RGPD vs nLPD : guide des données de formulaires
Aperçu réglementaire double pour les entreprises suisses traitant des données personnelles européennes et suisses via des formulaires en ligne. Où RGPD et nLPD convergent, où elles divergent — et ce que cela signifie pour vos formulaires, sous-traitants et gestion d'incidents.
Une clinique suisse reçoit des inscriptions en ligne de patients allemands. Une société SaaS basée à Zurich collecte des formulaires de retour d'expérience auprès de clients espagnols. Un cabinet d'avocats genevois exploite un questionnaire d'admission utilisé par des clients de toute l'UE et du reste du monde. Dans chacun de ces scénarios du quotidien, deux régimes de protection des données s'appliquent en même temps — le RGPD de l'Union européenne et la Loi fédérale suisse sur la protection des données révisée (nLPD), en vigueur depuis le 1er septembre 2023.
Les deux textes sont étroitement alignés par construction : la nLPD a été rédigée pour préserver le statut d'adéquation de la Suisse. Être en règle avec l'une signifie presque l'être avec l'autre. Mais « presque » n'est pas « totalement », et les différences comptent — surtout pour les formulaires en ligne, point de premier contact entre l'entreprise et les données personnelles. Cet article est une comparaison pratique, champ par champ, centrée sur ce que les entreprises suisses font effectivement avec leurs formulaires.
À qui s'adresse cet article
Entreprises suisses — PME, services professionnels, santé, services financiers, e-commerce — qui collectent des données personnelles via des formulaires en ligne et dont clients, patients ou utilisateurs incluent des résidents de l'UE. Également utile aux entreprises européennes qui traitent des données de résidents suisses à une échelle significative.
Pourquoi les entreprises suisses relèvent souvent des deux lois
La nLPD s'applique à tout traitement ayant un effet en Suisse — en résumé : si vous êtes une entreprise suisse ou traitez des données de personnes en Suisse, vous entrez dans son champ. Le RGPD s'applique extraterritorialement au titre de l'art. 3(2) dès qu'une entreprise hors UE propose des biens ou services à des personnes dans l'UE ou surveille leur comportement. Pour la plupart des entreprises suisses ayant une clientèle UE même modeste, les deux conditions sont remplies simultanément.
La question utile n'est donc pas « laquelle choisir ? », mais : où le RGPD et la nLPD convergent (un seul contrôle suffit), et où divergent-ils (il faut concevoir pour le plus strict) ?
RGPD vs nLPD : comparaison champ par champ pour les formulaires
| Sujet | RGPD UE | nLPD suisse |
|---|---|---|
| En vigueur depuis | 25 mai 2018 | 1er septembre 2023 (révision ; loi antérieure depuis 1992) |
| Portée extraterritoriale | Oui — art. 3(2) vise les entreprises hors UE ciblant des résidents UE | Oui — s'applique aux traitements ayant un effet en Suisse |
| Statut d'adéquation | Reconnaît la Suisse comme adéquate (transferts UE → CH libres) | Reconnaît l'UE comme adéquate (transferts CH → UE libres) |
| Catégories particulières / données sensibles | Art. 9 : santé, biométriques, génétiques, orientation sexuelle, religion, politique, syndicale, origine | Art. 5 : mêmes catégories plus procédures administratives/pénales et aide sociale |
| Base légale / justification | Six bases (consentement, contrat, obligation légale, intérêts vitaux, intérêt public, intérêts légitimes) | Traitement généralement justifié ; consentement surtout pour données sensibles, profilage, transferts vers pays non adéquats |
| Consentement cookies / tracking formulaires | Opt-in explicite et granulaire (ePrivacy + RGPD) | Plus permissive en principe ; les sites ciblant l'UE appliquent souvent le standard RGPD |
| Droit d'accès | Art. 15 — y compris copie des données | Art. 25 — portée similaire ; source, destinataires, conservation |
| Droit à l'effacement | Art. 17 — « droit à l'oubli » avec exceptions | Art. 32 — rectification, demande de suppression ; champ légèrement plus étroit |
| Portabilité | Art. 20 — format structuré, lisible par machine | Art. 28 — introduit par la révision ; structure similaire |
| Notification à l'autorité | Sous 72 heures (art. 33) | Dès que possible (art. 24) — pas de délai strict, mais rapide |
| Notification aux personnes | Si risque élevé (art. 34) ; exception si données rendues incompréhensibles (chiffrement fort) | Si nécessaire à leur protection (art. 24) ou à la demande de l'autorité |
| Amendes | Jusqu'à 20 M€ ou 4 % du chiffre d'affaires mondial | Jusqu'à CHF 250 000 — prononcées contre la personne physique responsable ; exposition personnelle directe pour dirigeants et DPO |
