nLPD vs RGPD : dispositions clés comparées
Le guide de référence comparant la nLPD suisse et le RGPD de l'UE : champ d'application, base légale, données sensibles, notification de violation, décisions automatisées et IA, sanctions et qui les paie — avec sources officielles. Information générale, pas un conseil juridique.
Si vous dirigez une entreprise en Suisse, vous vivez presque certainement sous deux lois sur la protection des données à la fois. La Loi fédérale révisée sur la protection des données — la nLPD — régit votre traitement sur le territoire national. Le Règlement général sur la protection des données de l'UE — le RGPD — vous atteint dès que vous proposez des biens ou services à des personnes dans l'Union européenne ou que vous surveillez leur comportement. Pour la plupart des organisations suisses ayant une clientèle UE même modeste, la question pratique n'est jamais « laquelle s'applique ? », mais « où convergent-elles, et où dois-je concevoir pour la plus stricte des deux ? ».
Ce guide est la réponse en vis-à-vis. Il explique ce qu'est chaque loi, qui doit s'y conformer, puis présente les dispositions clés dans un grand tableau comparatif — entrée en vigueur, champ d'application, base légale, données sensibles, consentement, devoirs d'information, registres, conseiller à la protection des données, analyse d'impact, notification de violation, décisions automatisées, droits des personnes, exports, représentation et sanctions. Ensuite, nous approfondissons les quelques points de divergence réelle, avec une section dédiée aux décisions automatisées et à l'IA, et nous nommons les sources officielles à lire vous-même.
Information générale, pas un conseil juridique
Cet article résume la nLPD et le RGPD à un niveau conceptuel pour vous orienter. C'est du contenu marketing, pas un conseil juridique, et il ne peut tenir compte de votre situation précise, des règles sectorielles ou des dernières directives. Avant toute décision de conformité ou d'achat, consultez des conseils qualifiés en protection des données suisse et européenne et lisez les textes officiels nommés à la fin.
À qui s'adresse cet article
Fondateurs, product owners, DPO et responsables juridiques d'organisations suisses et européennes qui ont besoin d'une carte claire et exacte de la manière dont la nLPD et le RGPD s'alignent — en particulier toute personne qui choisit comment collecter des données personnelles via des formulaires en ligne.
Ce qu'est la nLPD
La nLPD est la version entièrement révisée de la Loi fédérale suisse sur la protection des données. Adoptée par le Parlement en septembre 2020, elle est entrée en vigueur le 1er septembre 2023, sans période transitoire ensuite. Elle a remplacé l'ancienne loi de 1992, antérieure au smartphone, au cloud et au profilage moderne.
La Suisse a révisé la loi pour deux raisons liées. D'abord, pour mettre en œuvre la Convention 108+ modernisée du Conseil de l'Europe, le traité international sur le traitement automatisé des données. Ensuite, tout aussi important sur le plan commercial, pour préserver la décision d'adéquation de l'UE : la reconnaissance par la Commission européenne que le droit suisse offre un niveau de protection essentiellement équivalent au RGPD, ce qui permet aux données de circuler de l'UE vers la Suisse sans garanties supplémentaires. La nLPD a été délibérément rédigée au plus près du RGPD pour que l'adéquation survive à la modernisation de l'UE.
- Élargissement de la définition des données sensibles aux données génétiques et aux données biométriques identifiant une personne de manière univoque
- Introduction de la protection des données dès la conception et par défaut comme devoirs légaux
- Devoir de tenir un registre des activités de traitement et de mener une analyse d'impact en cas de risque élevé
- Devoir de notifier les violations de la sécurité des données au Préposé fédéral à la protection des données et à la transparence (PFPDT)
- Transparence renforcée, dont un devoir spécifique d'informer sur les décisions individuelles automatisées
- Amendes pénales pour certaines violations intentionnelles, visant les personnes physiques responsables
Le résultat est une loi familière à quiconque connaît le RGPD, mais qui conserve un caractère nettement suisse — surtout dans son traitement de la base légale et dans la manière de sanctionner les violations.
