Conformité à la nLPD pour les formulaires en ligne
Un guide pratique sur la nouvelle loi suisse sur la protection des données (nLPD) pour les entreprises qui collectent des données via des formulaires en ligne. Obligations clés, sanctions et checklist de conformité.
Le 1er septembre 2023, la loi fédérale suisse révisée sur la protection des données — connue sous le nom de nLPD — est entrée en vigueur. Cette loi modernise les règles suisses de protection des données, aligne de nombreux concepts sur le RGPD européen et relève considérablement les exigences pour toute organisation qui collecte des données personnelles de résidents suisses.
Les formulaires en ligne sont au cœur de ce changement. Que vous dirigiez un cabinet dentaire qui recueille des antécédents médicaux, un cabinet d'avocats qui gère l'admission de clients ou une boutique en ligne avec un formulaire de contact, la nLPD s'applique à vous. Ce guide explique ce que la loi exige, ce qui a changé et comment rendre vos formulaires conformes en pratique.
À qui s'adresse ce guide
Toute entreprise suisse, association ou organisme public qui collecte des données personnelles via des formulaires en ligne — ainsi que toute organisation étrangère qui propose des services à des personnes en Suisse. Si vous traitez des données de personnes physiquement situées en Suisse, la nLPD s'applique à vous même si votre société n'y est pas établie.
Ce qu'est la nLPD — et ce qui a changé
La nLPD est une révision complète de la loi suisse sur la protection des données de 1992. Elle a été adoptée par le Parlement en septembre 2020 et est entrée en vigueur le 1er septembre 2023 sans période transitoire supplémentaire. Depuis cette date, la conformité est obligatoire.
La révision poursuit deux objectifs : moderniser la loi à l'ère du numérique et maintenir l'adéquation du régime suisse de protection des données aux yeux de la Commission européenne — un point crucial pour la libre circulation des données entre la Suisse et l'UE.
Principaux changements en un coup d'œil
- La protection est désormais limitée aux données personnelles des personnes physiques — les données des personnes morales ne sont plus couvertes
- Les "données personnelles sensibles" incluent désormais les données génétiques et biométriques qui identifient de manière unique une personne
- La protection dès la conception et par défaut sont des obligations légales explicites
- Les analyses d'impact relatives à la protection des données (AIPD) sont obligatoires pour les traitements à haut risque
- La notification au Préposé fédéral à la protection des données et à la transparence (PFPDT) est requise "dans les meilleurs délais" en cas de violation susceptible d'entraîner un risque élevé
- Les responsables doivent tenir un registre des activités de traitement (les PME de moins de 250 employés avec un traitement à faible risque sont exemptées)
- Les personnes concernées bénéficient de droits renforcés à l'information, à l'accès et à la portabilité des données
- Des sanctions pénales jusqu'à CHF 250 000 peuvent être prononcées contre les personnes responsables — pas seulement contre les entreprises
Pourquoi les formulaires en ligne sont un point de vigilance
Les formulaires sont le point d'entrée le plus courant des données personnelles dans toute organisation. Ils sont aussi, dans la plupart des cas, les moins examinés. Une entreprise typique peut avoir des dizaines de formulaires éparpillés sur des sites Web, portails clients et intranets — chacun accumulant discrètement des noms, coordonnées, informations de santé, données financières ou autres catégories protégées.
Sous la nLPD, chacun de ces formulaires doit satisfaire à l'ensemble des obligations légales : base légitime, information claire et complète de la personne concernée, proportionnalité des données demandées, sécurité appropriée et durée de conservation définie. Le PFPDT a indiqué que les formulaires en ligne seront un point de contrôle pratique parce qu'ils sont visibles, testables et échouent souvent aux exigences de base.
Un écart de conformité fréquent
De nombreuses organisations suisses collectent encore des données sensibles (santé, finance, juridique) via des formulaires par e-mail en texte clair ou des outils qui stockent les soumissions non chiffrées sur des serveurs étrangers. Ces deux pratiques sont difficiles à défendre sous la nLPD et peuvent déclencher un risque disproportionné en cas de violation.