| Obligations du sous-traitant | Art. 28 — accord écrit | Art. 9 — contenu similaire ; écrit, garanties documentées |
| Registre des traitements | Art. 30 — obligatoire au-dessus de 250 salariés ou pour données sensibles | Art. 12 — obligatoire ; PME à faible risque parfois exemptées par ordonnance |
| DPO | Obligatoire pour secteur public et traitements sensibles à grande échelle (art. 37) | Non obligatoire ; possibilité de nommer un « conseiller à la protection des données » (art. 10) |
| Transferts hors zone adéquate | Adéquation, CCT, BCR, dérogations — Schrems II | Liste du Conseil fédéral ; sinon CCT, garanties, consentement explicite |
| Responsabilité pénale | Pas d'infractions pénales dans le RGPD lui-même (les États peuvent en ajouter) | Infractions pénales pour certains manquements intentionnels par la personne responsable, jusqu'à CHF 250 000 |
Où un seul contrôle couvre les deux régimes
Pour les formulaires en ligne, les deux régimes se recoupent davantage qu'ils ne divergent. Une entreprise suisse qui met en place des contrôles de niveau RGPD satisfait en général la nLPD automatiquement. Concrètement :
- Une notice de confidentialité claire sur la page du formulaire (responsable, finalité, base légale, conservation, destinataires) satisfait les deux régimes
- Un accord de sous-traitance avec le fournisseur de formulaires couvre simultanément l'art. 28 RGPD et l'art. 9 nLPD
- Des mesures techniques fortes — chiffrement en transit et au repos, contrôle d'accès — comptent pour l'art. 32 RGPD et l'art. 8 nLPD
- Un playbook d'incident calé sur 72 h couvre le plus strict, donc aussi la nLPD
- Un registre des traitements de niveau RGPD couvre largement l'art. 12 nLPD
- Des garanties de transfert (CCT vers pays non adéquats) fonctionnent dans les deux régimes
Heuristique pratique
Dans la plupart des scénarios de formulaire, concevez à la hauteur du RGPD et documentez explicitement les spécifiques nLPD. Un modèle opérationnel plutôt que deux en parallèle.
Où RGPD et nLPD divergent — et pourquoi cela compte pour les formulaires
Données sensibles : périmètre nLPD plus large
Le catalogue nLPD art. 5 ajoute « données relatives à des procédures administratives ou pénales ou à des sanctions » et « données concernant des mesures d'aide sociale » — catégories que le RGPD traite par ses règles générales, pas par l'art. 9. Pour un formulaire interrogeant sur un casier judiciaire (embauche, location, vérifications financières) ou un parcours d'aide sociale, la nLPD peut exiger une justification explicite que le RGPD ne demande pas sous ces termes.
Responsabilité pénale personnelle
L'écart le plus cité est la structure pénale. La nLPD engage la responsabilité pénale personnelle pour certaines violations intentionnelles par la personne physique responsable — notamment fausse information volontaire dans une notice, ou violation intentionnelle du devoir de confidentialité — jusqu'à CHF 250 000. Cela change les incitations pour dirigeants et DPO : un manquement peut toucher une personne, pas seulement l'entité. Les amendes RGPD visent le responsable de traitement comme organisation.
Transferts hors zone adéquate
Les deux régimes restreignent les transferts vers des pays non adéquats. Les listes se ressemblent sans coïncider — le Conseil fédéral maintient la sienne sous la nLPD. Pour une entreprise suisse avec un fournisseur de formulaires aux États-Unis, Schrems II (côté RGPD) et les règles suisses de transfert s'appliquent en parallèle, et un jeu unique de CCT plus des garanties techniques (comme le chiffrement de bout en bout que le fournisseur ne peut déchiffrer) couvre en général les deux. L'architecture du fournisseur — sa capacité ou non à lire la soumission — pèse matériellement sur la gymnastique à fournir.
Délai et contenu de la notification
RGPD : 72 h. nLPD : dès que possible. En pratique, un processus 72 h couvre les deux. Plus significatif : l'exception pour données chiffrées. Sous RGPD art. 34(3)(a), si les données exposées sont rendues inintelligibles par un chiffrement robuste dont les clés restent protégées, la notification individuelle peut ne pas être requise. La nLPD ne codifie pas explicitement cette exception, mais un chiffrement fort reste un facteur d'atténuation dans l'appréciation « nécessaire à la protection » de l'art. 24.
Profilage et profilage à risque élevé
La nLPD introduit un « profilage à risque élevé » et exige alors un consentement explicite. Le RGPD art. 22 restreint les décisions purement automatisées produisant des effets juridiques. Si votre formulaire alimente un modèle de scoring ou de décision (crédit, assurance, fraude, éligibilité), les deux régimes exigent un examen attentif et une information explicite dans la notice.
