La nouvelle Loi sur la protection des données est en vigueur depuis le 1er septembre 2023. Les sanctions sont pénales et personnelles — elles visent le dirigeant, pas l'entreprise. Nous vous mettons en conformité en 3 à 8 semaines, sans bureaucratie inutile.
En deux ans d'application, le Préposé fédéral a déjà ouvert plusieurs dizaines d'enquêtes contre des PME. Les motifs reviennent toujours, et ils sont tous évitables avec un cadre simple.
Un client demande l'effacement de ses données et n'obtient pas de réponse sous 30 jours. Un ancien employé exige son dossier et reçoit un refus. La plainte au Préposé fédéral est gratuite, et déclenche une enquête formelle.
Source · 70 % des enquêtes 2024Phishing réussi sur un compte M365, base CRM exposée, prestataire piraté. Si vous ne pouvez pas démontrer votre diligence (politique, procédure, journalisation), la sanction tombe — et frappe personnellement le dirigeant.
Coût type · CHF 50-250'000 + imageBandeau qui force le consentement, Google Analytics sans clauses, pixels publicitaires sociaux invisibles. Détectable depuis l'extérieur en 5 minutes — et un concurrent ou un journaliste peut signaler le cas.
Détectable · 5 min depuis InternetVos données partent dans le cloud US (Microsoft, Google, AWS) sans clauses contractuelles standard, sans évaluation de risque, sans information aux personnes concernées. C'est le grief n°1 dans les contrôles ciblés.
Présent dans 87 % des PME scannéesNotre méthode s'aligne sur la nLPD, l'OLPD (ordonnance d'application) et les recommandations du Préposé fédéral. Pour chaque étape, vous savez exactement ce qui est livré et ce que vous devez faire.
Entretiens avec les responsables métier (RH, ventes, marketing, IT, finance). Identification systématique des données personnelles traitées, des finalités, des destinataires, des durées de conservation, des bases légales. Rien n'échappe à cette première phase.
Rédaction du registre conforme à l'article 12 nLPD. Format tableur exploitable, mis à jour à chaque nouveau traitement. Pour chaque activité : finalité, catégories de données, destinataires, durée, mesures de sécurité, transferts internationaux.
Politique de protection des données interne, politique de sécurité des SI, charte informatique pour les collaborateurs, procédure de gestion des droits des personnes concernées, procédure de notification d'incident. Modèles adaptés à votre PME, prêts à signer.
Politique de confidentialité du site, bandeau cookies conforme, mentions sur les formulaires, contrats de sous-traitance avec vos prestataires (article 9 nLPD), évaluation des transferts internationaux, clauses contractuelles standard si nécessaire.
Identification des traitements à haut risque (profilage, données sensibles à grande échelle, surveillance vidéo, biométrie). Réalisation d'une analyse d'impact relative à la protection des données pour les traitements concernés, comme requis par l'article 22 nLPD.
Formation du référent interne (2 heures), atelier équipe (1 heure), remise du classeur de conformité prêt à présenter en cas de contrôle. Plan de revue annuelle pour maintenir la conformité dans la durée.
Format tableur conforme à l'article 12 nLPD, prêt à présenter en cas de contrôle. Maintenu par votre référent, mis à jour à chaque nouveau traitement.
Engagement de la direction signé. Cadre général de la politique de protection des données — principes, gouvernance, responsabilités, points de contact.
Mesures techniques et organisationnelles documentées : MFA, chiffrement, gestion des accès, sauvegardes, journalisation. Conforme à l'article 8 nLPD.
Document signable par chaque collaborateur, intégré au règlement du personnel. Bon usage des outils, télétravail, BYOD, droits et obligations en matière de données.
Texte juridique complet pour votre site web, conforme aux articles 19 et 25 nLPD. Mentions obligatoires, droits des personnes, contact référent, transferts.
Marche à suivre détaillée quand un client, employé ou tiers demande accès, rectification, effacement ou opposition. Modèles de réponse fournis.
Marche à suivre en cas de violation de données — qui notifier, dans quel délai, sous quelle forme, comment documenter. Modèle de formulaire de notification au Préposé fédéral inclus.
Modèle de Data Processing Agreement (DPA) conforme à l'article 9 nLPD, à faire signer par tous vos prestataires qui traitent des données pour vous (cloud, hébergeur, comptable, CRM).
Rapport d'analyse d'impact pour chaque traitement à haut risque identifié (article 22 nLPD). Identification des risques, mesures d'atténuation, décision documentée.
