Cabinet / Ressources / Conformité nLPD PME vaudoise
Dossier 03 · Conformité nLPD

Conformité à la nLPD : guide pratique pour PME vaudoises.

La nouvelle Loi sur la protection des données est en vigueur depuis le 1er septembre 2023. Les sanctions sont pénales et peuvent viser personnellement la direction — jusqu'à CHF 250'000 d'amende. Trois ans après l'entrée en vigueur, la majorité des PME vaudoises ne sont toujours pas en règle.

Gabriel Rossi 23 mai 2026 16 min de lecture Vaud · Romandie

Quand un dirigeant me dit « la nLPD ne nous concerne pas vraiment », je pose toujours la même question : combien d'adresses mail de clients avez-vous dans Outlook ? La réponse est toujours : « quelques milliers ». Ces quelques milliers d'adresses sont des données personnelles. Vous traitez des données personnelles. La nLPD vous concerne. La seule question utile devient alors : jusqu'où ai-je formalisé ce traitement ?

01 — ContextePourquoi la nLPD change tout.

La nouvelle LPD remplace une loi de 1992 qui datait, littéralement, du minitel. Le législateur suisse a deux objectifs : aligner partiellement la Suisse sur le RGPD européen (pour préserver le statut de pays « adéquat » pour les transferts de données), et donner enfin au PFPDT — le Préposé fédéral à la protection des données — les moyens d'agir réellement.

La conséquence pratique pour une PME vaudoise est nette : les obligations existaient déjà sous l'ancienne LPD, mais elles n'étaient quasiment jamais sanctionnées. Avec la nLPD, l'absence de sanction n'est plus une stratégie viable. Le PFPDT a déjà ouvert plusieurs procédures publiques contre des PME suisses en 2024 et 2025.

02 — ÉvolutionCe qui a vraiment changé.

Voici, sans diplomatie, les sept changements qui touchent directement une PME en Suisse romande :

  1. Registre des activités de traitement obligatoire — Document écrit listant ce que vous faites des données.
  2. Information renforcée — La politique de confidentialité ne suffit plus, il faut informer au moment de la collecte.
  3. Analyse d'impact (AIPD) — Obligatoire pour les traitements à risque élevé.
  4. Notification des violations — Au PFPDT « dans les meilleurs délais » (en pratique 72 h), aux personnes concernées si risque élevé.
  5. Privacy by design — La protection des données doit être intégrée dès la conception d'un nouveau traitement.
  6. Sanctions pénales personnelles — Amendes jusqu'à CHF 250'000 visant la personne physique responsable, pas l'entreprise.
  7. Transferts internationaux — Encadrés strictement (USA, Inde, etc. — il faut des garanties contractuelles).
i
nLPD vs RGPD : deux régimes proches mais distincts

La nLPD n'est pas « le RGPD suisse ». Elle s'en inspire mais reste plus pragmatique sur certains points (consentement implicite plus large) et plus stricte sur d'autres (sanctions pénales, pas administratives). Si vous traitez des données de résidents UE, vous restez soumis au RGPD en plus de la nLPD.

03 — RisquesLes sanctions, en clair.

C'est le point que la plupart des dirigeants vaudois sous-estiment. Sous l'ancienne LPD, la sanction était quasi-théorique. Avec la nLPD, le législateur a fait un choix structurant : les amendes visent les personnes physiques responsables — dans une PME, c'est typiquement le directeur ou l'associé qui décide des traitements de données.

CHF 250'000 amende maximale visant personnellement le responsable nLPD art. 60 à 63
72 h délai pratique pour notifier une violation au PFPDT nLPD art. 24
2023-09-01 entrée en vigueur de la nLPD Confédération suisse

Les motifs de sanction sont nombreux mais identifiables : violation du devoir d'information, communication illicite de données à l'étranger, refus de coopérer avec le PFPDT, défaut de notification d'une violation. Aucune ne nécessite que vous ayez « volontairement » causé un tort — la négligence suffit.

La nLPD ne sanctionne pas l'incident. Elle sanctionne l'absence de préparation à l'incident. Préposé fédéral à la protection des données · Communication 2024

04 — PérimètreSuis-je concerné ? Probablement, oui.

La nLPD s'applique à tout traitement de données personnelles effectué par une personne privée ou un organe fédéral. Voici les cas concrets : si vous reconnaissez votre PME dans un seul de ces points, vous êtes concerné.

