En bref:
- La nLPD suisse et le RGPD européen partagent des principes fondamentaux mais diffèrent sur les sanctions, la gouvernance et la portée territoriale. La nLPD sanctionne pénalement les responsables individuels, tandis que le RGPD cible les entreprises avec des amendes financières élevées. La conformité simultanée est nécessaire pour les PME suisses traitant des données européennes ou résidant en Suisse.
La nouvelle Loi fédérale sur la protection des données (nLPD) et le Règlement général sur la protection des données (RGPD) définissent deux cadres juridiques distincts pour la protection des données personnelles, avec des obligations, des sanctions et des portées territoriales qui divergent sur des points essentiels. La nLPD est entrée en vigueur en septembre 2023 en Suisse, tandis que le RGPD s'applique dans l'Union européenne depuis mai 2018. Les deux textes partagent des principes fondamentaux : transparence, limitation des finalités, droits des personnes concernées et obligations des responsables de traitement. Comprendre les différences nLPD RGPD en matière de protection des données est indispensable pour tout professionnel ou particulier en Suisse qui traite des données personnelles, qu'elles soient suisses ou européennes.
1. Quelles différences majeures dans les régimes de sanctions entre la nLPD et le RGPD ?
La nLPD et le RGPD sanctionnent les manquements de manière radicalement différente. Cette divergence est la plus importante à retenir pour tout dirigeant d'entreprise en Suisse.
La nLPD cible la responsabilité pénale individuelle : ce sont les personnes physiques, notamment les dirigeants et responsables de traitement, qui s'exposent à des amendes pénales. Le patrimoine personnel du dirigeant peut être engagé. Le plafond est fixé à 250 000 CHF par infraction.
Le RGPD fonctionne différemment. Les amendes administratives visent les entités morales, c'est-à-dire les entreprises elles-mêmes. Le plafond atteint 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, selon le montant le plus élevé.

| Critère | nLPD (Suisse) | RGPD (UE) |
|---|---|---|
| Type de sanction | Pénale (individuelle) | Administrative (entité morale) |
| Plafond | 250 000 CHF | 20 millions d'euros ou 4 % du CA |
| Cible | Personne physique responsable | Entreprise ou organisation |
| Procédure | Pénale (tribunal) | Administrative (autorité de contrôle) |
Cette différence structurelle modifie profondément la gestion des risques. Sous la nLPD, un directeur général ou un responsable informatique peut être personnellement poursuivi. Sous le RGPD, c'est l'entreprise qui paie, pas l'individu.
Conseil de pro: Documentez systématiquement toutes les décisions relatives au traitement des données au sein de votre organisation. En cas de litige sous la nLPD, la traçabilité des décisions internes constitue votre première ligne de défense personnelle.
2. Comment la gouvernance des données diffère-t-elle : DPO, registres et notifications ?
La gouvernance quotidienne des données diverge sur trois points concrets : la désignation d'un délégué à la protection des données (DPO), la tenue d'un registre des activités de traitement, et les délais de notification en cas de violation.
Sur le DPO :
- Sous le RGPD, la désignation d'un DPO est obligatoire dans de nombreux cas, notamment pour les organismes publics et les entreprises traitant des données sensibles à grande échelle.
- Sous la nLPD, la désignation d'un DPO reste une recommandation pour les entreprises privées, non une obligation légale.
Sur le registre des activités de traitement :
- Le RGPD impose ce registre de manière systématique à la grande majorité des organisations.
- La nLPD prévoit une exemption : les entreprises de moins de 250 employés peuvent en être dispensées si leurs traitements ne présentent pas de risque élevé. Cette mesure réduit la charge administrative pour les PME suisses.
Sur les notifications en cas de violation :
- Le RGPD impose un délai strict de 72 heures pour notifier l'autorité de contrôle compétente après la découverte d'une violation.
- La nLPD exige une notification « dans les meilleurs délais », sans fixer de délai chiffré. En pratique, la tendance converge vers une notification rapide similaire aux 72 heures du RGPD.
Conseil de pro: Nommer un DPO en Suisse, même si c'est facultatif, évite la consultation systématique du Préposé fédéral à la protection des données et à la transparence (PFPDT) lors des analyses d'impact à risque élevé. C'est un gain de temps opérationnel concret pour les entreprises actives sur les deux marchés.
3. Quelle est la portée territoriale de la nLPD comparée au RGPD ?
Les deux lois s'appliquent au-delà des frontières de leur territoire d'origine. Cette portée extraterritoriale crée des obligations pour des acteurs qui n'ont parfois aucune présence physique en Suisse ou dans l'UE.
