RGPD Site Suisse : Conformité Simplifiée PME 2026

Q: Faut-il faire appel à un juriste pour les aspects LPD d'un projet SI ?

Pour les aspects d'interprétation juridique, oui. Pour l'intégration des exigences LPD dans les spécifications fonctionnelles et techniques du SI, c'est le rôle du Business Analyst, qui fait le lien entre les contraintes juridiques et les décisions de conception.

Depuis l’entrée en vigueur de la nouvelle LPD en septembre 2023, les institutions suisses sont tenues d’intégrer la protection des données personnelles dans leurs systèmes d’information, et non plus de l’ajouter après coup. Ce changement de paradigme a des implications directes sur la façon dont les projets SI doivent être conçus et spécifiés. Ce que vous allez découvrir :

Ce que la LPD impose concrètement aux systèmes d’information institutionnels
La différence entre conformité de façade et conformité structurelle
Comment intégrer les exigences LPD dès la phase de spécifications

LPD et SI : une question de conception, pas de documentation

L’erreur la plus fréquente dans les projets SI est de traiter la conformité LPD comme une couche documentaire à ajouter en fin de projet : une politique de confidentialité, un registre des traitements, quelques cases à cocher. Cette approche produit une conformité de façade qui ne résiste pas à un audit sérieux.

La conformité LPD structurelle signifie que les principes de protection des données sont intégrés dans l’architecture même du système : qui peut accéder à quelles données, dans quelles conditions, avec quelle traçabilité, et pour quelle durée de conservation. Ces décisions doivent être prises lors de la phase de rédaction des spécifications fonctionnelles, pas après le déploiement.

Principe fondamental de la LPD : « Privacy by design » : la protection des données doit être intégrée dans la conception du système dès le départ, pas ajoutée a posteriori. Ce principe est explicitement requis par la loi suisse depuis septembre 2023.

Ce que la LPD impose aux systèmes d’information

La minimisation des données

Un système SI ne doit collecter et traiter que les données strictement nécessaires à sa finalité. Dans la pratique, cela signifie que chaque champ de données dans un système doit être justifié par un besoin métier documenté. Les données collectées « au cas où elles pourraient être utiles un jour » ne sont pas conformes.

Pour un Business Analyst, cette exigence se traduit concrètement lors de la rédaction des cas d’usage : chaque donnée mentionnée doit être associée à une finalité précise et à une base légale identifiée (exécution d’un contrat, obligation légale, intérêt légitime, consentement).

Les droits des personnes concernées

La LPD renforce les droits des personnes dont les données sont traitées : droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité. Pour un système SI institutionnel, ces droits doivent être techniquement implémentables : le système doit permettre d’extraire toutes les données d’une personne, de les corriger, et de les supprimer sans affecter l’intégrité des autres enregistrements.

Cette exigence technique doit figurer dans les spécifications d’architecture du système, pas dans sa documentation post-déploiement.

La traçabilité des accès aux données sensibles

En milieu hospitalier et bancaire, les données traitées sont par nature sensibles (données de santé, données financières). La LPD exige que les accès à ces données soient tracés, que les logs soient conservés selon des règles définies, et que les accès non autorisés puissent être détectés et signalés.

LPD vs RGPD : les différences à connaître pour les institutions suisses

Aspect	RGPD (EU)	LPD (Suisse)
Champ d’application	Personnes physiques et morales	Personnes physiques uniquement
Consentement	Explicite dans la majorité des cas	Implicite possible dans certains contextes
Autorité de contrôle	Autorités nationales (ex. CNIL France)	Préposé fédéral à la protection des données (PFPDT)
Sanctions maximales	4% du CA mondial ou 20M EUR	CHF 250 000 (responsabilité personnelle)
Privacy by design	Obligatoire	Obligatoire depuis sept. 2023
Registre des traitements	Obligatoire dès 250 employés	Recommandé, obligatoire selon secteur

Point d’attention pour les institutions transfrontalières : Une institution suisse qui traite des données de personnes résidant dans l’UE est soumise simultanément à la LPD et au RGPD. Les deux référentiels doivent être respectés, et le plus contraignant s’applique en cas de conflit.

