Cet article retrace l'arrivée de la nLPD et ses principes. Pour la liste concrète des points à vérifier sur votre site aujourd'hui, voir nLPD et site web : ce que votre entreprise doit savoir.
Ce qui change vraiment avec la nLPD
La loi fédérale sur la protection des données (nLPD) est en vigueur en Suisse depuis le 1er septembre 2023. Elle ne concerne pas uniquement les grandes entreprises tech : toutes les organisations qui traitent des données de personnes physiques sont concernées.
Pourquoi cette révision ?
Deux raisons. D'abord, les technologies ont radicalement changé depuis l'ancienne loi de 1992. Ensuite, l'Union européenne avait adopté le RGPD en 2018. La Suisse devait s'aligner pour maintenir la libre circulation des données avec ses voisins et préserver la compétitivité de ses entreprises. La nLPD s'inspire largement du RGPD, sans en être un copier-coller.
Ce qui change concrètement
Les données génétiques et biométriques sont désormais classées comme données sensibles, au même titre que les données de santé. Le Privacy by Design et le Privacy by Default deviennent des principes légaux : la protection des données doit être pensée dès la conception, pas ajoutée en dernière minute.
La notification des violations est obligatoire. En cas d'incident, vous avez 72 heures pour informer le Préposé fédéral à la protection des données (PFPDT). Les entreprises doivent aussi tenir un registre des activités de traitement. Une exception existe pour les PME à risque limité, mais dans le doute, mieux vaut documenter.
Le point qui surprend le plus : la responsabilité personnelle
Contrairement au RGPD, qui sanctionne l'entreprise, la nLPD peut viser directement les personnes physiques responsables. Les amendes peuvent atteindre 250'000 CHF. C'est un changement de posture qui oblige à traiter la conformité différemment.
Côté cookies et consentement
Le PFPDT a publié des lignes directrices sur les cookies et le consentement. Les bannières vagues qui demandent un accord global ne suffisent plus. Les utilisateurs doivent pouvoir choisir par catégorie, comprendre à quoi ils consentent, et se rétracter facilement. Sur les sites que nous développons, nous intégrons un module de gestion du consentement hébergé en Suisse, personnalisé à l'identité de chaque client. Pour choisir la bonne solution, voir notre comparatif Cookiebot, OneTrust ou solution maison.
Vos outils actuels sont-ils conformes ?
Utiliser Google Analytics, Mailchimp ou un hébergement AWS signifie que les données de vos visiteurs transitent par des serveurs étrangers. Légalement, cela implique des obligations supplémentaires en matière d'information et de transferts de données hors de Suisse.
Chez Anorac, nous avons fait le choix d'une infrastructure 100 % suisse : sites hébergés chez Infomaniak à Genève, analytics sans cookies tiers, emails transactionnels sur notre propre infrastructure. Aucune donnée ne quitte la Suisse. Ce n'est pas une posture marketing, c'est une réponse directe aux exigences de la nLPD.
Ce qu'il faut retenir
Avec une approche structurée (cartographie des données, révision des politiques de confidentialité, formation des équipes, bons outils), la mise en conformité est accessible même pour une PME. C'est précisément ce que nous accompagnons chez Anorac : de la conception technique à la mise en place du consentement, dans une logique globale de souveraineté numérique. Nous intégrons cette conformité dès la conception de votre site web. Contactez-nous pour un accompagnement sur mesure.
À lire aussi : nLPD et site web, Checklist nLPD : 10 points, Un site conforme nLPD dès le départ, Cloud souverain suisse pour votre PME
Sources
Confédération suisse, PME.admin.ch : Nouvelle loi sur la protection des données (nLPD)
PFPDT : Préposé fédéral à la protection des données et à la transparence



