On prend RDV ?

nLPD : ce que chaque PME suisse doit mettre en place avant le prochain contrôle

conformité nLPD suisse

Table des matières

Les PME suisses confrontées à la nLPD pensent, pour la plupart, être en règle. Très peu peuvent le démontrer quand ça compte vraiment. La politique qui dort dans un classeur ne protège personne. Surtout pas vous. Depuis le 1er septembre 2023, la nLPD PME Suisse s’applique et les contrôles ne vont pas rester théoriques. Vous avez peut-être des politiques soignées, mais sans preuves ni traçabilité, ça ne passera pas
Le point clé est simple et concret :

Pouvez-vous :

  • Sortir un registre des activités de traitement à jour,
  • Prouver vos mesures de sécurité
  • Montrer comment vous gérez les droits des personnes sans fouiller pendant des heures?

Si vous hésitez, il est temps de consolider. Le prochain contrôle ressemblera sinon à un contrôle technique sans carnet d’entretien.Qu’est-ce que la nLPD exactement ?

Qu’est-ce que la nLPD exactement ?

Que change la nLPD par rapport à 1992 ?

La nLPD modernise une loi née avant le cloud et les applications mobiles. Elle clarifie les rôles entre responsable et sous-traitant. Elle impose une conformité démontrable à tout moment.1

Elle renforce la sécurité des données et les droits des personnes, tout en encadrant mieux les transferts transfrontères.

La politique qui dort dans un classeur ne suffit plus. Vous devez prouver comment vous respectez les principes, tracer les traitements, documenter vos mesures et exiger des garanties suffisantes de vos partenaires. C’est une démarche vivante, pas une pile de PDF oubliés

Comment la nLPD se positionne-t-elle face au RGPD ?

La nLPD s’aligne sur le RGPD sur les grands principes de:

nLPD PME Suisse

Quels principes clés appliquer au quotidien ?

Appliquez le privacy by design et by default : intégrez la protection des données dès la conception et activez par défaut les réglages les plus protecteurs.

Au quotidien, il est essentiel de :

  • Limiter la collecte au nécessaire et respecter la finalité.
  • Tenir les données exactes et à jour.
  • Définir des durées de conservation claires.
  • Adapter la sécurité au risque encouru.

Ce n’est pas de la théorie. Prenons l’exemple concret d’un cabinet de santé en Suisse : le formulaire patient est réduit aux champs utiles, la durée de conservation est définie, le stockage est chiffré et l’information est claire dès la collecte. On sécurise, on explique, et surtout, on peut le prouver.

Quels documents sont nécessaires pour prouver la conformité nLPD ?

La nLPD exige des preuves formelles pour démontrer le respect de ses principes. Votre dossier de conformité doit regrouper :

  • Un registre des activités de traitement
  • Des politiques de sécurité et consignes internes
  • Des preuves de formation des collaborateurs
  • Des contrats de sous-traitance complets
  • Des journaux d’incident et comptes rendus d’audit

Pas besoin d’un roman. Les documents doivent être clairs, à jour, accessibles et réutilisables lors d’un contrôle. Un dossier de conformité bien tenu accélère une inspection, rassure un client grand compte et simplifie votre quotidien.

 

À qui s’applique la nLPD ?

Quelles entreprises en Suisse sont concernées par la nLPD ?

 

La nLPD couvre tout traitement de données personnelles effectué en Suisse et s’applique également si le traitement produit des effets en Suisse. La question clé est simple : traitez-vous des données qui identifient ou rendent identifiable une personne ? Si oui, vous êtes dans le périmètre

Aucune exception automatique de taille n’existe. Une petite structure qui traite des données sensibles est pleinement concernée. Que vous soyez une association avec une liste de donateurs, un bureau d’ingénieurs avec des plans confidentiels, ou une fiduciaire avec la paie et les assurances sociales, tout le monde joue selon les mêmes règles.La nLPD s’applique-t-elle à mon secteur (Santé, Industrie, Services) ?

