RGPD pour les entreprises suisses : quand s'applique-t-il et que faire
Le règlement général sur la protection des données de l'UE ne s'applique pas automatiquement à chaque site web suisse — mais plus souvent que beaucoup ne le pensent. Ce guide montre quand les entreprises suisses doivent respecter le RGPD et comment couvrir la LPD et le RGPD avec un seul dispositif.
Qu'est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) est la loi de protection des données de l'Union européenne : le règlement (UE) 2016/679, applicable depuis le 25 mai 2018. Il règle la manière dont les entreprises et les autorités doivent collecter, utiliser et protéger les données personnelles des personnes se trouvant dans l'UE — de façon uniforme et directe dans tous les États de l'UE et de l'EEE, sans transposition par les parlements nationaux.
Sur le fond, le règlement repose sur quelques idées centrales : tout traitement de données personnelles nécessite une base juridique. Les personnes concernées disposent de droits opposables — accès, rectification, effacement, portabilité des données. Les entreprises doivent documenter leurs traitements et annoncer les violations. Et le non-respect expose l'entreprise elle-même à des amendes substantielles.
Pour les entreprises suisses, le RGPD est pertinent pour une raison simple : il ne s'arrête pas à la frontière extérieure de l'UE. Le règlement revendique expressément son application aux entreprises hors UE dès qu'elles s'adressent à des personnes dans l'UE. C'est précisément cette question — quand est-ce le cas — qui décide si une entreprise de Zurich, Lausanne ou Lugano doit respecter le RGPD.
Le RGPD s'applique-t-il aux entreprises suisses ?
Oui — mais pas automatiquement : uniquement lorsque le critère dit du ciblage s'applique. La disposition déterminante est l'article 3, paragraphe 2 du RGPD : le règlement s'applique aux entreprises sans établissement dans l'UE si elles offrent des biens ou des services à des personnes dans l'UE (qu'un paiement soit exigé ou non) ou si elles observent le comportement de personnes dans l'UE, par exemple par le tracking et le profilage.
Une distinction que beaucoup de guides passent sous silence est essentielle : la simple accessibilité d'un site suisse depuis l'Allemagne ou la France ne déclenche pas le RGPD. Il faut un ciblage reconnaissable du marché de l'UE. Les considérants du règlement citent comme indices notamment : des prix en euros, des options de livraison vers des pays de l'UE, de la publicité destinée à la clientèle UE ou la mention explicite de clients dans des États membres. Le fait qu'un site soit disponible en français ne suffit pas à lui seul — le français est, après tout, une langue nationale suisse.
Il existe aussi le cas plus simple de l'article 3, paragraphe 1 : quiconque exploite un établissement, une filiale ou une succursale dans l'UE tombe de toute façon sous le RGPD pour les traitements de cette entité — sans aucune discussion de ciblage.
Autre malentendu fréquent : le RGPD protège les personnes qui se trouvent dans l'UE — la nationalité ne joue aucun rôle. Les données d'une ressortissante allemande domiciliée à Zurich ne tombent pas sous le RGPD ; celles d'un Suisse domicilié à Berlin, en revanche, oui. En pratique, c'est le lieu de séjour de votre public cible qui compte, pas son passeport.
Exemples : ces entreprises suisses tombent sous le RGPD
- Boutique en ligne avec livraison UE : une boutique de Winterthour affiche des prix en euros et livre en Allemagne et en Autriche. C'est un cas d'école d'offre de biens à des personnes dans l'UE — le RGPD s'applique à ces traitements.
- Hôtel visant la clientèle UE : un hôtel de l'Oberland bernois promeut ses chambres sur des plateformes de réservation allemandes et diffuse des annonces Google pour les internautes en Allemagne. Les données de réservation de ces hôtes sont soumises au RGPD.
- Site web avec tracking UE : un éditeur de logiciels suisse utilise des outils d'analyse et de remarketing qui enregistrent et exploitent le comportement des visiteurs de l'UE à des fins publicitaires. C'est une observation du comportement au sens de l'article 3, paragraphe 2 — le RGPD s'applique.
- Agence avec clients UE : une agence web bâloise sert activement des clients dans le sud de l'Allemagne et traite leurs données clients. Ici aussi, le RGPD fait partie du cahier des charges.
Contre-exemples : ici, seule la LPD suisse s'applique
- Artisanat local : une menuiserie d'Aarau avec une clientèle purement régionale, des prix en francs et sans publicité à l'étranger ne tombe pas sous le RGPD — même si son site peut être consulté depuis Munich.
- Commande isolée depuis l'UE : si, exceptionnellement, une personne d'Allemagne commande auprès d'un fournisseur suisse qui ne cible pas activement le marché UE, cela ne crée pas encore d'obligations RGPD. L'élément de ciblage fait défaut.
