La Loi fédérale sur la Protection des Données (LPD) révisée est entrée en vigueur le 1er septembre 2023. Plus de 18 mois après, beaucoup de PME suisses n'ont toujours pas pris les mesures nécessaires. par manque d'information, par confusion avec le RGPD européen, ou parce que les obligations semblent abstraites. Voici ce que la loi exige concrètement.
Ce qui a changé
L'ancienne LPD datait de 1992. Elle était largement inadaptée à la réalité d'une économie numérique. La révision de 2023 aligne la Suisse sur les standards européens (RGPD) tout en maintenant des spécificités suisses. Les changements principaux :
- Privacy by design et by default : obligation d'intégrer la protection des données dès la conception des systèmes, pas en option
- Notification obligatoire des violations : toute violation présentant un risque élevé doit être signalée au Préposé fédéral à la protection des données et à la transparence (PFPDT) "dans les meilleurs délais"
- Registre des activités de traitement : obligatoire pour les entreprises dont les traitements présentent un risque élevé pour les personnes concernées
- Analyse d'impact (DPIA) : requise pour les traitements susceptibles d'engendrer un risque élevé pour les personnes concernées
- Droit à la portabilité : les personnes physiques peuvent demander leurs données dans un format lisible par machine
- Responsabilité personnelle : les sanctions peuvent atteindre les personnes physiques responsables (dirigeants, délégués à la protection des données)
Qui est concerné
La LPD s'applique à toute organisation qui traite des données personnelles de personnes physiques en Suisse. quelle que soit sa taille. Il n'y a pas d'exemption pour les micro-entreprises ou les indépendants.
En pratique, dès que vous avez des employés, des clients ou des fournisseurs personnes physiques dont vous stockez des informations (nom, adresse, e-mail, données de santé, données bancaires, historique d'achat, etc.), la LPD vous concerne.
Si vous avez des clients dans l'Union européenne, le RGPD s'applique en parallèle. Les deux textes ont des exigences similaires mais pas identiques. notamment sur les délais de notification d'incident (72h pour le RGPD, "meilleurs délais" pour la LPD) et sur certaines définitions.
Ce que vous devez mettre en place
1. Inventaire des données personnelles
Première étape obligatoire : savoir exactement quelles données personnelles vous traitez, où elles sont stockées, qui y a accès, dans quel but et pendant combien de temps. Cet inventaire prend la forme d'un registre des activités de traitement.
Pour une PME typique, ce registre couvre : les données des employés (RH, salaires, absences), les données des clients (coordonnées, historique commercial, données de paiement), les données des fournisseurs, et les données issues de votre site web (formulaires, analytics).
2. Politique de confidentialité à jour
Votre site web doit afficher une politique de confidentialité qui informe les visiteurs des données collectées, des finalités du traitement, des destinataires éventuels, de la durée de conservation et de leurs droits (accès, rectification, suppression, portabilité).
Si votre politique date d'avant 2023 ou a été générée automatiquement sans réflexion, elle est probablement insuffisante.
3. Contrats avec vos sous-traitants
Si vous transmettez des données personnelles à des prestataires (comptable, agence RH, hébergeur web, CRM cloud, etc.), vous devez avoir avec eux un contrat de traitement de données précisant les conditions de traitement, les mesures de sécurité et les obligations en cas de violation.
Point d'attention : si votre prestataire est basé hors de Suisse dans un pays sans niveau de protection adéquat reconnu par la Suisse, des garanties supplémentaires sont nécessaires (clauses contractuelles types, règles d'entreprise contraignantes, etc.).
4. Procédure de réponse aux violations de données
En cas de violation (fuite, piratage, perte d'un ordinateur portable avec des données non chiffrées), vous devez être capable d'évaluer rapidement le risque pour les personnes concernées et de notifier le PFPDT si ce risque est élevé.
Cela suppose d'avoir une procédure interne documentée : qui est responsable de l'évaluation, comment informer le PFPDT, comment contacter les personnes concernées si nécessaire.
5. Mesures de sécurité techniques et organisationnelles
La LPD exige des "mesures de sécurité appropriées" sans les lister précisément. c'est volontairement général pour s'adapter à tous les contextes. En pratique, on attend :
- Chiffrement des données sensibles (en transit et au repos)
- Contrôle des accès (principe du moindre privilège)
- Journalisation des accès aux données sensibles
- Sauvegardes régulières et testées
- Gestion des incidents
- Formation des employés aux bases de la protection des données
Les sanctions
Contrairement au RGPD (sanctions contre l'entreprise pouvant atteindre 4 % du CA mondial), la LPD suisse punit les personnes physiques responsables des infractions intentionnelles. Les amendes peuvent atteindre 250 000 CHF par infraction.
Les infractions visées sont notamment : le non-respect des obligations d'information, le refus de communiquer les données à une personne qui en fait la demande, la divulgation non autorisée de données, et la violation des obligations de notification.
En pratique, les premières années d'application ont été marquées par une approche pédagogique du PFPDT. Mais le régulateur a clairement signalé qu'il interviendrait de manière plus directive en cas de non-conformité persistante ou de violations significatives.
Par où commencer
Si vous n'avez rien fait, commencez par l'inventaire des données : listez tous les endroits où des données personnelles sont stockées dans votre entreprise (logiciels, serveurs, ordinateurs, services cloud). C'est le fondement de tout le reste.
Ensuite, faites relire votre politique de confidentialité et vos contrats de sous-traitance par un conseiller compétent. Ce n'est pas forcément un avocat spécialisé. un bon conseiller IT avec une expertise en conformité peut faire beaucoup de ce travail pour un coût raisonnable. C'est l'objet de notre offre Projets IT (audit et mise en conformité LPD), qui cartographie vos données personnelles et produit un plan d'action documenté.
L'objectif n'est pas la perfection immédiate mais de pouvoir démontrer une démarche sérieuse et progressive. Documenter vos efforts est aussi important que les efforts eux-mêmes.