← Retour au blog

Protection des données clients : guide nLPD pour freelances suisses

7 juillet 2026
Protection des données clients : guide nLPD pour freelances suisses

En bref:

  • La nouvelle loi fédérale suisse sur la protection des données impose aux freelances une responsabilité pénale directe, avec des sanctions pouvant atteindre 250 000 CHF.
  • Ils doivent notamment tenir un registre des traitements, réaliser une analyse d'impact pour les traitements à risque élevé et garantir la conformité de leurs partenaires et hébergement.

La protection des données clients pour les freelances en Suisse est définie par la nouvelle loi fédérale sur la protection des données (nLPD), entrée en vigueur le 1er septembre 2023. Cette loi s'applique à tout indépendant qui collecte, traite ou stocke des informations personnelles dans le cadre de son activité, y compris via des outils d'intelligence artificielle. La nLPD introduit une responsabilité pénale personnelle, avec des amendes pouvant atteindre 250 000 CHF pour les personnes physiques en infraction. Pour un freelance, cela signifie que la conformité n'est pas une option : c'est une obligation légale directe, sans bouclier d'une personne morale pour absorber les sanctions.

Quelles sont les principales obligations légales des freelances suisses sous la nLPD ?

La nLPD impose des devoirs concrets à tout indépendant traitant des données personnelles, qu'il soit consultant, développeur, fiduciaire ou graphiste. Ces obligations diffèrent du RGPD européen sur plusieurs points essentiels, ce qui rend une adaptation spécifique au droit suisse indispensable. Confondre les deux cadres légaux est une erreur fréquente qui expose les freelances à des risques juridiques majeurs.

Les principales obligations à respecter sont les suivantes :

  • Tenir un registre des activités de traitement. Ce document recense tous les traitements de données effectués : nature des données, finalité, durée de conservation, destinataires. Il constitue la preuve clé de conformité lors d'une enquête du Préposé fédéral à la protection des données et à la transparence (PFPDT).
  • Réaliser une analyse d'impact (AIPD) pour les traitements à risque élevé. Dès qu'un traitement présente un risque significatif pour les droits des personnes concernées, une analyse d'impact sur la protection des données est obligatoire. L'usage d'outils d'IA entre souvent dans cette catégorie.
  • Signer des accords de protection des données (DPA) avec les fournisseurs. Tout prestataire externe accédant à des données clients, notamment les fournisseurs d'IA, doit faire l'objet d'un contrat de sous-traitance conforme à la nLPD.
  • Notifier le PFPDT sans délai injustifié en cas de violation présentant un risque élevé pour les personnes concernées.
  • Adapter la politique de confidentialité aux spécificités suisses, notamment en matière de transferts transfrontaliers de données.

Conseil de pro : Même si la nLPD n'impose pas de délai précis pour la notification au PFPDT, agir dans les 72 heures suivant la découverte d'une violation reste la meilleure pratique, par analogie avec le RGPD et pour démontrer votre bonne foi.

La nLPD se distingue du RGPD sur un point crucial : les amendes administratives n'existent pas en droit suisse. Les sanctions sont pénales et prononcées par un tribunal, ce qui implique un casier judiciaire potentiel pour le freelance condamné. Cette différence renforce considérablement la gravité des infractions.

Aperçu des principales obligations légales à connaître sous la nouvelle LPD pour les indépendants en Suisse

Comment gérer la confidentialité clients lors de l'utilisation de l'IA ?

L'usage d'outils d'intelligence artificielle dans une activité freelance crée des obligations spécifiques sous la nLPD. Chaque fois qu'un outil d'IA traite des données clients, le freelance reste responsable de la légalité de ce traitement. Cette responsabilité ne se transfère pas au fournisseur de l'outil.

Voici les étapes à suivre pour sécuriser l'usage de l'IA dans votre activité :

  1. Évaluer le niveau de risque du traitement. Tout traitement automatisé à grande échelle ou portant sur des données sensibles déclenche l'obligation de réaliser une AIPD complète. Cette évaluation doit être documentée et conservée.
  2. Exiger un contrat de sous-traitance (DPA) avec le fournisseur d'IA. Ce contrat doit interdire explicitement la réutilisation des données clients pour entraîner ou améliorer les modèles du fournisseur. Sans cette clause, le fournisseur peut légalement utiliser vos données à d'autres fins.
  3. Vérifier l'hébergement des données. Les données doivent rester en Suisse ou dans l'Union européenne, avec des garanties contractuelles équivalentes. Un hébergement aux États-Unis expose les données au CLOUD Act, qui autorise les autorités américaines à y accéder sans notification préalable.
  4. Informer vos clients des traitements automatisés. La transparence est une obligation légale sous la nLPD. Vos clients ont le droit de savoir que leurs données sont traitées par un système d'IA et dans quel but.
  5. Bannir les outils d'IA grand public non sécurisés. L'usage d'outils gratuits pour traiter des données clients constitue souvent une violation de la nLPD, car ces fournisseurs réutilisent les données pour entraîner leurs modèles.

