Une femme aux cheveux longs, un stylo à la main, parle en faisant des gestes à une autre personne dans un bureau.
Sécurité et droit

Loi sur la protection des données en Suisse: ce que les entreprises doivent savoir

Rédigé par Simona Audia 18.09.2025

Avec l’entrée en vigueur en septembre 2023 de la loi fédérale sur la protection des données révisée, d’importantes dispositions relatives au traitement des données personnelles sont entrées en vigueur. Les entreprises doivent désormais respecter des règles plus strictes.

La révision de la loi suisse sur la protection des données (LPD) place les entreprises face à des défis concrets. Depuis son introduction, les exigences en matière de transparence, de sécurité et de conformité au droit sont plus strictes quant au traitement des données personnelles. Dans cet article, vous découvrirez non seulement les changements apportés par la loi, mais aussi des conseils et des modèles pratiques pour mettre en œuvre ces exigences.

Je souhaite protéger mon entreprise sur le plan juridique

Sur quoi la loi suisse sur la protection des données (LPD) porte-t-elle?

La révision de cette loi visait d’une part à l’adapter à l’évolution de la technologie et de la société (cloud computing, big data, réseaux sociaux, Internet des objets): l’autodétermination des personnes concernées à l’égard de leurs données doit être renforcée. 

D’autre part, elle a permis d’harmoniser la LPD avec les règles européennes en matière de protection des données: Il s’agit de garantir que l’UE continue à reconnaître la Suisse comme un État tiers offrant un niveau de protection des données approprié et qu’il reste possible à l’avenir de transmettre facilement des données entre la Suisse et l’UE. Faute de quoi, les entreprises suisses risqueraient d’être désavantagées par rapport à la concurrence.

Qui est concerné par la loi sur la protection des données?

La loi sur la protection des données concerne toutes les entreprises et organisations qui traitent des données personnelles en Suisse, qu’elles aient leur siège en Suisse ou à l’étranger. La loi concerne particulièrement:

  • les entreprises suisses qui traitent des données personnelles de leur clientèle, de leur personnel ou de leurs partenaires;
  • les entreprises étrangères dont le traitement des données a des répercussions sur des personnes en Suisse, p. ex. par la vente de produits ou de services ou par des mesures de surveillance.

Les entreprises à l’étranger sont en outre tenues de désigner une représentation en Suisse lorsqu’elles traitent régulièrement de grandes quantités de données personnelles ou lorsqu’il existe un risque élevé pour les personnes concernées.

Quels sont les principaux changements?

  1. Validité territoriale: depuis sa révision, la loi suisse sur la protection des données (tout comme le RGPD) se limite à la protection des données des personnes physiques, et non plus de celles des personnes morales.
  2. Champ d’application élargi: les données génétiques et biométriques sont désormais considérées comme particulièrement sensibles.
  3. Transparence accrue: les entreprises sont soumises à des obligations d’information plus étendues. Elles doivent informer de manière appropriée les personnes concernées de toute collecte de données, même lorsque celles-ci ne sont pas recueillies auprès de la personne concernée elle-même. Doivent être communiquées l’identité et les coordonnées du responsable du traitement, la finalité du traitement, les destinataires ou les catégories de destinataires ainsi que le nom de l’État destinataire en cas d’exportation de données à l’étranger.
  4. Registre des activités de traitement: les entreprises sont tenues de tenir un registre des activités de traitement contenant les indications prescrites. Par contre, l’obligation de tenir un inventaire des fichiers est supprimée. Il est toutefois recommandé de relier intelligemment les deux répertoires, en particulier lorsque la même application ou la même base de données est utilisée lors de plusieurs activités de traitement de données. Le Conseil fédéral peut prévoir des exceptions pour les entreprises qui emploient jusqu’à 250 collaborateurs.
  5. Analyse d’impact relative à la protection des données personnelles: les entreprises sont désormais tenues de réaliser une analyse d’impact relative à la protection des données lorsque le traitement des données comporte un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Cette analyse doit être documentée.
  6. Profilage: la loi suisse sur la protection des données régit également le profilage, c’est-à-dire le traitement automatisé de données pour évaluer certains aspects d’une personne, tels que sa situation économique, sa santé, ses intérêts, son comportement, sa localisation, etc. Contrairement au RGPD, la LPD ne prévoit pas d’obligation générale de requérir un consentement. 
  7. Annonce rapide au PFPDT: conformément à la LPD, les violations de la sécurité des données (c’est-à-dire la perte, l’effacement, la destruction ou la modification involontaires ou illicites de données personnelles, voire l’accès de tiers non autorisés à celles-ci) entraînant vraisemblablement un risque élevé pour la personnalité de la personne concernée doivent être annoncées au PFPDT le plus rapidement possible, ou dans un délai de 72 heures. En règle générale, le responsable doit également informer la personne concernée lorsque cela est nécessaire à sa protection ou lorsque le PFPDT l’exige.
  8. Privacy-by-Design et Privacy-by-Default (protection des données dès la conception et par défaut): ces mesures obligent les entreprises à prendre en compte les principes en matière de protection des données dès la conception du traitement et des applications et, par exemple, à ne pas obtenir le consentement des personnes concernées – pour un traitement allant au-delà du traitement absolument nécessaire – au moyen de préréglages correspondants.    

