DSG Datenschutz Schweiz : Mesures concrètes que les PME doivent mettre en œuvre
La loi fédérale révisée sur la protection des données (LPD révisée) est en vigueur depuis septembre 2023 – et de nombreuses PME suisses ne sont pas encore conformes. Découvre les mesures concrètes que tu dois mettre en œuvre dès maintenant.
DSG Datenschutz Schweiz : Mesures concrètes que les PME doivent mettre en œuvre
Depuis le 1er septembre 2023, la loi fédérale révisée sur la protection des données (LPD révisée) s'applique en Suisse – et en cas de violation, des amendes jusqu'à CHF 250'000 peuvent être imposées. Malgré cela, selon une estimation du SECO, environ la moitié des PME suisses n'ont pas encore mis en place complètement les obligations légales.
TL;DR
- La LPD révisée est en vigueur depuis septembre 2023 et concerne pratiquement chaque entreprise suisse.
- Des amendes jusqu'à CHF 250'000 sont possibles – responsabilité personnelle de la direction incluse.
- Déclaration de protection des données, registre des activités de traitement et AIPD sont obligatoires.
- Les mesures techniques et organisationnelles (MTO) doivent être documentées.
Qu'est-ce que la LPD révisée – et qui est concerné ?
La LPD révisée (loi fédérale révisée sur la protection des données, RS 235.1) est le droit suisse modernisé en matière de protection des données, qui remplace la version précédente de 1992 et s'inspire fortement du RGPD européen. Elle concerne en principe chaque entreprise qui traite des données personnelles de personnes physiques – c'est-à-dire pratiquement toutes les PME suisses.
📊 ~50% des PME suisses n'ont pas encore adapté complètement leur documentation de protection des données à la LPD révisée, selon les estimations du SECO. Source : Baromètre SECO des PME, 2023
Sont particulièrement concernées les entreprises qui :
- Conservent des données clients, données collaborateurs ou informations fournisseurs
- Exploitent des sites web avec suivi ou formulaires de contact
- Utilisent des services cloud basés à l'étranger (p. ex. Microsoft 365, Salesforce)
Quelles sont tes obligations concrètes en tant que PME ?
La LPD révisée prescrit plusieurs mesures concrètes qui s'appliquent indépendamment de la taille de l'entreprise. Voici un aperçu des obligations principales :
1. Registre des activités de traitement
Chaque entreprise doit documenter quelles données personnelles sont traitées, à quel moment et pour quel but. Ce registre doit être tenu en interne et présenté sur demande au Préposé fédéral à la protection des données et à la transparence (PFPDT).
💡 Conseil : Commence par un modèle Excel simple. Le PFPDT propose sur son site des modèles gratuits que tu peux adapter directement.
2. Mise à jour de la déclaration de protection des données
La déclaration de protection des données sur ton site web doit dorénavant couvrir les points suivants :
- Identité et coordonnées du responsable du traitement
- Finalité et base légale du traitement des données
- Destinataires des données (y compris transferts à l'étranger)
- Durée de conservation
- Droits des personnes concernées
3. Analyse d'impact relative à la protection des données (AIPD)
Si ton entreprise traite des données à grande échelle ou des données particulièrement sensibles, une AIPD (analyse d'impact relative à la protection des données) est obligatoire. Cela s'applique par exemple en cas de vidéosurveillance, profilage ou traitement de données de santé.
⚠️ Important : Pour une AIPD, tu dois consulter le PFPDT à l'avance si le risque pour les personnes concernées est élevé. Omettre cette consultation expose à des amendes.
En quoi la LPD révisée diffère-t-elle du RGPD ?
De nombreux responsables IT connaissent déjà le RGPD européen – et se demandent à quel point les différences avec la LPD révisée sont réelles. La réponse courte : les principes fondamentaux sont similaires, mais il existe des différences pertinentes.
| Critère | LPD révisée (Suisse) | RGPD (UE) |
|---|---|---|
| Champ d'application | Personnes physiques | Personnes physiques |
| Montant des amendes | Jusqu'à CHF 250'000 (personnel) | Jusqu'à EUR 20 millions / 4% du chiffre d'affaires (entreprise) |
| Obligation DPO | Volontaire (recommandée) | Obligatoire pour certaines entreprises |
| Obligation de signaler une violation | Au PFPDT (si haut risque) | À l'autorité dans les 72 heures |
| Profilage | Explicitement réglementé | Explicitement réglementé |
| Protection dès la conception | Obligatoire | Obligatoire |
ℹ️ Remarque : La LPD révisée ne connaît pas la responsabilité des entreprises comme le RGPD. Les amendes s'adressent aux personnes physiques – c'est-à-dire aux directeurs, responsables informatiques ou personnes concrètement responsables. Cela augmente considérablement la pression personnelle.