- Prestataires orientés marché intérieur : une fiduciaire qui sert exclusivement des mandats suisses et ne trace pas de personnes dans l'UE reste dans le champ de la loi fédérale sur la protection des données (LPD).
La vraie question pratique n'est donc pas « mon site est-il accessible depuis l'UE ? », mais : « est-ce que je m'adresse délibérément à des personnes dans l'UE — ou est-ce que j'observe leur comportement ? » Quiconque répond oui à l'une des deux questions devrait prendre le RGPD au sérieux.
Comment respecter le RGPD et la LPD en même temps ?
La réponse courte : qui applique correctement le RGPD, plus strict, couvre presque entièrement la loi suisse sur la protection des données par la même occasion. Les entreprises suisses actives dans l'UE ont donc intérêt à un seul dispositif — le standard RGPD.
La différence conceptuelle la plus importante réside dans le principe de la base juridique. Le RGPD suit une logique d'interdiction sauf autorisation : tout traitement de données personnelles est interdit, à moins qu'une base juridique de l'article 6 ne l'autorise — consentement, exécution d'un contrat ou intérêt légitime, entre autres. La LPD raisonne à l'inverse : le traitement est en principe licite, tant qu'il ne porte pas une atteinte illicite à la personnalité des personnes concernées. En pratique, cela signifie : sous le RGPD, vous devez pouvoir justifier et documenter pourquoi chaque traitement est permis.
Le consentement est également plus formel sous le RGPD. Il exige un accord libre, éclairé, univoque et documenté, révocable à tout moment. La LPD n'exige un consentement exprès que dans certains cas, comme les données personnelles sensibles ou le profilage à risque élevé.
C'est sur les sanctions que l'écart est le plus net. Le RGPD prévoit des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial du groupe — dirigées contre l'entreprise. La LPD prévoit des amendes jusqu'à CHF 250'000 — dirigées contre la personne physique responsable, typiquement la direction. Deux logiques totalement différentes, qui peuvent l'une comme l'autre devenir désagréables.
Vous trouverez les détails du droit suisse dans le guide sur la loi fédérale sur la protection des données (LPD), et la comparaison directe des deux régimes dans l'article LPD vs. RGPD : les différences clés.
Ai-je besoin d'un représentant UE ?
Si le RGPD s'applique à vous via le critère du ciblage et que vous n'avez pas d'établissement dans l'UE : en principe, oui. L'article 27 du RGPD oblige les entreprises hors UE à désigner par écrit un représentant dans un État membre — de préférence là où se trouvent les personnes concernées.
Il existe une exception, et elle compte pour les petites entreprises : l'obligation de représentation tombe si le traitement n'est qu'occasionnel, ne comprend pas de traitement à grande échelle de données sensibles et n'entraîne vraisemblablement aucun risque pour les droits des personnes concernées. Un prestataire suisse interentreprises qui correspond sporadiquement avec quelques contacts UE n'a pas besoin de représentant. Une boutique en ligne qui traite en continu des commandes d'Allemagne, en revanche, traite régulièrement des données de clients UE — elle tombe en règle générale sous l'obligation.
Ce que fait concrètement le représentant UE : il sert de point de contact aux autorités de contrôle européennes et aux personnes concernées, conserve une copie du registre des activités de traitement et doit être mentionné avec ses coordonnées dans la politique de confidentialité. Il ne répond pas à la place de l'entreprise ; il fonctionne comme une boîte aux lettres assortie d'obligations. En pratique, des prestataires spécialisés assument ce rôle pour quelques centaines d'euros par an — nettement moins cher que de fonder une société dans l'UE.
Ai-je besoin d'un délégué à la protection des données ?
Pour la plupart des PME suisses, la réponse est : non. L'article 37 du RGPD n'exige un délégué à la protection des données que dans trois cas : pour les autorités et organismes publics, lorsque l'activité de base de l'entreprise consiste en une surveillance régulière, systématique et à grande échelle des personnes, ou lorsque l'activité de base comprend le traitement à grande échelle de données sensibles — des données de santé, par exemple.
Le mot décisif est activité de base. Le fait qu'une entreprise tienne une base de données clients, envoie des newsletters ou analyse ses statistiques web ne fait pas du traitement de données son activité de base. Un réseau publicitaire qui vit du tracking, ou un groupe hospitalier qui traite des données de patients à grande échelle, remplit les critères — un bureau d'architecture ou une boutique en ligne avec une clientèle normale, non.
Nommer volontairement un responsable de la protection des données reste souvent judicieux : une personne définie vers laquelle convergent demandes d'accès, demandes d'effacement et incidents de sécurité. Le droit suisse connaît pour cela le conseiller à la protection des données facultatif — la même personne peut occuper les deux rôles.
