Qu'est-ce que la nLPD suisse révisée ?

La loi fédérale révisée sur la protection des données (nLPD/nDSG), entrée en vigueur le 01.09.2023, modernise le cadre suisse de protection des données. Elle introduit des AIPD obligatoires, une obligation de notification des violations au PFPDT dans les 72 heures, des règles plus strictes sur les transferts transfrontaliers (art. 16–17) et une obligation de tenir un registre des activités de traitement pour les responsables du traitement. Le texte complet est publié sur fedlex.admin.ch.

En quoi la nLPD suisse diffère-t-elle du RGPD européen ?

Les principales différences sont les suivantes : la nLPD ne protège que les personnes physiques (et non les personnes morales, contrairement à l'ancienne loi), les sanctions pénales visent les individus plutôt que les entreprises, il n'existe pas de base légale fondée sur l'« intérêt légitime » — le droit suisse recourt plutôt à l'« intérêt privé ou public prépondérant » —, et l'autorité de surveillance (PFPDT) dispose d'un pouvoir de recommandation plutôt que d'un pouvoir direct d'infliger des amendes. Les deux cadres exigent un registre des traitements, des AIPD et la notification des violations.

Priverion prend-il en charge la conformité à la fois à la nLPD et au RGPD ?

Oui. Priverion met en correspondance les activités de traitement à la fois avec la nLPD suisse et le RGPD européen, simultanément. Les registres des traitements, les AIPD, les déclarations de confidentialité et la documentation des transferts transfrontaliers sont générés avec les bases légales et les exigences propres à chaque cadre.

Où les données de Priverion sont-elles hébergées ?

Priverion est hébergé sur Google Cloud Suisse (région de Zurich), et non simplement dans une région de l'UE. La plateforme est certifiée ISO 27001 et régie par le droit suisse, garantissant la résidence des données en Suisse.

Logiciel de conformité à la nLPD conçu en Suisse, hébergé en Suisse Parlez à notre équipe suisse

Conçu en Suisse pour le droit suisse

La conformité à la nLPD pour les groupes d'entreprises suisses — conçue par une équipe suisse, hébergée en Suisse

Mis à jour le 2026-06-22

Points clés : Priverion est une plateforme SaaS hébergée en Suisse qui automatise les sept domaines de la conformité à la nLPD révisée — registre des traitements, AIPD, notification des violations, transferts transfrontaliers et gestion des sous-traitants.

La nLPD révisée a considérablement renforcé les exigences — en particulier en matière d'AIPD, de transferts transfrontaliers et de notification des violations. De nombreuses entreprises suisses ont encore du retard à rattraper. Si vous en faites partie, voici comment combler les lacunes.

Parlez à notre équipe suisse de conformité Pas encore prêt ?

La confiance de 50+ privacy teams across 14 countries

Santé

Aviation

Énergie

Juridique

Technologie

Exigences de la nLPD révisée

Tout ce dont vous avez besoin pour la conformité à la nLPD suisse

Priverion couvre les 7 domaines de la nLPD révisée — avec des bases légales propres à la Suisse, des rapports prêts pour le PFPDT et la documentation des transferts transfrontaliers intégrée.

Tenue des registres

Registres de traitement

Selon la nLPD révisée, chaque responsable du traitement doit tenir un registre des activités de traitement (parfois aussi appelé « répertoire des traitements »), à l'instar du registre des traitements du RGPD. Ce registre constitue le fondement de la responsabilité et de la transparence.

Le registre des traitements doit documenter :

L'identité et les coordonnées du responsable du traitement (et de tout responsable conjoint)
Les finalités du traitement des données
Les catégories de personnes concernées et de données personnelles traitées
Les catégories de destinataires, y compris les transferts de données à l'étranger
Les durées de conservation, si elles sont connues
Une description générale des mesures de sécurité des données
Le motif justificatif (p. ex. consentement, intérêt privé/public prépondérant, obligation légale)

Résultat : Chaque activité de traitement reste documentée et à jour — avec les exigences de contenu minimal propres à la Suisse couvertes automatiquement.

Responsabilité

Documents de gouvernance et de responsabilité

Les responsables du traitement devraient tenir une politique de protection des données qui définit les principes de conformité, les rôles et les responsabilités.

Ce document démontre la mise en œuvre du principe de responsabilité et précise la manière dont la protection des données est intégrée aux opérations quotidiennes.

Les journaux de formation complémentaires, les audits internes et les registres de gouvernance de la protection des données témoignent d'une sensibilisation et d'une surveillance continues.

