AccueilBlogDroit
Droit

Protection des données et nLPD pour indépendants : ce que vous devez savoir

La loi révisée sur la protection des données (nLPD) est en vigueur depuis le 1.9.2023. Ce que les entreprises individuelles doivent respecter : devoir d'information, déclaration de protection des données, registre des activités de traitement et sanctions.

e
einzly Redaktion
Rédaction fiscale & financière
8 min de lecture
2 mars 2026

01La loi révisée sur la protection des données (nLPD) en bref

Le 1er septembre 2023, la loi fédérale sur la protection des données totalement révisée (LPD, souvent appelée nLPD) est entrée en vigueur. Elle remplace l'ancienne loi sur la protection des données de 1992 et adapte la protection des données suisse au Règlement général européen sur la protection des données (RGPD) -- sans le copier à l'identique.

Pour les indépendants et titulaires d'entreprises individuelles, c'est pertinent car la nLPD s'applique à toute personne qui traite des données personnelles -- indépendamment de la taille de l'entreprise. Que vous gériez en tant que freelance des données clients dans un tableau Excel ou que vous stockiez en tant qu'artisan des adresses dans votre téléphone : la nLPD vous concerne.

Les principales nouveautés en un coup d'œil :

  • Seules les données des personnes physiques sont encore protégées (plus les personnes morales)
  • Devoir d'information étendu lors de chaque collecte de données (art. 19 LPD)
  • Obligation d'effectuer une analyse d'impact relative à la protection des données en cas de risque élevé (art. 22 LPD)
  • Obligation de signaler les violations de la sécurité des données au PFPDT (art. 24 LPD)
  • Amendes jusqu'à CHF 250'000 pour les personnes physiques en cas de violations intentionnelles (art. 60 ss. LPD)
  • Le profilage à haut risque requiert un consentement explicite (art. 6 al. 7 LPD)
  • Privacy by Design et Privacy by Default inscrits comme principes (art. 7 LPD)
Pas de délai transitoireLa nLPD est en vigueur depuis le 1er septembre 2023 sans délai transitoire. Quiconque n'a pas encore adapté ses pratiques de protection des données risque déjà aujourd'hui des sanctions. Cela vaut aussi pour les entreprises individuelles.

02Principes de traitement : les règles au quotidien

La nLPD définit à l'art. 6 les principes selon lesquels les données personnelles doivent être traitées. Ces principes s'appliquent à tout traitement -- que vous saisissiez des données clients, envoyiez des newsletters ou stockiez des dossiers de candidature.

PrincipeSignification pour les indépendants
Licéité (art. 6 al. 1)Les données personnelles ne peuvent être traitées que de manière licite. Le traitement est autorisé s'il existe un motif justificatif (consentement, contrat, intérêt prépondérant ou obligation légale).
Bonne foi (art. 6 al. 2)Le traitement doit être transparent et équitable. Pas de collecte cachée de données.
Proportionnalité (art. 6 al. 2)Ne collecter que les données effectivement nécessaires au but poursuivi. Ne pas collecter « par provision ».
Finalité (art. 6 al. 3)Utiliser les données uniquement pour le but pour lequel elles ont été collectées. Vous ne pouvez pas simplement utiliser des adresses de clients destinées à la facturation pour de la publicité.
Exactitude (art. 6 al. 5)Vous devez veiller à ce que les données soient correctes et les rectifier si nécessaire.
Limitation de la conservation (art. 6 al. 4)Effacer les données dès que le but est atteint -- sauf obligation légale de conservation (p. ex. 10 ans pour les pièces comptables conformément au CO art. 958f).
Exemple pratiqueVous êtes graphiste et stockez des données clients (nom, adresse, e-mail, téléphone) pour l'exécution des mandats. C'est justifié par le but contractuel. Mais vous ne pouvez pas simplement transmettre ces données à un photographe ou les utiliser pour votre propre newsletter sans avoir informé les clients au préalable et leur avoir offert la possibilité de s'y opposer.

03Devoir d'information et déclaration de protection des données

L'une des principales nouveautés de la nLPD est le devoir d'information étendu (art. 19–21 LPD). Lors de chaque collecte de données personnelles, vous devez informer la personne concernée -- pas seulement pour les données particulièrement sensibles, comme c'était le cas auparavant.

Ce que vous devez communiquer (art. 19 al. 2 LPD) :

  • Identité et coordonnées du responsable (c'est-à-dire votre entreprise et votre adresse)
  • But du traitement : à quoi vous utilisez les données
  • Destinataires ou catégories de destinataires : à qui vous transmettez des données (p. ex. fiduciaire, hébergeur)
  • En cas de transfert à l'étranger : dans quel pays vont les données et quelles mesures de protection s'appliquent
  • Droits de la personne concernée : droit d'accès, de rectification et d'effacement

En pratique, vous remplissez cette obligation le plus simplement avec une déclaration de protection des données sur votre site web -- à côté de vos CGV, l'un des documents juridiques les plus importants. Même sans site web, vous devez pouvoir informer les clients sur demande.

