans l'UE — sont expliquées dans notre guide RGPD ainsi que dans l'article « LPD vs RGPD : les principales différences ».

L'ordonnance sur la protection des données (OPDo)

L'OPDo est l'ordonnance sur la protection des données (RS 235.11) — elle concrétise la LPD et est entrée en vigueur en même temps qu'elle, le 1er septembre 2023. L'ordonnance règle entre autres les exigences minimales en matière de sécurité des données, les modalités du droit d'accès, les détails de l'annonce des violations de la sécurité des données et la dispense du registre des activités de traitement pour les entreprises de moins de 250 collaborateurs.

Pour le quotidien, il suffit de savoir : qui met en œuvre une obligation de la LPD et veut savoir exactement comment, trouvera généralement la réponse dans l'OPDo. Il existe en outre un second acte d'exécution, l'ordonnance sur les certifications en matière de protection des données — elle ne joue pratiquement aucun rôle dans le quotidien des PME.

Checklist LPD pour PME

L'auto-évaluation compacte — chaque ligne devrait pouvoir être cochée d'un oui. Parcourez la liste de haut en bas : les cinq premiers points couvrent les obligations qui, d'expérience, sont vérifiées en premier en cas de plainte.

  • Politique de confidentialité en ligne, à jour et adaptée à son propre setup (art. 19)
  • Tous les outils et prestataires tiers y sont nommés, y compris les communications à l'étranger
  • Bannière de cookies en place qui ne démarre le tracking qu'après le consentement
  • Responsabilité définie pour les demandes d'accès, modèle de réponse prêt (délai de 30 jours)
  • Plan d'urgence pour les violations de la sécurité des données avec voie d'annonce au PFPDT
  • Contrat de sous-traitance conclu avec chaque prestataire qui traite des données personnelles (art. 9)
  • Registre des activités de traitement tenu — obligatoire dès 250 collaborateurs, recommandé en dessous
  • Communications à l'étranger vérifiées : États de destination avec protection adéquate ou garanties contractuelles
  • Les nouveaux outils et processus sont mis en place selon privacy by design et by default
  • La protection des données est ancrée comme responsabilité de la direction (risque d'amende personnel)

Les deux points les plus visibles de cette liste — politique de confidentialité et bannière de cookies — n'ont pas à être entretenus à la main : avec Aiara, vous générez les deux automatiquement en conformité avec la LPD, y compris un scanner de cookies qui maintient votre site web en permanence synchronisé avec votre politique de confidentialité. La partie web de votre conformité reste ainsi à jour, sans que vous deviez suivre vous-même chaque évolution de la loi ou de vos outils.

Questions fréquentes

Quelle est la différence entre la LPD et la nLPD ?

Sur le fond, aucune : nLPD signifie « nouvelle loi sur la protection des données » et désigne la LPD entièrement révisée, en vigueur depuis le 1er septembre 2023. Officiellement, la loi s'appelle simplement LPD — le « n » s'est seulement imposé dans l'usage pour distinguer la version révisée de la loi précédente de 1992. « LPD révisée » désigne la même loi.

Où trouver le texte officiel de la LPD ?

Le texte officiel et en vigueur de la LPD est publié par la Confédération sur Fedlex, la plateforme de publication du droit fédéral, sous le numéro RS 235.1. C'est la seule source faisant foi — les résumés et versions PDF circulant ailleurs peuvent être obsolètes. L'ordonnance d'exécution (OPDo) porte le numéro RS 235.11.

La LPD s'applique-t-elle aussi aux petits sites web ?

Oui. La LPD ne connaît aucun seuil de chiffre d'affaires, d'effectif ou de trafic. Dès qu'un site web traite des données personnelles — via un formulaire de contact, une newsletter ou des cookies d'analyse — son exploitant entre dans le champ d'application et doit notamment remplir le devoir d'information avec une politique de confidentialité.

Ai-je besoin d'une déclaration de protection des données selon la LPD ?

En pratique, oui. L'article 19 LPD oblige quiconque collecte des données personnelles à informer les personnes concernées de l'identité du responsable du traitement, de la finalité, des destinataires et des éventuelles communications à l'étranger. Pour un site web, ce devoir se remplit avec une politique de confidentialité qui correspond au setup réellement utilisé — y compris tous les services de tracking et de tiers.

Quel est le montant des amendes en cas de violation de la LPD ?

Les violations intentionnelles des obligations centrales — devoir d'information ou droit d'accès, par exemple — peuvent être punies, sur plainte, d'amendes allant jusqu'à CHF 250'000. Contrairement au RGPD, l'amende ne vise pas l'entreprise, mais la personne physique responsable, typiquement la direction dans une PME. Les violations par négligence ne sont pas punissables.

Qu'est-ce que le PFPDT ?

Le PFPDT est le Préposé fédéral à la protection des données et à la transparence — l'autorité suisse de surveillance en matière de protection des données. Il ouvre des enquêtes, rend des décisions contraignantes et reçoit les annonces de violations de la sécurité des données. Il ne prononce pas d'amendes lui-même ; cette tâche revient aux autorités pénales cantonales.

Ai-je besoin d'une bannière de cookies selon la LPD ?

La LPD elle-même n'impose pas de bannière — elle exige la transparence. Combinée à l'article 45c de la loi sur les télécommunications, qui exige que les utilisateurs soient informés des cookies et puissent les refuser, et au guide du PFPDT sur les cookies, il n'y a pratiquement pas moyen d'éviter une solution de consentement propre dès que des services de tracking comme Google Analytics ou des pixels marketing sont utilisés.

Prêt pour un consentement cookies propre ?

Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.

Découvrir Aiara