Depuis septembre 2023, la Suisse s’est dotée d’un nouveau cadre légal en matière de protection des données : la nLPD, ou nouvelle Loi fédérale sur la protection des données. Un texte qui modernise en profondeur la précédente version de 1992, et qui concerne toutes les entreprises – suisses ou non – qui traitent les données personnelles de résidents suisses.
Moins médiatisée que le RGPD, la nLPD n’en demeure pas moins structurante pour les entreprises : elle introduit des principes nouveaux, impose davantage de transparence et fait entrer le droit suisse dans l’ère du « Privacy by Design ». Vous l’aurez compris, pour ce nouvel épisode de Check-Up Conformité, direction la Suisse pour décrypter les principales spécificités de la loi, les obligations à connaître, et ce que cela implique concrètement pour les entreprises et leur bannière de cookie.
Une loi suisse flambant neuve qui tourne son regard vers l’Europe
Adoptée en 2020 et entrée en vigueur le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (nLPD) remplace un texte de 1992, dépassé à l’ère du smartphone et de nos célèbres cookies. L’objectif est alors clair : renforcer les droits des citoyens suisses et garantir un cadre de traitement conforme aux standards internationaux.
Mais la réforme ne se limite pas à une modernisation interne. Un enjeu stratégique majeur a guidé la révision : préserver une certaine cohérence avec l’Union européenne en se rapprochant des exigences du RGPD. Car sans cela, c’est la compétitivité de toute l’économie suisse qui aurait pu être mise en péril.
Champ d’application : si vous ciblez la Suisse, la nLPD vous cible aussi
La nLPD ne concerne pas uniquement les entreprises basées en Suisse. Toute organisation – où qu’elle soit située – est tenue de s’y conformer si elle cible des résidents suisses avec ses services ou ses produits.
Et si vous opérez dans plusieurs pays ? Alors plusieurs réglementations peuvent s’appliquer simultanément. Les entreprises suisses, par exemple, qui traitent aussi des données de résidents européens doivent jongler avec deux textes : le RGPD et la nLPD. Un exercice de haute voltige pour les entreprises facilité par les bannières de consentement comme celles d’Axeptio, qui permettent facilement de se mettre en conformité avec les principales grandes réglementations internationales en matière de privacy (le RGPD, la nLPD, la Loi 25 au Québec ou encore le CCPA en Californie).
Retour vers le futur : quels changements depuis 1992 ?
Première évolution notable depuis le précédent texte de 1992 : la nLPD limite désormais sa protection aux personnes physiques uniquement. Les personnes morales, qui bénéficiaient jusqu’alors d’une certaine protection, sortent du champ de la loi. Autre changement de fond : la définition des données sensibles s’élargit et inclut désormais les données génétiques et biométriques.
Mais si ces éléments sont très éloignés de ce qui nous réunit généralement sur le blog – la conformité et les bandeaux cookies – d’autres principes structurants beaucoup plus familiers sont introduits avec la nLPD. Tout d’abord, et pour la première fois, le droit suisse introduit explicitement les notions de "Privacy by Design" et "Privacy by Default". Désormais, la protection de la vie privée doit être pensée en amont, dès la conception des produits ou services amenés à traiter des données personnelles. Par défaut, les paramètres doivent garantir le niveau de sécurité le plus élevé possible, sans intervention de l’utilisateur.
La loi renforce également les obligations de transparence. Toute collecte de données personnelles — qu’elles soient sensibles ou non — doit faire l’objet d’une information préalable, claire, compréhensible et facilement accessible. Il faut donc informer les personnes concernées de manière précise sur les traitements opérés, leurs finalités, les destinataires des données, et les droits dont disposent les utilisateurs. Et c’est justement là que la plateforme en gestion du consentement intervient.
Enfin, côté documentation, la tenue d’un registre des activités de traitement devient obligatoire. Seules certaines PME, à condition que leurs traitements présentent un faible risque pour les droits des personnes, peuvent y échapper. Et en cas de violation de sécurité, les entreprises ont désormais l’obligation d’en informer sans délai le Préposé fédéral à la protection des données et à la transparence (PFPDT) — le cousin helvétique de la Commission d’accès à l’information du Québec (CAI).
Et le consentement dans tout ça ?
Contrairement à la réglementation de l’Union Européenne, la nLPD ne repose pas sur le principe général du consentement explicite préalablement à l’utilisation de traceurs.
Cela signifie-t-il pour autant qu’il n’est pas nécessaire de recueillir un consentement actif, notamment pour le dépôt de cookies ? En pratique, les choses sont plus nuancées puisque l’obligation de recueillir le consentement dépend des risques encourus pour la vie privée des utilisateurs. La nLPD n’impose donc pas systématiquement l’opt-in, mais elle renforce considérablement le devoir d’information et le droit d’opposition (opt-out).
L’internaute doit savoir, avant toute collecte, quelles données sont récoltées, à quelles fins, par qui, et pour combien de temps. Or, dans le cadre du tracking marketing, du profilage ou de la publicité personnalisée, cette exigence de transparence et d’évaluation des risques pour les utilisateurs pousse de nombreuses entreprises à adopter une posture proche de la réglementation de l’Union Européenne, par prudence mais aussi par cohérence avec leurs autres marchés.
Autrement dit : proposer une bannière de cookies respectueuse du choix utilisateur reste la meilleure stratégie pour garantir la conformité, limiter les risques juridiques et renforcer la confiance.
Pour aller plus loin : Axeptio, un bandeau cookie déjà conforme à la nLPD
Chez Axeptio, la bannière de consentement a été conçue pour intégrer nativement les exigences des différentes réglementations internationales, dont celles de la Suisse, grâce à une interface claire et des modules personnalisables selon la législation ciblée.
Certaines marques internationales ont déjà fait ce choix stratégique. En Suisse, par exemple, Veepee Suisse a su déployer une plateforme de gestion des cookies à la fois conforme, cohérente avec son image de marque et rassurante pour ses clients suisses. Retrouvez le témoignage de l’équipe de Veepee Suisse directement ici.
Autre exemple : le groupe BRP, présent sur plusieurs continents, a choisi Axeptio pour unifier sa stratégie de consentement à l’échelle mondiale. Une démarche documentée dans un livre blanc exclusif, qui revient sur les choix techniques, les enjeux et les bénéfices concrets d’une plateforme de gestion des cookies pensée pour le multiréglementaire, disponible en téléchargement grâce au formulaire présent sur cette page.
Vous traitez des données de résidents suisses ? Bonne nouvelle : notre bannière de cookies peut vous accompagner dans votre mise en conformité.