Ce qu'est le RGPD
Le RGPD — Règlement (UE) 2016/679 — est le règlement complet de l'Union européenne sur la protection des données. Adopté en 2016, il s'applique directement dans tous les États membres de l'UE et de l'EEE depuis le 25 mai 2018. En tant que règlement et non directive, il s'applique sans que chaque pays doive adopter une loi de transposition, même si les États membres conservent une marge limitée sur certains points, comme l'âge du consentement des enfants.
Le RGPD repose sur un catalogue de principes (licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de conservation, intégrité et confidentialité, responsabilité) et une liste fermée de bases légales. Il accorde aux personnes concernées des droits étendus, impose des obligations détaillées aux responsables et sous-traitants, et est appliqué par des autorités de contrôle indépendantes dans chaque État membre, coordonnées via le Comité européen de la protection des données (CEPD). C'est la référence à l'aune de laquelle la plupart des lois modernes, dont la nLPD, sont mesurées.
Qui doit se conformer à quelle loi
Les deux lois ont une portée territoriale qui se chevauche mais reste distincte, ce qui explique pourquoi tant d'organisations relèvent des deux.
Champ d'application territorial de la nLPD
La nLPD s'applique aux personnes privées et aux organes fédéraux dont le traitement produit des effets en Suisse — même si le traitement a lieu à l'étranger. En pratique : si vous êtes établi en Suisse, ou si vous traitez les données de personnes en Suisse d'une manière qui y produit un effet, vous entrez dans son champ. Une boutique en ligne étrangère livrant des clients suisses peut relever de la nLPD au même titre qu'une entreprise nationale.
Champ d'application territorial du RGPD
Le RGPD s'applique au traitement par un établissement dans l'UE quel que soit le lieu du traitement, et — via son article 3(2) extraterritorial — aux organisations hors UE qui proposent des biens ou services à des personnes dans l'UE ou surveillent leur comportement. Une entreprise suisse dont le site prend des commandes en euros, livre en Allemagne ou analyse des visiteurs de l'UE est clairement dans le champ du RGPD.
La réalité du double régime
Une clinique suisse recevant des inscriptions de patients allemands, une société SaaS zurichoise avec des clients espagnols, un cabinet genevois servant des clients dans toute l'UE — chacun est soumis simultanément à la nLPD et au RGPD. L'adéquation permet la libre circulation des données entre la Suisse et l'UE, mais ne fusionne pas les deux lois. Vous devez toujours satisfaire les deux.
nLPD vs RGPD : les dispositions clés en vis-à-vis
Le tableau ci-dessous est la pièce maîtresse de ce guide : les dispositions clés des deux lois réunies. Là où une ligne indique une convergence, un seul contrôle bien conçu satisfait généralement les deux régimes. Là où elle diverge, concevez pour l'exigence la plus stricte et documentez la différence.
| Disposition | nLPD suisse | RGPD UE |
|---|---|---|
| Entrée en vigueur | 1er septembre 2023 (loi révisée ; précédente de 1992) | 25 mai 2018 (adopté en 2016) |
| Forme juridique | Loi fédérale (Fedlex RS 235.1) plus l'ordonnance sur la protection des données | Règlement de l'UE directement applicable (2016/679) |
| Champ territorial | Traitement produisant des effets en Suisse, même depuis l'étranger | Établissements de l'UE, plus organismes hors UE ciblant ou surveillant des personnes dans l'UE (art. 3) |
| Base légale pour traiter | Pas de catalogue général de bases légales ; le traitement privé est licite sauf atteinte illicite à la personnalité | Le traitement requiert l'une des six bases de l'art. 6 (consentement, contrat, obligation légale, intérêts vitaux, mission publique, intérêts légitimes) |
| Catégories de données sensibles | Art. 5 : santé, opinions religieuses/politiques/philosophiques/syndicales, sphère intime, race/ethnie, données génétiques, données biométriques identifiant de manière univoque, plus données sur poursuites administratives/pénales et aide sociale | Art. 9 : catégories particulières dont santé, origine raciale/ethnique, convictions politiques/religieuses/philosophiques, appartenance syndicale, données génétiques, données biométriques d'identification unique, vie/orientation sexuelle |