Oui, la nLPD concerne tous les secteurs, avec des obligations spécifiques pour les domaines gérant des données sensibles. Les cabinets médicaux et fiduciaires ont un risque élevé, nécessitant un registre obligatoire et des mesures de sécurité renforcées. L’industrie et les bureaux d’ingénieurs doivent quant à eux maîtriser la traçabilité des données clients et de la propriété intellectuelle.
Voici des exemples concrets par secteur et les points d’attention principaux :

  • Cabinets médicaux et cliniques : Gestion des dossiers patients, résultats d’analyses, rendez-vous (données de santé). Risque élevé, ce qui signifie registre obligatoire, sécurité renforcée et procédures de notification prêtes.1
  • Laboratoires : Intégration des logiciels de santé, interopérabilité cantonale, traçabilité bout en bout, chiffrement fort, contrôle d’accès strict et journalisation horodatée.1
  • Fiduciaires : Traitement des salaires, décomptes et déclarations. Cela exige une conservation maîtrisée, la mise en place de contrats clairs avec les sous-traitants cloud et une formation à la confidentialité.1
  • Industrie et bureaux d’ingénieurs : Gestion des données clients et partenaires, protection de la propriété intellectuelle. Les points cruciaux sont la supervision des sauvegardes, la ségrégation des environnements et des plans de continuité.1

Ce que ça change concrètement.
Fiduciaire de 12 collaborateurs, région lausannoise. Audit PFPDT inopiné. Aucun registre, 4 prestataires cloud sans contrat de sous-traitance, logs absents.
Sans préparation : amende 45 000 CHF, 6 semaines de mise en conformité forcée sous contrainte, 2 clients grands comptes résiliés.
Avec dossier de conformité à jour : audit clôturé en 2 jours, zéro sanction, attestation transmise aux clients.
Gain net : plus de 80 000 CHF.

Sous-traitants et partenaires technologiques : encadrez vos risques

Dès que vous externalisez une activité impliquant des données personnelles, vous travaillez avec un sous-traitant (hébergeur, logiciel métier en service, cabinet de recrutement, etc.). Vous devez impérativement encadrer cette relation par contrat

Le contrat doit lister :

  • L’objet et la durée du traitement, ainsi que la nature des données.
  • Les mesures de sécurité précises mises en œuvre par le sous-traitant.
  • Le droit d’audit et les règles applicables à la sous-traitance en cascade.
  • Le lieu d’hébergement (important pour la souveraineté) et les règles en cas d’incident.

Vérifiez toujours les attestations clés de votre partenaire : certification ISO 27001, localisation des données (hébergement en Suisse), chiffrement au repos et en transit, et réversibilité des données.

Mon entreprise peut-elle bénéficier d’une exemption nLPD ?

L’exemption de registre est limitée aux entreprises à faible risque qui ne réalisent aucun traitement sensible. En pratique, si vous gérez des données de santé, des données RH ou des profils à risque, l’exemption tombe.

  • Les cabinets médicaux, laboratoires, cliniques, fiduciaires et la plupart des PME avec données sensibles doivent tenir un registre et appliquer des mesures renforcées

Posez-vous cette question simple : la fuite des données que vous traitez créerait-elle un dommage réel pour une personne ? Si la réponse est oui, vous devez appliquer le socle complet des obligations

Les 5 obligations concrètes

Quel est l’objectif principal du Registre des activités de traitement nLPD ?

Le registre des activités de traitement est la preuve centrale de votre conformité nLPD. Il doit décrire la finalité, les catégories de données, les bases légales, les destinataires, les durées de conservation et les mesures de sécurité des données. Pour la PME suisse, ce registre sert de boussole stratégique : il permet de prioriser les traitements critiques (paie, clients, santé) et de garantir un export PDF prêt pour le Préposé fédéral lors d’un contrôle.

Le registre décrit précisément vos traitements. Il doit inclure:

  • Les finalités, catégories de données et de personnes
  • Les bases légales, destinataires et durées de conservation
  • Les mesures de sécurité, transferts, responsables internes et sous-traitants

Allez à l’essentiel : un onglet par traitement, un identifiant unique, un propriétaire, une revue semestrielle et un export PDF prêt pour un contrôle. Utilisez ce document comme boussole de vos projets. Tout nouveau traitement doit commencer par la fiche registre et chaque changement doit s’y refléter.

Astuce terrain : Démarrez par les traitements critiques comme les dossiers patients, la paie, la comptabilité et le support client, puis élargissez. Vous gagnez du temps et des victoires rapides.

Les personnes disposent des droits suivants:

  • Accès et rectification
  • Effacement (si la finalité est atteinte)
  • Opposition (quand c’est possible)
  • Portabilité (si la technique le permet)

Vous devez répondre dans des délais raisonnables, tracer la demande et prouver votre réponse.

Anticipez les cas limites : obligations légales de conservation, gestion des sauvegardes ou partages avec un hôpital partenaire.

Quelles mesures de sécurité concrètes appliquer en PME pour être conforme à la nLPD ?

La sécurité des données doit être adaptée au risque encouru (privacy by design). Les mesures prioritaires incluent l’authentification multifacteur (MFA), le contrôle d’accès fondé sur le besoin d’en connaître, le chiffrement des sauvegardes et la journalisation des événements. La PME doit aussi organiser le geste : définir qui gère les droits et qui teste les sauvegardes chiffrées régulièrement.

