La structure de la revLPD en 2026

La revLPD a remplacé le régime de protection des données suisse de 1992 par un cadre qui suit de près le RGPD dans la plupart de ses aspects opérationnels tout en préservant quelques positions spécifiquement suisses. L'Ordonnance révisée sur la protection des données (rev-OPDo) et l'Ordonnance sur les certifications en matière de protection des données, toutes deux en vigueur aux côtés de la revLPD, précisent les détails opérationnels.

Ce que la révision a modifié

La révision a introduit : la notification obligatoire des violations au PFPDT, une exigence de registre des activités de traitement pour la plupart des responsables, des analyses d'impact relatives à la protection des données pour les traitements à risque élevé, un champ d'application extraterritorial réel similaire à l'article 3(2) du RGPD, des droits des personnes concernées renforcés, et un filet de sécurité de responsabilité pénale applicable aux individus plutôt qu'à la seule organisation responsable. La définition des données personnelles, les bases du traitement licite et la structure des droits des personnes concernées sont toutes étroitement alignées sur le RGPD, ce qui simplifie sensiblement la conformité suisse pour les éditeurs déjà dotés d'un programme RGPD — sans pour autant l'éliminer.

Qui est réglementé

La revLPD s'applique aux traitements en Suisse et aux traitements réalisés hors de Suisse qui affectent des personnes se trouvant en Suisse. Les éditeurs étrangers qui servent du trafic suisse via des sites localisés, un domaine en .ch, des contenus en allemand-français-italien-romanche adaptés aux publics suisses, ou des inventaires programmatiques achetés sur des IP suisses sont généralement dans le champ d'application, et le PFPDT a confirmé la lecture extraterritoriale dans ses mises à jour de guidance de 2025.

Amendes administratives et filet de responsabilité pénale

La divergence la plus commentée de la revLPD par rapport au RGPD tient à ce que son architecture de sanctions est principalement pénale plutôt qu'administrative. Les amendes individuelles — frappant généralement les personnes physiques responsables telles que les directeurs, délégués à la protection des données ou responsables conformité — peuvent atteindre jusqu'à 250 000 CHF par infraction intentionnelle, avec une responsabilité pénale parallèle pour les comportements les plus graves. Le plafond principal est inférieur en valeur absolue au plafond de quatre pour cent du chiffre d'affaires du RGPD, mais la direction de la responsabilité — vers la personne nommément désignée plutôt que vers la seule organisation — modifie le calcul des risques en pratique. Plusieurs éditeurs ont revu leurs workflows internes de validation en 2025 spécifiquement pour répartir l'exposition.

Ce qui compte comme données personnelles sous la revLPD

La définition des données personnelles de la revLPD suit de près celle du RGPD. Les données personnelles sont des informations relatives à une personne identifiée ou identifiable, et le PFPDT a constamment traité les cookies, les identifiants publicitaires, les adresses IP, les empreintes de dispositifs et les profils comportementaux comme des données personnelles lorsqu'ils peuvent être rattachés à un individu directement ou par combinaison avec d'autres informations.

Données personnelles particulièrement sensibles

La revLPD définit une catégorie dite de données personnelles particulièrement sensibles, qui est légèrement plus large que les catégories particulières du RGPD. Elle comprend : les données sur les opinions et activités religieuses, philosophiques, politiques ou syndicales, les données de santé, les données sur la sphère intime ou l'origine raciale ou ethnique, les données génétiques et biométriques permettant d'identifier une personne de manière unique, les données sur les procédures et sanctions administratives et pénales, et les données sur les mesures d'aide sociale. Le traitement de données personnelles particulièrement sensibles déclenche des exigences renforcées de consentement et de transparence.

Pourquoi cela est important pour les cookies

Un cookie stockant un identifiant publicitaire ordinaire constitue des données personnelles ordinaires. Un cookie qui alimente un segment d'audience touchant à la liste des données particulièrement sensibles — intérêts pour la santé, opinions politiques, appartenance religieuse — constitue un traitement de données personnelles particulièrement sensibles et requiert un consentement explicite, distinct du flux de consentement publicitaire général. Le ciblage d'audience en langue suisse qui recoup cette liste devrait faire l'objet d'un audit spécifique par rapport à la frontière, qui est tracée légèrement différemment de celle du RGPD en matière de catégories particulières.

