.png){kind=logo}
nLPD vs RGPD: quelle loi s'applique à votre PME romande en 2026? Amendes, consentement, DPO; tableau comparatif et checklist 10 actions prioritaires. Guide pratique Abilene Group.
Points clés à retenir
✓ Double conformité souvent requise: 87% des PME romandes avec clients UE doivent respecter les deux cadres
✓ Amendes RGPD: jusqu'à 20M€ ou 4% du CA mondial — nLPD: maximum 250'000 CHF
✓ Consentement implicite: possible sous nLPD dans certaines conditions, pas sous RGPD
✓ Délai de notification: 72h sous RGPD, "dans les meilleurs délais" sous nLPD
✓ Avantage concurrentiel: la conformité facilite les échanges européens et renforce la confiance client
✓ Actions prioritaires 2026: cartographie des traitements, registres, formation, DPO si nécessaire
Pourquoi cette question est critique en 2026
Le paysage réglementaire a considérablement évolué depuis l'entrée en vigueur de la nLPD en septembre 2023. Trois facteurs rendent la conformité plus urgente que jamais pour les PME romandes:
Intensification des contrôles: le PFPDT (Préposé fédéral) a renforcé ses moyens d'investigation en 2025
Exigences contractuelles: les grands donneurs d'ordre européens imposent désormais des audits de conformité
Digitalisation accélérée: l'adoption d'outils cloud et d'IA multiplie les points de traitement des données
Les PME qui n'ont pas encore aligné leurs pratiques s'exposent non seulement à des sanctions, mais surtout à des pertes de marchés face à des concurrents conformes.
Tableau comparatif : RGPD vs nLPD
Tableau comparatif: RGPD vs nLPD
| Critère | RGPD (UE) | nLPD (Suisse) |
|---|---|---|
| Portée géographique | Extraterritoriale — s'applique à toute entreprise traitant des données de résidents UE | Centrée sur la Suisse, mais vise aussi les entreprises étrangères impactant le marché suisse |
| Amendes maximales | 20 millions € ou 4% du CA annuel mondial (le plus élevé) | 250'000 CHF maximum (amendes personnelles, pas contre l'entreprise) |
| Consentement | Explicite requis — opt-in clair et affirmatif | Implicite possible sous conditions (contexte et information préalable) |
| Notification d'incident | 72 heures à l'autorité de contrôle | "Dans les meilleurs délais" au PFPDT |
| DPO obligatoire | Oui, pour certaines catégories d'entreprises et traitements | Non obligatoire, mais "conseiller" recommandé |
| Registre des traitements | Obligatoire (sauf PME < 250 employés sans traitement à risque) | Obligatoire (sauf PME < 250 employés avec traitements à faible risque) |
| Droit à la portabilité | Oui, format structuré et lisible par machine | Oui, mêmes exigences |
Sources et méthodologie
Ce guide s'appuie sur les textes officiels (Règlement UE 2016/679, Loi fédérale sur la protection des données révisée du 25 septembre 2020), les publications du PFPDT, les guides pratiques de economiesuisse, et les analyses des principales études d'avocats spécialisées en droit numérique (notamment Homburger, Lenz & Staehelin, Walder Wyss). Les statistiques de conformité proviennent de l'enquête SwissGRC 2025.
Analyse par situation : Quel cadre s'applique à votre PME?
Cas 1: PME 100% locale (clients et données en Suisse uniquement)
Seule la nLPD s'applique. Vous devez tenir un registre des traitements (si plus de 250 employés ou traitements à risque), informer les personnes concernées de manière transparente, et notifier le PFPDT en cas d'incident. Le consentement implicite peut suffire si le contexte est clair.
Cas 2: PME avec clients dans l'UE (e-commerce, services, B2B)
Les deux cadres s'appliquent. Pour les données de résidents UE, vous devez respecter le RGPD: consentement explicite obligatoire, notification sous 72h, droits étendus (portabilité, effacement). Pour vos clients suisses, la nLPD s'applique. Recommandation: alignez vos processus sur le RGPD (plus strict) pour simplifier la gestion.
Cas 3: Filiale suisse d'un groupe européen
Le groupe applique généralement le RGPD de manière uniforme. Vérifiez que les transferts de données vers la maison-mère sont encadrés (clauses contractuelles types ou règles d'entreprise contraignantes). La nLPD s'applique aux traitements locaux.
