Ce qui change vraiment avec la nLPD
Depuis le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) est en vigueur en Suisse. Elle ne concerne pas uniquement les grandes entreprises tech : toutes les organisations qui traitent des données de personnes physiques sont concernées.
Pourquoi cette révision ?
Deux raisons. D'abord, les technologies ont radicalement changé depuis l'ancienne loi de 1992. Ensuite, l'Union européenne avait adopté le RGPD en 2018. La Suisse devait s'aligner pour maintenir la libre circulation des données avec ses voisins et préserver la compétitivité de ses entreprises. La nLPD s'inspire largement du RGPD, sans en être un copier-coller.
Ce qui change concrètement
Les données génétiques et biométriques sont désormais classées comme données sensibles, au même titre que les données de santé. Le Privacy by Design et le Privacy by Default deviennent des principes légaux : la protection des données doit être pensée dès la conception, pas ajoutée en dernière minute.
La notification des violations est obligatoire. En cas d'incident, vous avez 72 heures pour informer le Préposé fédéral à la protection des données (PFPDT). Les entreprises doivent aussi tenir un registre des activités de traitement. Une exception existe pour les PME à risque limité, mais dans le doute, mieux vaut documenter.
Le point qui surprend le plus : la responsabilité personnelle
Contrairement au RGPD, qui sanctionne l'entreprise, la nLPD peut viser directement les personnes physiques responsables. Les amendes peuvent atteindre 250'000 CHF. C'est un changement de posture qui oblige à traiter la conformité différemment.
Côté cookies et consentement
Le PFPDT a publié des lignes directrices actualisées en 2023. Les bannières vagues qui demandent un accord global ne suffisent plus. Les utilisateurs doivent pouvoir choisir par catégorie, comprendre ce à quoi ils consentent, et se rétracter facilement. Sur les sites que nous développons, nous intégrons un module de gestion du consentement hébergé en Suisse, personnalisé à l'identité de chaque client.
Vos outils actuels sont-ils conformes ?
Utiliser Google Analytics, Mailchimp ou un hébergement AWS signifie que les données de vos visiteurs transitent par des serveurs étrangers. Légalement, cela implique des obligations supplémentaires en matière d'information et de transferts de données hors de Suisse.
Chez Anorac, on a fait le choix d'une infrastructure 100% suisse : sites hébergés chez Infomaniak à Genève, analytics sans cookies tiers, emails transactionnels sur notre propre infrastructure. Aucune donnée ne quitte la Suisse. Ce n'est pas uniquement une posture marketing : c'est une réponse directe aux exigences de la nLPD.
Ce qu'il faut retenir
Avec une approche structurée (cartographie des données, révision des politiques de confidentialité, formation des équipes, bons outils), la mise en conformité est accessible même pour une PME. C'est précisément ce qu'on accompagne chez Anorac : de la conception technique à la mise en place du consentement.
Sources
Confédération suisse, PME.admin.ch — Nouvelle loi sur la protection des données (nLPD)
PFPDT — Préposé fédéral à la protection des données et à la transparence
