Contrôle nLPD en Suisse : Les 5 documents que le PFPDT demandera à votre DPO en cas d'audit

Contrôle nLPD en Suisse : Les 5 documents que le PFPDT demandera à votre DPO en cas d'audit

Publié par Thomas dans la catégorie Conformité Dernière modification : 09.01.2026 à 12h28

Table des matières

Depuis l'entrée en vigueur de la nouvelle LPD (nLPD) et le renforcement des pouvoirs du Préposé Fédéral (PFPDT), le climat a changé en Suisse. Les contrôles ne sont plus de la science-fiction.

Une simple plainte d'un client mécontent ("Je n'arrive pas à me désinscrire"), une dénonciation d'un concurrent ou une fuite de données mineure peuvent déclencher une enquête administrative.

Contrairement au RGPD européen qui sanctionne l'entreprise (amende % du CA), la nLPD suisse vise la responsabilité pénale personnelle des dirigeants (amende jusqu'à CHF 250'000 contre la personne physique).

Si le PFPDT frappe à votre porte demain matin, il ne demandera pas si vous avez "essayé" d'être conforme. Il demandera des preuves. Voici les 5 documents techniques que vous devez être capable de produire sous 48h.

1. Le Registre des Activités de Traitement (Data Mapping)

C'est la base. Vous devez savoir quelles données vous collectez, pourquoi, et où elles vont.

La question du PFPDT : "Prouvez-moi que vous maîtrisez vos flux de données."

Ce qu'il faut fournir : Un inventaire exhaustif et à jour.

  • Mauvaise réponse : "On utilise Google Analytics et Facebook, je crois."

  • Bonne réponse : Un document listant chaque outil (Tag), la catégorie de données (IP, Email, Comportement), la finalité (Marketing, Stats), la durée de conservation et le lieu d'hébergement.

L'astuce A-Track : Un fichier Excel statique créé en 2023 ne suffit plus. Votre registre doit refléter la réalité technique actuelle de votre site (qui change à chaque mise à jour).

2. Le Journal des Consentements (Logs CMP)

Avoir un bandeau de cookies sur votre site ne prouve rien. Le PFPDT voudra vérifier que le bandeau fonctionne réellement.

La question du PFPDT : "Comment prouvez-vous que M. Dupont a accepté le traçage publicitaire le 12 janvier 2026 à 14h02 ?"

Ce qu'il faut fournir : L'extrait des logs de votre CMP (Consent Management Platform). Ce fichier contient :

  • L'ID de consentement (anonyme).

  • La date et l'heure (Timestamp).

  • La version de la politique de confidentialité acceptée.

  • Le détail des catégories acceptées (Marketing: OUI, Stats: NON).

Si vous utilisez un plugin gratuit ou mal configuré qui ne stocke pas ces logs, vous êtes juridiquement nu.

3. L'Analyse d'Impact (AIPD) pour les transferts hors-CH

Si vous utilisez des outils américains (Google Ads, Meta, Mailchimp) ou chinois (TikTok), vous exportez des données de citoyens suisses vers des pays jugés "non adéquats" (sauf cadre DPF spécifique).

La question du PFPDT : "Quelles mesures techniques avez-vous prises pour protéger ces données transférées ?"

Ce qu'il faut fournir : Une documentation technique prouvant que vous minimisez le risque. C'est ici que l'architecture Server-Side Tracking devient votre meilleure avocate. Elle vous permet de prouver que vous avez :

  • Anonymisé les adresses IP avant l'envoi.

  • Haché (pseudonymisé) les emails.

  • Bloqué l'envoi de données sensibles.

4. La Preuve de "Privacy by Design" (Configuration GTM)

La loi exige que la protection soit intégrée "par défaut".

La question du PFPDT : "Vos balises de traçage sont-elles bloquées par défaut avant le clic 'Accepter' ?"

Ce qu'il faut fournir : Une démonstration technique ou un audit de configuration Google Tag Manager (GTM). Si le contrôleur ouvre votre site et voit que le pixel Facebook se déclenche avant qu'il n'ait cliqué sur "Accepter", c'est une violation flagrante (et très facile à constater). C'est l'erreur n°1 que nous corrigeons chez nos clients.

5. Les Contrats de Sous-Traitance (DPA)

Vous êtes responsable de ce que font vos prestataires avec vos données.

La question du PFPDT : "Avez-vous des garanties contractuelles avec votre agence média et vos outils SaaS ?"

Ce qu'il faut fournir : Les DPA (Data Processing Agreements) signés. Vérifiez que vos contrats avec vos agences digitales incluent des clauses nLPD claires, précisant qu'ils n'ont pas le droit de réutiliser vos données pour leur propre compte (ce que font souvent certaines plateformes de retargeting opaques).

Conclusion : La conformité n'est pas un état, c'est un processus

Produire ces 5 documents demande une collaboration étroite entre le Juridique (DPO) et le Technique (IT/Marketing).

Si vous avez un doute sur l'un de ces points, vous êtes en situation de risque. La bonne nouvelle ? Tout cela se corrige et se documente.

Ne paniquez pas, mais agissez avant le contrôle.

Vous n'êtes pas sûr d'avoir ces 5 documents ?

A-Track réalise des "Audits Blancs" (Mock Audit). Nous jouons le rôle du PFPDT, nous testons votre conformité, et nous vous livrons le dossier de preuves prêt à être présenté.

Je veux sécuriser mon entreprise (Audit nLPD)

Questions fréquemment posées

Quels documents le PFPDT demande-t-il lors d'un contrôle nLPD ?
En cas d'audit, le Préposé Fédéral (PFPDT) exigera principalement 5 documents : 1) Le registre des activités de traitement à jour, 2) Les journaux (logs) de consentement prouvant que les utilisateurs ont validé les cookies, 3) L'analyse d'impact (AIPD) pour les transferts de données hors-Suisse, 4) La preuve technique que les traceurs sont bloqués par défaut (Privacy by Design), et 5) Les contrats de sous-traitance (DPA) avec vos prestataires.

Qui paie l'amende nLPD en cas de non-conformité : l'entreprise ou le directeur ?
Contrairement au RGPD européen qui sanctionne l'entreprise, la nLPD suisse peut sanctionner la personne physique responsable (Dirigeant, DSI, DPO) si la violation est intentionnelle. L'amende peut atteindre CHF 250'000 et doit être payée personnellement par l'individu, sans possibilité de prise en charge par l'assurance de l'entreprise.