nLPD pour les employeurs : le guide pratique pour les PME suisses

La nLPD en 1 minute

La nouvelle Loi sur la Protection des Données (nLPD) est entrée en vigueur le 1er septembre 2023. Elle remplace la loi de 1992 et aligne la Suisse sur le RGPD européen — tout en restant plus souple sur certains points.

Contrairement au RGPD, la nLPD s'applique aux personnes physiques seulement (pas aux données d'entreprises). Mais dans un contexte RH, toutes les données collaborateurs sont des données de personnes physiques — donc la nLPD s'applique pleinement.

Les 8 obligations concrètes pour votre PME

1. Informer les collaborateurs (Art. 19 nLPD)

Chaque collaborateur doit savoir quelles données vous collectez, pourquoi, et avec qui vous les partagez. Concrètement : rédigez une politique de confidentialité interne et remettez-la à chaque nouvel employé.

Ce que la politique doit contenir : - L'identité du responsable du traitement (votre entreprise) - Les catégories de données traitées (identité, salaire, santé, évaluations...) - Les finalités (gestion du personnel, paie, assurances...) - Les destinataires (caisse de compensation, assurance, fiduciaire...) - Le transfert éventuel à l'étranger (cloud US, siège à l'étranger...) - Les droits du collaborateur (accès, rectification, suppression)

2. Tenir un registre des traitements (Art. 12 nLPD)

Obligatoire pour les entreprises de 250+ employés. Les PME plus petites en sont dispensées sauf si elles traitent des données sensibles à grande échelle (données médicales, biométriques, etc.).

En pratique, même une PME de 20 personnes devrait en avoir un — c'est la base pour démontrer votre conformité en cas de contrôle.

Le registre doit lister chaque traitement : données collectées, finalité, durée de conservation, mesures de sécurité, sous-traitants.

3. Minimiser les données (Art. 6 al. 2 nLPD)

Ne collectez que les données nécessaires. La fiche d'embauche qui demande la religion, l'état civil, le nombre d'enfants "pour le dossier" ? Supprimez les champs non pertinents.

Règle simple : pour chaque donnée collectée, posez-vous la question "en ai-je besoin pour gérer le contrat de travail ?" Si la réponse est non, ne la collectez pas.

4. Sécuriser les données (Art. 8 nLPD)

Des mesures techniques et organisationnelles "appropriées" sont requises. Pour une PME, cela signifie au minimum : - Mots de passe forts et authentification à deux facteurs - Chiffrement des données sensibles (certificats médicaux, évaluations) - Accès restreint (le comptable n'a pas besoin de voir les évaluations) - Sauvegardes régulières - Mise à jour des logiciels

5. Répondre aux demandes d'accès (Art. 25 nLPD)

Tout collaborateur peut demander quelles données vous détenez sur lui. Vous avez 30 jours pour répondre. La réponse doit être gratuite et complète.

Fatima, assistante administrative, demande l'accès à son dossier. L'employeur doit lui fournir : ses données personnelles, ses évaluations, les notes de ses entretiens, ses données de pointage, ses certificats médicaux (catégories, pas le contenu médical), et la liste des tiers à qui ses données ont été transmises.

6. Encadrer les sous-traitants (Art. 9 nLPD)

Votre fiduciaire, votre éditeur de logiciel de paie, votre prestataire cloud — tous traitent des données de vos collaborateurs. Vous devez : - Avoir un contrat de sous-traitance avec chacun - Vérifier que le sous-traitant offre des garanties suffisantes - Vous assurer que le sous-traitant ne transfère pas les données hors de Suisse sans base légale

7. Gérer les transferts à l'étranger (Art. 16-17 nLPD)

Si vos données sont hébergées aux USA (Microsoft 365, Google Workspace, etc.), vous devez vous assurer que le pays offre un niveau de protection adéquat (liste du Conseil fédéral) ou mettre en place des clauses contractuelles types.

Bonne nouvelle : les USA figurent sur la liste des pays adéquats depuis le Swiss-U.S. Data Privacy Framework (2024).

8. Notifier les violations (Art. 24 nLPD)

En cas de fuite de données (hack, perte d'un laptop, email envoyé au mauvais destinataire), vous devez : - Évaluer le risque pour les personnes concernées - Si le risque est élevé : notifier le PFPDT (Préposé fédéral) dans les meilleurs délais - Informer les personnes concernées si nécessaire

Il n'y a pas de délai strict de 72h comme dans le RGPD, mais "dans les meilleurs délais" signifie rapidement — quelques jours, pas quelques semaines.

Les amendes — c'est personnel

La grande différence avec le RGPD : les amendes nLPD visent la personne physique responsable, pas l'entreprise.

Concrètement, c'est le patron, le DRH, ou le responsable IT qui risque l'amende — pas la Sàrl ou la SA. C'est un changement de paradigme majeur.