| Consentement | Requis dans des cas précis (données sensibles, profilage à risque élevé, certains transferts) ; doit être libre et éclairé | Une base parmi plusieurs ; lorsqu'utilisé, libre, spécifique, éclairé, univoque et aussi facile à retirer qu'à donner |
| Devoirs d'information | Art. 19 : informer lors de la collecte (identité du responsable, finalité, destinataires, pays de transfert) | Art. 13–14 : transparence détaillée incl. base légale, durées de conservation, droits et contact du DPO |
| Registre des traitements | Art. 12 : requis, mais les entreprises de moins de 250 employés au traitement à faible risque sont exemptées | Art. 30 : requis, avec une exemption similaire pour les petites organisations à faible risque |
| DPO / conseiller | Désigner un conseiller à la protection des données est facultatif pour le secteur privé (avec avantages procéduraux) | DPO obligatoire dans des cas définis (suivi à grande échelle ou traitement à grande échelle de catégories particulières ; autorités publiques) |
| Analyse d'impact | Art. 22 (AIPD) : requise si le traitement entraîne probablement un risque élevé pour la personnalité ou les droits fondamentaux | Art. 35 (AIPD) : requise pour un traitement susceptible d'engendrer un risque élevé pour les personnes |
| Protection dès la conception / par défaut | Requise (art. 7) | Requise (art. 25) |
| Notification de violation | Notifier le PFPDT « dans les meilleurs délais », uniquement pour les violations susceptibles d'entraîner un risque élevé ; informer les personnes si nécessaire à leur protection | Notifier l'autorité de contrôle sans retard injustifié, si possible dans les 72 heures ; informer les personnes en cas de risque élevé pour leurs droits et libertés |
| Décision individuelle automatisée | Art. 21 : devoir d'informer la personne d'une décision fondée exclusivement sur un traitement automatisé ayant un effet juridique/significatif ; droit d'exprimer son point de vue et de demander un réexamen humain | Art. 22 : droit de ne pas faire l'objet d'une décision exclusivement automatisée à effet juridique/significatif, avec exceptions et garanties (dont intervention humaine) |
| Droits des personnes | Accès, rectification, opposition, effacement/destruction (via protection de la personnalité), portabilité, remèdes proches de la limitation | Accès, rectification, effacement, limitation, portabilité, opposition et droits liés aux décisions automatisées |
| Transferts internationaux | Vers des pays à protection adéquate (liste du Conseil fédéral) ; sinon garanties telles que clauses contractuelles types | Sous décision d'adéquation ou garanties appropriées (CCT, BCR) selon le chapitre V |
| Exigence de représentant | Certains responsables privés étrangers traitant des données en Suisse doivent désigner un représentant suisse | Art. 27 : de nombreux responsables/sous-traitants hors UE doivent désigner un représentant dans l'UE |
| Sanctions — montant | Amendes à caractère pénal jusqu'à CHF 250'000 | Amendes administratives jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu |
| Sanctions — qui paie | Frappent la personne privée responsable (caractère pénal) ; l'entreprise n'est responsable que subsidiairement jusqu'à CHF 50'000 dans des cas définis | Frappent l'entreprise (le responsable ou le sous-traitant en tant qu'organisation) |
Lu de haut en bas, le schéma est clair : les deux lois convergent bien plus qu'elles ne divergent. L'adéquation n'est pas un hasard — c'est le produit d'un alignement délibéré. L'intérêt se concentre sur les lignes où elles se séparent, et celles-ci méritent un examen plus attentif.
Là où les lois divergent vraiment
Philosophie de la base légale
C'est la différence structurelle la plus profonde. Le RGPD est un système fondé sur la permission : vous ne pouvez pas traiter de données personnelles sans pouvoir invoquer l'une des six bases de l'article 6, et vous devez pouvoir la nommer. La nLPD adopte le défaut inverse pour le traitement privé. Il n'existe pas de catalogue général de bases légales ; le traitement de données personnelles est licite en principe et ne devient illicite qu'en cas d'atteinte injustifiée à la personnalité de la personne concernée — par exemple en ignorant une opposition, en traitant contre sa volonté expresse, ou en communiquant des données sensibles à des tiers sans justification. Le consentement, l'intérêt prépondérant ou la loi agissent alors comme des motifs justificatifs qui guérissent un traitement autrement illicite, et non comme des préconditions à établir au préalable.