  • Vous avez une base clients (CRM, Outlook, Excel) avec noms et coordonnées
  • Vous gérez la paie de collaborateurs (salaires, AVS, certificats)
  • Vous tenez une liste de fournisseurs avec personnes de contact
  • Vous traitez des candidatures (CV, lettres de motivation)
  • Vous gérez un site web avec analytics, cookies ou formulaire de contact
  • Vous envoyez des newsletters ou communications marketing
  • Vous traitez des données sensibles — médicales, financières, juridiques

La quasi-totalité des PME vaudoises cochent au moins quatre de ces points. Le débat n'est donc pas « suis-je concerné » mais « à quel niveau de risque suis-je exposé ».

05 — ObligationsLes sept obligations clés.

01 — Tenir un registre des activités de traitement

C'est le socle. Document interne listant chaque traitement (paie, RH, clients, marketing, etc.) avec sa finalité, sa base légale, les catégories de données, les destinataires, la durée de conservation, les mesures de sécurité. Les PME de moins de 250 employés bénéficient d'allègements, mais le registre reste vivement recommandé — et exigible en cas de contrôle.

02 — Informer les personnes lors de la collecte

Au moment où vous collectez des données (formulaire de contact, signature de contrat, embauche), vous devez fournir une information claire : identité du responsable, finalité, destinataires, droits. La politique de confidentialité du site ne suffit plus.

03 — Sécuriser techniquement et organisationnellement

Article 8 nLPD : vous devez prendre des « mesures techniques et organisationnelles appropriées ». En pratique : audit régulier, chiffrement des sauvegardes, MFA sur les comptes critiques, politique d'accès. L'absence de mesures démontrables est en elle-même une violation.

04 — Encadrer les transferts à l'étranger

Si vous hébergez vos emails chez Microsoft 365 (USA) ou utilisez Google Workspace, vous transférez des données personnelles hors Suisse. C'est autorisé, mais sous conditions : pays adéquat, ou clauses contractuelles types, ou autres garanties.

05 — Gérer les droits des personnes

Droit d'accès, de rectification, d'effacement, d'opposition. Vous devez pouvoir répondre dans les 30 jours. Concrètement : une procédure interne pour identifier rapidement toutes les données qu'une personne donnée possède dans vos systèmes.

06 — Conduire des analyses d'impact (AIPD) quand nécessaire

Pour tout traitement à risque élevé : profilage, données sensibles, surveillance systématique. Document écrit décrivant le risque et les mesures pour le mitiger.

07 — Notifier les violations

Toute violation de sécurité susceptible d'entraîner un risque élevé pour les personnes doit être notifiée au PFPDT « dans les meilleurs délais ». Voir notre protocole d'urgence ransomware.

06 — MéthodePlan d'action en 10 étapes.

Voici la roadmap que nous appliquons avec les PME vaudoises. Compter 4 à 8 semaines selon votre taille, en sous-traitant à un cabinet ou en interne avec accompagnement.

  1. Étape 01 · Semaine 1

    Cartographie des données

    Identifier toutes les données personnelles que vous traitez : clients, RH, fournisseurs, candidats, prospects, partenaires. Outil : un simple tableau Excel suffit.

  2. Étape 02 · Semaine 1-2

    Rédaction du registre

    Pour chaque traitement identifié, remplir les champs obligatoires : finalité, base légale, données, destinataires, durée, sécurité. Modèle PFPDT disponible publiquement.

  3. Étape 03 · Semaine 2

    Revue de la politique de confidentialité

    Mise à jour de la politique web et des mentions de collecte. Suppression des formulations RGPD copiées-collées sans adaptation au droit suisse.

  4. Étape 04 · Semaine 2-3

    Cookies et trackers

    Audit des cookies, des pixels publicitaires, des polices Google Fonts. Mise en place d'un bandeau conforme avec consentement granulaire.

  5. Étape 05 · Semaine 3

    Sécurité technique

    Activation du MFA, revue des accès, chiffrement des sauvegardes, journalisation. C'est le volet « mesures techniques » de l'art. 8.

  6. Étape 06 · Semaine 4

    Contrats sous-traitants

    Avenants de protection des données avec tous vos prestataires qui touchent à des données personnelles : hébergeur, comptable, RH externe, prestataire IT.

  7. Étape 07 · Semaine 5

    Transferts internationaux

    Recensement des services cloud non-suisses utilisés. Mise en place de clauses contractuelles types ou de garanties équivalentes.