Adaptez la sécurité au risque. Voici les mesures techniques essentielles:

  • Contrôle d’accès fondé sur le besoin d’en connaître
  • Authentification multifacteur (MFA)
  • Journalisation et supervision
  • Chiffrement des postes, serveurs et des sauvegardes
  • Tests de restauration réguliers
  • Mises à jour rapides et protection EDR sur les postes
  • Sensibilisation au hameçonnage

Ne vous limitez pas aux outils. Organisez le geste interne:

  • Définissez qui approuve et valide les droits d’accès et les ouvertures de flux.
  • Contrôlez chaque trimestre et testez les restaurations.
  • Déclenchez le plan de réponse à incident si besoin.

Privilégiez la sobriété des droits. Par défaut, personne n’accède. L’accès se gagne et s’éteint avec la mission, puis une revue périodique ferme les portes oubliées

Ce que ça change concrètement.
Cabinet médical de 8 postes, région genevoise. Ransomware un vendredi soir. Sauvegardes non testées depuis 14 mois.
Sans plan : 3 semaines d’arrêt, 78 000 CHF de pertes directes, notification PFPDT obligatoire, 3 clients perdus.
Avec sauvegardes testées et plan de réponse à jour : reprise en 18 heures, 6 200 CHF de coûts, zéro perte de données.
Gain net : 71 800 CHF.

Quand notifier en cas de violation ?

Vous notifiez le Préposé en cas de violation susceptible d’entraîner un risque élevé. Évaluez rapidement les points suivants:

  • La nature des données touchées et le nombre de personnes concernées
  • Les mesures prises et les risques résiduels
  • La nécessité d’informer directement les personnes

Préparez-vous avant la crise. Pour cela:

  • Mettez en place une chaîne d’alerte claire
  • Créez un journal des événements et des modèles de notification
  • Formalisez une procédure avec votre hébergeur et effectuez un exercice annuel de simulation

Mieux vaut notifier à temps avec des faits que tard avec des suppositions. Un dossier propre limite l’impact et protège votre réputation.

 

Les erreurs les plus fréquentes dans les PME

La protection des données, un sujet informatique ?

 

Non, la protection des données est avant tout une discipline d’entreprise et de gouvernance dans le cadre de la nLPD. L’erreur la plus fréquente des PME suisses est de confier cette responsabilité à la seule équipe informatique. Or, la conformité nécessite l’implication de la Direction, des RH et des Opérations. Un bon mot de passe ne suffit pas si la collecte des données est excessive.Sans gouvernance, vous aurez des trous dans la raquette.

Mettez en place une gouvernance simple, incluant :

  • Une personne référente.
  • Un comité léger.
  • Des décisions tracées et des rôles clairs.
  • Des rappels réguliers.
  • Un plan de progrès avec jalons mesurables.

 

Ce qui risque de se passer en cas de non-conformité

Quelles sanctions pénales prévoit la nLPD en cas de non-conformité ?

 

L’amende nLPD ne vise pas l’entreprise. Elle vise le dirigeant. Personnellement. Jusqu’à 250 000 CHF. Ces sanctions s’appliquent aux infractions intentionnelles, comme un manquement grave de sécurité, un défaut d’information ou un transfert illicite de données. Pour la PME suisse, le meilleur bouclier reste l’organisation, prouvant une démarche sérieuse lors d’un contrôle.

Quels coûts cachés et arrêts d’activité ?

L’impact financier dépasse largement le montant de l’amende. Sans préparation, la note grimpe rapidement et inclut :

  • Temps mobilisé et arrêt des outils
  • Reprise depuis les sauvegardes
  • Assistance aux clients et expertise externe
  • Pertes commerciales et assurance cyber

Amortissez ce risque. Sauvegardes testées chaque mois, plans de continuité réalistes, procédures d’escalade, liste de contacts d’urgence, supervision qui détecte tôt et parc logiciel épuré. Des mesures simples pour un impact fort.

Qu’exigent clients et assureurs ?

L’anticipation est clé. Les clients grand compte et les assureurs exigent des garanties concrètes pour se protéger contre le risque nLPD.

nLPD PME Suisse

Anticipez. Tenez votre dossier de conformité à jour, centralisez les pièces et répondez vite aux questionnaires. Vous gagnez des points en appel d’offres et protégez vos marges.

Par où commencer ?

