Protection des données en Suisse : êtes-vous en règle avec la loi entrée en vigueur en 2023 ?
Depuis le 1er septembre 2023, la nouvelle loi suisse sur la protection des données (nLPD) est entrée en application sans période de transition.
Elle s’impose à toutes les entreprises et organisations traitant des données personnelles, qu’il s’agisse de structures suisses ou de sociétés étrangères actives sur le marché helvétique.
Deux ans plus tard, certaines entreprises n’ont toujours pas mis à jour l’ensemble de leurs processus internes, exposant ainsi leurs activités à des risques juridiques, financiers et réputationnels.
Ce que la nouvelle LPD implique concrètement
La réforme vise à aligner la législation suisse sur les standards européens (notamment le RGPD), tout en conservant des spécificités nationales. Elle renforce les droits des personnes concernées, impose plus de transparence dans les traitements de données et accroît la responsabilité des entreprises.
Voici les obligations principales à respecter depuis 2023 :
-
Évaluer les données collectées : toute entreprise doit savoir quelles données personnelles elle traite, à quelles fins, où elles sont stockées et pendant combien de temps.
-
Assurer la sécurité des traitements : des mesures techniques et organisationnelles adaptées doivent être mises en place pour prévenir les violations de données.
-
Informer de manière transparente : chaque personne concernée doit être informée clairement du traitement de ses données, y compris en cas de profilage.
-
Nommer un responsable : bien que non obligatoire, la désignation d’un délégué à la protection des données (DPO) est fortement recommandée.
-
Anticiper les violations : les incidents de sécurité doivent être documentés et notifiés au Préposé fédéral à la protection des données et à la transparence (PFPDT) en cas de risque élevé.
Le traitement des données personnelles ne concerne pas uniquement les informations clients ou marketing. Les données internes comme les fiches de paie, les coordonnées bancaires ou les évaluations du personnel entrent aussi dans le périmètre légal. Dans ce contexte, la gestion des salaires en Suisse exige une vigilance particulière sur les accès, les droits, et la durée de conservation de ces données.
Où en est votre entreprise aujourd’hui ?
En 2025, certaines PME ou structures indépendantes n’ont pas encore procédé à un audit complet de leur conformité. Pourtant, le cadre légal est clair depuis deux ans. Il est donc temps de vérifier si votre entreprise a pris les bonnes mesures.
Vous pouvez commencer par une auto-évaluation gratuite via l’outil PrivacyScore, développé par l’étude Vischer. Il permet d’obtenir une première estimation du niveau de conformité, de détecter les failles éventuelles, et d’organiser un plan d’action par priorité.
Ressources pratiques pour structurer votre conformité
Pour accompagner les entreprises dans la mise en œuvre de la loi, plusieurs ressources ont été publiées, dont un livre blanc élaboré par Softcom et Clusis.
Ce guide méthodologique inclut des modèles de documents en format Word et Excel pour construire votre politique interne de protection des données.
| Produit | Membre Clusis | Non-membre | Partenaire |
|---|---|---|---|
| Livre blanc (numérique) | CHF 50.– | CHF 100.– | CHF 80.– |
| Livre blanc (papier) | CHF 60.– | CHF 90.– | CHF 110.– |
Pour commander ces documents, c’est par ici : Clusis.com
Et la gestion quotidienne des données personnelles ?
Même si la loi n’exige pas la désignation obligatoire d’un DPO, ce rôle reste stratégique pour garantir la cohérence de votre politique interne. Il peut être confié à un collaborateur formé ou à un prestataire externe, selon la taille et la structure de l’organisation.
Dans certains secteurs spécifiques comme la santé ou l’assurance, des mesures renforcées sont nécessaires. Les entreprises concernées par le traitement de données sensibles, notamment médicales, doivent intégrer des outils de chiffrement, d’authentification forte et de traçabilité. Plusieurs solutions pour la sécurité de vos données médicales permettent d’atteindre ce niveau d’exigence sans complexifier les opérations.
Certaines fiduciaires ou cabinets spécialisés intègrent désormais ce type d’accompagnement dans leurs services, notamment dans le cadre d’une gestion RH externalisée, de la tenue comptable ou de l’optimisation des process numériques.
Si vous êtes concerné, n’hésitez pas à consulter ce guide utile : Fiduciaire à Genève : comptabilité, fiscalité, création d’entreprise et gestion RH en Suisse.
Formations, mises à jour et accompagnement
La FER Genève organise régulièrement des sessions de formation pour accompagner les entreprises romandes dans la compréhension et l’application de la nLPD. Ces formations permettent d’actualiser les connaissances, de poser des questions concrètes, et de travailler sur des cas pratiques.
| Thème | Durée | Lieu |
|---|---|---|
| Comprendre la loi pour vous-même et votre entreprise | ½ journée | Centre de formation FER Genève – SPARK |
| Approche globale de la protection des données en entreprise | 2 jours | Centre de formation FER Genève – SPARK |
| La nouvelle loi suisse sur la protection des données | ½ journée | Centre de formation FER Genève – SPARK |
Cookies, traceurs, analytics : ne les oubliez pas
La nLPD s’applique aussi aux outils numériques utilisés au quotidien : cookies, CRM, tracking, scripts de mesure d’audience comme Google Tag Manager.
Toute entreprise doit informer clairement les utilisateurs des données collectées, leur finalité, et leur offrir un moyen simple de refuser certains traceurs non essentiels.
Un bandeau cookie conforme n’est pas une option mais une exigence. Il doit inclure un lien vers la politique de confidentialité, permettre un choix granulaire, et être activé avant tout dépôt de cookies facultatifs.
Ces obligations s’étendent aussi à vos bases d’envoi marketing. Pour éviter toute non-conformité, vous devez trier et documenter vos listes de contacts, y compris dans les outils d’emailing. Voici quelques suggestions pour organiser vos listes de contacts efficacement, tout en respectant les principes de la loi en matière de finalité, de consentement et de sécurité.
Restez en conformité, restez informé
En 2025, la conformité n’est plus une question d’anticipation mais de continuité. Les évolutions juridiques, les jurisprudences, et les pratiques techniques en matière de protection des données évoluent rapidement.
Pour les entrepreneurs récemment installés ou en cours de création d’activité, il est indispensable d’intégrer la LPD dès la phase de démarrage. La protection des données n’est pas une obligation secondaire, mais une base de confiance et de légitimité. Le guide pour créer son entreprise en Suisse pour les Français vous accompagne dans cette démarche, y compris sur les aspects juridiques et numériques liés à la conformité.
Pour rester à jour, inscrivez-vous à la newsletter de la FER Genève, suivez les publications du PFPDT, et consultez régulièrement les ressources proposées par les associations professionnelles comme Clusis ou SwissPrivacy Foundation.