Sept obligations clés pour les formulaires en ligne
1. Base légale et limitation des finalités
Chaque formulaire doit collecter des données pour une finalité spécifique et identifiable. Vous ne pouvez pas collecter des informations "au cas où" ni les réutiliser pour une finalité que le répondant n'a pas anticipée. Le principe de proportionnalité exige que seules les données strictement nécessaires à la finalité annoncée soient demandées.
2. Devoir d'information
L'article 19 nLPD étend le devoir d'information. Au moment de la collecte, la personne concernée doit être informée de l'identité et des coordonnées du responsable, de la finalité du traitement, des catégories de destinataires (y compris les sous-traitants) et des pays vers lesquels les données peuvent être transférées. Cette information doit être accessible directement depuis le formulaire — un lien vers la politique de confidentialité est la pratique courante.
3. Consentement — uniquement là où il est requis
Le consentement n'est pas toujours requis, mais lorsqu'il l'est (par exemple pour les données sensibles ou le profilage à haut risque), il doit être explicite, spécifique, éclairé et donné librement. Les cases pré-cochées, les cases enfouies ou les clauses "en soumettant ce formulaire vous acceptez tout" ne sont pas conformes.
4. Sécurité des données
L'article 8 nLPD oblige les responsables et les sous-traitants à garantir un niveau de sécurité adapté au risque. L'ordonnance associée (OPDo) et les guides du PFPDT mentionnent explicitement le chiffrement, la pseudonymisation, les contrôles d'accès et les tests réguliers. Pour les formulaires qui collectent des données sensibles, le chiffrement de bout en bout devient rapidement le standard attendu.
5. Minimisation et conservation
Ne collectez que ce dont vous avez besoin, ne conservez que le temps nécessaire, puis supprimez ou anonymisez. Votre outil de formulaire doit vous permettre de définir des politiques de conservation et de supprimer les soumissions lorsqu'elles ne sont plus nécessaires à la finalité initiale.
6. Droits des personnes concernées
Les répondants ont le droit de savoir quelles données vous détenez à leur sujet, d'en demander une copie (portabilité), de corriger les inexactitudes et, dans bien des cas, d'exiger la suppression. Vos processus et votre outil de formulaire doivent vous permettre de répondre à ces demandes dans les 30 jours.
7. Transferts transfrontaliers
Transférer des données personnelles vers un pays dépourvu d'un niveau adéquat de protection — ce qui, en droit suisse, inclut dans beaucoup de cas les États-Unis — nécessite des garanties spécifiques : clauses contractuelles types, règles d'entreprise contraignantes ou consentement explicite. Pour de nombreuses organisations, la réponse la plus simple est d'héberger les données de formulaire en Suisse ou dans l'UE.
Sanctions — Pourquoi ce n'est pas une "RGPD allégée"
Une idée reçue répandue est que la nLPD est une version édulcorée du RGPD. Sur un point crucial, elle est sans doute plus stricte : les sanctions pénales peuvent viser directement les personnes responsables, pas seulement l'entreprise.
| Infraction | Sanction maximale |
|---|---|
| Violation intentionnelle du devoir d'information (art. 60) | CHF 250 000 — à la charge de la personne responsable |
| Violation intentionnelle du devoir de sécurité (art. 61) | CHF 250 000 — à la charge de la personne responsable |
| Non-respect intentionnel d'une décision du PFPDT (art. 63) | CHF 250 000 |
| Amende d'entreprise si l'identification individuelle est disproportionnée | Jusqu'à CHF 50 000 contre l'entreprise |
Contrairement au RGPD, où les amendes sont administratives et infligées aux organisations, celles de la nLPD sont pénales et peuvent viser administrateurs, délégués à la protection des données ou autres personnes physiques qui commettent l'infraction. La responsabilité personnelle devient un facteur très concret.