Quelle est la signification de ces abréviations?

  • La LPD est la loi suisse sur la protection des données. 
  • L’OPDo est l’ordonnance du Conseil fédéral relative à la LPD. Cette ordonnance contient des dispositions d’exécution ou de détail. 
  • Le RGPD est le Règlement général de l’UE sur la protection des données du 27 avril 2016. Il s’applique à tous les États membres de l’UE depuis le 25 mai 2018. Bien qu’il s’agisse d’un règlement européen, il est également applicable, à certaines conditions, aux entreprises suisses.
  • Le PFPDT désigne le Préposé fédéral à la protection des données et à la transparence. Il s’agit de l’autorité suisse indépendante chargée de la protection des droits de la personnalité et de la surveillance du respect de la législation sur la protection des données.

Qu’est-ce qui ne change pas?

Contrairement au RGPD, qui exige une base légale pour tout traitement de données, les modalités du traitement des données selon la loi sur la protection des données n’ont pas fondamentalement changé en Suisse. Comme jusqu’ici, le traitement des données personnelles par des entreprises privées ne requiert – contrairement au RGPD – aucun consentement ou autre motif justificatif, pour autant

  • que les principes de traitement de la transparence – en particulier l’accomplissement des devoirs d’information –, de la limitation des finalités, de la proportionnalité et de la sécurité des données soient respectés,
  • que la personne concernée ne se soit pas opposée au traitement,
  • et qu’aucune donnée personnelle sensible ne soit communiquée à des tiers.
  • Dans un bureau, un homme est assis devant un ordinateur et téléphone.
    Assurance Cyber d’AXA

    Piratage, chantage, logiciels malveillants: le nombre d’entreprises victimes de cyberattaques ne cesse de croître. L’assurance Cyber protège les entreprises contre les préjudices financiers.

    Voir l’assurance Cyber
  • Conseils juridiques pour entreprises
    Conseils juridiques pour entreprises

    Vous trouverez sur MyRight des informations actuelles sur la loi sur la protection des données. Sans oublier des conseils et des modèles ainsi qu’un générateur de certificats de travail.

    Découvrir MyRight

Quelles sont les données protégées par la loi suisse sur la protection des données?

En Suisse, la loi sur la protection des données protège toutes les données personnelles qui se rapportent à une personne physique identifiée ou identifiable, notamment:

  • les données générales telles que le nom, l’adresse, le numéro de téléphone ou l’adresse e-mail;
  • les données personnelles sensibles, notamment les données génétiques et biométriques, les données sur la santé, les opinions religieuses ou politiques ainsi que l’origine ethnique;
  • les données sur la personnalité et le comportement, par exemple sur les centres d’intérêt, les habitudes de consommation ou les lieux de résidence.
  • Les données de personnes morales qui étaient protégées avant la révision ne sont plus soumises à la loi sur la protection des données.

Prudence particulière lors de l’utilisation de l’IA

L’utilisation croissante de l’intelligence artificielle (IA) pose de nouveaux défis en matière de protection des données. Si l’intelligence artificielle offre de nombreux avantages, les entreprises et les utilisateurs doivent faire preuve de prudence afin de protéger les données sensibles et de se conformer aux exigences légales. Vous trouverez ci-après des exemples de risques potentiels et des conseils pratiques pour éviter les violations de la protection des données.

