Logiciel de conformité FADP / nLPD pour les entreprises suisses
La loi suisse révisée sur la protection des données (nLPD / FADP / LPD) est en vigueur. ComplyOne est la seule plateforme de conformité européenne hébergée en Suisse — conçue spécifiquement pour les PME suisses qui doivent répondre à la fois à la FADP et au RGPD.
Vos données restent en Suisse
L'infrastructure de ComplyOne est hébergée dans des centres de données suisses — pas sur des plateformes cloud américaines soumises au CLOUD Act. Cela compte pour la conformité FADP : les transferts transfrontaliers vers des pays tiers exigent des garanties appropriées. Notre hébergement suisse signifie qu'aucun mécanisme de transfert supplémentaire n'est nécessaire pour les données traitées au sein de ComplyOne.
Ce que la FADP exige
Notes d'information
Les personnes concernées doivent être informées lors de la collecte de leurs données — finalité, base légale, destinataires. Les notes FADP doivent être conformes au droit suisse, pas de simples copies du RGPD.
Notification des violations
Les violations à haut risque doivent être signalées au PFPDT aussi rapidement que possible. Contrairement au RGPD, il n'y a pas de délai fixe de 72 heures — mais tout retard est déconseillé.
Droits des personnes concernées
Droit d'accès, de rectification, d'effacement et d'opposition. Les résidents suisses peuvent demander leurs données à tout moment. Vous devez disposer de processus pour répondre sous 30 jours.
Analyses d'impact sur la protection des données
Requises avant tout traitement susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux — similaire aux AIPD du RGPD.
Règles sur le profilage
La FADP introduit des règles spécifiques pour le profilage — en particulier le profilage à haut risque, qui exige un consentement explicite. Plus stricte que le RGPD sur certains aspects.
Transferts transfrontaliers
Les transferts vers des pays sans protection adéquate exigent des garanties supplémentaires (CCT ou équivalent). La Suisse maintient sa propre liste d'adéquation, distincte de celle de l'UE.
La FADP vise les personnes, pas les entreprises
Contrairement au RGPD, où les amendes sont infligées à l'organisation, la FADP impose des sanctions allant jusqu'à 250 000 CHF aux personnes responsables — dirigeants, cadres et employés qui violent délibérément la loi.
La responsabilité personnelle est réelle. En cas de violation due à une négligence, la personne identifiée — pas seulement l'entreprise — peut faire l'objet de poursuites et d'amendes.
ComplyOne attribue les tâches de conformité à des membres précis de l'équipe, créant une piste d'audit claire qui démontre la diligence.
Comment aborder la conformité FADP : premières étapes
La plupart des entreprises suisses atteignent une base solide en 6 à 10 semaines avec une approche structurée.
Confirmer que vous êtes concerné
La FADP s'applique à toute entreprise qui traite des données personnelles de personnes se trouvant en Suisse — indépendamment du siège de votre entreprise. Si vous avez des clients, employés ou partenaires suisses, vous êtes presque certainement concerné.
Auditer votre inventaire de données
Cartographiez chaque catégorie de données personnelles : ce qu'elles sont, où elles sont stockées, qui peut y accéder, combien de temps vous les conservez. La FADP exige un registre de traitement (Bearbeitungsverzeichnis) pour certaines activités à risque — même si non formellement obligatoire pour toutes les entreprises, il est essentiel pour démontrer la conformité.
Mettre à jour vos notes d'information
Les notes FADP doivent informer sur la collecte des données, la finalité, la base légale et les transferts internationaux. Les notes RGPD ne sont pas automatiquement suffisantes — des exigences suisses spécifiques s'appliquent, y compris votre base légale au regard du droit suisse et l'information sur le PFPDT en tant qu'autorité de surveillance.
Préparer votre processus de réponse aux violations
Vous devez notifier le PFPDT aussi rapidement que possible après une violation présentant un risque élevé. Construisez une procédure interne avant d'en avoir besoin — qui décide si une violation est notifiable, comment notifier le PFPDT et les personnes concernées.
