ChatGPT
Claude
Perplexity
Gemini
GrokUn audit de conformité données en Suisse : nLPD, pas RGPD
La Suisse n'est pas membre de l'Union européenne. La loi applicable est la nouvelle Loi fédérale sur la protection des données (nLPD, RS 235.1), en vigueur depuis le 1er septembre 2023 — non le RGPD. Ses mécanismes diffèrent fondamentalement : sanctions personnelles (pas d'amendes administratives d'entreprise), conseiller à la protection des données facultatif, et absence d'équivalent suisse de l'IA Act.
62 % des établissements n'ont pas de procédure documentée pour le traitement des données prospects (Source : enquête Skolbot, décembre 2025). Cette checklist en 20 points traduit les obligations nLPD en actions concrètes pour les HES, universités cantonales, EPF et écoles privées suisses. L'autorité de référence est le PFPDT. Pour le cadre nLPD complet, consultez notre guide nLPD pour les écoles suisses.
Partie 1 — Gouvernance et base légale (points 1 à 5)
1. Évaluer la nécessité d'un conseiller à la protection des données
Contrairement au RGPD, la nLPD ne rend pas le DPO obligatoire. L'article 29 prévoit un conseiller à la protection des données (CPD) à titre facultatif. Sa présence est un signal fort de gouvernance lors d'un contrôle PFPDT. Pour une HES-SO, une université cantonale ou une école privée traitant des données de candidature à grande échelle, désigner un CPD est fortement recommandé.
Action : évaluer si votre établissement justifie la désignation d'un CPD. Formaliser la désignation et publier ses coordonnées dans la politique de confidentialité.
2. Dresser et maintenir le registre des activités de traitement
L'article 12 nLPD impose un registre à tout établissement de 250 employés ou plus — et à toute organisation traitant des données à risque élevé. Pour une HES traitant des dossiers de candidature, des données de santé pour aménagements d'examens, ou utilisant un chatbot IA, le registre est probablement obligatoire même sous ce seuil.
Action : lister chaque activité par service (admissions, scolarité, communication, DSI). Pour chaque activité : catégories de données, finalité, base légale, durée de conservation, et transferts hors de Suisse.
3. Valider la base légale de chaque traitement
L'article 13 nLPD reconnaît plusieurs bases légales : consentement, intérêt prépondérant, obligation légale, exécution d'un contrat. Dans le contexte suisse, l'intérêt prépondérant est souvent applicable pour le recrutement étudiant. Les données sensibles (santé, religion, opinions politiques) requièrent une justification renforcée.
Action : documenter la base légale nLPD pour chaque traitement. Identifier et traiter séparément les catégories de données sensibles.
4. Vérifier l'existence et la qualité des analyses d'impact (AIPD)
L'article 22 nLPD impose une AIPD pour tout traitement à risque élevé : chatbot IA à grande échelle, profilage des candidats dans le CRM, scoring d'admission, vidéosurveillance campus. Si l'AIPD révèle un risque résiduel élevé, la consultation du PFPDT (art. 23 nLPD) est obligatoire avant de lancer le traitement.
Action : lister les traitements à risque élevé et vérifier qu'une AIPD existe pour chacun. Utiliser le modèle d'AIPD publié par le PFPDT.
5. Documenter les procédures de réponse aux droits des personnes
La nLPD garantit le droit d'accès (art. 25), de rectification, d'effacement, et de remise des données, avec un délai de réponse de 30 jours. Une violation peut aboutir à une procédure pénale — avec exposition personnelle jusqu'à CHF 250 000 (art. 46 nLPD).
Action : simuler une demande d'accès depuis une adresse test. Mesurer le délai réel et le nombre de systèmes impliqués. Documenter la procédure.
Partie 2 — Collecte et consentement (points 6 à 10)
6. Auditer chaque point de collecte de données
En Suisse, il n'existe pas de Parcoursup. Les HES organisent leurs admissions via swissuniversities ou leurs propres portails ; les universités cantonales gèrent leurs procédures distinctement. Les données entrent par les formulaires du site, le chatbot, les Info-days, les salons étudiants, et les dossiers de candidature en ligne.
