nLPD 2026 : ce qu'une PME romande doit avoir en place

La nouvelle Loi suisse sur la Protection des Données (nLPD) est en vigueur depuis le 1ᵉʳ septembre 2023. Trois ans plus tard, en audit, nous constatons que près de 60 % des PME romandes que nous accompagnons n’ont toujours pas mis en place les éléments minimums attendus.

Ce billet fait le tour des obligations concrètes, sans jargon juridique inutile, et propose un plan d’action réaliste pour une PME qui partirait aujourd’hui de zéro.

Suis-je concerné ?

Oui. Dès que vous traitez des données personnelles, c’est-à-dire toute information relative à une personne physique identifiée ou identifiable, vous êtes soumis à la nLPD. Cela couvre :

• Vos clients et prospects (nom, email, téléphone, historique d’achat)
• Vos collaborateurs (RH, paie, dossiers personnels)
• Vos fournisseurs et contacts professionnels
• Les visiteurs de votre site (formulaire de contact, analytics)

En pratique : toutes les entreprises, y compris les PME et indépendants. Aucune exemption sur la taille.

Les 5 obligations à connaître

1. Tenir un registre des activités de traitement

C’est l’obligation la plus visible et la moins coûteuse, c’est le bon point de départ. Le registre liste, pour chaque traitement (paie, CRM, newsletter, analytics, etc.) :

• La finalité (pourquoi vous traitez ces données)
• Les catégories de données et de personnes
• Les destinataires (qui a accès)
• Les transferts éventuels à l’étranger
• Les durées de conservation

Un tableau Excel sérieux peut suffire. Le PFPDT (Préposé fédéral à la protection des données) propose un modèle gratuit en ligne.

2. Sécuriser les données par des mesures techniques et organisationnelles

La nLPD ne prescrit pas de mesures précises, elle exige une protection proportionnée au risque. Concrètement, attendez-vous à ce qu’un auditeur vérifie :

• L’authentification forte (MFA) sur les comptes accédant à des données personnelles
• Le chiffrement des sauvegardes externalisées
• La gestion des droits d’accès (qui voit quoi, granularité raisonnable)
• La journalisation des accès aux données sensibles (RH, santé)
• La sensibilisation des collaborateurs au phishing

Tous ces points sont à votre portée, ce sont les mêmes fondamentaux que ceux d’une bonne hygiène cybersécurité, traités en détail dans notre article « Ransomware en 2026 : les 4 réflexes qui sauvent une PME ».

3. Notifier les violations dans les meilleurs délais

En cas de violation de la sécurité (fuite de données, ransomware, compte compromis) ayant un risque pour les personnes concernées, vous devez :

• Notifier le PFPDT dans les meilleurs délais (généralement interprété comme 72 heures)
• Informer les personnes concernées si le risque est élevé pour elles

Cela suppose d’avoir une procédure de gestion d’incident écrite et connue de votre équipe. C’est l’un des éléments les plus souvent absents lors de nos audits, et celui qui transforme une crise en catastrophe quand il manque.

4. Respecter les droits des personnes concernées

Toute personne dont vous traitez les données peut exiger :

• L’accès à ses données
• Leur rectification ou suppression
• La portabilité (vous lui remettez ses données dans un format réutilisable)
• L’opposition à certains traitements (marketing direct, profilage)
• Le retrait de son consentement

Vous devez répondre dans les 30 jours. Cela suppose d’avoir une adresse de contact dédiée (typiquement confidentialite@votre-domaine.ch) et une procédure interne pour traiter les demandes, pas juste une page web.

5. Encadrer vos sous-traitants

Tous vos fournisseurs qui touchent à des données personnelles, hébergeur, prestataire IT, plateforme CRM, outil de paie, fiduciaire, sont vos sous-traitants au sens de la nLPD. Vous devez :

• Tenir une liste de ces sous-traitants
• Signer un contrat de sous-traitance (ou ajouter une clause spécifique aux contrats existants) précisant leurs obligations
• Vérifier qu’ils respectent les exigences nLPD, notamment pour les hébergeurs hors de Suisse

Les pièges à éviter

nLPD ≠ RGPD européen. La nLPD est plus souple que son cousin européen, pas de sanctions automatiques à 4 % du chiffre d’affaires, pas d’obligation systématique de désigner un DPO. Mais elle s’applique en Suisse, ce que beaucoup de PME oublient quand elles utilisent des templates RGPD inadaptés trouvés en ligne.

Hébergement hors Suisse. La nLPD autorise les transferts vers l’Union européenne (décision d’adéquation prévue), mais vers d’autres juridictions (États-Unis notamment), cela impose des garanties contractuelles spécifiques. Si vous utilisez Microsoft 365 ou Google Workspace, vérifiez la région de stockage, la plupart des plans permettent de la définir à Genève, Zurich ou dans l’EEE.

Sous-estimer le digital marketing. Les cookies analytics, les pixels Facebook, les outils de remarketing, tous sont des traitements de données personnelles qui imposent un consentement explicite et révocable. Une bannière “OK” sans choix n’est pas conforme.

Un plan d’action en 6 semaines

Pour une PME partant de zéro, voici une trajectoire raisonnable :

• Semaine 1-2 : Inventaire : recensement des traitements et création du registre.
• Semaine 3 : Sous-traitants : lister, signer ou amender les contrats.
• Semaine 4 : Procédure de gestion d’incident écrite + adresse de contact dédiée pour les demandes des personnes.
• Semaine 5 : Sécurité technique : MFA généralisé, chiffrement des sauvegardes, revue des droits.
• Semaine 6 : Politique de confidentialité publique mise à jour, formation courte de l’équipe.

Coût total pour une PME de 20 à 30 personnes : 4 000 à 8 000 CHF en prestation d’accompagnement + le temps interne nécessaire à la collecte d’informations.

Pour aller plus loin

La conformité nLPD n’est pas un événement ponctuel, c’est une démarche continue qui se nourrit de la vie de votre PME (nouveaux outils, nouveaux collaborateurs, nouveaux clients). Notre accompagnement cybersécurité PME intègre la conformité nLPD dans une démarche globale, sans en faire un sujet à part.

Pour évaluer où vous en êtes précisément, un audit de deux jours suffit à dresser l’inventaire des écarts et à prioriser les correctifs, sans alarmisme et sans dramatisation juridique.