Intégrer la LPD dans un projet SI : les étapes concrètes

La démarche recommandée pour intégrer les exigences LPD dans un projet SI suit une logique BA structurée :

Cartographie des données traitées : identifier toutes les données personnelles que le système va collecter, traiter ou stocker, et documenter leur finalité et leur base légale
Analyse des risques (PIA, Privacy Impact Assessment) : évaluer les risques pour les personnes concernées selon la sensibilité des données et les mesures de protection envisagées
Définition des règles d’accès : spécifier précisément qui peut accéder à quelles données dans quelles conditions, avec quel niveau de traçabilité
Spécification des durées de conservation : définir pour chaque catégorie de données la durée maximale de conservation et les règles d’archivage ou de suppression
Intégration dans les critères d’acceptance : inclure le respect de ces règles dans les critères de validation de la recette, pas seulement dans la documentation

En pratique : La cartographie des données est souvent la phase la plus révélatrice. Dans les projets institutionnels, elle met régulièrement en évidence des données collectées depuis des années sans base légale documentée, des accès non tracés à des données sensibles, et des durées de conservation non définies. Ces points doivent être résolus avant que le nouveau système ne soit conçu.

Questions fréquentes

Faut-il faire appel à un juriste pour les aspects LPD d’un projet SI ?

Pour les aspects d’interprétation juridique (qualification des bases légales, analyse des risques de conformité), oui. Pour l’intégration des exigences LPD dans les spécifications fonctionnelles et techniques du SI, c’est le rôle du Business Analyst, qui fait le lien entre les contraintes juridiques et les décisions de conception du système.

Un système existant non conforme doit-il être refondu entièrement ?

Pas nécessairement. Un audit de conformité permet d’identifier précisément les écarts et de définir un plan de mise en conformité priorisé. Certains écarts peuvent être corrigés par des mesures organisationnelles ou documentaires. D’autres nécessitent des modifications techniques ciblées. Une refonte complète n’est nécessaire que dans les cas les plus graves.

La LPD s’applique-t-elle aux données des collaborateurs, pas seulement des clients ?

Oui. Les données des collaborateurs (contrats, évaluations, données de santé, données de localisation) sont soumises aux mêmes exigences que les données clients. Les systèmes RH, les outils de gestion de présence et les plateformes de communication interne sont concernés.

Quelle est la différence entre un registre des traitements et une politique de confidentialité ?

Le registre des traitements est un document interne qui liste tous les traitements de données personnelles effectués par l’institution, avec leur finalité, leur base légale, les catégories de données concernées et les mesures de sécurité appliquées. La politique de confidentialité est le document public qui informe les personnes concernées de leurs droits et des traitements effectués. Les deux sont complémentaires et requis.

Un projet SI avec des données personnelles sensibles ?

L’intégration des exigences LPD dès la phase de spécifications protège l’institution et simplifie l’audit de conformité. Un premier échange permet d’évaluer le niveau de risque de votre projet.

Prendre rendez-vous

LPD et systèmes d’information : ce que les institutions suisses doivent intégrer dès la conception

LPD et SI : une question de conception, pas de documentation

Ce que la LPD impose aux systèmes d’information

La minimisation des données

Les droits des personnes concernées

La traçabilité des accès aux données sensibles

LPD vs RGPD : les différences à connaître pour les institutions suisses

Intégrer la LPD dans un projet SI : les étapes concrètes

Questions fréquentes

Faut-il faire appel à un juriste pour les aspects LPD d’un projet SI ?

Un système existant non conforme doit-il être refondu entièrement ?

La LPD s’applique-t-elle aux données des collaborateurs, pas seulement des clients ?

Quelle est la différence entre un registre des traitements et une politique de confidentialité ?

Un projet SI avec des données personnelles sensibles ?

Architecture de l’information dans les projets SI : le fondement que les équipes IT oublient

Pourquoi 70% des projets SI en milieu hospitalier dérivent (et comment l’éviter)

Audit SI : 5 étapes pour analyser un système d’information institutionnel

Diagnostiquer avant de construire : la règle d’or des projets SI réussis

5 questions à poser avant de lancer un projet SI dans votre institution

Projets SI : pourquoi ils dérivent et comment l’éviter

LPD et SI : une question de conception, pas de documentation

Ce que la LPD impose aux systèmes d’information

La minimisation des données

Les droits des personnes concernées

La traçabilité des accès aux données sensibles

LPD vs RGPD : les différences à connaître pour les institutions suisses

Intégrer la LPD dans un projet SI : les étapes concrètes

Questions fréquentes

Faut-il faire appel à un juriste pour les aspects LPD d’un projet SI ?

Un système existant non conforme doit-il être refondu entièrement ?

La LPD s’applique-t-elle aux données des collaborateurs, pas seulement des clients ?

Quelle est la différence entre un registre des traitements et une politique de confidentialité ?

Un projet SI avec des données personnelles sensibles ?

Publications similaires