89 % des prospects posent une question sur les frais (en CHF) lors de leur premier contact (Source : analyse de 12 000 conversations chatbot Skolbot, sept. 2025 — fév. 2026). Ces interactions génèrent des données personnelles dès qu'un identifiant est associé.
Action : cartographier chaque formulaire et point de contact — quelles données, quelle information (art. 19 nLPD), quelle base légale.
7. Contrôler la conformité des mentions d'information
La nLPD impose une obligation d'information (article 19) lors de toute collecte : responsable du traitement, finalité, destinataires éventuels, droits de la personne. C'est une obligation de transparence proactive, pas une obligation de consentement.
Action : vérifier que la mention d'information de chaque formulaire est lisible et accessible avant la collecte — pas enfouie dans une politique de confidentialité en pied de page.
8. Vérifier la gestion du consentement cookies
En Suisse, les cookies relèvent de la LTC (art. 45c) et de la nLPD. Le PFPDT recommande les meilleures pratiques européennes : consentement requis pour les cookies non essentiels, refus aussi simple que l'acceptation, preuve conservée. Les outils analytics américains qui transfèrent des données hors de Suisse sont particulièrement scrutés.
Action : tester le site depuis un navigateur vierge — Google Analytics, Meta Pixel et autres trackers ne doivent pas se charger avant le consentement explicite.
9. Vérifier le traitement des données de mineurs
La nLPD ne fixe pas de seuil d'âge précis pour le consentement numérique. Le Code civil suisse protège les mineurs (art. 13 ss) : les moins de 16 ans requièrent généralement le consentement de leurs représentants légaux pour des traitements significatifs.
Action : vérifier que les formulaires identifient les moins de 16 ans et prévoient un mécanisme de consentement parental documenté dans le registre.
10. Contrôler la proportionnalité des données collectées
L'article 6, alinéa 2 nLPD impose la proportionnalité : les données doivent être adéquates, pertinentes, et limitées à ce qui est nécessaire. Demander le numéro AVS lors d'une première prise de contact informative est disproportionné.
Action : lister les champs obligatoires de chaque formulaire et vérifier qu'ils sont justifiés par la finalité déclarée.
Partie 3 — Stockage et sécurité (points 11 à 15)
11. Vérifier les durées de conservation et la purge automatisée
La nLPD impose la suppression des données dès que la finalité est atteinte (art. 6 al. 3). Pour une HES : 3 ans pour les données prospects, 10 ans pour la comptabilité (Code des obligations), durée cantonale pour les dossiers académiques.
Action : interroger la base CRM — des candidats n'ayant jamais finalisé leur inscription figurent-ils encore après 3 ans ? Si oui, la purge automatisée ne fonctionne pas.
12. Contrôler le chiffrement en transit et au repos
L'article 8 nLPD impose des mesures techniques adaptées aux risques. TLS 1.3 en transit et AES-256 au repos constituent le standard attendu pour les données de candidature.
Action : vérifier via SSL Labs et confirmer le chiffrement au repos de la base étudiants et des sauvegardes.
13. Vérifier l'hébergement suisse ou en zone adéquate
L'article 16 nLPD liste les États vers lesquels le transfert est autorisé sans garantie supplémentaire (liste du Conseil fédéral — l'UE/EEE y figure). Pour les autres pays (notamment les États-Unis), des garanties supplémentaires sont nécessaires. Consultez notre guide sur le transfert de données hors UE.
Action : lister tous les services SaaS. Pour chacun : pays d'hébergement et mécanisme de transfert documenté si hors liste du Conseil fédéral.
14. Auditer les accès et la journalisation
Principe du moindre privilège et traçabilité : qui accède à quelles données, depuis quand ?
Action : extraire la liste des accès CRM et base étudiants. Désactiver les comptes inactifs. Confirmer la conservation des logs d'accès.
15. Tester les sauvegardes et la restauration
Une restauration jamais effectuée n'offre aucune garantie réelle de continuité.