En pratique, une organisation qui documente déjà une base légale RGPD pour chaque traitement franchit aisément le seuil de la nLPD. L'inverse n'est pas sûr : ne bâtir que sur le modèle suisse puis supposer que la clientèle UE est couverte laisse des lacunes partout où le RGPD exige une base affirmative jamais consignée.
Sanctions sur les personnes versus les entreprises
Les chiffres phares pointent dans des directions opposées, tout comme la cible. Les amendes RGPD sont élevées et administratives : jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires mondial, infligées à l'entreprise par une autorité de contrôle. Les amendes de la nLPD sont plus faibles en valeur absolue — jusqu'à CHF 250'000 — mais de caractère pénal et, surtout, frappent la personne physique responsable, non l'entreprise. Dirigeants, responsables vie privée et autres individus peuvent être personnellement sanctionnés pour certaines violations intentionnelles, comme donner sciemment de fausses informations dans une note de confidentialité ou violer le secret professionnel. L'entreprise elle-même n'est responsable que subsidiairement, jusqu'à CHF 50'000, dans des cas définis où identifier la personne responsable exigerait un effort disproportionné.
L'exposition personnelle, la spécificité suisse
Ne lisez pas le montant CHF plus bas comme « la nLPD est plus douce ». Une amende à caractère pénal pouvant frapper un dirigeant nommément change les incitations d'une manière qu'une amende administrative sur une personne morale ne fait pas. Les deux systèmes punissent très différemment.
Seuils et délais de notification
Les deux lois imposent de notifier les violations de la sécurité des données, mais le déclencheur et l'horloge diffèrent. Sous le RGPD, vous notifiez l'autorité de contrôle sans retard injustifié et, si possible, dans les 72 heures suivant la prise de connaissance de toute violation présentant un risque pour les personnes ; vous informez les personnes lorsque le risque pour leurs droits et libertés est élevé. Sous la nLPD, vous notifiez le PFPDT « dans les meilleurs délais », mais uniquement pour les violations susceptibles d'entraîner un risque élevé pour les personnes concernées — un seuil plus haut que le déclencheur de notification à l'autorité du RGPD. La réponse pragmatique pour une entreprise à double régime est un seul playbook de 72 heures calé sur le timing RGPD plus strict, puis l'application du seuil de chaque loi pour décider qui est réellement notifié.
Listes de données sensibles
Les deux catalogues sont proches mais non identiques. La modernisation de la nLPD a explicitement ajouté les données génétiques et les données biométriques identifiant une personne de manière univoque, l'alignant sur l'article 9 du RGPD. Mais la liste de la nLPD inclut aussi expressément les données sur les poursuites et sanctions administratives ou pénales et les données sur les mesures d'aide sociale — catégories que le RGPD traite par des règles distinctes plutôt que par sa liste centrale. Un formulaire qui demande casier judiciaire, procédures en cours ou antécédents d'aide sociale peut déclencher un traitement sensible sous la nLPD là où l'article 9 du RGPD, à formulation égale, ne le ferait pas.
Décisions automatisées et IA sous la nLPD et le RGPD
À mesure que davantage de données de formulaire alimentent des modèles de scoring, des moteurs d'éligibilité et des systèmes d'IA, les dispositions sur les décisions automatisées sont passées d'un sujet de niche à une préoccupation de première ligne. Ici, les deux lois partagent un objectif — garder l'humain réellement dans la boucle — mais l'atteignent par des mécaniques différentes.
RGPD art. 22 : un droit de ne pas faire l'objet d'une décision automatisée
Le RGPD pose une interdiction assortie d'exceptions. Selon l'article 22, la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé — y compris le profilage — produisant des effets juridiques ou l'affectant de manière significative. De telles décisions ne sont permises que si elles sont nécessaires à un contrat, autorisées par la loi ou fondées sur un consentement explicite, et, même alors, le responsable doit prévoir des garanties, dont le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision. Le traitement de catégories particulières dans ces décisions est encore plus restreint.