Résultat : Démontrez votre responsabilité au sens de la nLPD grâce à la gestion des politiques, aux journaux de formation et aux pistes d'audit — le tout au même endroit.

Déclarations de confidentialité

Documents de transparence et de communication

Pour satisfaire aux obligations d'information, les responsables du traitement doivent fournir des déclarations de confidentialité claires qui décrivent :

L'identité du responsable du traitement et les finalités du traitement
Les destinataires et les détails des transferts
Les droits des personnes concernées
La prise de décision automatisée, le cas échéant

Ces déclarations garantissent que les personnes concernées peuvent comprendre et maîtriser l'utilisation de leurs données.

Résultat : Générez des déclarations de confidentialité qui correspondent à vos registres de traitement — toujours à jour, toujours conformes à la nLPD.

Exigences en matière d'AIPD

Documents d'analyse des risques et d'impact

Pour les activités de traitement qui présentent un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, une analyse d'impact relative à la protection des données (AIPD) doit être réalisée.

Un registre des AIPD ou un dossier de documentation devrait comprendre :

La description du traitement et des risques
L'évaluation de la nécessité et de la proportionnalité
Les mesures destinées à atténuer les risques
La preuve de la consultation du PFPDT si elle est requise

Cela sert de preuve que les risques ont été évalués et traités.

Résultat : Réalisez des AIPD complètes avec le suivi de la consultation du PFPDT — en quelques heures plutôt qu'en quelques semaines.

Découvrez comment Priverion gère la conformité à la nLPD pour votre organisation

Parlez à notre équipe suisse

Gestion des tiers

Documents de gestion des sous-traitants et des tiers

Les responsables du traitement sont tenus de s'assurer que les sous-traitants offrent des garanties suffisantes en matière de protection des données.

Un registre des contrats de sous-traitance devrait consigner :

L'identité et les finalités des sous-traitants
Les clauses contractuelles clés garantissant la conformité
Tout sous-traitant ultérieur transfrontalier

Ce registre démontre la diligence raisonnable et la conformité aux responsabilités entre responsable du traitement et sous-traitant.

Résultat : Une surveillance complète des sous-traitants — chaque contrat de sous-traitance, sous-traitant ultérieur et arrangement transfrontalier est suivi.

Notification des violations

Documents de sécurité et de gestion des incidents

La documentation des mesures techniques et organisationnelles (MTO) fournit des informations détaillées sur les mesures de sécurité telles que la gestion des accès, le chiffrement et la sauvegarde des données.

Les responsables du traitement doivent également tenir un registre des violations de données afin de documenter toutes les violations de données personnelles, notamment :

La date, la nature et l'étendue de la violation
L'appréciation des risques et les mesures d'atténuation
Les notifications faites au PFPDT et aux personnes touchées

Ensemble, ces éléments garantissent la preuve de la conformité aux art. 8 (sécurité des données) et 24 (notification des violations).

Résultat : La réponse aux violations est documentée de la détection jusqu'à la notification au PFPDT — le délai de 72 heures est géré automatiquement.

Transferts de données

Documentation des transferts transfrontaliers

Pour les transferts vers des pays sans protection adéquate, les responsables du traitement doivent documenter :

Le pays de destination et la garantie juridique utilisée (p. ex. clauses types, consentement, intérêt prépondérant)
L'analyse d'impact du transfert (TIA) en cas de risques

Cette documentation soutient la conformité aux art. 16–17 nLPD et atteste de la diligence raisonnable en matière de transferts.

Résultat : Les décisions d'adéquation propres à la Suisse et les exigences en matière de TIA sont prises en charge — la conformité aux art. 16–17 est documentée.

Pourquoi une plateforme suisse

Vos données restent en Suisse. Votre contrat de sous-traitance est régi par le droit suisse.

Suisse

Hébergé sur Google Cloud Suisse

Pas « région UE » — réellement en Suisse

75 %

De maintenance manuelle du registre des traitements en moins

Moyenne auprès des clients entreprises

nLPD + RGPD

Les deux cadres dans une seule plateforme

Les registres des traitements correspondent automatiquement aux deux réglementations

Conformité au RGPD

Conformité à l'ISO 27001

Prêt à simplifier votre gestion de la protection des données ?

Vous êtes en bonne compagnie. Priverion remplace les feuilles Excel éparses et les processus manuels par une plateforme unifiée et intelligente pour la protection des données et la sécurité de l'information. Notre équipe vous accompagne dès le premier jour pour garantir un déploiement fluide et une réussite durable.

Découvrez comment ça fonctionne

The Privacy Compliance Briefing

Des analyses mensuelles sur les tendances en matière d'application du RGPD, les évolutions de la nLPD suisse et les stratégies d'automatisation pour les DPD et les équipes de conformité.