Liste de contrôle double régime pour vos formulaires
Cartographier les données
Lister les champs de chaque formulaire, classifier les données personnelles, marquer les catégories sensibles au sens du RGPD art. 9 ou de la nLPD art. 5. Les champs casier judiciaire et aide sociale ne sont sensibles que sous la nLPD.
Identifier base légale / justification
Pour chaque formulaire, noter la base RGPD (consentement, contrat, intérêts légitimes, etc.) et la justification nLPD (souvent contrat ou intérêt légitime ; consentement explicite pour sensibles, profilage à risque élevé ou transferts non adéquats).
Une seule notice pour les deux
Rédiger la notice au standard RGPD — responsable, finalités, base, conservation, destinataires, droits, contact — et couvrir en sus le devoir d'information nLPD art. 19 (source, finalité, destinataires, transferts, critères de conservation).
Signer un accord de sous-traitance
Un accord RGPD art. 28 contrôlé contre la nLPD art. 9 couvre le volet formel. La question substantielle reste : le sous-traitant peut-il lire les soumissions ? Un fournisseur à connaissance nulle réduit fortement l'exposition des deux côtés.
Conservation et suppression
Définir et mettre en œuvre une durée par formulaire, selon la nécessité métier et les règles sectorielles (fiscal, LBA, dossier médical). Les deux régimes exigent « pas plus long que nécessaire » ; nLPD art. 6 impose un devoir explicite de licéité de conservation.
Plan d'incident au standard le plus strict
Playbook 72 h : détection, confinement, appréciation préliminaire, notification à l'autorité (PFPDT + autorités UE pertinentes), notification individuelle si nécessaire, documentation. Garder en vue l'exception chiffrement.
Documenter les droits des personnes
Les deux régimes accordent accès, rectification, suppression (dans les limites). Un unique processus d'accueil des demandes — idéalement via un formulaire — et un SLA interne unique. RGPD : un mois (prorogeable de deux) ; nLPD : dès que possible, au plus tard 30 jours.
Ce que les formulaires chiffrés changent dans l'équation
Une bonne part du double-travail RGPD/nLPD s'évapore dès que le fournisseur ne peut vraiment pas lire les soumissions. Les accords de sous-traitance se resserrent (pas de données lisibles à mal gérer). L'analyse de transferts devient plus défendable (ce qui quitte la Suisse est du chiffré, pas du contenu). L'exposition de notification se réduit (exception chiffrement plus aisée). Les soumissions sensibles gagnent un contrôle technique à la hauteur du poids juridique que les deux régimes leur donnent.
Schweizerform est conçu selon cette architecture : chiffrement de bout en bout à connaissance nulle sur chaque formulaire, hébergement suisse pour la charge utile des réponses, support natif EN / DE / FR / IT pour la clientèle suisse + UE typique. Il ne remplace pas un programme de conformité — mais il fait disparaître plusieurs coins laids du couple RGPD/nLPD dans un unique contrôle technique.
En résumé
Pour les formulaires en ligne, RGPD et nLPD se recoupent bien plus qu'ils ne divergent. Une entreprise suisse qui conçoit ses formulaires au niveau RGPD passera la barre nLPD dans la plupart des cas ; les points divergents — catégories sensibles étendues, responsabilité pénale personnelle, attentes du PFPDT, profilage à risque élevé — exigent un traitement délibéré mais pas une pile de conformité parallèle.
Choisissez une architecture de formulaires qui simplifie le dur : un fournisseur incapable de lire le sensible, hébergement suisse pour les données suisses, langues alignées sur votre vraie clientèle. Documentez le programme une fois, pas deux.
Schweizerform offre une unique couche de formulaires chiffrés qui correspond proprement aux attentes RGPD et nLPD. Hébergement suisse, chiffrement à connaissance nulle, support complet EN / DE / FR / IT — sans carte bancaire sur le palier gratuit.
Avertissement : Cet article est une information générale et du contenu marketing, non un conseil juridique ou de conformité. Les références au RGPD, à la nLPD, aux lignes directrices du PFPDT/FINMA, aux listes de pays du Conseil fédéral, à la jurisprudence Schrems II et aux cadres apparentés sont résumées conceptuellement et sujettes à interprétation juridictionnelle et à évolution législative. Les situations spécifiques — secteur (santé, finance, secteur public), structures de groupe transfrontalières, traitements à risque élevé — exigent un conseil sur mesure. Consultez un conseil qualifié en protection des données suisse et UE avant de fonder vos décisions de conformité ou d'achat sur un seul article, y compris celui-ci.