Quel texte s'applique à votre organisation ?
La nouvelle loi fédérale sur la protection des données (nLPD), en vigueur depuis le 1er septembre 2023, s'applique aux traitements de données qui déploient des effets en Suisse, même lorsqu'ils sont opérés depuis l'étranger. Le RGPD, de son côté, s'applique aux organisations établies dans l'Union européenne mais aussi, par son effet extraterritorial, aux organisations suisses qui offrent des biens ou des services à des personnes situées dans l'UE ou qui suivent leur comportement.
En pratique, dans l'économie lémanique :
- Une entreprise suisse qui cible des clients français ou européens (site marchand, prospection, application) est soumise au RGPD pour ces traitements, en plus de la nLPD.
- Une entreprise française qui traite des données de clients ou de salariés en Suisse doit tenir compte de la nLPD, en plus du RGPD.
- Un groupe transfrontalier cumule les deux référentiels et doit organiser sa gouvernance en conséquence.
Bonne nouvelle pour les échanges : la Suisse bénéficie d'une décision d'adéquation de la Commission européenne, ce qui permet les transferts de données entre l'UE et la Suisse sans garanties supplémentaires.
nLPD et RGPD : proches dans l'esprit, différents dans le détail
La nLPD a été conçue pour assurer un niveau de protection compatible avec le RGPD. Les grands principes se rejoignent : licéité, proportionnalité, transparence, sécurité, protection des données dès la conception. Les différences opérationnelles méritent toutefois une vraie attention.
| Sujet | RGPD | nLPD |
|---|---|---|
| Sanctions | Amendes administratives contre l'organisation, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. | Amendes pénales pouvant viser personnellement les personnes physiques responsables, jusqu'à 250 000 francs suisses. |
| Violation de données | Notification à l'autorité dans les 72 heures en cas de risque. | Annonce au PFPDT dans les meilleurs délais en cas de risque élevé. |
| Délégué / conseiller | DPO obligatoire dans certains cas (organismes publics, suivi à grande échelle, données sensibles à grande échelle). | Conseiller à la protection des données facultatif mais encouragé, avec un allègement pour l'analyse d'impact en cas de désignation. |
| Registre | Registre des activités de traitement obligatoire, exemption très limitée. | Registre obligatoire, avec exemption pour les entreprises de moins de 250 collaborateurs sauf traitements à risque. |
| Autorité | CNIL en France, autorités des États membres. | Préposé fédéral à la protection des données et à la transparence (PFPDT). |
Le point qui change la culture du risque. Le régime de sanctions de la nLPD vise les personnes physiques responsables, pas seulement l'organisation. Pour un dirigeant ou un responsable de traitement en Suisse, la conformité n'est pas qu'un risque financier d'entreprise : c'est un enjeu de responsabilité personnelle. Ce paramètre justifie à lui seul une gouvernance documentée.
La double conformité en pratique
Faire deux fois le travail serait absurde : les deux référentiels partagent l'essentiel de leur socle. Notre approche consiste à construire une conformité unique documentée au niveau le plus exigeant, puis à traiter les écarts spécifiques de chaque texte : mentions d'information adaptées, procédure de violation avec les deux circuits de notification, registre couvrant les deux périmètres, clauses contractuelles cohérentes avec les deux régimes.
Concrètement, nous intervenons sur :
- l'état des lieux croisé RGPD et nLPD : cartographie des traitements, qualification des rôles, identification des écarts par référentiel ;
- la mise en conformité opérationnelle : registre, mentions, procédures, contrats de sous-traitance, encadrement des transferts ;
- les missions de DPO externe côté français et l'appui au conseiller à la protection des données côté suisse ;
- la formation des équipes aux deux référentiels, en une session commune qui souligne les convergences et les écarts.
Pourquoi Soéthik pour la Suisse romande
Notre cabinet est basé à Annecy, au cœur du bassin de vie franco-genevois. Nous intervenons à Genève et en Suisse romande en présentiel, sans les coûts d'un déplacement lointain, avec la connaissance concrète des organisations transfrontalières : salariés frontaliers, clients des deux côtés, prestataires partagés. Jérôme Lesaffre, juriste de formation, exerce des missions de DPO externe et accompagne la double conformité de bout en bout, du diagnostic à la formation.
Votre organisation opère entre la France et la Suisse ?
Premier échange sans engagement, à Genève, à Annecy ou à distance.