arrow_back Blog
25 mars 2026 · Lecture 14 min

nLPD pour e-commerce suisse : la checklist concrète.

La nLPD est en vigueur depuis le 1er septembre 2023. Deux ans et demi plus tard, beaucoup de boutiques en ligne suisses sont encore en zone grise. Voici une checklist pragmatique de ce qu'une boutique devrait avoir prêt — en cas de contrôle, et surtout en cas de fuite de données.

verified_user
Équipe Smart Cyberon
Cellule d'intervention cyber francophone
Avertissement. Cet article traite la nLPD sous l'angle sécurité et réponse à incident, là où c'est notre métier. Il ne constitue pas un conseil juridique. Pour la rédaction de votre politique de confidentialité, vos contrats de sous-traitance ou l'analyse de cas complexes, faites valider le tout par un juriste spécialisé.

La nLPD en bref, pour une boutique en ligne

La nLPD (nouvelle loi fédérale sur la protection des données) modernise le droit suisse et le rapproche du RGPD européen, sans en être une copie. Si vous tenez une boutique en ligne, vous traitez forcément des données personnelles : noms, adresses, e-mails, historiques de commande, parfois des données de paiement. La loi vous demande de le faire de façon transparente, sécurisée, et maîtrisée.

L'esprit est simple : savoir quelles données vous traitez, pourquoi, où elles vont, comment vous les protégez, et quoi faire si elles fuitent. La checklist ci-dessous décline ce principe en points actionnables.

01

Informer au moment de la collecte (Art. 19)

C'est l'obligation la plus visible — et la plus souvent bâclée. Toute personne dont vous collectez les données doit être informée, au moment de la collecte, de qui vous êtes, de la finalité, et des destinataires.

  • Une politique de confidentialité à jour, accessible depuis chaque page (footer).
  • Mention claire au moment de la collecte (formulaire de commande, création de compte, newsletter).
  • Identité du responsable du traitement et moyen de le contacter.
  • Finalités précises (livraison, facturation, marketing — séparées, pas un fourre-tout).
  • Destinataires et catégories de destinataires, y compris les sous-traitants.
  • Information en cas de transfert de données à l'étranger, avec le pays.
02

Registre des activités de traitement (Art. 12)

Le document interne qui liste qui traite quoi, pourquoi, et combien de temps. Bonne nouvelle pour les petites structures : il existe une exemption.

  • Tenir un registre des traitements (finalités, catégories de données et de personnes, durées de conservation, destinataires).
  • Exemption possible pour les entreprises de moins de 250 collaborateurs — sauf si vous traitez des données sensibles à grande échelle ou faites du profilage à risque élevé.
  • En e-commerce, dès que vous gérez des paiements, des comptes clients et du marketing ciblé, mieux vaut le tenir même si l'exemption pourrait s'appliquer.
03

Sécurité des données (Art. 8 + OPDo)

C'est le cœur de notre métier, et le point le plus souvent sous-estimé. La nLPD impose une sécurité « adéquate » au risque — des mesures techniques et organisationnelles réelles, pas une case cochée.

  • Chiffrement des données en transit (HTTPS partout) et au repos pour les données sensibles.
  • Contrôle des accès : qui accède à la base clients, avec quels droits, et 2FA sur les comptes admin.
  • Mises à jour de sécurité suivies (CMS, plugins, serveur) — une faille connue non corrigée est un défaut de sécurité au sens de la loi.
  • Sauvegardes testées et stockées hors du serveur de production.
  • Journalisation et supervision : pouvoir détecter et reconstituer un incident.
  • Minimisation : ne collectez et ne conservez que ce qui est nécessaire.
04

Annonce de violation au PFPDT (Art. 24)

En cas de fuite de données, vous avez une obligation d'annonce. C'est le scénario où l'impréparation coûte le plus cher — il faut savoir quoi faire avant que ça arrive.

  • Une procédure écrite : qui fait quoi, dans quel ordre, avec quels contacts (technique, juridique, direction).
  • Annonce au PFPDT « dans les meilleurs délais » lorsque la violation entraîne vraisemblablement un risque élevé pour les personnes concernées.
  • Information des personnes concernées lorsque c'est nécessaire à leur protection ou que le PFPDT l'exige.
  • Capacité à évaluer factuellement ce qui a été touché — d'où l'importance des logs et d'un audit forensique en cas d'incident.
  • Documentation de la violation et des mesures prises, même si l'annonce n'est finalement pas requise.
05

Sous-traitants et prestataires (Art. 9)

Votre hébergeur, votre passerelle de paiement, votre outil d'emailing, votre agence : tous traitent des données pour vous. Vous restez responsable de ce qu'ils en font.

  • Un contrat de sous-traitance (ou DPA) avec chaque prestataire qui traite des données personnelles pour vous.
  • Vérifier que le sous-traitant garantit une sécurité adéquate et ne sous-traite pas à son tour sans accord.
  • Tenir à jour la liste de vos sous-traitants (elle doit figurer dans votre information à la collecte).
06

Transferts de données à l'étranger (Art. 16-17)

Dès que vous utilisez un outil hébergé hors de Suisse (cloud, analytics, paiement, emailing US), vous transférez des données à l'étranger. Ce n'est pas interdit, mais encadré.

  • Vérifier si le pays de destination offre une protection adéquate (liste tenue par le Conseil fédéral).
  • À défaut, mettre en place des garanties (clauses contractuelles type reconnues) ou relever d'une exception légale.
  • Privilégier, quand c'est possible, des prestataires hébergeant en Suisse ou dans l'EEE pour réduire la complexité.
07

Rôles et gouvernance (Art. 10)

Qui est responsable de tout ça, concrètement, dans votre entreprise ?

  • Identifier le responsable du traitement (en général l'entreprise / sa direction).
  • Un conseiller à la protection des données (DPO) n'est pas obligatoire pour une entreprise privée en Suisse, mais désigner un référent interne clarifie les responsabilités.
  • Sensibiliser les personnes qui manipulent les données (commandes, support, marketing).

Ce que vous risquez, et par où commencer

Particularité suisse à connaître : les amendes prévues par la nLPD (jusqu'à 250 000 CHF) visent en principe la personne physique responsable — un dirigeant, pas seulement l'entreprise comme entité. Au-delà de l'amende, une fuite mal gérée coûte surtout en confiance client et en réputation.

Si vous partez de loin, ne cherchez pas à tout faire d'un coup. Trois priorités donnent le meilleur retour :

  • La sécurité technique (§03) — c'est ce qui empêche la fuite, donc tout le reste.
  • La procédure de violation (§04) — parce qu'on ne l'improvise pas dans la panique.
  • L'information à la collecte (§01) — la plus visible, la plus simple à corriger.