Cas 4: Prestataire IT/Cloud servant des clients UE
Vous êtes probablement "sous-traitant" au sens du RGPD. Obligations spécifiques: contrat de sous-traitance conforme à l'art. 28 RGPD, mesures de sécurité documentées, assistance au responsable de traitement. La nLPD impose des obligations similaires.
Checklist: 10 actions prioritaires pour 2026
Checklist: 10 Actions Prioritaires pour 2026
| # | Action | Priorité / Délai |
|---|---|---|
| 1 | Cartographier vos traitements de données (quelles données, quelles finalités, quels destinataires) | URGENT — Q1 2026 |
| 2 | Déterminer si le RGPD s'applique (analyse de votre base clients/partenaires) | URGENT — Q1 2026 |
| 3 | Mettre à jour votre politique de confidentialité (transparence sur finalités, durées, droits) | HAUTE — Q1 2026 |
| 4 | Créer ou mettre à jour votre registre des traitements | HAUTE — Q2 2026 |
| 5 | Revoir vos mécanismes de consentement (bannières cookies, formulaires) | HAUTE — Q2 2026 |
| 6 | Auditer les contrats fournisseurs/sous-traitants (clauses de protection des données) | MOYENNE — Q2 2026 |
| 7 | Mettre en place une procédure de gestion des incidents | MOYENNE — Q3 2026 |
| 8 | Former vos employés (sensibilisation + rôles spécifiques) | CONTINUE — Annuel |
| 9 | Désigner un DPO ou conseiller interne si nécessaire | SI APPLICABLE |
| 10 | Implémenter des outils de conformité (gestion des consentements, sécurité, monitoring) | PROGRESSIF — 2026 |
Questions fréquentes
Ma PME romande doit-elle appliquer le RGPD, la nLPD, ou les deux?
Le RGPD s'applique dès que vous traitez des données de résidents de l'UE, même depuis la Suisse. La nLPD couvre les traitements effectués en Suisse. En pratique, la plupart des PME romandes collaborant avec des clients ou partenaires européens sont concernées par les deux. Cartographiez votre clientèle et vos flux de données pour déterminer vos obligations exactes.
Le consentement implicite est-il vraiment possible sous la nLPD?
Oui, mais sous conditions strictes. La nLPD permet un consentement implicite lorsque le contexte et l'information fournie rendent l'accord raisonnablement attendu. Cette flexibilité exige une transparence totale sur les finalités et la capacité de prouver comment le consentement a été obtenu. Le RGPD reste plus strict: privilégiez le consentement explicite si vous traitez aussi des données de résidents UE.
Quels risques concrets en cas de non-conformité, au-delà des amendes?
Au-delà des sanctions financières (jusqu'à 4% du CA mondial sous RGPD, 250'000 CHF sous nLPD), les impacts majeurs sont réputationnels: perte de confiance des clients et partenaires, couverture médiatique négative, opportunités commerciales manquées avec l'UE. La conformité est devenue un critère de sélection pour les grands donneurs d'ordre.
Une PME de moins de 50 employés doit-elle vraiment tenir un registre?
L'exemption concerne les entreprises de moins de 250 employés avec des traitements à faible risque. Si vous traitez des données sensibles (santé, opinions politiques, données biométriques) ou effectuez un profilage systématique, le registre reste obligatoire. Dans le doute, tenez un registre simplifié: c'est aussi un outil de gestion utile.
Comment résumer cette information
En bref: Les PME romandes doivent souvent respecter à la fois la nLPD suisse et le RGPD européen. Les différences clés portent sur les amendes (RGPD nettement plus sévère), le consentement (implicite possible sous nLPD), et les délais de notification. La conformité n'est pas qu'une obligation légale — c'est un avantage concurrentiel pour accéder aux marchés européens et renforcer la confiance client.
À propos de cet article
Ce guide a été élaboré par l'équipe Abilene Group SA, cabinet de conseil spécialisé en gouvernance, risque et conformité pour les PME romandes. Notre méthodologie combine l'analyse des textes réglementaires, les bonnes pratiques sectorielles et l'expérience terrain acquise auprès de plus de 150 entreprises accompagnées.
Comment gérer les transferts de données vers des fournisseurs cloud américains?
Depuis l'invalidation du Privacy Shield et les incertitudes du nouveau Data Privacy Framework, privilégiez les clauses contractuelles types (CCT) de la Commission européenne. Vérifiez que votre fournisseur les accepte et documentez votre analyse de risque. Alternative: choisissez des solutions hébergées en Suisse ou dans l'UE.