Quelles règles pour les cookies et le consentement sous le RGPD ?
Sous le RGPD, les cookies non essentiels exigent un opt-in clair : le consentement doit être donné activement avant le dépôt des cookies. La base en est l'articulation entre la directive européenne ePrivacy (la directive de l'UE sur la protection de la vie privée dans les communications électroniques) et le standard de consentement du RGPD. Les cases pré-cochées, les avis du type « en poursuivant votre navigation » ou les bannières sans véritable option de refus ne suffisent pas — la Cour de justice de l'UE l'a confirmé à plusieurs reprises.
L'UE est ainsi plus stricte que la pratique suisse. Le droit suisse des télécommunications autorise en principe les cookies, à condition que les utilisateurs soient informés et puissent s'y opposer — un modèle opt-out. Une bannière suffisante pour le marché suisse peut donc être insuffisante pour les visiteurs de l'UE. Quelles règles s'appliquent quand, et à quoi ressemble une bannière correcte : le guide sur l'obligation de bannière de cookies en Suisse l'explique.
À cela s'ajoute un durcissement pratique en dehors de la loi : quiconque utilise les produits publicitaires de Google pour des audiences de l'Espace économique européen doit, depuis mars 2024, mettre en œuvre le Google Consent Mode V2 — un mécanisme qui transmet à Google le statut de consentement des visiteurs. Sans lui, les données de mesure et les fonctions de remarketing sont perdues. Ce que cela signifie concrètement est expliqué dans l'article Google Consent Mode V2 pour les sites suisses.
La ligne pragmatique pour les entreprises suisses actives dans l'UE : une bannière de consentement unique au standard RGPD pour tous les visiteurs. Elle satisfait automatiquement aussi les exigences suisses et évite la distinction par pays d'origine, source d'erreurs.
Comment fonctionne le transfert de données entre la Suisse et l'UE ?
La bonne nouvelle d'abord : les données personnelles peuvent circuler librement entre la Suisse et l'UE dans les deux sens. La Commission européenne reconnaît la Suisse depuis l'an 2000, par une décision d'adéquation, comme pays tiers offrant un niveau de protection adéquat ; elle a confirmé cette qualification lors de son réexamen de janvier 2024. Les entreprises de l'UE peuvent donc transférer des données personnelles à des destinataires suisses sans garanties supplémentaires telles que des clauses contractuelles types.
L'inverse vaut également : le Conseil fédéral inscrit les États de l'UE et de l'EEE sur la liste d'adéquation suisse (annexe 1 de l'ordonnance sur la protection des données). Les entreprises suisses peuvent ainsi transmettre des données personnelles à des destinataires dans l'UE sans formalités supplémentaires.
Un point reste néanmoins obligatoire : quiconque confie le traitement de données à des prestataires — hébergement, outil de newsletter, logiciel de comptabilité — a besoin d'un contrat de sous-traitance avec chacun de ces sous-traitants. Le RGPD et la LPD l'exigent tous deux, quel que soit le siège du prestataire. À quoi ressemble un tel contrat : l'article sur le contrat de sous-traitance pour les entreprises suisses le montre.
Que contient la checklist RGPD pour les entreprises suisses ?
Si le RGPD s'applique à votre entreprise, ces dix points mènent à la conformité dans un ordre judicieux :
- Clarifier l'applicabilité : ciblez-vous de manière reconnaissable des personnes dans l'UE avec des biens ou des services — ou observez-vous leur comportement ? Consignez votre évaluation par écrit.
- Établir le registre des activités de traitement : documentez quelles données personnelles vous traitez, dans quel but, qui y a accès et combien de temps elles sont conservées.
- Attribuer les bases juridiques : déterminez pour chaque traitement la base appropriée selon l'article 6 — consentement, contrat, obligation légale ou intérêt légitime.
- Mettre à jour la politique de confidentialité : complétez les mentions obligatoires des articles 13 et 14 — y compris bases juridiques, durées de conservation, droit de réclamation et, le cas échéant, représentant UE.
- Passer la bannière de cookies en opt-in : consentement actif avant le dépôt de cookies non essentiels, avec option de refus équivalente et décisions documentées.
- Vérifier et désigner un représentant UE : si aucune exception de l'article 27 ne s'applique, désignez par écrit un représentant dans l'UE et mentionnez-le dans la politique de confidentialité.
- Conclure des contrats de sous-traitance : avec chaque prestataire qui traite des données personnelles pour votre compte — de l'hébergeur à l'outil de newsletter.
- Mettre en place un processus pour les droits des personnes concernées : les demandes d'accès, de rectification et d'effacement doivent recevoir une réponse dans un délai d'un mois. Définissez une personne responsable et un modèle.