Conseil de pro : Demandez systématiquement à votre fournisseur d'IA une copie de sa politique de traitement des données et de son accord de sous-traitance avant toute utilisation professionnelle. L'absence de ces documents est un signal d'alerte immédiat.

Le tableau suivant résume les critères à vérifier avant d'adopter un outil d'IA dans votre activité :

CritèreOutil grand public non sécuriséSolution IA souveraine
Hébergement des donnéesServeurs étrangers (souvent États-Unis)Suisse ou UE avec garanties
Réentraînement des modèlesPossible sans consentement expliciteInterdit contractuellement
Contrat de sous-traitance (DPA)Absent ou non conforme nLPDFourni et conforme
Transparence sur les finalitésLimitéeDocumentée et vérifiable
Conformité nLPDNon garantieGarantie

Quels sont les risques et sanctions en cas de non-conformité ?

La nLPD place la responsabilité pénale directement sur la personne physique du freelance. Cette configuration est fondamentalement différente du RGPD, où les amendes administratives visent en priorité les entreprises. En Suisse, la responsabilité est personnelle, ce qui augmente considérablement les enjeux pour tout indépendant.

Le PFPDT dispose de pouvoirs étendus d'enquête et peut ordonner des mesures de mise en conformité. Les amendes pénales, pouvant atteindre 250 000 CHF, sont ensuite prononcées par le juge pénal et non par l'autorité administrative. Un freelance condamné s'expose donc à un casier judiciaire, avec les conséquences professionnelles que cela implique sur sa réputation et sa capacité à signer de nouveaux contrats.

Les situations qui aggravent les risques sont identifiables :

  • Absence de registre des traitements. Sans ce document, le freelance ne peut pas démontrer sa conformité lors d'un contrôle. Le PFPDT agit en amont par des recommandations et des ordres, mais l'absence de documentation transforme une procédure administrative en risque pénal réel.
  • Notification tardive d'une violation. Tout retard injustifié dans la notification au PFPDT aggrave la situation légale du freelance.
  • Absence d'AIPD pour un traitement à risque élevé. Utiliser un outil d'IA sans avoir réalisé cette analyse préalable constitue une infraction directe à la nLPD.
  • Transferts de données vers des pays sans protection adéquate. Envoyer des données clients vers des serveurs américains sans contrats-types valides expose le freelance à des poursuites.

La bonne nouvelle : un dossier de conformité solide transforme un contrôle PFPDT potentiellement risqué en une procédure administrative banale. La préparation est la meilleure défense.

Quelles bonnes pratiques adopter pour sécuriser les données clients ?

La conformité à la nLPD n'est pas seulement une contrainte légale. Elle constitue un avantage concurrentiel valorisable lors de la signature de contrats, notamment avec des clients institutionnels ou des fiduciaires suisses exigeants. Un freelance qui peut démontrer sa conformité rassure ses clients et se distingue de la concurrence.

Espace de travail équipé de solutions avancées pour la protection des données

Adopter le principe de Privacy by Design

La protection des données doit être intégrée dès la conception de chaque projet, et non ajoutée après coup. Cela signifie choisir les outils, les architectures et les flux de données en tenant compte des exigences de la nLPD dès le départ. Cette approche réduit les risques et les coûts de mise en conformité ultérieure.

Documenter rigoureusement la conformité

Le registre des activités de traitement doit être tenu à jour et facilement accessible. Il doit couvrir chaque outil utilisé, chaque type de données traité et chaque fournisseur externe. Une cartographie des données, même simple, permet d'identifier rapidement les zones de risque. Des audits internes réguliers complètent ce dispositif.

Choisir des hébergements suisses et des solutions IA souveraines

Les serveurs suisses offrent une garantie légale que les données restent sous juridiction helvétique. Cette localisation élimine les risques liés au CLOUD Act américain et simplifie la démonstration de conformité à la nLPD. Pour l'IA, privilégier des solutions dont les modèles sont hébergés localement et dont les contrats interdisent tout réentraînement avec vos données.

Envisager la nomination d'un délégué à la protection des données

Le délégué à la protection des données (DPO) n'est pas obligatoire pour la plupart des freelances suisses. Cependant, sa nomination est fortement recommandée dès lors que l'activité implique des traitements sensibles ou un usage intensif d'outils d'IA. Un DPO, même externe, renforce la crédibilité du freelance auprès de ses clients.