Attribuer une responsabilité individuelle
La FADP vise les personnes responsables avec des amendes jusqu'à 250 000 CHF — pas seulement l'entreprise. Documentez clairement qui est responsable de chaque décision de protection des données. Envisagez la désignation d'un conseiller à la protection des données (volontaire mais fortement recommandé) et conservez les enregistrements des décisions clés pour constituer une piste d'audit.
Êtes-vous conforme à la FADP ?
Test de conformité gratuit pour les entreprises suisses. Visualisez vos écarts FADP et RGPD côte à côte en 5 minutes.
Démarrer le test FADP gratuitFAQ FADP / nLPD
Qu'est-ce que la FADP (nLPD) ?
La loi fédérale sur la protection des données (Datenschutzgesetz / nLPD / LPD) est la loi suisse sur la protection des données, révisée et en vigueur depuis le 1er septembre 2023. Elle modernise le droit suisse en l'alignant sur les principes du RGPD, tout en conservant des règles spécifiques — notamment des amendes contre les personnes, pas les organisations.
La FADP s'applique-t-elle à mon entreprise ?
La FADP s'applique à toute personne privée ou entreprise traitant des données personnelles de personnes se trouvant en Suisse — indépendamment du siège de votre entreprise. Si vous gérez des données de résidents suisses, vous devez vous conformer.
Quelles sont les amendes en cas de violation FADP ?
Jusqu'à 250 000 CHF par personne (et non par entreprise). C'est une distinction clé avec le RGPD : la FADP vise les personnes responsables — dirigeants, délégués à la protection des données ou employés qui violent délibérément la loi. Des poursuites pénales sont possibles pour les violations intentionnelles.
En quoi la FADP diffère-t-elle du RGPD ?
La FADP est étroitement inspirée du RGPD mais comporte des règles suisses spécifiques importantes : les amendes visent les personnes, pas les entreprises ; il n'y a pas d'obligation stricte de désigner un DPO (bien que fortement recommandé) ; et des règles spécifiques sur le profilage et le traitement à haut risque diffèrent du RGPD. Si vous êtes conforme au RGPD, vous êtes largement avancé — mais des écarts subsistent.
Nous sommes déjà conformes au RGPD. Sommes-nous conformes à la FADP ?
Vous êtes proche mais pas entièrement couverts. La FADP a des exigences spécifiques en matière de responsabilité individuelle, de notification de violations au PFPDT, de notes d'information et de règles de transfert qui doivent être vérifiées spécifiquement au regard du droit suisse. ComplyOne identifie précisément les écarts restants.
Qu'est-ce que le PFPDT ?
Le Préposé fédéral à la protection des données et à la transparence est l'autorité suisse de surveillance pour la protection des données. Contrairement aux autorités européennes, le PFPDT dispose actuellement de pouvoirs de sanction directs limités — l'application se fait principalement par procédure pénale et pression réputationnelle.
La FADP exige-t-elle un délégué à la protection des données ?
Contrairement au RGPD, la FADP n'exige pas formellement de DPO. Toutefois, les entreprises qui traitent des données particulièrement sensibles ou réalisent du profilage à haut risque sont fortement conseillées de désigner un conseiller à la protection des données (Datenschutzberater). Le rôle est volontaire — mais il démontre une bonne gouvernance, peut réduire le risque de responsabilité individuelle et est de plus en plus attendu par les grands clients suisses et le secteur public.
Comment la FADP traite-t-elle le profilage différemment du RGPD ?
La FADP introduit des règles spécifiques pour le profilage à haut risque — défini comme un traitement automatisé présentant un risque significatif pour la personnalité ou les droits fondamentaux des individus. Le profilage à haut risque exige généralement un consentement explicite et un droit d'opposition. Plus stricte que le RGPD sur certains aspects, notamment pour les décisions automatisées produisant des effets significatifs sans examen humain.
Domaines de conformité connexes