Ce qui s’applique à toi si tu exerces en Suisse ou si tu traites des données de personnes résidant en Suisse.
La Suisse applique la nouvelle Loi fédérale sur la protection des données (nLPD), entrée en vigueur le 1er septembre 2023. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l’autorité nationale, complétée par des préposés cantonaux pour les collectivités publiques. La nLPD est largement alignée sur le RGPD, avec quelques différences : absence d’amendes administratives contre les entreprises (mais amendes pénales contre les personnes physiques responsables), obligations allégées pour les PME, reconnaissance mutuelle avec l’UE confirmée par décision d’adéquation. L’AI Act européen ne s’applique pas directement mais affecte indirectement les entreprises suisses qui traitent avec des clients UE.
Principes globalement similaires au RGPD : finalité, proportionnalité, transparence, droits des personnes. Différences : pas de DPO obligatoire (recommandé au-delà d’une certaine taille), pas d’amendes administratives contre les entreprises (mais amendes pénales jusqu’à 250 000 CHF contre les responsables personnes physiques), obligations allégées pour les PME selon certains critères.
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l’interlocuteur principal pour les entreprises privées. Il traite les plaintes, émet des recommandations, peut ouvrir des enquêtes. Les préposés cantonaux (Genève, Vaud, Zurich, etc.) gèrent les traitements par les autorités publiques.
Obligatoire pour toute entreprise, avec contenu similaire à l’article 30 RGPD. Exemption possible pour les PME de moins de 250 collaborateurs si les traitements présentent un risque faible.
Autorisés vers les pays offrant une protection adéquate (liste du Conseil fédéral, qui inclut l’UE et la plupart des pays de l’EEE). Vers les États-Unis, encadré par le cadre Swiss-US Data Privacy Framework depuis 2024. Clauses contractuelles types obligatoires dans les autres cas.
Pour toute entreprise suisse ayant des clients en UE ou offrant des services à des personnes en UE, le RGPD s’applique directement en plus de la nLPD. La décision d’adéquation UE-Suisse permet des transferts dans les deux sens sans formalités supplémentaires.
Toute information qui se rapporte à une personne identifiée ou identifiable. La nLPD a étendu la protection aux seules personnes physiques (alors que l’ancienne LPD protégeait aussi les personnes morales), harmonisant sur ce point avec le RGPD. Les données sensibles (santé, origine, opinions, religion, activité syndicale, poursuites pénales, mesures d’aide sociale, données génétiques et biométriques) bénéficient d’un régime renforcé.
La nLPD repose sur un principe de licéité du traitement tant qu’il respecte les principes de finalité, proportionnalité, transparence. Le consentement n’est obligatoire que pour les données sensibles, le profilage à risque élevé, ou certaines décisions automatisées. En pratique, la prudence veut que les traitements soient justifiés par une base équivalente à celles du RGPD (contrat, obligation légale, intérêt légitime).
Si une décision est prise exclusivement par un traitement automatisé et produit des effets juridiques ou affecte significativement la personne concernée, celle-ci doit en être informée et peut demander un examen par un humain. Important pour tout usage d’IA pour des décisions d’embauche, d’octroi, de notation client.
Accès, rectification, remise ou transmission de données, opposition dans certains cas. Pas de droit à l’oubli aussi large qu’en Europe, mais effacement possible en cas de violation ou de traitement sans base. Délai de réponse : trente jours, prolongeable pour motifs valables.
Annonce au PFPDT « dans les meilleurs délais » en cas de risque élevé pour la personnalité ou les droits des personnes concernées. Annonce aussi aux personnes concernées si nécessaire à leur protection. Pas de délai strict de 72 h comme dans le RGPD, mais la « rapidité raisonnable » est exigée.
Pas d’amendes administratives contre l’entreprise directement. Amendes pénales contre les personnes physiques responsables : jusqu’à 250 000 CHF en cas d’infraction intentionnelle (violation d’obligations, transfert illicite, non-coopération avec le PFPDT). Le PFPDT peut prononcer des ordres contraignants, lesquels sont exécutoires par les voies ordinaires du droit administratif.
Cette fiche résume les obligations principales en Suisse. Pour les cas impliquant plusieurs cantons, le secteur bancaire ou la santé, un accompagnement par un juriste suisse est recommandé. Le cadre suisse évolue : le Conseil fédéral étudie actuellement un régime spécifique pour les systèmes d’IA, sans calendrier d’application arrêté à la date de cette fiche.