La nLPD s'applique à toute entreprise traitant des données de résidents suisses, même si cette entreprise est établie à l'étranger. Un prestataire américain ou asiatique qui collecte des données de clients suisses est donc soumis à la nLPD.
Le RGPD fonctionne selon le même principe : toute organisation ciblant des résidents de l'UE doit s'y conformer, quelle que soit sa localisation géographique.
La nLPD ne protège que les personnes physiques, comme le RGPD. L'ancienne Loi fédérale sur la protection des données (LPD) couvrait aussi les personnes morales. Ce changement aligne la nLPD sur le standard européen.
Pour une PME suisse qui traite des données de clients européens, la double conformité est une réalité quotidienne. Voici les trois situations les plus courantes :
- Entreprise suisse avec clients en France ou en Allemagne : soumise à la fois à la nLPD et au RGPD. Les obligations les plus strictes de chaque texte s'appliquent.
- Prestataire étranger avec clients en Suisse : soumis à la nLPD même sans bureau en Suisse. Les transferts transfrontaliers de données vers des pays tiers doivent respecter les garanties prévues par la nLPD.
- Entreprise suisse traitant uniquement des données de résidents suisses : soumise à la nLPD uniquement, avec une charge réglementaire moindre que sous le RGPD.
La double conformité RGPD et nLPD est une réalité courante pour les PME suisses qui traitent des données de résidents européens et suisses. Elle nécessite une gestion adaptée des obligations croisées.
4. Quelles différences concrètes sur les droits des personnes et les principes de protection ?
Les principes fondamentaux de protection des données sont communs aux deux lois : transparence, sécurité, limitation des finalités et minimisation des données. La nLPD adapte toutefois leur application au contexte légal suisse.
Le droit à l'effacement, le droit à la portabilité des données et le droit de déposer une plainte existent dans les deux textes. Le RGPD les formule de manière plus détaillée et prévoit des recours administratifs plus structurés via les autorités nationales de contrôle. La nLPD confie ce rôle au PFPDT, dont les pouvoirs d'investigation ont été renforcés en 2023.
La nLPD introduit une exigence de transparence renforcée sur les décisions automatisées. Toute décision prise uniquement par un système automatisé et ayant un effet juridique ou significatif sur une personne doit être signalée. Cette obligation est proche de celle prévue à l'article 22 du RGPD.
Pour les politiques de confidentialité, les deux lois exigent une information claire sur l'identité du responsable de traitement, les finalités du traitement, les destinataires des données et les droits des personnes. Une politique de confidentialité conforme au RGPD couvre la majorité des exigences de la nLPD, mais doit mentionner explicitement la nLPD et le PFPDT pour les traitements impliquant des résidents suisses.
5. Quels conseils pratiques pour assurer la conformité face aux différences nLPD/RGPD ?
La conformité simultanée à la nLPD et au RGPD est accessible, à condition d'adopter une approche structurée. Voici les actions prioritaires pour les professionnels suisses en 2026 :
- Adoptez une politique de confidentialité duale. Elle doit mentionner explicitement la nLPD et le RGPD, identifier le PFPDT comme autorité compétente pour les résidents suisses, et la CNIL ou l'autorité nationale concernée pour les résidents européens.
- Sensibilisez les dirigeants à la responsabilité pénale individuelle. Sous la nLPD, ce n'est pas l'entreprise qui est sanctionnée en premier lieu, mais la personne physique responsable. Cette réalité doit figurer dans les formations internes.
- Mettez en place un registre des activités de traitement, même si vous êtes une PME. L'exemption prévue par la nLPD ne dispense pas d'une bonne documentation interne. En cas de contrôle, l'absence de registre fragilise votre position.
- Préparez une procédure de notification des violations. Même si la nLPD n'impose pas 72 heures, viser ce délai vous place en conformité avec les deux textes et réduit le risque de critique de la part du PFPDT.
- Choisissez des outils qui traitent les données en Suisse. Lorsque vous utilisez des solutions d'intelligence artificielle ou de gestion documentaire, vérifiez que les données ne quittent pas le territoire suisse. La souveraineté des données suisses n'est pas un argument marketing : c'est une garantie légale concrète sous la nLPD.
- Suivez les mises à jour du PFPDT. L'autorité publie régulièrement des recommandations sur l'application de la nLPD. Ces publications font référence en cas de litige.
La conformité à la nLPD est perçue comme un avantage concurrentiel en Suisse, notamment pour les partenariats internationaux. Les entreprises qui documentent rigoureusement leurs pratiques gagnent la confiance de leurs clients et partenaires européens.