En soumettant ce formulaire, vous consentez à ce que nous vous contactions afin de vous fournir des informations sur nos produits et services. Pour en savoir plus, veuillez consulter notre déclaration de confidentialité.

Merci de vous être inscrit à notre newsletter. Nous sommes ravis de vous compter parmi nous et vous tiendrons informé des dernières évolutions et tendances.

Oups ! Une erreur s'est produite lors de l'envoi du formulaire.

▸ À propos de cette page — références, définitions et FAQ

Points clés — La conformité à la nLPD suisse avec Priverion

La loi fédérale révisée sur la protection des données (nLPD/nDSG), en vigueur depuis le 01.09.2023, oblige les responsables du traitement à tenir des registres de traitement, à réaliser des AIPD pour les activités à risque élevé, à notifier au PFPDT les violations graves et à documenter les transferts transfrontaliers assortis de garanties adéquates. Priverion est une plateforme SaaS hébergée en Suisse qui automatise les sept domaines de conformité — registre des traitements, gouvernance, déclarations de confidentialité, AIPD, gestion des sous-traitants, notification des violations et transferts transfrontaliers — à la fois sous la nLPD et le RGPD européen, dans un espace de travail unique.

Qu'est-ce que la nLPD suisse (nDSG) ?

La loi fédérale sur la protection des données (nLPD), connue en allemand sous le nom de Datenschutzgesetz (DSG), est la principale loi suisse en matière de protection des données. La version entièrement révisée est entrée en vigueur le 01.09.2023, remplaçant la loi de 1992. Elle rapproche la protection des données suisse du RGPD européen tout en conservant des particularités suisses telles que la responsabilité pénale individuelle et le modèle de surveillance consultatif du PFPDT. Le texte complet consolidé est disponible sur fedlex.admin.ch.

En quoi la nLPD révisée diffère-t-elle du RGPD européen ?

Si les deux cadres partagent des principes fondamentaux — licéité, limitation des finalités, minimisation des données et responsabilité —, des différences essentielles subsistent. La nLPD ne prévoit pas de base légale fondée sur l'« intérêt légitime » ; le droit suisse autorise plutôt le traitement fondé sur un « intérêt privé ou public prépondérant » (art. 31 nLPD). Les amendes pénales prévues aux art. 60 à 63 nLPD visent les personnes responsables (jusqu'à 250'000 CHF), et non l'organisation. Le PFPDT émet des recommandations plutôt que des injonctions contraignantes assorties d'amendes directes. Selon l'IAPP, ce modèle de responsabilité individuelle est unique parmi les grands régimes de protection des données dans le monde.

Qui doit se conformer à la nLPD suisse ?

Toutes les personnes privées et tous les organes fédéraux qui traitent des données personnelles de personnes en Suisse doivent s'y conformer. La nLPD s'applique de manière extraterritoriale : les entreprises étrangères dont les traitements produisent des effets en Suisse sont également soumises à la loi (art. 3 al. 1 nLPD). Le PFPDT (Préposé fédéral à la protection des données et à la transparence) supervise la conformité et publie des orientations à l'intention des responsables du traitement nationaux comme étrangers.

Qu'est-ce qu'une AIPD selon la nLPD suisse ?

Selon l'art. 22 nLPD, une analyse d'impact relative à la protection des données doit être réalisée lorsqu'un traitement prévu est susceptible de présenter un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. L'analyse doit décrire le traitement, évaluer la nécessité et la proportionnalité, identifier les risques et documenter les mesures d'atténuation. Si un risque élevé résiduel subsiste après atténuation, le responsable du traitement doit consulter le PFPDT avant de poursuivre (art. 23 nLPD). Les lignes directrices de l'EDPB sur les AIPD, bien qu'axées sur l'UE, sont largement utilisées comme référence méthodologique par les praticiens suisses (Lignes directrices EDPB 4/2017).

Quelles sont les exigences de notification des violations selon la nLPD ?

L'art. 24 nLPD impose aux responsables du traitement de notifier au PFPDT, « dans les meilleurs délais », les violations de données personnelles présentant un risque élevé. Le PFPDT recommande un délai de notification de 72 heures, conformément à la pratique du RGPD. Les personnes concernées touchées doivent également être informées lorsque cela est nécessaire à leur protection. Un registre des violations documenté — consignant la date, la nature, l'étendue, l'appréciation des risques et les mesures correctives — constitue une preuve essentielle de conformité.

Quelles sont les sanctions en cas de non-conformité à la nLPD ?