- Définir un processus d'annonce des violations : les violations de la sécurité des données doivent être annoncées à l'autorité de contrôle compétente dans les 72 heures — cela ne fonctionne qu'avec une procédure préparée.
- Sensibiliser l'équipe : déterminez qui est responsable de la protection des données et formez les collaborateurs qui travaillent quotidiennement avec des données personnelles.
Qui parcourt cette liste remplit au passage les obligations essentielles de la loi suisse sur la protection des données — l'effort supplémentaire pour la pure conformité LPD est ensuite minime.
Comment Aiara aide-t-elle à mettre en œuvre le RGPD ?
Aiara est conçue précisément pour ce double univers suisse. La politique de confidentialité générée couvre la LPD et le RGPD dans un seul document — en français, allemand, italien et anglais. La bannière de cookies fonctionne selon le standard RGPD, plus strict, avec consentement documenté, et prend en charge le Google Consent Mode V2. Vous configurez une fois et respectez les deux régimes, sans entretenir deux systèmes.
Questions fréquentes
Le RGPD s'applique-t-il automatiquement à chaque site web suisse ?
Non. Le simple fait qu'un site soit accessible depuis l'UE ne suffit pas. Le RGPD ne s'applique que lorsqu'une entreprise suisse cible de manière reconnaissable des personnes dans l'UE avec des biens ou des services — par exemple avec des prix en euros, une livraison vers l'Allemagne ou de la publicité orientée UE — ou observe le comportement de personnes dans l'UE, notamment par le tracking et le profilage.
Que se passe-t-il si j'ignore le RGPD ?
Le RGPD prévoit des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial du groupe — contre l'entreprise. L'application contre des sociétés sans établissement dans l'UE est plus complexe, mais possible, par exemple via le représentant UE ou les partenaires commerciaux européens. En pratique, un autre facteur pèse souvent plus lourd : les clients et donneurs d'ordre européens exigent des preuves de conformité RGPD avant de signer des contrats.
Une politique de confidentialité conforme à la LPD suffit-elle aussi pour le RGPD ?
Pas nécessairement. Les articles 13 et 14 du RGPD exigent plus de mentions obligatoires que la loi suisse sur la protection des données — notamment la base juridique de chaque traitement, le droit d'introduire une réclamation auprès d'une autorité de contrôle de l'UE et, le cas échéant, le représentant UE. L'inverse est vrai : une politique de confidentialité conforme au RGPD couvre pratiquement toujours la LPD.
Ai-je besoin d'un représentant UE en tant qu'entreprise suisse ?
Si le RGPD s'applique à vous via le critère du ciblage et que vous n'avez pas d'établissement dans l'UE, en principe oui (article 27 RGPD). Seuls les traitements occasionnels et à faible risque, sans données sensibles à grande échelle, en sont exemptés. Quiconque exploite régulièrement une boutique en ligne pour la clientèle UE ou traite des données de clients UE tombe généralement sous l'obligation de représentation.
La Suisse est-elle considérée comme un pays tiers sûr par l'UE ?
Oui. La Commission européenne reconnaît depuis l'an 2000 que la Suisse offre un niveau de protection des données adéquat ; cette décision d'adéquation a été confirmée lors du réexamen de janvier 2024. Les données personnelles peuvent donc circuler de l'UE vers la Suisse sans garanties supplémentaires — et, grâce à la liste d'adéquation suisse, dans l'autre sens également.
Ma bannière de cookies doit-elle fonctionner différemment pour les visiteurs de l'UE ?
Oui, si le RGPD s'applique à vous. Pour les personnes dans l'UE, un consentement actif est requis avant le dépôt de cookies non essentiels — les cases pré-cochées ou la logique du simple fait de continuer la navigation ne suffisent pas. La plupart des entreprises suisses actives dans l'UE utilisent donc une seule bannière opt-in pour tous les visiteurs, qui satisfait automatiquement aussi les exigences suisses.
Ai-je besoin d'un délégué à la protection des données selon le RGPD ?
La plupart des PME suisses non. L'obligation de l'article 37 RGPD vise les autorités publiques et les entreprises dont l'activité de base consiste en une surveillance systématique à grande échelle ou en un traitement à grande échelle de données sensibles. Une fiduciaire ou une boutique en ligne avec une clientèle normale ne remplit généralement pas ces critères.
Prêt pour un consentement cookies propre ?
Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.
Découvrir AiaraAutres articles

5 min de lecture
LPD vs. RGPD : les différences clés pour les entreprises suisses en 2026

6 min de lecture
Obligation de bannière cookies en Suisse : ce qui s'applique vraiment en 2026

5 min de lecture
Google Consent Mode V2 en Suisse : guide complet pour les PME

8 min de lecture