La nouvelle loi sur la protection des données (nLPD) est en vigueur depuis septembre 2023. Les cabinets suisses sont directement concernés. Voici ce que vous devez faire concrètement.
La nLPD en vigueur depuis septembre 2023 — êtes-vous conformes ?
La nouvelle loi fédérale sur la protection des données (nLPD) est entrée en vigueur le 1er septembre 2023. Contrairement au RGPD européen, elle n'a pas de période de grâce — vous étiez censés être conformes dès le premier jour.
Un an et demi plus tard, la majorité des cabinets d'avocats, fiduciaires et comptables en Suisse romande n'ont toujours pas mis en place les mesures requises. C'est un risque réel, pas théorique.
Qui est concerné ?
Tout cabinet qui traite des données personnelles de clients résidant en Suisse. Concrètement : tout le monde.
- Avocats : données clients, dossiers, mandats
- Fiduciaires : données financières, déclarations fiscales
- Comptables : données salariés, données fournisseurs
Les 7 obligations concrètes
1. Registre des activités de traitement
Vous devez documenter quelles données vous collectez, pourquoi, où elles sont stockées, combien de temps vous les conservez. Ce registre doit être disponible sur demande.
2. Politique de confidentialité à jour
Votre site web doit afficher une politique conforme à la nLPD. L'ancienne version "RGPD" ne suffit pas.
3. Notification des violations de données
En cas de fuite de données, vous avez 72 heures pour notifier le PFPDT (Préposé fédéral à la protection des données).
4. Droit d'accès et droit à l'effacement
Vos clients peuvent demander à voir leurs données ou exiger leur suppression. Vous devez avoir un processus pour répondre dans les 30 jours.
5. Privacy by design
Tout nouveau système doit intégrer la protection des données dès la conception — pas en option.
6. Analyse d'impact (AIPD)
Pour les traitements à haut risque (profils clients, scoring), une analyse d'impact est obligatoire avant de démarrer.
7. Hébergement des données
Les données de vos clients résidant en Suisse doivent idéalement rester en Suisse, ou dans des pays offrant un niveau de protection équivalent.
Les sanctions prévues
Contrairement au RGPD (amendes jusqu'à 4% du CA mondial), la nLPD prévoit des sanctions pénales personnelles — c'est vous, pas votre société, qui êtes responsable.
| Infraction | Sanction |
|---|---|
| Violation des obligations d'information | Jusqu'à CHF 250 000 |
| Violation du droit d'accès | Jusqu'à CHF 250 000 |
| Non-notification d'une violation | Jusqu'à CHF 250 000 |
| Violation intentionnelle | Amende + inscription au registre |
Ce que SOUVERAIN IA fait pour votre conformité
Notre automatisation Garde (Audit nLPD & Conformité) analyse votre situation et génère :
- Un rapport de conformité personnalisé
- La liste des actions prioritaires
- Les modèles de documents requis (registre, politique, formulaires)
- Un plan de mise en conformité par étapes
Résultat : vous passez d'une situation inconnue à une situation documentée et défendable en quelques jours.
Checklist rapide : êtes-vous conformes ?
Répondez honnêtement à ces 5 questions :
- Avez-vous un registre des activités de traitement à jour ?
- Votre politique de confidentialité mentionne-t-elle la nLPD ?
- Savez-vous où sont stockées toutes les données de vos clients ?
- Avez-vous un processus pour répondre aux demandes d'accès ?
- Vos données sont-elles hébergées en Suisse ou dans un pays adéquat ?
Si vous avez répondu "non" à au moins une question, vous avez un travail à faire — et il vaut mieux le faire avant d'être contrôlé.
L'audit nLPD fait partie de notre service. En 30 minutes, nous identifions vos lacunes et vous proposons un plan d'action concret. Sans jargon juridique — juste des étapes claires.