Action : demander la date du dernier test de restauration réussi. S'il date de plus de 6 mois, planifier immédiatement.
Partie 4 — Sous-traitants et transferts (points 16 à 18)
16. Vérifier les contrats de traitement avec chaque prestataire
L'article 9 nLPD encadre le recours aux sous-traitants : un contrat documentant les conditions du traitement est exigé (équivalent fonctionnel du DPA sous le RGPD) pour chaque prestataire traitant des données pour votre compte.
Action : lister tous les prestataires (hébergeur, CRM, emailing, chatbot, plateforme d'admission) et vérifier l'existence d'un contrat conforme à l'art. 9 nLPD.
17. Contrôler les transferts internationaux de données
Les articles 16 et 17 nLPD encadrent les transferts hors de Suisse. Les outils SaaS américains nécessitent un mécanisme documenté : clauses contractuelles types nLPD, Swiss-US Data Privacy Framework, ou consentement explicite.
Action : pour chaque prestataire, vérifier la localisation des données traitées et le mécanisme de transfert. Un outil hébergé en Europe mais dont le support technique accède aux données depuis les États-Unis constitue un transfert indirect.
18. Auditer les sous-traitants des sous-traitants
L'article 9 nLPD impose de s'assurer que les obligations de protection sont respectées tout au long de la chaîne. Un CRM hébergé en Suisse utilisant un modèle IA américain implique un transfert indirect à documenter.
Action : demander à chaque prestataire la liste de ses sous-traitants. Vérifier les garanties en cascade et documenter les mécanismes de transfert à chaque niveau.
Partie 5 — IA et obligations spécifiques (points 19 à 20)
19. Évaluer vos systèmes d'IA au regard de la nLPD et des recommandations du PFPDT
La Suisse n'a pas d'IA Act. La régulation de l'IA repose sur la nLPD et les recommandations du PFPDT (2024). Pour une école suisse :
- Risque élevé : scoring de candidatures, recommandation automatisée, notation automatisée. Ces traitements déclenchent l'obligation d'AIPD (art. 22 nLPD).
- Risque modéré : chatbot informatif. Obligation principale : informer le candidat qu'il interagit avec une IA.
Action : inventorier tous les systèmes IA. Pour chaque système à risque élevé, réaliser une AIPD et documenter les mesures de mitigation. Consultez notre guide sur le chatbot IA pour les écoles suisses.
20. Vérifier la transparence algorithmique et la supervision humaine
L'article 21 nLPD donne aux personnes le droit d'obtenir des renseignements sur les décisions individuelles automatisées qui les affectent. Pour une décision d'admission, la supervision humaine est incontournable. Les standards de l'AAQ (Agence suisse d'accréditation) exigent des décisions motivées et contestables.
Action : pour chaque système IA influençant les admissions — supervision humaine documentée, information du candidat sur l'usage de l'IA, et procédure de contestation opérationnelle.