Points clés
La nLPD et le RGPD partagent les mêmes principes fondamentaux, mais divergent sur les sanctions, la gouvernance et la portée territoriale, ce qui impose aux professionnels suisses une gestion distincte et documentée de chaque cadre.
| Point | Détails |
|---|---|
| Sanctions : individu vs entité | La nLPD sanctionne pénalement les personnes physiques jusqu'à 250 000 CHF ; le RGPD sanctionne les entreprises jusqu'à 20 millions d'euros. |
| DPO facultatif sous nLPD | Nommer un DPO reste recommandé en Suisse : cela évite la consultation obligatoire du PFPDT lors des analyses d'impact. |
| Délai de notification flexible | La nLPD n'impose pas 72 heures, mais la pratique converge vers ce délai pour rester aligné avec le RGPD. |
| Double conformité fréquente | Les PME suisses traitant des données européennes doivent respecter les deux textes simultanément. |
| Données en Suisse = protection renforcée | Héberger les données sur des serveurs suisses garantit la conformité nLPD et réduit les risques liés aux transferts transfrontaliers. |
Ce que l'application simultanée des deux lois révèle en pratique
Traiter la nLPD comme un simple calque du RGPD est une erreur fréquente, et potentiellement coûteuse. La responsabilité pénale individuelle prévue par la nLPD change fondamentalement la dynamique interne des entreprises suisses : ce n'est plus seulement le service juridique qui doit s'en préoccuper, mais chaque responsable de traitement, chaque directeur technique, chaque DRH.
Ce que j'observe régulièrement, c'est que les entreprises suisses sous-estiment cette dimension pénale jusqu'au moment où un incident survient. Le RGPD a habitué les organisations à penser en termes d'amendes d'entreprise, souvent absorbées comme un coût opérationnel. La nLPD rompt avec cette logique. Quand le patrimoine personnel est en jeu, les comportements changent.
La mise en œuvre rigoureuse des principes de protection sous la nLPD facilite aussi les collaborations avec des entités soumises au RGPD. Une PME suisse bien documentée, avec une politique de confidentialité claire et un registre à jour, rassure ses partenaires européens sans effort supplémentaire.
Pour les TPE et PME, le message est simple : commencez par les bases. Un registre des traitements, une politique de confidentialité mentionnant la nLPD, et une procédure de notification écrite suffisent à couvrir l'essentiel des risques. Vous pouvez consulter des cas réels de violations pour mesurer concrètement les conséquences d'un manquement.
La convergence progressive entre nLPD et RGPD est réelle, notamment sur les délais de notification. Cette tendance devrait se confirmer dans les années à venir, ce qui rend une approche duale d'autant plus pertinente dès aujourd'hui.
— Nectos
Nectos : conformité nLPD intégrée dans votre espace de travail IA
Gérer la conformité nLPD devient plus simple lorsque vos outils sont conçus pour respecter la loi suisse par défaut.
Nectos est un espace de travail IA souverain dont les données ne quittent jamais la Suisse. Les modèles d'intelligence artificielle sont hébergés sur des serveurs suisses, sans transfert vers des acteurs étrangers. Chaque traitement reste sous juridiction suisse, ce qui élimine les risques liés aux transferts transfrontaliers et au CLOUD Act américain. Nectos propose l'analyse de documents, des bases de connaissances privées et la transcription de réunions, le tout conforme à la nLPD. Pour les professionnels qui veulent une solution IA souveraine sans compromis sur la conformité, Nectos est l'outil de référence en Suisse.
Questions fréquentes
Quelle est la principale différence entre la nLPD et le RGPD ?
La différence la plus structurante concerne les sanctions : la nLPD sanctionne pénalement les personnes physiques jusqu'à 250 000 CHF, tandis que le RGPD impose des amendes administratives aux entreprises pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Le RGPD s'applique-t-il aux entreprises suisses ?
Oui, si une entreprise suisse traite des données de résidents de l'Union européenne, elle est soumise au RGPD en plus de la nLPD. Cette double conformité est fréquente pour les PME suisses actives sur le marché européen.
La nLPD oblige-t-elle à nommer un DPO ?
Non. La désignation d'un délégué à la protection des données est recommandée sous la nLPD pour les entreprises privées, mais elle n'est pas obligatoire. Sous le RGPD, elle est obligatoire dans plusieurs cas définis par le règlement.
Quel délai s'applique pour notifier une violation de données en Suisse ?
La nLPD exige une notification au PFPDT « dans les meilleurs délais » sans fixer de délai chiffré. En pratique, les autorités et les professionnels convergent vers le délai de 72 heures prévu par le RGPD.
Une PME suisse est-elle exemptée du registre des traitements ?
Sous la nLPD, les entreprises de moins de 250 employés peuvent être dispensées de tenir un registre des activités de traitement si leurs traitements ne présentent pas de risque élevé. Cette exemption ne s'applique pas sous le RGPD, qui impose ce registre de manière plus systématique.