Comment Schweizerform vous aide à être conforme
Schweizerform a été conçu dès le départ dans le contexte de la nLPD. La plateforme prend en charge par défaut de nombreuses obligations techniques, afin que votre travail de conformité porte sur les politiques et les processus — et non sur la correction d'un outil conçu pour un autre climat réglementaire.
Chiffrement de bout en bout par défaut
Chaque soumission est chiffrée dans le navigateur du répondant avant de quitter son appareil. Schweizerform ne peut physiquement pas lire le contenu — ce qui répond directement aux obligations de sécurité de l'article 8 et réduit considérablement l'évaluation du risque en cas de violation.
Hébergement suisse
Les données de formulaire chiffrées sont stockées dans des centres de données suisses. Aucun transfert transfrontalier, aucune dépendance à des arguments d'adéquation de cloud étranger, aucune exposition au CLOUD Act américain pour les données de vos répondants.
Conservation et suppression structurées
Les formulaires peuvent être clôturés, dépubliés et les soumissions individuelles supprimées. Comme la plateforme ne détient aucune clé de déchiffrement, la suppression est cryptographiquement définitive — il n'existe aucune copie de sauvegarde lisible.
Transparence pour les répondants intégrée
Les formulaires comportent une section confidentialité visible, et l'architecture chiffrée offre aux répondants une réponse claire et vérifiable à la question « qu'advient-il de mes données ? » — un signal de confiance puissant qui simplifie votre devoir d'information de l'article 19.
Piste d'audit et journaux d'accès
Les actions d'administration et les accès aux soumissions sont journalisés, vous fournissant la documentation nécessaire pour démontrer les mesures organisationnelles exigées par l'article 8.
Votre checklist de conformité nLPD pour les formulaires
Utilisez la checklist suivante comme point de départ. Chaque élément correspond à une obligation centrale discutée plus haut.
- Chaque formulaire a une finalité documentée et ne collecte que les données strictement nécessaires à cette finalité
- Une notice de confidentialité est liée directement depuis chaque formulaire — avec responsable, finalités, destinataires et pays de transfert
- Lorsque le consentement est requis, il est obtenu via une case explicite, clairement libellée, non pré-cochée
- Les données sensibles ne sont jamais transmises ni stockées en clair — le chiffrement de bout en bout est utilisé
- Les soumissions sont hébergées en Suisse ou dans un pays offrant une protection adéquate
- Une durée de conservation est définie pour chaque formulaire et appliquée en pratique
- Un processus documenté existe pour répondre aux demandes d'accès, de correction et de suppression dans les 30 jours
- Un processus de gestion des violations existe et désigne la personne responsable de la notification au PFPDT
- Le registre des activités de traitement liste chaque formulaire et les données collectées (si requis)
- Les formulaires à haut risque ont fait l'objet d'une analyse d'impact relative à la protection des données
L'essentiel
La nLPD n'est pas une préoccupation future — elle est en vigueur depuis septembre 2023. Pour la plupart des organisations suisses, le chemin le plus rapide et le plus durable vers la conformité consiste à combiner de bons processus internes avec une plateforme de formulaires conforme dès la conception.
Si votre outil actuel stocke les soumissions en texte clair, se trouve dans une juridiction non adéquate ou ne vous donne aucun contrôle réel sur la conservation, vous portez un risque de conformité facile à éliminer. L'hébergement suisse et le chiffrement à connaissance nulle ne sont plus des fonctionnalités premium — ils correspondent à ce que la loi attend.
Prêt à aligner vos formulaires sur la nLPD ?
Schweizerform combine chiffrement de bout en bout à connaissance nulle, hébergement suisse et conservation structurée — vous offrant une base technique solide sur chaque plan, y compris le plan gratuit.
Cet article est une information générale et non un conseil juridique. Pour des situations spécifiques — en particulier celles impliquant des données sensibles ou un traitement à grande échelle — consultez un spécialiste suisse qualifié en protection des données.