nLPD : comprendre la nouvelle loi sur la protection des données
Depuis le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) est entrée en vigueur en Suisse. Inspirée du RGPD européen, elle renforce considérablement les obligations des entreprises en matière de protection des données personnelles. Voici ce que votre PME doit savoir et mettre en place.
Qu’est-ce que la nLPD ?
La nLPD (nouvelle Loi fédérale sur la Protection des Données) remplace l’ancienne loi de 1992, jugée obsolète à l’ère du numérique. Elle vise à renforcer la protection de la vie privée des citoyens et à aligner la Suisse sur les standards européens (RGPD).
Les objectifs principaux
– Renforcer les droits des personnes concernées (accès, rectification, effacement)
– Responsabiliser les entreprises dans le traitement des données
– Harmoniser avec le RGPD pour faciliter les échanges avec l’UE
– Augmenter les sanctions en cas de violation (jusqu’à CHF 250’000 d’amende)
Qui est concerné ?
Toutes les entreprises suisses qui traitent des données personnelles sont concernées, quelle que soit leur taille. Cela inclut :
Les données personnelles visées
– Données clients : noms, adresses, emails, historique d’achats
– Données employés : contrats, salaires, évaluations, données RH
– Données fournisseurs et partenaires : contacts, contrats
– Données sensibles : santé, opinions politiques/religieuses, données biométriques (protection renforcée)
Les nouvelles obligations pour votre entreprise
La nLPD impose plusieurs obligations concrètes. Voici les principales à mettre en œuvre rapidement.
1. Tenir un registre des activités de traitement
Vous devez documenter :
– Quelles données vous collectez
– Pourquoi vous les collectez (finalité)
– Combien de temps vous les conservez
– Qui y a accès (collaborateurs, sous-traitants)
– Où elles sont stockées (Suisse, UE, hors UE)
Exemples concrets :
– Cabinet comptable : données clients (10 ans), données employés (durée contrat + 10 ans), serveurs en Suisse
– E-commerce : données clients (durée relation + 2 ans), paiements (10 ans), serveurs UE
2. Informer les personnes concernées
Lors de la collecte de données (formulaire web, contrat client, recrutement), vous devez informer clairement :
– Qui traite les données (votre entreprise)
– Quelles données sont collectées
– Dans quel but
– Combien de temps elles seront conservées
– Les droits de la personne (accès, rectification, suppression)
Solution pratique : Créer une politique de confidentialité accessible sur votre site web et la mentionner dans vos documents contractuels.
3. Sécuriser les données
Vous devez mettre en place des mesures techniques et organisationnelles pour protéger les données contre les accès non autorisés, pertes ou fuites :
– Chiffrement des données sensibles
– Accès restreints et mots de passe robustes
– Sauvegardes régulières
– Contrats avec vos sous-traitants (cloud, comptable, IT)
– Formation des collaborateurs
4. Respecter les droits des personnes
Toute personne peut demander :
– L’accès à ses données (vous devez répondre sous 30 jours)
– La rectification de données inexactes
– La suppression de données (sauf obligation légale de conservation)
– La limitation du traitement
– La portabilité (recevoir ses données dans un format exploitable)
Conseil : Prévoyez une procédure interne pour traiter ces demandes rapidement.
5. Déclarer les violations de données
En cas de fuite de données (piratage, perte, vol), vous devez informer le Préposé fédéral à la protection des données (PFPDT) dans les meilleurs délais si la violation présente un risque pour les personnes concernées.
Exemples : Vol d’un ordinateur contenant des données clients, ransomware sur vos serveurs, email envoyé au mauvais destinataire avec données sensibles.
Les sanctions en cas de non-conformité
Contrairement à l’ancienne loi, la nLPD prévoit des sanctions pénales.
Amendes possibles
Les violations intentionnelles peuvent être sanctionnées par des amendes allant jusqu’à CHF 250’000. Les personnes physiques (dirigeants, collaborateurs) sont visées, pas l’entreprise elle-même.
Violations sanctionnées :
– Non-respect du devoir d’information
– Refus de donner accès aux données
– Violation du secret professionnel
– Non-déclaration d’une violation de données grave
Comment vous mettre en conformité : checklist pratique
Voici les actions prioritaires à mener dans les prochains mois.
Actions immédiates (1-3 mois)
☐ Créer ou mettre à jour votre politique de confidentialité sur votre site web
☐ Ajouter les mentions légales dans vos formulaires de contact, devis, contrats
☐ Vérifier que vos sous-traitants (cloud, comptable, IT) respectent la nLPD
☐ Former vos collaborateurs aux bases de la protection des données
☐ Mettre en place des sauvegardes régulières et sécurisées
Actions à moyen terme (3-6 mois)
☐ Établir votre registre des activités de traitement
☐ Définir les durées de conservation pour chaque type de données
☐ Créer une procédure pour gérer les demandes d’accès/rectification/suppression
☐ Auditer la sécurité de vos systèmes informatiques
☐ Rédiger des clauses de protection des données dans vos contrats clients/fournisseurs
Cabinet Mercier vous accompagne dans votre mise en conformité
La nLPD peut sembler complexe, mais avec un accompagnement adapté, la mise en conformité est accessible à toutes les PME.
Nos services nLPD
– Audit de vos pratiques actuelles
– Rédaction de votre registre des activités de traitement
– Modèles de politiques de confidentialité et clauses contractuelles
– Formation de vos équipes
– Recommandations de sécurité IT (en partenariat avec des experts)
Contactez-nous pour un premier échange sur votre situation et vos besoins.
La nLPD : une contrainte qui devient un atout
Au-delà de l’obligation légale, la conformité nLPD renforce la confiance de vos clients et partenaires. C’est un gage de sérieux et de professionnalisme dans un monde où la protection des données devient un critère de choix.
Cabinet Mercier vous aide à transformer cette obligation en avantage concurrentiel.
