La nouvelle loi suisse sur la protection des données (nLPD) : ce que ça change vraiment
La Suisse a longtemps fonctionné avec une loi sur la protection des données qui datait de 1992. Pour replacer les choses dans leur contexte : c'était avant que Google existe, avant les réseaux sociaux, avant que nos téléphones deviennent des traceurs permanents. Autant dire qu'une mise à jour s'imposait.
Depuis le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données, qu'on appelle la nLPD, est en vigueur. Et contrairement à ce qu'on entend parfois, elle ne concerne pas uniquement les grandes entreprises tech. Elle touche toutes les organisations, petites et grandes, qui traitent des données de personnes physiques en Suisse.
Pourquoi cette révision maintenant ?
Il y a deux raisons principales. La première est évidente : les technologies ont radicalement changé notre rapport aux données. La seconde est plus stratégique. L'Union européenne a adopté le RGPD en 2018, et la Suisse, pour maintenir la libre circulation des données avec ses voisins européens et préserver la compétitivité de ses entreprises, devait s'aligner. La nLPD n'est pas un copier-coller du RGPD, mais elle s'en inspire largement.
Ce qui change concrètement pour les entreprises
Quelques points qui méritent vraiment l'attention.
Les données génétiques et biométriques sont désormais classées comme données sensibles, au même titre que les données de santé ou les convictions religieuses. Si votre entreprise traite ce type d'informations, les obligations sont renforcées.
Le Privacy by Design et le Privacy by Default deviennent des principes légaux. En clair : vous devez penser à la protection des données dès la conception de vos outils et services, pas après coup. C'est exactement l'approche qu'on applique chez Anorac dès le démarrage de chaque projet web : conformité intégrée à la structure, pas ajoutée en dernière minute.
La notification des violations de données est maintenant obligatoire. En cas d'incident, vous avez 72 heures pour en informer le Préposé fédéral à la protection des données et à la transparence (PFPDT). C'est court, et ça suppose d'avoir des procédures internes prêtes à l'avance.
Les entreprises doivent tenir un registre des activités de traitement des données. Une exception existe pour les PME dont le traitement présente un risque limité, mais dans le doute, mieux vaut documenter.
Le point qui surprend beaucoup de dirigeants : la responsabilité personnelle
Contrairement au RGPD européen, où les amendes frappent l'entreprise, la nLPD peut viser directement les personnes physiques responsables, dirigeants ou responsables de traitement. Les amendes peuvent atteindre 250'000 CHF. Ce n'est pas anodin, et ça change la façon dont on aborde la conformité en interne.
Et pour les internautes ?
Si vous naviguez sur des sites suisses, vous avez désormais un droit d'accès renforcé à vos données, la possibilité de les corriger ou d'en demander la suppression, et le droit d'être informé en cas de violation vous concernant. Vous pouvez aussi retirer votre consentement à tout moment, et ce retrait doit être aussi simple que l'accord initial.
Côté cookies, le PFPDT a publié des lignes directrices actualisées en octobre 2025. La tendance est claire : les bannières vagues qui demandent un accord global ne suffisent plus. Les utilisateurs doivent pouvoir choisir par catégorie, comprendre ce à quoi ils consentent, et se rétracter facilement. Sur tous les sites que nous développons, nous intégrons Anorac Consent, notre module de gestion du consentement développé en interne, hébergé en Suisse et personnalisé à l'identité de chaque client.
Le problème silencieux : vos outils actuels sont-ils conformes ?
C'est la question que beaucoup d'entreprises ne se posent pas assez tôt. Utiliser Google Analytics, Mailchimp ou un hébergement AWS, c'est accepter que les données de vos visiteurs transitent par des serveurs étrangers. Légalement, cela implique des obligations supplémentaires, notamment en matière d'information et de transferts de données hors de Suisse.
C'est pourquoi nous avons fait le choix, chez Anorac, de construire une infrastructure 100% suisse : sites hébergés chez Infomaniak à Genève, analytics via Matomo sur nos propres serveurs (sans transfert à des tiers, contrairement à Google Analytics), et emails transactionnels via Anorac Mailer, notre infrastructure d'envoi interne. Aucune donnée ne quitte la Suisse.
Ce n'est pas uniquement une posture marketing. C'est une réponse directe aux exigences de la nLPD, et une façon concrète de protéger nos clients et les leurs.
Conclusion
La nLPD n'est pas une révolution si vous étiez déjà conformes au RGPD. Mais pour beaucoup d'entreprises suisses qui ne s'étaient jamais vraiment penchées sur la question, c'est un signal fort. La protection des données n'est plus un sujet réservé aux juristes ou aux multinationales. C'est une réalité opérationnelle, avec des conséquences financières et personnelles bien concrètes.
La bonne nouvelle : avec une approche structurée (cartographie des données, révision des politiques de confidentialité, formation des équipes, bons choix d'outils), la mise en conformité est tout à fait accessible, même pour une PME. C'est précisément ce qu'on accompagne chez Anorac, de la conception technique à la mise en place du consentement.
Sources
Confédération suisse, PME.admin.ch, Nouvelle loi sur la protection des données (nLPD) : https://www.kmu.admin.ch/kmu/fr/home/faits-et-tendances/digitalisation/protection-des-donnees/nouvelle-loi-sur-la-protection-des-donnees-nlpd.html
Canton de Genève, ge.ch, La nLPD est entrée en vigueur : https://www.ge.ch/actualite/nouvelle-loi-protection-donnees-nlpd-est-entree-vigueur-4-09-2023
Didomi, Nouvelle loi fédérale sur la protection des données (nLPD) en Suisse (mis à jour octobre 2025) : https://www.didomi.io/fr/blog/loi-protection-donnees-suisse
Kelio, La nouvelle loi sur la protection des données : êtes-vous prêt ? (septembre 2025) : https://www.kelio.ch/fr/ressources/blog/nouvelle-loi-sur-protection-donnees-suisse-etes-pret.html
Digicomp, nLPD en 6 questions : https://digicomp.ch/blognews/2023/04/11/nouvelle-loi-sur-la-protection-des-donnees-nlpd-faq
Beekeeper, La nLPD en Suisse : tout ce que les entreprises doivent prendre en compte : https://www.beekeeper.io/fr/blog/entree-en-vigueur-la-nlpd-en-suisse-entreprises-doivent-prendre-en-compte