Synthèse : tableau récapitulatif de la checklist Suisse (nLPD)
| # | Point d'audit | Domaine | Priorité | Fréquence |
|---|---|---|---|---|
| 1 | Désignation CPD (facultatif — art. 29 nLPD) | Gouvernance | Haute | Annuelle |
| 2 | Registre des activités de traitement (art. 12) | Gouvernance | Critique | Semestrielle |
| 3 | Base légale par traitement (art. 13 nLPD) | Gouvernance | Critique | À chaque nouveau traitement |
| 4 | Analyse d'impact AIPD (art. 22 nLPD) | Gouvernance | Haute | Annuelle |
| 5 | Procédures droits des personnes (art. 25 nLPD) | Gouvernance | Haute | Annuelle + test simulé |
| 6 | Cartographie des points de collecte | Collecte | Haute | Semestrielle |
| 7 | Mentions d'information (art. 19 nLPD) | Collecte | Critique | Trimestrielle |
| 8 | Cookies (LTC art. 45c + nLPD) | Collecte | Critique | Trimestrielle |
| 9 | Données mineurs (CC suisse, art. 13 ss) | Collecte | Haute | Annuelle |
| 10 | Proportionnalité (art. 6 al. 2 nLPD) | Collecte | Moyenne | Semestrielle |
| 11 | Durées de conservation et purge | Stockage | Critique | Semestrielle |
| 12 | Chiffrement (art. 8 nLPD) | Sécurité | Critique | Annuelle |
| 13 | Hébergement suisse/EEE (art. 16 nLPD) | Sécurité | Haute | À chaque nouveau prestataire |
| 14 | Accès et journalisation | Sécurité | Haute | Trimestrielle |
| 15 | Sauvegardes et restauration | Sécurité | Haute | Semestrielle |
| 16 | Contrats sous-traitants (art. 9 nLPD) | Sous-traitance | Critique | Annuelle |
| 17 | Transferts internationaux (art. 16-17 nLPD) | Sous-traitance | Haute | À chaque nouveau prestataire |
| 18 | Sous-traitants des sous-traitants | Sous-traitance | Moyenne | Annuelle |
| 19 | Évaluation IA (PFPDT recommandations + art. 22) | IA | Haute | Annuelle |
| 20 | Transparence et supervision humaine (art. 21 nLPD) | IA | Haute | Annuelle |
Comment organiser l'audit en pratique
L'audit mobilise quatre acteurs : le CPD, la direction des admissions, la DSI, et le service communication. Audit complet annuel (20 points) + vérifications trimestrielles sur les critiques. Chaque point produit une fiche : résultat, preuve, et action corrective. C'est la documentation que le PFPDT attend en cas de dénonciation. Pour les écoles accueillant des étudiants EU/EEE, consultez notre guide des données étudiantes.
FAQ
La nLPD est-elle vraiment différente du RGPD pour une école suisse ?
Sur la structure, les deux textes sont proches. Trois différences sont significatives : le CPD est facultatif sous nLPD (obligatoire dans certains cas sous RGPD) ; les sanctions nLPD visent les personnes physiques responsables (jusqu'à CHF 250 000), pas l'organisation ; il n'existe pas d'IA Act suisse — la régulation de l'IA repose sur les recommandations du PFPDT, non sur des obligations légales contraignantes.
Mon école accueille des candidats de France et d'Allemagne — dois-je aussi appliquer le RGPD ?
Oui. Le RGPD s'applique dès lors que vous traitez des données de résidents UE/EEE, même depuis la Suisse. Pour une école internationale (IMD Lausanne, EHL, Glion) ou une HES-SO recrutant en France voisine, la double conformité est la réalité. Appliquer le RGPD comme baseline couvre 95 % des exigences nLPD — les 5 % restants concernent les modalités de notification de violation et la responsabilité personnelle.
Quelles sanctions risque concrètement une école suisse non conforme à la nLPD ?
La nLPD ne prévoit pas d'amendes administratives directes — les sanctions sont pénales, prononcées sur dénonciation du PFPDT. L'amende maximale est CHF 250 000 pour les personnes physiques responsables (art. 46 nLPD). En pratique, le PFPDT privilégie l'approche recommandation avant la dénonciation. Le risque réputationnel reste le premier enjeu : une décision PFPDT est publique et impacte directement la confiance des candidats exigeants.
Nos données sont hébergées en Suisse — sommes-nous protégés contre les transferts non conformes ?
Non. L'hébergement en Suisse ne suffit pas si vos prestataires utilisent des sous-traitants hors de la liste du Conseil fédéral. Un CRM hébergé à Genève mais utilisant un modèle IA américain implique un transfert indirect hors de Suisse à documenter. L'audit des contrats (points 16 à 18) est indispensable pour cartographier ces flux.
Cette checklist en 20 points adapte le cycle d'audit au cadre spécifique de la nLPD suisse. Les HES et universités cantonales qui l'intègrent dans leur gouvernance annuelle réduisent leur exposition aux risques pénaux et renforcent la confiance de leurs candidats.
Demandez votre audit conformité nLPD personnaliséÀ lire aussi : Chatbot IA pour les écoles suisses · Protection des données nLPD pour les écoles suisses