nLPD art. 21 : un devoir d'informer sur les décisions automatisées
La nLPD aborde le même problème comme un devoir de transparence et de réexamen plutôt que comme une interdiction. Selon l'article 21, lorsque le responsable prend une décision fondée exclusivement sur un traitement automatisé ayant un effet juridique pour la personne concernée ou l'affectant de manière significative, il doit l'en informer. La personne peut alors demander à exprimer son point de vue et à faire réexaminer la décision par une personne physique. Il existe des exceptions — par exemple lorsque la décision est en lien direct avec la conclusion ou l'exécution d'un contrat et que la demande est satisfaite, ou en cas de consentement. La destination ressemble à celle du RGPD : un humain doit être joignable derrière la machine. Le cadrage diffère : la nLPD part de « vous devez informer », le RGPD de « elles ont le droit de refuser ».
Ce que cela signifie pour la collecte à l'ère de l'IA
Si votre formulaire en ligne alimente un modèle qui décide quelque chose de conséquent — crédit, tarification d'assurance, signalements de fraude, éligibilité, présélection — les deux lois s'appliquent. Divulguez la décision automatisée dans la note du formulaire, rendez un réexamen humain réellement joignable et évaluez le risque avant le lancement (une AIPD peut être requise). L'IA n'est pas exemptée parce que l'entrée provient d'un simple formulaire web ; le formulaire est précisément où l'obligation commence.
Sources officielles
Une comparaison ne vaut que par les textes qui la sous-tendent. Voici les sources faisant autorité à lire directement — nous les nommons dans le texte pour que vous cherchiez vous-même les versions en vigueur plutôt que de vous fier à un résumé secondaire, y compris celui-ci.
- La nLPD elle-même : la Loi fédérale suisse sur la protection des données, publiée dans le recueil fédéral Fedlex sous le numéro RS 235.1, avec l'ordonnance sur la protection des données (RS 235.11)
- Directives du régulateur suisse : le Préposé fédéral à la protection des données et à la transparence (PFPDT), qui publie guides et explications sur la nLPD
- Le RGPD lui-même : le Règlement (UE) 2016/679, disponible dans toutes les langues de l'UE via EUR-Lex, la base de données juridique officielle de l'UE
- Directives du régulateur UE : le Comité européen de la protection des données (CEPD), qui émet lignes directrices, recommandations et avis sur l'application du RGPD, aux côtés des autorités de contrôle nationales
- La base de l'adéquation : la décision d'adéquation de la Commission européenne reconnaissant la Suisse et la Convention 108+ modernisée du Conseil de l'Europe, qui sous-tend la révision suisse
Les textes légaux et directives évoluent. Vérifiez toujours la version en vigueur à la source officielle nommée ci-dessus avant de vous fier à une disposition précise.
Ce que cela signifie pour votre collecte et vos formulaires
Les formulaires en ligne sont le point où la plupart des organisations touchent pour la première fois des données personnelles, ce qui en fait l'endroit naturel pour opérationnaliser tout ce qui précède. Le double régime n'exige pas deux piles de conformité parallèles ; il exige de concevoir chaque formulaire selon la règle applicable la plus stricte et de documenter les différences. Voici une séquence pratique.
Classer les données de chaque formulaire
Lister les champs. Signaler tout ce qui est sensible au titre de l'art. 9 RGPD ou de l'art. 5 nLPD — et se souvenir des catégories supplémentaires de la nLPD (poursuites pénales, antécédents d'aide sociale) que la liste du RGPD traite autrement.
Cartographier la ou les lois applicables
Les répondants sont-ils en Suisse, dans l'UE, ou les deux ? Si les deux, RGPD et nLPD s'appliquent en parallèle. Noter où une base légale affirmative RGPD est nécessaire alors que la nLPD n'en exigerait pas.
Minimiser ce que vous demandez
La minimisation est un principe des deux régimes. Chaque champ supprimé ne peut fuiter, ne peut être réquisitionné et n'a jamais à être justifié. Ne collectez que ce que la finalité requiert vraiment.
Sécuriser ce que vous collectez
Appliquer une sécurité adaptée au risque (art. 8 nLPD, art. 32 RGPD). Pour les soumissions sensibles, le chiffrement de bout en bout devient de plus en plus la base attendue, pas un luxe.