Comment mets-tu en œuvre la LPD révisée étape par étape ?
Une approche structurée t'aide à devenir conforme sans surcharger ton équipe. Prévois environ 4 à 8 semaines pour une mise en œuvre initiale complète.
- Inventaire initial — Recense tous les flux de données au sein de l'entreprise : quelles données personnelles sont traitées, où, comment et par qui ?
- Créer le registre — Documente toutes les activités de traitement dans un registre (modèle : edoeb.admin.ch).
- Mettre à jour la déclaration de protection des données — Vérife et réécris la déclaration de protection des données du site web et les politiques internes.
- Vérifier les contrats — Assure-toi que des contrats de traitement des données existent avec les prestataires informatiques et les fournisseurs de services cloud.
- Documenter les MTO — Consigne par écrit les mesures techniques et organisationnelles (chiffrement, contrôles d'accès, sauvegardes).
- Former les collaborateurs — La protection des données est affaire de direction et de team. De courtes formations pratiques suffisent au départ.
- Examiner l'AIPD — Analyse si une analyse d'impact relative à la protection des données est nécessaire pour certains traitements.
- Définir le processus de signalement — Établis en interne la procédure à suivre en cas de violation de données et qui informera le PFPDT.
Es-tu vraiment conforme ? – La liste de contrôle
- Registre des activités de traitement créé et à jour
- Déclaration de protection des données du site web mise à jour
- Contrats de traitement des données avec tous les prestataires présents
- Analyse d'impact relative à la protection des données effectuée pour les traitements à risque
- Mesures techniques et organisationnelles (MTO) documentées
- Processus de signalement de violation de données défini
- Collaborateurs formés à la LPD révisée
- Politique interne de protection des données adoptée
🚨 Attention : De nombreuses entreprises oublient l'obligation de documenter les avis de protection des données donnés oralement (par téléphone ou lors de la conclusion d'un contrat). Cela peut devenir un problème lors d'un contrôle.
Conclusion – Agis maintenant, ne tarde pas
La LPD révisée n'est pas une loi bureaucratique sans dents. Le PFPDT a annoncé des contrôles, et la responsabilité personnelle des dirigeants est réelle. La bonne nouvelle : avec une approche structurée, tu peux en tant que PME devenir conforme en quelques semaines – sans faire appel à des grands cabinets de conseil.
La première étape est un audit honnête de tes flux de données. La deuxième : le bon soutien technique.
Sur IT-Provider.ch, tu trouveras plus de 200 prestataires informatiques suisses vérifiés qui t'aident à mettre en œuvre la LPD révisée – du conseil en protection des données aux solutions cloud sécurisées en passant par les mesures techniques de protection des données.
Questions fréquentes sur la LPD révisée pour les PME
La LPD révisée s'applique-t-elle aussi aux microentreprises et aux indépendants ?
Oui. La LPD révisée s'applique à toutes les personnes physiques et morales qui traitent des données personnelles. Seuls les traitements purement privés en sont exclus. Même un salon de coiffure ayant des données clients est concerné.
Quelles sont les conséquences concrètes du non-respect de la LPD révisée ?
En cas de violation des obligations d'information, de signalement et de transparence spécifiques, des amendes jusqu'à CHF 250'000 peuvent être imposées. Important : l'amende frappe la personne physique responsable, et non l'entreprise en tant que telle.
Ai-je besoin d'un délégué externe à la protection des données ?
Non, la LPD révisée n'impose pas de délégué à la protection des données. Sa nomination est toutefois recommandée, en particulier si tu traites régulièrement de grands volumes de données personnelles. Un prestataire DPO externe peut constituer une solution rentable.
Les violations de données doivent-elles être signalées ?
Oui – si une violation de données est susceptible de créer un haut risque pour les personnes concernées, le PFPDT doit en être informé dès que possible. Les personnes concernées doivent également être informées si cela sert à les protéger.
Que se passe-t-il si les données sont transmises à l'UE ou aux États-Unis ?
Les transferts de données à l'étranger ne sont autorisés que si le pays destinataire offre un niveau adéquat de protection des données (p. ex. pays de l'UE) ou si des garanties appropriées existent (p. ex. clauses contractuelles types). Pour les États-Unis, une réglementation simplifiée s'applique depuis l'EU-U.S. Data Privacy Framework – consulte cependant toujours les recommandations actuelles du PFPDT.