Le consentement aux cookies sous la revLPD en 2026

La revLPD autorise plusieurs bases légales de traitement, et contrairement à la directive ePrivacy telle qu'appliquée dans les États membres de l'UE, le droit suisse n'impose pas une ligne de base légale du seul consentement pour les cookies non essentiels. Dans la pratique, cependant, les orientations du PFPDT de 2024 et 2025 et les décisions d'application les plus récentes ont convergé vers une position très proche de la ligne de base UE pour les cookies liés à la publicité, à l'analytique et au profilage croisé.

La position opérationnelle du PFPDT

La position publiée du PFPDT est que les cookies non essentiels — y compris la publicité, le reciblage, l'analytique intersites et la personnalisation — nécessitent un consentement préalable, éclairé, librement donné et spécifique recueilli avant le dépôt du cookie. Les cookies strictement nécessaires et les cookies prenant en charge un service que l'utilisateur a expressément demandé peuvent être déposés sur la base de l'intérêt légitime ou sur la base de l'exécution du contrat sans sollicitation préalable de consentement, mais la charge de qualifier un cookie de strictement nécessaire incombe au responsable du traitement et a été contestée dans plusieurs plaintes de 2025.

Les éléments d'un consentement valide

Le consentement au titre de la revLPD doit être :

• Libre — sans contrainte, sans couplage avec la fourniture d'un service essentiel, ni mur de cookies conditionnant l'accès au contenu principal à l'acceptation d'un cookie non essentiel
• Éclairé — la personne concernée comprend quelles données sont traitées, par qui, pour quelles finalités et vers quels destinataires
• Spécifique — lié à des finalités de traitement clairement identifiées plutôt qu'à un consentement fourre-tout
• Non ambigu — exprimé par un acte positif clair, non déduit du défilement, de la poursuite de la navigation ou de l'inactivité
• Explicite dans les cas impliquant des données personnelles particulièrement sensibles, avec un consentement distinct pour le traitement sensible

À quoi ressemble un CMP conforme pour le trafic suisse

Un CMP configuré pour la Suisse en 2026 devrait présenter :

• Une bannière affichée dans la langue de l'utilisateur — allemand, français, italien ou romanche — avant tout dépôt de cookie non essentiel, avec une sélection de langue correspondant à la localisation du site .ch plutôt qu'un recours par défaut à l'anglais
• Une égale mise en avant visuelle des actions Accepter, Refuser et Paramètres — le PFPDT dans ses orientations 2025 critique explicitement les designs de bannières où Refuser est visuellement minimisé par rapport à Accepter
• Des cases à cocher granulaires par finalité : analytique, publicité, personnalisation, transfert transfrontalier et toute catégorie particulièrement sensible
• Un flux de consentement distinct pour tout traitement de données personnelles particulièrement sensibles, verrouillé derrière sa propre action plutôt que regroupé dans le consentement général
• Un mécanisme permanent et facilement accessible pour retirer le consentement après le choix initial, avec une friction équivalente à celle du recueil du consentement
• Un avis de confidentialité complet en langue suisse divulguant l'identité du responsable, les sous-traitants, les finalités, les destinataires, les durées de conservation, les mécanismes de transfert et la voie d'exercice des droits des personnes concernées

Registres de consentement

Les responsables du traitement doivent conserver des preuves du consentement — qui a consenti, quand, pour quelles finalités spécifiques et via quelle interface. Des registres de consentement insuffisants ont été relevés dans plusieurs lettres d'enquête du PFPDT en 2025, et des journaux exportables horodatés conservés pendant le délai de prescription applicable constituent l'attente de référence.

Les transferts transfrontaliers après le réalignement d'adéquation de 2024

Les transferts transfrontaliers de données sont le domaine de la revLPD où la position suisse s'écarte le plus clairement de la position de l'UE, avec un léger retard. Le réalignement de 2024 faisant suite à l'adoption par l'UE du EU-US Data Privacy Framework a produit un Swiss-US Data Privacy Framework parallèle, mais sa portée et ses conditions ne sont pas identiques.