Tout documenter
Tenir des registres si requis, rédiger une note de confidentialité satisfaisant l'art. 19 nLPD et les art. 13–14 RGPD, divulguer toute décision automatisée et mener une AIPD lorsque le traitement est à risque élevé.
Comment le chiffrement change votre exposition sous les deux lois
Un contrôle technique améliore discrètement votre position sous les deux régimes à la fois : le chiffrement de bout en bout à connaissance nulle des soumissions. Lorsque les données sont chiffrées dans le navigateur du répondant et que la plateforme ne stocke jamais que du chiffré, l'exploitant ne peut pas les lire — et ce fait remodèle plusieurs des obligations ci-dessus.
- La gravité d'une violation baisse. Si les données exposées sont rendues inintelligibles par un chiffrement fort et que les clés ne sont pas compromises, une violation est bien moins susceptible de créer le « risque élevé » qui déclenche la notification individuelle — le RGPD le reconnaît explicitement à l'art. 34, et un chiffrement fort réduit aussi matériellement le risque dans l'appréciation de la nLPD
- L'analyse des transferts se simplifie. Si ce qui quitte la juridiction est du chiffré que le fournisseur ne peut déchiffrer, la question des mesures supplémentaires qui domine les évaluations de transfert devient bien plus facile à trancher
- La surface du sous-traitant rétrécit. Un fournisseur qui ne peut lire les soumissions ne détient aucun texte en clair à produire sur réquisition et n'expose aucun contenu lisible aux insiders
Schweizerform est bâti précisément autour de cette architecture. Chaque soumission, pièces jointes comprises, est chiffrée dans le navigateur du répondant avec AES-256-GCM ; la clé propre à chaque soumission est enveloppée avec la clé publique RSA-OAEP-2048 du formulaire, et la chaîne de clés est protégée par le code d'accès du propriétaire via PBKDF2. Les serveurs ne stockent que du chiffré, hébergé exclusivement en Suisse sur l'infrastructure Infomaniak — serveurs applicatifs, base de données, stockage objet et e-mail — sans fournisseur américain ou européen dans le chemin des données et sans traceurs tiers sur la page du formulaire. L'exploitant ne peut pas lire les soumissions, même sous contrainte légale.
Ce guide compare les deux régimes au niveau de la réglementation. Pour une approche centrée formulaires — contrats de sous-traitance, mécanique des transferts et playbooks de violation pour formulaires en ligne — voyez l'article compagnon sur RGPD versus nLPD pour les données de formulaires sur ce blog.
En résumé
La nLPD et le RGPD sont des cousins proches par conception : la Suisse a révisé sa loi précisément pour suivre l'UE et préserver l'adéquation. Concevez pour l'exigence la plus stricte, documentez les quelques divergences réelles — le catalogue affirmatif de bases légales du RGPD, l'exposition pénale des individus dans la nLPD, les seuils de notification distincts, les catégories sensibles suisses supplémentaires et les deux approches des décisions automatisées — et une posture de conformité bien conçue vous portera à travers les deux.
Les formulaires sont l'endroit où cette posture est testée en premier. Classer, minimiser, sécuriser, documenter — et laisser l'architecture de l'outil, pas seulement le libellé d'une politique, faire autant de travail que possible.
Schweizerform est conçu pour le point où la nLPD et le RGPD se rencontrent : chiffrement de bout en bout à connaissance nulle sur chaque formulaire, hébergement exclusivement suisse et support complet EN / DE / FR / IT — sans carte bancaire sur le palier gratuit.
Avertissement : Cet article est une information générale et du contenu marketing, non un conseil juridique ou de conformité. Les références à la nLPD, au RGPD, aux directives du PFPDT et du CEPD, aux décisions d'adéquation et à la Convention 108+ sont résumées à un niveau conceptuel et sujettes à interprétation et à des évolutions législatives. Les situations spécifiques — règles sectorielles, structures de groupe transfrontalières, traitements à risque élevé ou pilotés par l'IA — requièrent un conseil sur mesure. Consultez des conseils qualifiés en protection des données suisse et européenne et lisez les sources officielles avant de fonder vos décisions de conformité ou d'achat sur un seul article, y compris celui-ci.