  • Le recours à l’intelligence artificielle comporte des risques pour la protection des données. Ne saisissez jamais de données sensibles ou confidentielles dans des systèmes d’IA tels que ChatGPT. Ces données pourraient être stockées sur des serveurs et utilisées pour de futurs entraînements de l’IA. De ce fait, ces informations risquent, même involontairement, de se retrouver dans des résultats publics ou d’être consultées par des tiers.
  • Les systèmes d’intelligence artificielle qui prennent des décisions automatisées, telles que l’octroi de crédits ou l’évaluation de candidats, doivent faire l’objet d’un examen particulièrement attentif. Les entreprises sont tenues de veiller à ce que ces systèmes ne prennent pas de décisions discriminatoires et à ce que les personnes concernées soient informées de l’utilisation de l’IA. Il existe en outre une obligation de documentation afin de garantir la traçabilité des décisions.
  • L’entraînement des modèles d’IA peut nécessiter le traitement d’énormes quantités de données. Les entreprises doivent s’assurer que les données utilisées sont anonymisées avant d’être saisies dans les systèmes d’IA. Dans le cas contraire, il pourrait y avoir violation des dispositions relatives à la protection des données, en particulier lorsqu’il est possible d’établir des liens avec des personnes.

À quelles sanctions s’expose-t-on en cas de violation de la loi sur la protection des données en Suisse?

En cas de violation intentionnelle des obligations d’informer, de renseigner, de collaborer ou des devoirs de diligence prévus par la LPD, les particuliers peuvent être punis d’une amende de CHF 250 000 au plus. 

En cas d’infractions commises dans une entreprise, cette dernière peut se voir infliger une amende jusqu’à CHF 50 000 lorsque l’identification des personnes responsables entraînerait des coûts disproportionnés et que l’amende encourue par ces personnes ne dépasserait pas CHF 50 000.

Il s’agit d’une différence importante par rapport au RGPD, qui inflige des amendes beaucoup plus élevées aux entreprises et non aux personnes physiques.

Quelles sont les autres conséquences possibles en cas de violation de la loi sur la protection des données?

Afin de faire appliquer la loi sur la protection des données en Suisse, le PFPDT peut, d’office ou sur dénonciation, ouvrir une enquête à l’encontre d’une entreprise et ordonner des mesures étendues, comme l’adaptation ou l’interruption du traitement des données, voire l’effacement des données. Par ailleurs, les personnes concernées ont à leur disposition des moyens de recours de droit civil leur permettant de faire valoir leurs droits.

Pour les entreprises, cela signifie toutefois qu’elles doivent se préparer davantage à des litiges juridiques, notamment en cas de violation de la protection des données ou de plaintes. À cet effet, une assurance de protection juridique pour les entreprises peut se révéler précieuse en couvrant les coûts des litiges et en donnant accès à des avocats spécialisés. 

Quelles sont les entreprises exposées à un risque particulièrement élevé d’enfreindre la loi suisse sur la protection des données?

Les entreprises qui traitent un grand nombre de données personnelles ou de données sensibles, font du profilage, exploitent des boutiques en ligne, génèrent des décisions individuelles automatisées ou transmettent des données personnelles à l’étranger (en dehors de l’UE) sont exposées à un risque particulièrement élevé.

Conseils d’experts pour les entreprises: ce qu’il faut savoir

  • Photo de Brigitte Imbach, DPO d’AXA-ARAG
    Brigitte Imbach

    Brigitte Imbach, Legal & Data Privacy Officer d’AXA-ARAG, répond aux principales questions concernant la loi suisse sur la protection des données et donne des conseils aux entreprises sur la manière de les appliquer.

Toutes les entreprises doivent-elle désormais nommer ou engager un conseiller à la protection des données?

Non. Contrairement au RGPD, la désignation d’un conseiller à la protection des données est facultative, mais présente certains avantages:

  • Le conseiller est l’interlocuteur des collaborateurs, de la clientèle (pour l’exercice des droits des personnes concernées) et des autorités pour tout ce qui touche à la protection des données. 
  • Si les coordonnées du conseiller à la protection des données sont publiées et communiquées au PFPDT, la consultation obligatoire du PFPDT n’est plus nécessaire dans le cadre d’analyses d’impact pour lesquelles le traitement prévu présente encore un risque élevé pour la personnalité des personnes concernées, en dépit des mesures prévues, si le conseiller à la protection des données est consulté en lieu et place. 

Les PME peuvent-elles développer seules un concept de protection des données? Existe-t-il des modèles?

Tout dépend si l’entreprise dispose des compétences en la matière, par exemple d’un spécialiste de la protection des données ou d’un service juridique. Si ce n’est pas le cas, nous vous conseillons vivement de faire appel à une assistance externe (en allemand). 

Quelles mesures une entreprise doit-elle prendre pour satisfaire aux nouvelles dispositions relatives à la protection des données?