Votre déclaration de protection des données devrait couvrir les points suivants :

  1. Nom et coordonnées de votre entreprise
  2. Quelles données vous collectez (p. ex. nom, e-mail, téléphone, données de paiement)
  3. But du traitement des données (exécution des mandats, comptabilité, newsletter)
  4. Base juridique (contrat, consentement, intérêt légitime)
  5. Destinataires des données (hébergeur, logiciel de comptabilité, autorités)
  6. Durée de conservation et délais de suppression
  7. Droits de la personne concernée (accès, rectification, effacement, opposition)
  8. Utilisation de cookies et outils de suivi (le cas échéant)
  9. Possibilité de contact pour les demandes de protection des données
Pas de bannière de cookies comme dans l'UEEn Suisse, il n'existe (encore) pas d'obligation générale de consentement aux cookies comme sous le RGPD/directive ePrivacy. Les cookies techniquement nécessaires sont autorisés. Pour les cookies de suivi (p. ex. Google Analytics), le PFPDT recommande toutefois un consentement -- en particulier si vous avez aussi des visiteurs de l'UE.

04Registre des activités de traitement

La nLPD introduit l'obligation de tenir un registre des activités de traitement (art. 12 LPD). Ce registre documente quelles données personnelles vous traitez, dans quel but et comment elles sont protégées.

La bonne nouvelle pour les indépendants : il existe une exception PME. Les entreprises de moins de 250 collaborateurs ne doivent tenir le registre que si elles traitent des données personnelles particulièrement sensibles à grande échelle ou effectuent un profilage à haut risque (art. 12 al. 5 LPD).

Pour la plupart des entreprises individuelles, cela signifie : vous êtes exempté de cette obligation. Néanmoins, il est recommandé de tenir un registre simple -- il vous aide à garder une vue d'ensemble et à remplir votre devoir d'information.

Un registre minimal contient :

ChampExemple
Activité de traitementGestion des adresses clients
ButExécution des mandats et facturation
Catégories de personnes concernéesClients, prospects
Catégories de données personnellesNom, adresse, e-mail, téléphone
DestinatairesLogiciel de comptabilité (einzly), hébergement (Vercel)
Durée de conservation10 ans (obligation légale de conservation)
Mesures de protection techniquesChiffrement, protection par mot de passe, sauvegardes
Registre recommandé malgré l'exceptionMême si vous êtes exempté en tant qu'entreprise individuelle de moins de 250 collaborateurs : un registre simple dans un tableau Excel vous coûte 30 minutes et vous permet de répondre immédiatement à une demande du PFPDT ou d'un client.

05Sous-traitance et prestataires tiers

Lorsque vous faites traiter des données personnelles par des tiers -- par exemple un logiciel de comptabilité cloud, un service de newsletter ou un hébergeur --, on parle de sous-traitance (art. 9 LPD). Vous restez responsable de la protection des données en tant que responsable du traitement.

Les principales obligations en matière de sous-traitance :

  • Vous ne pouvez confier le traitement qu'à des tiers garantissant une protection des données adéquate
  • Le traitement ne doit pas être interdit par contrat ou par la loi
  • Vous devez vous assurer que le sous-traitant peut garantir la sécurité des données
  • Le sous-traitant ne peut traiter les données que comme vous pourriez le faire vous-même
  • La délégation à des sous-sous-traitants nécessite votre autorisation

En pratique, vous concluez un contrat de sous-traitance (CST ou Data Processing Agreement, DPA) avec le prestataire concerné. La plupart des services cloud sérieux proposent un CST en standard.

Données à l'étranger ?Si votre prestataire cloud stocke des données en dehors de la Suisse (p. ex. dans l'UE ou aux USA), des règles supplémentaires s'appliquent. Les données ne peuvent être transférées que dans des pays offrant un niveau de protection des données adéquat. Le Conseil fédéral tient une liste de pays reconnus. Pour les USA, le Swiss-U.S. Data Privacy Framework (valable depuis le 15.9.2024) garantit un niveau adéquat pour les entreprises certifiées.

06Sanctions en cas de violation : jusqu'à CHF 250'000

Une différence essentielle avec le RGPD : dans la nLPD suisse, ce ne sont pas les entreprises qui sont sanctionnées, mais les personnes physiques -- c'est-à-dire vous en tant que titulaire de l'entreprise individuelle personnellement. Les amendes peuvent atteindre CHF 250'000 (art. 60–63 LPD).