Les mécanismes de transfert reconnus

La revLPD et la rev-OPDo reconnaissent plusieurs voies :

• Décisions d'adéquation du Conseil fédéral suisse pour les pays jugés offrant une protection adéquate — la liste actuelle comprend l'EEE, le Royaume-Uni et quelques autres juridictions
• Le Swiss-US Data Privacy Framework pour les transferts vers des organisations américaines auto-certifiées dans le cadre du mécanisme, qui a remplacé le Swiss-US Privacy Shield après 2024
• Les clauses contractuelles types reconnues par le PFPDT, notamment les SCC de l'UE avec l'addendum suisse publié par le PFPDT
• Les règles d'entreprise contraignantes approuvées par le PFPDT
• Des dérogations spécifiques notamment le consentement explicite avec information adéquate, la nécessité contractuelle, l'intérêt vital et l'intérêt public important

Le Swiss-US DPF en pratique

Le Swiss-US DPF couvre les transferts vers des organisations américaines auto-certifiées qui ont maintenu leur certification. Les éditeurs devraient vérifier le statut de certification actif de chaque fournisseur américain de technologie publicitaire ou d'analytique sur la liste DPF plutôt que de s'appuyer sur une vérification ponctuelle, car les certifications déchues n'invalident pas rétroactivement les transferts antérieurs mais nécessitent une remédiation immédiate pour les flux en cours. Lorsqu'un fournisseur n'est pas certifié DPF, les SCC de l'UE avec l'addendum suisse du PFPDT restent l'alternative opérationnelle.

L'approche pratique pour 2026

Pour la plupart des éditeurs, l'approche opérationnelle consiste à cartographier chaque flux de données transfrontalier provenant du trafic suisse vers son pays de destination et son mécanisme, à conclure les SCC-avec-addendum-suisse appropriées lorsque la certification DPF ne couvre pas le fournisseur, à documenter le mécanisme dans l'avis de confidentialité en langue suisse, et à compléter par une autorisation fondée sur le consentement uniquement là où les mécanismes structurés ne s'ajustent pas proprement au traitement.

Les droits des personnes concernées sous la revLPD

La revLPD accorde un ensemble de droits qui suivent de près le RGPD, avec quelques contours spécifiquement suisses :

• Droit d'accès aux données personnelles détenues par le responsable, avec un premier accès gratuit par an et un plafond de récupération des coûts pour les demandes ultérieures ou de grande envergure
• Droit de rectification des données inexactes ou incomplètes
• Droit à l'effacement
• Droit à la limitation du traitement
• Droit à la portabilité des données pour les données traitées par des moyens automatisés sur la base du consentement ou d'un contrat
• Droit d'opposition au traitement
• Droit de retirer le consentement
• Droit de ne pas faire l'objet d'une décision individuelle automatisée produisant des effets juridiques ou produisant des effets significatifs de manière similaire, avec une garantie de révision manuelle
• Droit d'introduire une réclamation auprès du PFPDT ou d'engager une procédure civile

Délais de réponse

Les responsables du traitement doivent répondre aux demandes des personnes concernées dans un délai de 30 jours dans le cadre général, prorogeable par une notification motivée dans les cas complexes. La capacité opérationnelle à respecter ce délai — avec des outils en langue suisse et des procédures opérationnelles en allemand, français et italien — est un manque courant pour les éditeurs étrangers ayant calibré leur programme sur une seule langue européenne.

Sanctions et posture d'application en 2026

L'activité d'application du PFPDT s'est sensiblement accentuée tout au long de 2024 et 2025, et 2026 poursuit la trajectoire plutôt qu'elle ne se stabilise.

La structure des amendes

Les amendes sont principalement de nature pénale et dirigées contre des personnes nommément désignées — directeurs, DPO, responsables conformité — avec un plafond de 250 000 CHF par infraction intentionnelle. Les catégories les plus fréquemment citées dans les actions d'application de 2025 étaient : l'information insuffisante aux personnes concernées, la violation du devoir de diligence dans les transferts transfrontaliers, le manquement à l'obligation de notifier les violations de données au PFPDT dans le délai requis, et le non-respect des décisions ou injonctions du PFPDT.