  8. Étape 08 · Semaine 5-6

    Procédure d'incident

    Document de 1 à 2 pages décrivant qui fait quoi en cas de violation : rôles, contacts, délais, modèles de notification au PFPDT.

  9. Étape 09 · Semaine 6-7

    Procédure des droits

    Définir comment vous traitez une demande d'accès ou d'effacement. Adresse mail dédiée, modèle de réponse, délai de 30 jours.

  10. Étape 10 · Semaine 7-8

    Sensibilisation des équipes

    Atelier de 45 min pour tous les collaborateurs. Sans cette dernière étape, les neuf premières seront contournées au quotidien.

Coût indicatif d'une mise en conformité PME

Pour une PME vaudoise de 10 à 50 employés : CHF 3'500 à 8'000 pour une mise en conformité accompagnée, livrables compris. À mettre en perspective avec la sanction maximale visant le dirigeant : CHF 250'000.

07 — CriseEn cas de violation, la procédure.

La nLPD impose la notification au PFPDT en cas de violation susceptible d'entraîner un risque élevé. Voici la séquence d'urgence :

  1. H+0 à H+1 — Isoler les systèmes compromis. Préserver les preuves (journaux, captures). Ne pas redémarrer brutalement.
  2. H+1 à H+4 — Caractériser la violation : quelles données, combien de personnes, quel risque pour elles ?
  3. H+4 à H+24 — Préparer la notification au PFPDT via le formulaire en ligne dédié. Si nécessaire, notifier les personnes concernées en parallèle.
  4. H+24 à H+72 — Documenter chronologiquement l'incident. Le PFPDT regardera autant ce que vous avez fait après que la violation elle-même.
  5. Semaine suivante — Retour d'expérience écrit. Modification des procédures pour éviter la récidive. C'est ce dossier qui fait la différence en cas de contrôle.

Notre dossier dédié au ransomware détaille ce protocole heure par heure.

À retenir

Huit points pour être en règle

  1. 01La nLPD est en vigueur depuis le 1er septembre 2023. Les sanctions visent personnellement le dirigeant — jusqu'à CHF 250'000.
  2. 02Si vous avez des clients, employés ou fournisseurs dans une base de données, vous êtes concerné. Sans exception.
  3. 03Le registre des activités de traitement est le socle. Un document Excel structuré suffit pour démarrer.
  4. 04La politique de confidentialité du site ne suffit plus. Il faut informer au moment de la collecte.
  5. 05Microsoft 365, Google Workspace, Mailchimp : chaque service tiers est un transfert international à encadrer.
  6. 06L'art. 8 nLPD impose des mesures techniques. L'absence de mesures démontrables est en elle-même une violation.
  7. 07Toute violation à risque élevé doit être notifiée au PFPDT dans les 72 heures pratiques.
  8. 08Plan réaliste pour une PME vaudoise : 4 à 8 semaines, budget CHF 3'500–8'000 accompagné.
Mise en conformité

Soyez en règle avant que le PFPDT ne vous le demande.

Notre formule « Tranquillité nLPD » couvre les 10 étapes du plan d'action, livrables et accompagnement compris. Forfait fixe en CHF, sans surprises, pour une PME de 10 à 80 employés.

Demander un devis nLPD Scanner mon site en 30 sec
Gabriel Rossi
Gabriel Rossi Fondateur · Leman Cyber Security

Accompagne les PME romandes dans leur mise en conformité nLPD depuis 2023. Cet article ne constitue pas un avis juridique : pour les cas complexes, nous travaillons en binôme avec des études d'avocats spécialisées en droit de la protection des données.

Sources et références

  1. Loi fédérale sur la protection des données (nLPD) — en vigueur dès le 01.09.2023
  2. Ordonnance sur la protection des données (OPDo)
  3. Préposé fédéral à la protection des données et à la transparence (PFPDT) — guides et communications
  4. nLPD art. 8 (sécurité des données), art. 24 (notification), art. 60-63 (sanctions pénales)
  5. Conseil fédéral — Message relatif à la révision totale de la LPD, 2017
À lire ensuite

Trois dossiers pour aller plus loin.

Dossier 01 · Pentest

Pentest pour PME en Suisse

Tester sa résistance aux attaques réelles — cadre légal, coût, choix d'un cabinet.

Lire Dossier 02 · Audit

Audit cybersécurité à Lausanne

Le bilan de santé technique préalable à toute mise en conformité.

Lire Dossier 04 · Incident

Ransomware : que faire en urgence

Protocole heure par heure, signalement NCSC, notification nLPD.

Lire