Garantir et accélérer la conformité nLPD et RGPD en entreprise grâce à Snowflake

Si vous dirigez une entreprise en Suisse et que vous traitez des données personnelles, vous êtes personnellement responsable de leur protection. Pas votre entreprise. Pas votre DSI. Vous. C’est ce que prévoit la nLPD (nouvelle Loi fédérale sur la Protection des Données), entrée en vigueur le 1er septembre 2023 sans aucune période transitoire. Le jour de son entrée en application, l’ensemble des entreprises étaient supposées être conformes. [myright.ch]

La particularité suisse — et c’est ce qui distingue fondamentalement la nLPD du RGPD européen — réside dans le fait que les sanctions pénales visent directement les personnes physiques. Le CEO, le CTO, le DPO, voire le collaborateur décisionnaire peut être personnellement condamné à une amende allant jusqu’à 250’000 CHF. Cette amende ne peut pas être prise en charge par la société. Au-delà de 5’000 CHF, elle entraîne une inscription au casier judiciaire. [dsg-lpd.ch]

Ajoutez la dimension européenne. Si votre entreprise traite des données de personnes dans l’UE — ce qui est le cas pour une part considérable des entreprises suisses — le RGPD s’applique en parallèle avec un plafond de 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel. Cette fois, c’est l’entreprise elle-même qui est visée. Les deux régimes se cumulent : la nLPD expose le dirigeant personnellement, le RGPD expose l’entreprise financièrement. [eur-lex.europa.eu]

Pourquoi est-ce critique en 2026 ?

Le PFPDT, justement, ne se contente plus d’observer. Pour ceux qui comptaient sur une application souple de la loi, les chiffres invitent à reconsidérer. En 14 mois d’application de la nLPD, le PFPDT a reçu 1’183 dénonciations de citoyens et d’organisations, auxquelles s’ajoutent 293 notifications de violations de sécurité déposées par les entreprises elles-mêmes — soit près de 1’500 signaux entrants. De ce volume, 86 ont donné lieu à des interventions « à bas seuil » — des mises en conformité amiables dont environ 90 % ont été suivies volontairement. Les situations les plus graves ont débouché sur 26 enquêtes préliminaires et formelles. En 2024/2025, le nombre de violations de sécurité signalées a encore progressé pour atteindre 363. La tendance est claire : le flux de signalements s’élargit et l’activité de contrôle s’intensifie à chaque niveau. [edoeb.admin.ch] [swissprivacy.law]

Les cas concrets se multiplient. En avril 2024, le PFPDT a épinglé Digitec Galaxus, l’un des plus grands e-commerçants suisses, pour violation des principes de transparence et de proportionnalité dans le traitement des données clients. Recommandations formelles, mise en conformité achevée fin 2025 sous supervision du PFPDT. Même les acteurs de premier plan ne sont pas à l’abri. [edoeb.admin.ch]

Du côté européen, le secteur de la santé est particulièrement exposé. Un hôpital portugais s’est vu infliger 400’000 € d’amende parce que 985 comptes médecins étaient actifs dans le système informatique — incluant des vacataires ayant quitté l’établissement — alors que seuls 296 médecins y exerçaient réellement. En France, l’éditeur de logiciels médicaux Cegedim Santé a été sanctionné à hauteur de 800’000 € pour avoir traité des données de santé pseudonymisées sans autorisation, issues de 25’000 cabinets médicaux. Au total, la CNIL a prononcé 87 sanctions en 2024 pour un cumul de 55 millions d’euros. [cio-online.com] [cnil.fr] [village-justice.com]

Parallèlement, l’intelligence artificielle accélère la détection — des deux côtés. L’IA qui vous aide à analyser vos données aide également les régulateurs à les contrôler. Le PFPDT renforce ses capacités d’investigation. Les outils d’audit automatisé permettent désormais de scanner des volumes massifs en quelques heures. Si vous n’avez pas encore fait ce travail sur vos propres données, un régulateur le fera à votre place — et les conclusions ne joueront pas en votre faveur.

Or, les PII ne se résument pas aux e-mails et aux noms. Dans un environnement d’entreprise classique, on retrouve des dizaines de types de données sensibles : numéros AVS à 13 chiffres, IBAN au format CH, numéros de police d’assurance, dates de naissance, données médicales (diagnostics, traitements, médicaments). Les outils de classification natifs des plateformes cloud détectent les patterns standards, mais les spécificités suisses et les données à catégorie spéciale (RGPD art. 9, nLPD art. 5c) leur échappent systématiquement. [eur-lex.europa.eu]

Conseils aux décideurs

La fenêtre pour passer d’une posture réactive à une gouvernance proactive se réduit. Voici les actions prioritaires à engager sans attendre :

• Cartographier l’ensemble des tables et colonnes susceptibles de contenir des PII dans votre environnement de données, en incluant les spécificités suisses (AVS, IBAN CH, numéros d’assurance).
• Automatiser la détection en s’appuyant sur des outils IA capables d’analyse sémantique, et non uniquement sur du pattern matching par regex, afin de couvrir les données médicales et les catégories spéciales au sens du RGPD (art. 9) et de la nLPD (art. 5c).
• Déployer des masking policies basées sur les rôles afin que chaque collaborateur n’accède qu’aux données strictement nécessaires à sa fonction — principe de minimisation des accès exigé par les deux réglementations.
• Privilégier des solutions où les données ne quittent jamais votre périmètre de conformité : quel que soit l'environnement — Snowflake, Databricks ou autre —, aucun transit vers des LLM tiers ou des serveurs hors de votre zone juridique, particulièrement dans les secteurs santé, finance et public.
• Mettre en place un monitoring continu de la gouvernance avec un rapport de couverture exploitable à tout moment — c’est précisément le type de documentation que le PFPDT attend lors d’un contrôle.
• Documenter la chaîne de responsabilité en interne : qui est le responsable du traitement, qui décide des accès, qui est en mesure de répondre au PFPDT. La nLPD sanctionne la personne décisionnaire — cette désignation doit être explicitée.
• Anticiper le cumul réglementaire en évaluant dès maintenant l’impact conjoint de la nLPD, du RGPD et, pour les entreprises concernées, de l’AI Act européen dont les principales dispositions s’appliquent progressivement depuis 2025.

Vous souhaitez en savoir plus ? Remplissez le formulaire pour recevoir la suite de l'article !