Le filet de responsabilité pénale

Contrairement au RGPD, la voie de responsabilité pénale de la revLPD vise la personne physique responsable et non la seule entité juridique, ce qui a incité à une restructuration interne substantielle des workflows de validation en 2025. L'effet concret est que les attestations de conformité et les pistes d'audit importent non seulement pour l'exposition de l'organisation mais aussi pour celle de l'individu — et les DPO en particulier ont adapté leurs pratiques documentaires en conséquence.

Thèmes d'application

Les actions du PFPDT en 2025 et début 2026 se concentrent autour de : des bannières de cookies qui minimisent visuellement l'action Refuser ou utilisent des cases pré-cochées, des avis de confidentialité indisponibles dans la langue nationale suisse de l'utilisateur, des transferts transfrontaliers vers des fournisseurs américains non certifiés DPF et dépourvus de mécanisme alternatif, l'absence de réponse aux demandes des personnes concernées dans le délai de 30 jours, et des notifications de violation tardives ou manquantes. Les éditeurs étrangers ont été cités dans les cinq catégories, les catégories conception de bannières et transferts transfrontaliers dominant le rôle.

Liste de contrôle d'audit pour le trafic suisse en 2026

• La bannière du CMP est affichée dans la langue nationale suisse de l'utilisateur (DE, FR, IT ou RM) avec Accepter, Refuser et Paramètres à égale visibilité
• Les finalités de consentement sont granulaires et le traitement particulièrement sensible est isolé derrière son propre flux de consentement
• L'avis de confidentialité est disponible dans chaque langue suisse pertinente avec divulgation complète du responsable, des sous-traitants, des finalités, de la conservation, des droits et de la voie de réclamation auprès du PFPDT
• Chaque flux transfrontalier issu du trafic suisse est cartographié selon sa destination et son mécanisme — adéquation, certification Swiss-US DPF, SCC avec addendum suisse PFPDT, BCR ou dérogation documentée
• Le statut de certification DPF du fournisseur américain est revérifié sur la liste publiée plutôt que collecté une fois et oublié
• Les registres de consentement sont horodatés, exportables et conservés pendant le délai de prescription applicable
• Le workflow de traitement des demandes des personnes concernées peut répondre dans les 30 jours de bout en bout, en allemand, français et italien
• Le runbook de notification de violation est calé sur les délais de la revLPD et intégré au processus interne de réponse aux incidents
• Les workflows de validation reflètent l'architecture de responsabilité pénale individuelle, avec des approbateurs nommément désignés et une piste documentaire
• Les segments d'audience à catégorie particulièrement sensible sont verrouillés derrière un consentement explicite recueilli séparément
• La classification des cookies a été réexaminée d'un œil critique quant aux cookies qui satisfont effectivement à la notion de strictement nécessaire au sens des orientations du PFPDT

Perspectives 2026

Le régime suisse de protection des données a évolué d'un texte ancien respecté mais discret vers un instrument opérationnel doté de la spécificité opérationnelle, de la capacité d'application et de l'architecture de responsabilité pénale nécessaires pour façonner les priorités de conformité de manière autonome plutôt que de simplement suivre le programme européen. Le réalignement d'adéquation de 2024 a comblé l'écart structurel le plus conséquent autour des transferts vers les États-Unis, et la posture d'application croissante du PFPDT en 2025 est cohérente avec celle d'un régulateur qui monte en puissance de manière durable plutôt que de mener une campagne ponctuelle. Pour les éditeurs qui disposent déjà d'une pile de consentement de niveau RGPD, l'écart à combler pour se conformer à la revLPD est plus étroit que pour toute autre juridiction non-UE — mais il est réel, et il réside dans les détails : bannières et avis en langue suisse, cartographie DPF vs. SCC pour chaque fournisseur américain, la ligne légèrement différente de la catégorie particulièrement sensible, la cadence de réponse à 30 jours dans trois ou quatre langues, et l'architecture de responsabilité pénale qui fait de la documentation individuelle de validation un artefact de conformité de premier ordre plutôt qu'un accessoire optionnel. L'écart peut être comblé en quelques semaines si l'on s'y attelle, et les CPM des éditeurs suisses rendent cette prioritisation économiquement évidente. Les éditeurs qui traitaient discrètement la Suisse comme une extension du RGPD jusqu'en 2024 découvrent que 2026 est sensiblement plus exigeant, et la tendance est claire.