Depuis le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) a remplacé l’ancienne loi de 1992. Beaucoup de commerçants ont entendu parler de la nouveauté, en ont conclu qu’il fallait faire “quelque chose”, et n’ont jamais trouvé le temps de creuser. Voici concrètement ce qui s’applique à un commerce indépendant, et ce qu’il faut faire.

Pour qui s’applique vraiment la nLPD ?

La loi s’applique à toute personne ou entreprise qui traite des données personnelles sur le territoire suisse, peu importe sa taille. Donc oui, votre salon de coiffure ou votre restaurant est concerné dès lors que vous gérez une liste de clients, vous envoyez des emails, vous prenez des rendez-vous en ligne, ou vous avez un site web qui collecte des informations.

Cela dit, la loi est proportionnée. Les obligations qui pèsent sur une grande entreprise traitant des millions de données ne sont pas les mêmes que celles d’un commerce avec quelques centaines de clients. Pas de panique.

Les obligations concrètes pour un commerce de proximité

1. Informer vos clients sur les données collectées

C’est le principe central de la loi : la transparence. Quand vous collectez des données personnelles (nom, email, téléphone, allergies, photos avant/après), vous devez expliquer à la personne ce que vous faites avec ces données, combien de temps vous les gardez, et avec qui vous les partagez.

Pour un site web, cela se traduit par une politique de confidentialité facilement accessible (généralement dans le footer), rédigée clairement, qui couvre tous les traitements de données effectués via le site et via votre activité.

Pour la prise de rendez-vous ou un fichier client, il suffit d’une mention au moment de la première collecte (“Vos données sont utilisées pour gérer nos rendez-vous, et seront supprimées sur simple demande”).

2. Respecter le droit de regard de vos clients

Tout client peut vous demander : quelles données avez-vous sur moi ? À qui les avez-vous transmises ? Pouvez-vous me les transmettre dans un format lisible ? Pouvez-vous les corriger ou les supprimer ?

Concrètement, vous devez être capable de répondre à ces demandes dans un délai raisonnable (la loi parle de 30 jours). Pour un petit commerce, c’est généralement simple : vous regardez dans votre logiciel de gestion (ou votre cahier de rendez-vous papier), vous fournissez l’information, vous corrigez ou supprimez si demandé.

Le plus important est de ne pas paniquer si une telle demande arrive. Ce n’est pas une attaque, c’est un droit légitime du client, et le traiter avec sérieux renforce la confiance.

3. Sécuriser raisonnablement les données

La loi demande des mesures “appropriées” de sécurité. Pour un commerce de proximité, cela signifie concrètement :

  • Vos fichiers clients ne traînent pas dans un dossier accessible à tous
  • Vos mots de passe ne sont pas “1234” et ne sont pas écrits sur un post-it visible
  • Si vous utilisez un cloud (Google Drive, Dropbox), vous avez activé la double authentification
  • Si vous envoyez des emails groupés à vos clients, vous utilisez la copie cachée (Cci) pour ne pas exposer leurs adresses entre eux
  • Votre site web est en HTTPS (cadenas vert dans le navigateur)
  • Les ordinateurs avec les données clients sont protégés par un mot de passe

Ce n’est pas révolutionnaire — c’est de l’hygiène numérique de base, qui s’applique maintenant comme une obligation légale.

4. Notifier en cas de fuite grave

Si un incident de sécurité expose des données de vos clients (vol de votre ordinateur avec le fichier client dessus, piratage de votre compte email avec des informations sensibles, etc.), vous devez notifier le PFPDT (Préposé fédéral à la protection des données) et informer les personnes concernées, dans les meilleurs délais.

Pour la plupart des commerces, ce cas ne se présentera jamais. Mais il est utile de le savoir et d’avoir un réflexe : en cas de doute, contacter rapidement un juriste ou un professionnel pour cadrer la réponse appropriée.

5. Avoir un registre des traitements (pour certains)

C’est une obligation qui s’applique aux entreprises de plus de 250 employés et aux traitements à risques élevés. Pour un commerce de moins de 250 personnes, et qui ne traite pas de données particulièrement sensibles (santé, opinions politiques, etc.), ce registre n’est pas obligatoire.

Si vous êtes un institut esthétique qui collecte des données médicales (allergies, traitements en cours), un peu de prudence s’impose et un registre simple peut être recommandé. Sinon, rien d’obligatoire de ce côté.

Ce qui change avec un site web

Si vous avez un site web, quelques points spécifiques s’ajoutent :

Les cookies de pistage. Si votre site utilise Google Analytics, Facebook Pixel, ou tout autre traceur, vous devez obtenir le consentement du visiteur avant de les activer. C’est pour ça que les bannières de cookies sont omniprésentes. L’alternative que nous recommandons : ne pas utiliser de cookies de pistage. C’est ce qu’on fait par défaut sur les sites Olvio — pas de cookies, donc pas besoin de bannière.

Le formulaire de contact. Quand quelqu’un vous écrit via votre site, vous collectez ses données. Une case à cocher “J’accepte que mes données soient utilisées pour me répondre” et un lien vers la politique de confidentialité suffisent à couvrir la base.

Les transferts hors de Suisse. Si vous utilisez des outils hébergés aux États-Unis (Google Workspace, Mailchimp, etc.), vos données transitent par les États-Unis. Ce n’est pas interdit, mais doit être mentionné dans votre politique de confidentialité et idéalement couvert par des garanties contractuelles appropriées. La plupart des grands outils ont mis ces garanties en place.

Le piège à éviter : la sur-conformité

Beaucoup d’agences vendent du “audit nLPD” à des prix élevés pour des commerces qui n’en ont pas besoin. Si votre activité est limitée à un fichier client simple, quelques emails de rendez-vous, et un site vitrine, vous n’avez pas besoin d’un DPO (data protection officer), pas besoin d’un audit complet, pas besoin de logiciels spécialisés.

Ce qu’il vous faut, c’est : une politique de confidentialité claire sur votre site, une mention sur vos formulaires, le respect des règles d’hygiène numérique de base, et la capacité de répondre à une demande de client si elle arrive. Pour 95% des commerces de proximité romands, c’est suffisant.

Ce que nous faisons systématiquement chez Olvio

Quand on construit un site pour un client, la conformité nLPD est intégrée dès la conception :

  • Politique de confidentialité rédigée et adaptée à votre activité
  • Mentions sur les formulaires
  • Pas de cookies de pistage par défaut
  • Hébergement principal en Europe (Cloudflare, Infomaniak)
  • Certificat HTTPS systématique
  • Documentation des outils tiers utilisés et des transferts éventuels

C’est un volet sur lequel on ne fait pas l’impasse, parce qu’il évite des problèmes plus tard tout en rassurant vos clients sur le sérieux de votre approche.

Pour creuser le sujet, le site officiel du PFPDT propose des guides accessibles : edoeb.admin.ch. Si vous avez des questions précises pour votre commerce, écrivez-nous.