Soéthik← Protection des données personnelles

Prestation · Suisse romande

RGPD et nLPD : la conformité des données pour les organisations de Suisse romande

Une entreprise genevoise qui vend en France, une PME française qui sert des clients suisses, un groupe présent des deux côtés de la frontière : dans le bassin lémanique, la question n'est presque jamais RGPD ou nLPD mais RGPD et nLPD. Nous accompagnons les organisations de Suisse romande et les entreprises françaises actives en Suisse dans cette double conformité, depuis Annecy, à moins d'une heure de Genève.

Interventions à Genève et en Suisse romande · Jérôme Lesaffre, juriste de formation

Quel texte s'applique à votre organisation ?

La nouvelle loi fédérale sur la protection des données (nLPD), en vigueur depuis le 1er septembre 2023, s'applique aux traitements de données qui déploient des effets en Suisse, même lorsqu'ils sont opérés depuis l'étranger. Le RGPD, de son côté, s'applique aux organisations établies dans l'Union européenne mais aussi, par son effet extraterritorial, aux organisations suisses qui offrent des biens ou des services à des personnes situées dans l'UE ou qui suivent leur comportement.

En pratique, dans l'économie lémanique :

Bonne nouvelle pour les échanges : la Suisse bénéficie d'une décision d'adéquation de la Commission européenne, ce qui permet les transferts de données entre l'UE et la Suisse sans garanties supplémentaires.

nLPD et RGPD : proches dans l'esprit, différents dans le détail

La nLPD a été conçue pour assurer un niveau de protection compatible avec le RGPD. Les grands principes se rejoignent : licéité, proportionnalité, transparence, sécurité, protection des données dès la conception. Les différences opérationnelles méritent toutefois une vraie attention.

SujetRGPDnLPD
SanctionsAmendes administratives contre l'organisation, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.Amendes pénales pouvant viser personnellement les personnes physiques responsables, jusqu'à 250 000 francs suisses.
Violation de donnéesNotification à l'autorité dans les 72 heures en cas de risque.Annonce au PFPDT dans les meilleurs délais en cas de risque élevé.
Délégué / conseillerDPO obligatoire dans certains cas (organismes publics, suivi à grande échelle, données sensibles à grande échelle).Conseiller à la protection des données facultatif mais encouragé, avec un allègement pour l'analyse d'impact en cas de désignation.
RegistreRegistre des activités de traitement obligatoire, exemption très limitée.Registre obligatoire, avec exemption pour les entreprises de moins de 250 collaborateurs sauf traitements à risque.
AutoritéCNIL en France, autorités des États membres.Préposé fédéral à la protection des données et à la transparence (PFPDT).

Le point qui change la culture du risque. Le régime de sanctions de la nLPD vise les personnes physiques responsables, pas seulement l'organisation. Pour un dirigeant ou un responsable de traitement en Suisse, la conformité n'est pas qu'un risque financier d'entreprise : c'est un enjeu de responsabilité personnelle. Ce paramètre justifie à lui seul une gouvernance documentée.

La double conformité en pratique

Faire deux fois le travail serait absurde : les deux référentiels partagent l'essentiel de leur socle. Notre approche consiste à construire une conformité unique documentée au niveau le plus exigeant, puis à traiter les écarts spécifiques de chaque texte : mentions d'information adaptées, procédure de violation avec les deux circuits de notification, registre couvrant les deux périmètres, clauses contractuelles cohérentes avec les deux régimes.

Concrètement, nous intervenons sur :

Pourquoi Soéthik pour la Suisse romande

Notre cabinet est basé à Annecy, au cœur du bassin de vie franco-genevois. Nous intervenons à Genève et en Suisse romande en présentiel, sans les coûts d'un déplacement lointain, avec la connaissance concrète des organisations transfrontalières : salariés frontaliers, clients des deux côtés, prestataires partagés. Jérôme Lesaffre, juriste de formation, exerce des missions de DPO externe et accompagne la double conformité de bout en bout, du diagnostic à la formation.

Votre organisation opère entre la France et la Suisse ?

Premier échange sans engagement, à Genève, à Annecy ou à distance.

À voir aussi : Prestations RGPD · DPO externe · Audit RGPD · Formations