Quels sont les 10 points clés d’un audit flash de conformité nLPD ?
Un audit court donne une vision claire sans bloquer l’exploitation. Dix questions suffisent pour vous situer :

  • Avez-vous un registre à jour ?
  • Vos politiques sont-elles publiées ?
  • Vos contrats de sous-traitance couvrent-ils sécurité et notification ?
  • Les accès sensibles sont-ils sous double authentification ?
  • Les sauvegardes sont-elles chiffrées et testées ?
  • Avez-vous un processus droits ?
  • Vos durées de conservation sont-elles documentées ?
  • Vos postes sont-ils chiffrés ?
  • Avez-vous un plan de réponse aux incidents ?
  • Savez-vous où sont hébergées vos données et selon quelles garanties ?

Répondez sans détour : vous créez une liste de priorités, choisissez des actions à impact immédiat et planifiez le reste sans stresser vos équipes.Qui doit piloter la démarche de conformité nLPD dans la PME suisse ?

Qui doit piloter la démarche ?

Désignez un responsable protection des données. Il anime, coordonne, tient la documentation et suit les incidents. Donnez-lui un mandat clair et du temps.

Constituez un comité court avec direction, informatique, RH et un métier critique. La réunion doit être efficace : toutes les quatre semaines, tableau de bord simple, trois priorités, trois décisions, trois preuves.

Dans les secteurs sensibles, un conseiller externe apporte un regard indépendant, challenge et simplifie. L’essentiel est la régularité et la traçabilité.

Comment établir un plan d’action de conformité nLPD sur 90 jours ?

Découpez votre plan en trois vagues de 30 jours :

  • Jours 1-30 : Sécuriser les accès critiques (double authentification) et démarrer le registre des activités de traitement.
  • Jours 31-60 : Publier l’information aux personnes (politiques) et cadrer les sous-traitants (contrats).
  • Jours 61-90 : Tester la notification d’incident et fixer les durées de conservation.
  • Chaque vague se termine par une vérification, une preuve versée au dossier et un message simple aux équipes.

Gardez un cap réaliste. Des jalons toutes les deux semaines, ajustez si nécessaire. Vous avancez vite sans saturer l’organisation.

Conformité nLPD : où en êtes-vous vraiment ?

Beaucoup de PME pensent être conformes. L’audit révèle souvent une autre réalité. La nLPD ne sanctionne pas l’incident. Elle sanctionne l’absence d’organisation. 10 minutes. Score immédiat /100. Sans engagement.
Tester ma conformité

Conformité nLPD : ce qui compte, c’est ce que vous pouvez prouver

La nLPD ne sanctionne pas les entreprises mal intentionnées. Elle sanctionne celles qui ne peuvent rien démontrer.
Trois choses à retenir :
Un registre à jour est votre première ligne de défense. Sans lui, vous naviguez à vue et vous le payez le jour du contrôle.
Des sauvegardes non testées n’existent pas. Ce n’est pas une précaution, c’est une illusion.
La responsabilité personnelle du dirigeant n’est pas une menace théorique. 250 000 CHF d’amende, c’est concret.
Vous voulez savoir où vous en êtes réellement ? Passez le diagnostic nLPD. 10 minutes. Score immédiat sur 100. On échange 30 minutes sur vos priorités, vos contraintes et ce qui bloque vraiment. Sans engagement.
La nLPD ne récompense pas les bonnes intentions. Elle récompense les preuves.

 

FAQ

La nLPD s’applique-t-elle aux petites entreprises ?

 

Oui, il n’y a aucune exemption générale basée sur la taille de l’entreprise. Dès que vous traitez des données personnelles en Suisse, vous êtes concerné par la nLPD.

Si votre PME gère des données sensibles ou des traitements à risque élevé, le registre des activités et des mesures renforcées sont obligatoires. C’est notamment le cas pour les cabinets médicaux, laboratoires, fiduciaires et bureaux d’ingénieurs

Que faire en cas de violation de données ?

 

Activez immédiatement votre plan de réponse en cas de violation. Les étapes clés sont :

  • Contenir la violation.
  • Évaluer la nature et le niveau de risque.
  • Documenter toutes les actions prises.
  • Notifier le Préposé fédéral sans délai indu si le risque est élevé.
  • Informer les personnes concernées si nécessaire.

Analysez la cause, corrigez et consignez tout dans le journal d’incident. La rapidité et la précision de votre réponse sont cruciales pour limiter les impacts.

Articles récents

Le partenaire informatique “santé” qui booste votre C.A.

Vous êtes un laboratoire, une clinique, un centre médical ou dentaire ?

On optimise et sécurise votre informatique, augmente votre productivité, et vous aide à vivre votre meilleure vie.

Parlons de vos besoins