Les violations intentionnelles d'obligations clés — notamment le défaut de fournir des informations (art. 60), le défaut de coopérer avec le PFPDT (art. 63) et la violation du secret professionnel (art. 62) — entraînent des amendes pouvant atteindre 250'000 CHF à l'encontre de la personne responsable. Selon une enquête menée en 2024 par l'IAPP, 68 % des professionnels suisses de la protection des données ont indiqué que le modèle de responsabilité individuelle a accru l'attention du conseil d'administration à la conformité en matière de protection des données.

Comment Priverion automatise-t-il la conformité à la nLPD ?

Priverion met en correspondance chaque activité de traitement à la fois avec la nLPD suisse et le RGPD européen, simultanément. La plateforme automatise le registre des activités de traitement avec des champs de contenu minimal propres à la Suisse, génère une documentation d'AIPD prête pour le PFPDT, assure le suivi des contrats de sous-traitance et des chaînes de sous-traitants ultérieurs, gère les délais de notification des violations et documente les transferts transfrontaliers au moyen d'analyses d'impact des transferts (TIA) au titre des art. 16–17 nLPD. Toutes les données sont hébergées sur Google Cloud Suisse (région de Zurich) avec une certification ISO 27001.

Statistiques et contexte

Selon le rapport IAPP-EY 2023 sur la gouvernance de la protection des données, l'organisation moyenne consacre environ 54 % de son budget de protection des données à des tâches opérationnelles de conformité telles que la maintenance du registre des traitements, la réalisation des AIPD et les évaluations des sous-traitants. Une prévision de Gartner de 2024 projette que, d'ici 2026, 60 % des grandes entreprises utiliseront des plateformes automatisées de gestion de la protection des données, contre moins de 15 % en 2021. Le rapport d'activité 2023–2024 du PFPDT a relevé une augmentation notable des demandes de consultation à la suite de l'entrée en vigueur de la nLPD révisée, soulignant la charge de conformité pesant sur les organisations suisses. Le rapport 2023 de l'ENISA sur le paysage des menaces (ENISA) a identifié les rançongiciels et les attaques de la chaîne d'approvisionnement comme les principales menaces pesant sur les données personnelles, renforçant l'importance de processus robustes de notification des violations et de gestion des sous-traitants.

nLPD vs RGPD — Tableau comparatif

Aspect	nLPD suisse (nDSG)	RGPD de l'UE
Date d'entrée en vigueur	01.09.2023	25.05.2018
Champ d'application	Personnes physiques en Suisse ; extraterritorial	Personnes physiques dans l'EEE ; extraterritorial
Autorité de surveillance	PFPDT (pouvoir consultatif / de recommandation)	Autorités nationales (injonctions contraignantes, amendes directes)
Amende maximale	250'000 CHF (individu)	20 millions € ou 4 % du chiffre d'affaires mondial (organisation)
Base légale du traitement	Intérêt privé/public prépondérant, consentement, obligation légale	Intérêt légitime, consentement, contrat, obligation légale, intérêt vital, mission de service public
AIPD requise	Oui (art. 22 nLPD)	Oui (art. 35 RGPD)
Notification des violations	PFPDT, dans les meilleurs délais (72 h recommandées)	Autorité dans les 72 heures (art. 33 RGPD)
Exigence relative au DPD	Facultative (conseiller à la protection des données)	Obligatoire dans certains cas (art. 37 RGPD)
Transferts transfrontaliers	Art. 16–17 nLPD ; liste d'adéquation du Conseil fédéral	Art. 44–49 RGPD ; décisions d'adéquation de la Commission européenne

Votre partenaire de confiance pour une gestion de la protection des données plus intelligente et efficace.

Produit

Plateforme Priverion État du système

à propos

À propos de Priverion Carrières

Mentions légales Avis de confidentialité Conditions d'utilisation Politique de remboursement

OneTrust, TrustArc, Drata, Vanta, BigID, DataGuard, Kertos, Securiti et Sprinto sont des marques de leurs propriétaires respectifs. Priverion Solutions AG est une société suisse indépendante, sans lien d’affiliation, de parrainage ou d’approbation avec ces sociétés. Les références à ces produits sont faites au titre de l’exception d’usage loyal pour la publicité comparative (LCD suisse art. 3 al. 1 let. a, b, e ; directive UE 2006/114/CE art. 4), dans le seul but d’informer les clients potentiels. La méthodologie et les sources des affirmations comparatives sont divulguées sur chaque page qui en contient ; voir aussi notre politique de publicité comparative. Pour contester une affirmation précise, écrivez à [email protected].