Home
Automazione & AI Dati & Controllo di gestione Siti web & E-commerce Sviluppo su misura Formazione AI
App Visione Manifesto Magazine Contatti
Accedi Prenota una consulenza
Risques & Règles · Guide

nLPD pour les PME : le guide pratique de la protection des données

Depuis le 1er septembre 2023, la nouvelle loi suisse sur la protection des données (nLPD) vaut pour chaque entreprise, même la plus petite. Pas de panique et pas de jargon juridique : ce qu'elle demande vraiment à une PME et comment te mettre en règle sans en faire un projet sans fin.

Par Davide De Filippis 24 juin 2026 8 min de lecture
nLPD pour les PME : le guide pratique de la protection des données

« De toute façon je suis petit, la confidentialité ne me concerne pas. » C'est la phrase qu'on entend le plus souvent, et c'est aussi la plus fausse. Depuis le 1er septembre 2023, la nouvelle loi suisse sur la protection des données (nLPD) vaut pour quiconque traite des données personnelles : clients, employés, fournisseurs. La taille n'y change rien. La bonne nouvelle, c'est que, pour une PME, se mettre en règle est bien plus simple que le mot « loi » ne le laisse craindre.

Voyons, de manière pratique et sans jargon juridique, ce que la nLPD demande vraiment à une petite entreprise et par où commencer.

Ce qu'est la nLPD, en deux lignes

La nLPD est la révision totale de la loi fédérale sur la protection des données, entrée en vigueur le 1er septembre 2023. Elle renforce les droits des personnes sur leurs propres données et rapproche la Suisse des standards européens du RGPD, afin que les entreprises suisses puissent continuer à échanger des données avec l'Union européenne sans obstacle. En substance, elle demande une chose simple à dire et exigeante à faire : savoir quelles données tu traites, pourquoi, et les protéger avec discernement.

À qui elle s'applique (à ta petite entreprise aussi)

Elle s'applique à quiconque, entreprise ou personne, traite des données personnelles en Suisse. Et « traiter des données » est quelque chose que tu fais chaque jour sans y penser : tu tiens la liste des clients, tu gères les salaires, tu collectes des e-mails via un formulaire, tu archives des contrats. Tout cela, c'est du traitement de données personnelles. Il n'existe pas de seuil d'employés ou de chiffre d'affaires en dessous duquel la loi « ne vaut pas » : certaines obligations formelles changent, pas le principe.

Ce qu'elle te demande vraiment (les obligations pratiques)

  • Informer de manière transparente. Les personnes doivent savoir quelles données tu collectes et à quelles fins. Cela se fait avec une déclaration de confidentialité claire, accessible depuis ton site.
  • Ne traiter que ce qui est utile. Collecte les données nécessaires à l'objectif, pas « tout au cas où ». Moins tu gardes de données, moins tu cours de risques.
  • Garantir la sécurité. Des mesures adéquates contre les accès non autorisés et les pertes : accès contrôlés, sauvegardes, attention à l'endroit où vivent les données.
  • Respecter les droits. Les personnes peuvent te demander l'accès, la rectification ou l'effacement de leurs données : tu dois être en mesure de répondre.
  • Notifier les violations. En cas de violation entraînant un risque élevé, il faut informer le PFPDT (l'autorité suisse) le plus tôt possible.
  • Protection des données dès la conception et contrats. Pense à la protection des données dès le début des processus, et encadre par un contrat les fournisseurs qui traitent des données pour ton compte (hébergement, logiciels de gestion, outils cloud).

nLPD et RGPD : les différences qui comptent

Dans leurs principes, nLPD et RGPD se ressemblent beaucoup : qui est déjà en règle avec l'un est presque en règle avec l'autre. Mais pour une PME suisse, quelques différences sont utiles à connaître :

  • Les sanctions touchent les personnes physiques responsables, avec des amendes pénales pouvant aller jusqu'à 250'000 francs, et non l'entreprise avec des amendes administratives comme dans le RGPD.
  • En général, il n'est pas obligatoire de nommer un délégué à la protection des données (DPO).
  • Les entreprises de moins de 250 employés et à traitements à faible risque sont exonérées du registre des traitements (mais en tenir un simple reste une bonne idée).
  • Les violations doivent être notifiées « le plus tôt possible », et non dans les 72 heures prévues par le RGPD.
Le minimum vital pour une PME

Si tu as peu de temps, pars d'ici : (1) publie une déclaration de confidentialité claire sur le site, (2) sache où sont les données et qui y accède, (3) sécurise l'essentiel (accès, sauvegardes, outils choisis avec discernement). Avec ces trois points, tu couvres l'essentiel du risque réel.