Communiquer sur la conformité comme argument commercial

La conformité à la nLPD mérite d'être mentionnée dans vos propositions commerciales et vos contrats. Indiquer explicitement que vos outils sont hébergés en Suisse, que vos traitements sont documentés et que vous respectez la législation suisse sur la protection des données personnelles rassure les clients et justifie des tarifs plus élevés.

Points clés

La protection des données clients en Suisse exige du freelance une conformité active à la nLPD, incluant registre des traitements, AIPD, contrats avec fournisseurs d'IA et hébergement souverain.

PointDétails
Responsabilité pénale personnelleLes amendes nLPD atteignent 250 000 CHF et sont prononcées par un tribunal pénal, pas une autorité administrative.
Registre des traitements obligatoireTenir ce registre à jour est la preuve de conformité la plus efficace lors d'un contrôle PFPDT.
AIPD pour tout traitement IAToute utilisation d'IA traitant des données clients à risque élevé déclenche l'obligation d'une analyse d'impact.
Interdire les outils IA grand publicLes outils gratuits non sécurisés réutilisent souvent les données pour entraîner leurs modèles, violant la nLPD.
Conformité comme avantage commercialDocumenter et communiquer sa conformité rassure les clients suisses et différencie le freelance sur son marché.

Ce que la conformité m'a appris sur la confiance des clients

Beaucoup de freelances abordent la nLPD comme une contrainte administrative à minimiser. C'est une erreur de calcul. Dans ma pratique, j'ai observé que les clients suisses, en particulier dans les secteurs fiduciaire, juridique et médical, posent des questions de plus en plus précises sur la gestion des données avant de signer un contrat. Un freelance qui répond avec un registre des traitements à jour et un contrat DPA prêt à signer gagne immédiatement en crédibilité.

La distinction entre nLPD et RGPD est souvent sous-estimée. Les freelances qui ont travaillé avec des clients européens pensent parfois que leur conformité RGPD suffit. Elle ne suffit pas. Les différences entre nLPD et RGPD sont réelles et juridiquement significatives, notamment sur la question des sanctions pénales personnelles.

Mon conseil le plus concret : traitez votre dossier de conformité comme un actif commercial. Chaque document que vous produisez, chaque audit que vous réalisez, chaque contrat DPA que vous signez avec vos fournisseurs d'IA renforce votre position lors des négociations commerciales. La conformité n'est pas un coût. C'est un investissement dans la confiance de vos clients, et la confiance est la ressource la plus rare dans le marché suisse.

— Adopt

Nectos : l'IA souveraine pour les freelances soucieux de conformité

https://nectos.ch/

Les freelances suisses qui utilisent l'IA dans leur activité ont besoin d'une solution dont les données ne quittent jamais la Suisse. Nectos est un espace de travail IA hébergé exclusivement sur des serveurs suisses, conforme à la nLPD et conçu pour les professionnels indépendants qui ne peuvent pas se permettre de prendre des risques avec les données de leurs clients. Aucune donnée ne transite vers des serveurs étrangers. Aucun modèle n'est réentraîné avec vos informations. Nectos fournit les contrats de sous-traitance nécessaires à votre conformité. Pour les freelances qui veulent utiliser l'IA sans compromettre la confidentialité de leurs clients, Nectos est la réponse souveraine. Le Pack Sécurité & Conformité de Nectos inclut les éléments contractuels et techniques pour documenter votre conformité nLPD.

Questions fréquentes

La nLPD s'applique-t-elle à tous les freelances suisses ?

Oui. Tout indépendant qui traite des données personnelles de clients dans le cadre de son activité est soumis à la nLPD, quelle que soit la taille de son activité ou son secteur.

Quelle est la différence entre nLPD et RGPD pour un freelance ?

La nLPD prévoit des sanctions pénales personnelles pour les personnes physiques, là où le RGPD impose principalement des amendes administratives aux entreprises. Les obligations de documentation et de notification diffèrent également.

Un freelance doit-il nommer un délégué à la protection des données ?

La nomination d'un DPO n'est pas obligatoire pour la plupart des freelances suisses, mais elle est fortement recommandée en cas de traitements sensibles ou d'usage intensif d'outils d'IA.

Puis-je utiliser un outil d'IA gratuit pour traiter des données clients ?

Non. Les outils d'IA grand public gratuits réutilisent souvent les données pour entraîner leurs modèles, ce qui constitue une violation de la nLPD. Seuls des outils avec contrat de sous-traitance conforme et hébergement garanti en Suisse ou dans l'UE sont acceptables.

Que risque un freelance en cas de violation de la nLPD ?

Une amende pénale pouvant atteindre 250 000 CHF, prononcée par un tribunal pénal, avec les conséquences professionnelles et réputationnelles associées à un casier judiciaire.

Recommandation