La conformité nLPD n'est pas un classeur qui dort. Nous travaillons sur ce qui est vraiment vérifié en cas de contrôle — et nous laissons de côté ce qui n'apporte rien à votre niveau de risque.
Nous traitons des données médicales — donc sensibles, à haut risque. La conformité n'était pas optionnelle. L'équipe a structuré toute notre documentation en six semaines, sans alourdir notre quotidien d'une seule minute.Responsable RH Cabinet médical · Vaud · 30 employés
Le tarif dépend du nombre de traitements à documenter et de la présence ou non de données sensibles. Forfait fixe, pas de facturation à l'heure.
Si vous traitez des données personnelles — clients, employés, fournisseurs, candidats, visiteurs de votre site — oui. La nLPD est en vigueur depuis le 1er septembre 2023 et s'applique à toute entreprise suisse, quelle que soit sa taille. Contrairement au RGPD, il n'y a pas de seuil de 250 employés en droit suisse : même une PME de 3 personnes est concernée si elle a un site web ou un CRM.
Jusqu'à CHF 250'000 d'amende — et c'est une sanction pénale qui frappe personnellement le dirigeant responsable, pas l'entreprise. Elle figure au casier judiciaire. Le Préposé fédéral peut aussi ordonner l'arrêt d'un traitement et exiger une publication des faits. Pour une PME, la sanction pénale est souvent plus douloureuse que l'amende elle-même : casier judiciaire = restrictions de marchés publics, de mandats, de fonctions dirigeantes.
La nLPD est largement alignée sur le RGPD européen — c'est volontaire pour préserver l'équivalence avec l'UE. Les différences principales : sanctions pénales personnelles plutôt qu'administratives, seuil d'application plus bas (toutes les entreprises, pas seulement les grandes), exigences renforcées sur les transferts hors Suisse, et notion de profilage à haut risque spécifique. Si vous êtes conforme RGPD, vous êtes à 80 % conforme nLPD — mais les 20 % manquants sont précisément ceux qui font les sanctions.
De 3 à 8 semaines pour une PME standard. Le registre des traitements et la documentation de base prennent 2 à 3 semaines. La revue technique (sécurisation des stockages, cookies, transferts) prend 2 à 4 semaines selon la complexité. Le déploiement de la politique interne et la formation des équipes ajoutent 1 à 2 semaines. C'est un projet qui se fait sans arrêter votre activité, à raison de 2 à 4 heures de votre temps par semaine.
Non, contrairement au RGPD. Le DPO (Préposé à la protection des données) est facultatif pour la plupart des PME suisses, sauf cas particuliers (autorité publique, traitement à grande échelle de données sensibles). En revanche, désigner un référent interne reste fortement recommandé pour démontrer la diligence en cas de contrôle. Nous proposons aussi une fonction de DPO externalisé en mode mensuel si vous préférez déléguer.
Notifier le Préposé fédéral dès que possible si la violation entraîne un risque élevé pour les personnes concernées. Notifier également les personnes concernées si nécessaire pour qu'elles puissent se protéger (par exemple, changer leurs mots de passe). Documenter l'incident, les mesures prises et les leçons apprises dans un journal d'incident. Notre prestation inclut la rédaction de votre procédure d'incident-type, avec les modèles de notification.
Vos prestataires ont leur propre conformité, mais cela ne vous décharge pas. Vous restez responsable du fait qu'ils traitent vos données dans un cadre conforme. Concrètement : il faut un Data Processing Agreement signé avec chacun d'eux, une évaluation du transfert international (clauses contractuelles standard pour les fournisseurs US), et une information à vos clients. Notre prestation inclut le modèle de DPA et l'évaluation des principaux prestataires courants.
Non. La conformité nLPD est un processus continu. Le registre doit être mis à jour à chaque nouveau traitement, les contrats sous-traitance à chaque nouveau prestataire, la politique adaptée à chaque évolution réglementaire. Nous recommandons une revue annuelle (1 jour) pour maintenir le cadre. Pour les structures à données sensibles, la revue trimestrielle est plus prudente.
Un appel direct avec l'expert qui mènerait votre mise en conformité — pas un commercial. Nous évaluons votre exposition pénale en 30 minutes et vous repartez avec trois priorités concrètes, que vous décidiez ou non de poursuivre.
Vulnérabilité exposant les données de 800 clients — corrigée en 48 h. Zéro fuite, conformité nLPD maintenue.