Et si j'utilise l'IA ? ChatGPT, Copilot et les données

C'est là que beaucoup de PME trébuchent. Utiliser un outil d'intelligence artificielle signifie traiter des données : si tu colles dans ChatGPT la liste des clients ou un contrat, ces données sortent de ton périmètre. La nLPD n'interdit pas l'IA, mais elle te demande de savoir ce que tu saisis et où cela aboutit. La règle pratique : pas de données personnelles ou confidentielles dans les versions grand public, utilise des plans ou des configurations avec une protection adéquate, et donne à l'équipe des règles claires. Nous en avons parlé dans Shadow AI : tes employés utilisent déjà ChatGPT avec les données des clients et, sur le choix de l'outil, dans Microsoft Copilot vs ChatGPT pour les entreprises.

Par où commencer : 3 étapes concrètes

Pas besoin d'un projet de grande entreprise. Trois étapes suffisent, dans l'ordre.

  • Cartographie les données. Fais une liste simple : quelles données tu collectes, où elles sont (logiciel de gestion, e-mail, tableurs, cloud) et qui y accède. C'est la base de tout.
  • Publie une déclaration. Une politique de confidentialité claire sur le site, écrite de façon compréhensible, qui dise ce que tu traites et quels droits ont les personnes.
  • Sécurise et définis les règles. Les bons accès, des sauvegardes, des outils choisis avec discernement et des règles d'usage pour l'équipe (y compris l'usage de l'IA).

Une fois ces trois étapes faites, tu es devant la plupart des petites entreprises, et en règle avec l'essentiel de la nLPD.

En résumé

La nLPD n'est ni une menace à craindre ni une chicane à ignorer : c'est une demande de bon sens numérique qui vaut pour chaque entreprise, la tienne comprise. Savoir quelles données tu traites, le dire avec transparence et les protéger avec discernement, c'est ce que la loi demande et c'est aussi, tout simplement, une manière sérieuse de travailler. Et souvent, bien se digitaliser, en mettant de l'ordre dans les données, est précisément ce qui te met en règle presque sans t'en rendre compte.

Cet article a un but informatif et ne constitue pas un conseil juridique. Pour des cas spécifiques, adresse-toi à un conseiller juridique ou à l'autorité compétente (PFPDT).

Mettre de l'ordre dans les données est le premier pas pour être en règle. AFianco aide les PME en Suisse à digitaliser et à automatiser leurs processus tout en gardant les données sous contrôle, et applique le même discernement sur son propre site (voir notre Politique de confidentialité). Sans hype, en partant de tes processus réels.

Réserver une consultation Automation & AI

Questions fréquentes

Qu'est-ce que la nLPD ?

La nLPD est la nouvelle loi fédérale suisse sur la protection des données, en vigueur depuis le 1er septembre 2023. Elle renforce les droits des personnes sur leurs propres données et rapproche la Suisse des standards européens (RGPD), en demandant à celles et ceux qui traitent des données personnelles plus de transparence, de sécurité et de contrôle.

La nLPD s'applique-t-elle aux petites entreprises ?

Oui. La nLPD s'applique à quiconque traite des données personnelles, quelle que soit la taille : même une petite entreprise gère des données de clients, d'employés et de fournisseurs. La taille réduit certaines obligations formelles, mais n'exonère pas du respect de la loi.

Quelles sont les principales obligations de la nLPD pour une PME ?

Informer de manière transparente sur les données que tu collectes et pourquoi (déclaration de confidentialité), garantir la sécurité des données, respecter les droits des personnes (accès, rectification, effacement), notifier au PFPDT les violations importantes le plus tôt possible, appliquer la protection des données dès la conception et encadrer les relations avec les fournisseurs qui traitent des données pour ton compte.

Quelle est la différence entre la nLPD et le RGPD ?

Ils se ressemblent beaucoup dans leurs principes. Les principales différences : la nLPD prévoit des sanctions pénales pouvant aller jusqu'à 250'000 francs à la charge des personnes physiques responsables (et non des amendes administratives contre l'entreprise comme le RGPD), n'impose en général pas de DPO, exonère du registre des traitements les entreprises de moins de 250 employés à faible risque, et demande de notifier les violations « le plus tôt possible » plutôt que dans les 72 heures.

Puis-je utiliser ChatGPT en entreprise tout en respectant la nLPD ?

Oui, si tu sais quelles données tu saisis et où elles aboutissent. Utiliser un outil d'IA signifie traiter des données : choisis des plans ou des configurations avec un niveau de protection adéquat, évite de saisir des données personnelles ou confidentielles dans les versions grand public, et définis des règles claires pour l'équipe. Tu évites ainsi le fameux Shadow AI.

← Retour au Magazine