  • Vérifier et adapter les déclarations de protection des données sur Internet ainsi que les clauses figurant dans les documents publicitaires et contractuels.
  • Élaborer des directives internes concernant le traitement des données ou les adapter.
  • Créer un registre des activités de traitement des données.
  • Mettre en place un processus qui garantisse le traitement en temps utile des droits des personnes concernées (p. ex. demandes de renseignement ou d’effacement de données).
  • Mettre en place un processus pour l’annonce des violations de la protection des données.
  • Mettre en place un processus pour l’analyse d’impact, notamment en cas de traitement de données sensibles à grande échelle ou de recours à de nouvelles technologies présentant un risque élevé.
  • Vérifier les contrats de sous-traitance (tiers). Il est recommandé d’y introduire un devoir d’annoncer les violations de la protection des données ainsi que le transfert du traitement à des tiers. Le responsable du traitement doit en particulier s’assurer que la sécurité des données est garantie.  
  • Veiller à ce que les données personnelles soient effacées ou anonymisées dès qu’elles ne sont plus nécessaires au regard des finalités du traitement.
  • Identifier les pays vers lesquels des données personnelles sont transmises et s’assurer que la communication ne s’effectue que vers ceux assurant un niveau de protection adéquat. Cette règle s’applique aussi à l’enregistrement dans des systèmes étrangers (Cloud). Le Conseil fédéral publie une liste des États qui assurent un niveau de protection adéquat. Pour les pays non mentionnés dans cette liste, l’exportation des données est possible à certaines conditions, parmi lesquelles figure le consentement exprès des personnes concernées. 
  • Garantir la sécurité des données par des mesures techniques et organisationnelles appropriées. En clair, il s’agit de prévenir les violations de la sécurité des données. Comme la transmission de données par e-mail n’est pas sûre, le cryptage des e-mails devrait être possible au moins en ce qui concerne les données sensibles. 
  • Garantir la portabilité des données, c’est-à-dire la remise des données sous un format électronique courant (comme dans le RGPD) lorsque les données sont traitées de manière automatisée et surtout en relation directe avec la conclusion ou l’exécution d’un contrat.
  • Nommer un conseiller ou une conseillère à la protection des données (recommandé).  La désignation d’un délégué ou d’une déléguée à la protection des données est en revanche obligatoire selon le RGPD.

Comment les entreprises peuvent-elles se prémunir contre les atteintes à la protection des données par cyberattaques?

La protection des données revêt une grande importance en Suisse, et les cyberattaques peuvent entraîner de graves violations du droit de la protection des données, par exemple en cas d’utilisation abusive de données sensibles de clients. Dans de tels cas, les entreprises doivent non seulement respecter leurs obligations légales d’annoncer, mais aussi s’attendre à des frais élevés et à des prétentions en justice.

L’assurance Cyber protège votre entreprise en prenant en charge les prétentions justifiées, en vous défendant contre les prétentions injustifiées et en limitant les préjudices financiers dus à des interruptions d’exploitation ou à la perte de données. De plus, les entreprises bénéficient d’une aide immédiate dispensée par des spécialistes en sécurité informatique qui les aident à limiter les dommages et à reconstituer les choses.

Résumé

La révision des dispositions relatives à la protection des données prescrites par la loi suisse place les entreprises face à de nouveaux défis, mais offre aussi des opportunités. Des prescriptions plus strictes en matière de transparence, de sécurité et de responsabilité nécessitent d’adapter les processus et les systèmes. Parallèlement, la loi renforce la confiance des clients et des partenaires, ce qui accroît la compétitivité à long terme. 

Les entreprises qui se penchent suffisamment tôt sur les exigences et les mettent en œuvre de manière systématique réduisent non seulement les risques juridiques, mais se positionnent également comme des acteurs fiables dans un monde de plus en plus digitalisé.

Trois ouvriers du bâtiment portant des casques de protection discutent d’un plan de construction sur une structure en treillis métallique vue du ciel.

Assurance de protection juridique pour les entreprises

Des prétentions formulées par des membres du personnel ou des clients peuvent vite se révéler coûteuses en temps et en argent et mettre vos nerfs à rude épreuve. Nous sommes à vos côtés si vous avez besoin de soutien juridique dans votre vie professionnelle.

En savoir plus sur l’assurance de protection juridique pour les entreprises

Écrit par:

Simona Audia

Simona Audia est Content Manager chez AXA. Elle recherche pour vous des sujets intéressants sur l’assurance et la prévoyance.

Articles apparentés

Sécurité et droit
Faillite d’une entreprise: que faire?
23.07.2025 Simona Audia
Sécurité et droit
Dommages de transport: responsabilité, protection et conseils
31.10.2023 Simona Audia
Sécurité et droit
Cybercriminalité : protection juridique
15.09.2023 Heike Gross