Les violations intentionnelles suivantes sont punissables :

ViolationArticleAmende maximale
Violation du devoir d'informationArt. 60 al. 1 let. a LPDCHF 250'000
Violation du devoir de renseignementArt. 60 al. 1 let. a LPDCHF 250'000
Violation du devoir de diligence lors de la communication à l'étrangerArt. 61 LPDCHF 250'000
Violation des obligations en matière de sous-traitanceArt. 61 LPDCHF 250'000
Violation de la sécurité des données (exigences minimales)Art. 61 LPDCHF 250'000
Non-respect des décisions du PFPDTArt. 63 LPDCHF 250'000
Violation du secret professionnelArt. 62 LPDCHF 250'000
Responsabilité personnelleL'amende vous frappe en tant que personne physique -- pas votre entreprise. Pour une entreprise individuelle, vous êtes de toute façon la personne responsable. L'amende pouvant atteindre CHF 250'000 n'est infligée qu'en cas de violations intentionnelles. La négligence n'est en principe pas punissable, mais peut avoir des conséquences civiles.

Important : le PFPDT (Préposé fédéral à la protection des données et à la transparence) peut ouvrir des enquêtes, émettre des recommandations et rendre des décisions. La poursuite pénale incombe aux autorités pénales cantonales.

07Checklist pratique : nLPD pour votre entreprise individuelle

La protection des données ne doit pas être compliquée. La checklist suivante vous aide à remplir les principales exigences de la nLPD -- sans études de droit.

1
Créer ou mettre à jour la déclaration de protection des données :

Créez une déclaration de protection des données pour votre site web (le cas échéant) et gardez-la à portée de main pour les demandes de clients. Elle doit contenir l'identité du responsable, les buts du traitement, les destinataires et les droits des personnes concernées.

2
Établir le registre des activités de traitement (recommandé) :

Même si vous êtes exempté en tant que PME de moins de 250 collaborateurs : documentez dans un simple tableau quelles données vous traitez et dans quel but. Cela aide en cas de demandes de renseignement.

3
Vérifier les contrats de sous-traitance :

Vérifiez pour tous les services cloud (comptabilité, e-mail, hébergement, CRM) si un CST/DPA existe. Les prestataires sérieux comme einzly les fournissent en standard.

4
Garantir la sécurité des données :

Mettez en place des mesures techniques de base : mots de passe forts, authentification à deux facteurs (2FA), transmission de données chiffrée (HTTPS), sauvegardes régulières, logiciels à jour.

5
Définir un concept de suppression :

Déterminez quand vous supprimez quelles données. Données clients après la fin du contrat ? Dossiers de candidature après 3 mois ? Pièces comptables après 10 ans ? Documentez les délais.

6
Mettre en place un processus pour les demandes des personnes concernées :

Les clients ont le droit d'accès, de rectification et d'effacement. Mettez en place un processus simple : qui répond aux demandes, dans quel délai (légal : 30 jours), sous quelle forme ?

7
Préparer le processus de signalement en cas de violation de données :

Si des données sont volées ou publiées par erreur, vous devez informer le PFPDT le plus rapidement possible (art. 24 LPD). Gardez les coordonnées du PFPDT à portée de main et réfléchissez à l'avance à qui contacter en cas d'urgence.

einzly vous décharge du travail de protection des donnéeseinzly stocke vos données clients de manière chiffrée en Suisse (Supabase/Vercel), propose l'authentification à deux facteurs et fournit un contrat de sous-traitance. Ainsi, vous remplissez automatiquement les exigences nLPD pour vos données comptables -- sans effort supplémentaire.

08Questions fréquentes sur la protection des données pour indépendants

Oui. La nLPD s'applique à toutes les personnes physiques et morales qui traitent des données personnelles -- indépendamment de la taille de l'entreprise. Si vous stockez des adresses de clients, des e-mails ou des numéros de téléphone, vous traitez des données personnelles et êtes soumis à la nLPD.
Non. La désignation d'un conseiller à la protection des données (analogue au DPO dans le RGPD) est facultative dans la nLPD (art. 10 LPD). Pour les entreprises individuelles avec un traitement de données limité, ce n'est en règle générale pas nécessaire. Si toutefois vous traitez des données particulièrement sensibles (p. ex. données de santé en tant que thérapeute), un conseil peut être judicieux.
Uniquement si votre traitement de données présente un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée (art. 22 LPD). Pour la plupart des entreprises individuelles (gestion clients, facturation, site web simple), ce n'est pas le cas. Exemples de risque élevé : surveillance systématique d'espaces publics, traitement à grande échelle de données de santé.
Un vol d'ordinateur portable contenant des données clients non chiffrées constitue une violation de la sécurité des données. Vous devez informer le PFPDT le plus rapidement possible si un risque élevé existe pour les personnes concernées (art. 24 LPD). Vous devez également informer les personnes concernées si c'est nécessaire pour leur protection. Préventivement : activez le chiffrement du disque dur (FileVault sur Mac, BitLocker sur Windows).
Uniquement avec le consentement des clients. La publicité par e-mail à des personnes physiques sans leur consentement est déloyale conformément à la LCD art. 3 al. 1 let. o. Vous avez besoin d'un opt-in (idéalement double opt-in) et devez proposer une possibilité de désinscription dans chaque newsletter. Exception : vous avez obtenu l'adresse e-mail dans le cadre d'une vente et le client ne s'y est pas opposé (soft opt-in pour des produits similaires).
Partager