nLPD pour fiduciaires : 7 obligations concrètes en 2026 (au-delà du formulaire)
Registre des activités, DPIA, notification 72h, sous-traitants. Le guide pratique des obligations nLPD pour cabinets fiduciaires suisses, sans le jargon.
GA
Greg Annas
Co-fondateur BeGenerous Digital
La nouvelle loi sur la protection des données (nLPD) est entrée en vigueur le 1er septembre 2023. En 2026, le PFPDT (Préposé fédéral à la protection des données et à la transparence) a publié plusieurs décisions clés et la pratique des audits s'est stabilisée. Pour les cabinets fiduciaires, qui manipulent quotidiennement des données financières et fiscales sensibles, c'est le moment de faire un point d'auditabilité.
TL;DR — Les 7 obligations à avoir en place
Registre des activités de traitement (RAT) à jour
Information transparente aux clients (privacy policy explicite)
Sécurité technique et organisationnelle (TOM)
Analyse d'impact (DPIA) pour les traitements à risque
Notification de violation au PFPDT sous 72h
Contrats DPA avec tous les sous-traitants
Procédure pour les droits des personnes (accès, rectification, effacement)
1. Le registre des activités de traitement (RAT)
L'art. 12 nLPD impose à toute entreprise traitant des données personnelles de tenir un registre. Pour un cabinet fiduciaire, le RAT n'est pas optionnel — c'est l'une des premières pièces qu'un auditeur PFPDT demande en cas de contrôle.
Contenu minimum du RAT :
Nom du responsable du traitement (le cabinet, sa raison sociale)
Finalité du traitement (ex : "tenue de la comptabilité client", "déclaration fiscale", "conformité LBA")
Catégories de personnes concernées (clients, ayants droit, salariés des clients)
Catégories de données (identité, fiscalité, bancaire, AVS)
Mesures de sécurité techniques et organisationnelles
Le RAT doit être tenu à jour. Pas mis à jour annuellement, mis à jour quand quelque chose change.
L'erreur classique
Beaucoup de cabinets ont rédigé un RAT en 2023 dans la panique nLPD, puis ne l'ont jamais touché. Le RAT 2023 ne mentionne ni l'IA générative que vous avez introduite en 2024, ni les nouveaux sous-traitants ajoutés en 2025. C'est exactement ce qui sera challengé en audit.
2. L'information transparente aux clients
L'art. 19 nLPD impose une information proactive aux personnes concernées. Pour un cabinet, ça veut dire une privacy policy publique (sur le site web) ET une information lors de l'entrée en relation client.
Contenu obligatoire :
Identité du responsable du traitement
Finalité du traitement
Catégories de destinataires (notamment les sous-traitants Cloud)
Existence de transferts hors Suisse (si applicable)
Droits de la personne concernée
Coordonnées pour exercer ces droits
Conseil pratique : avoir un paragraphe nLPD dans le contrat de mandat type du cabinet, signé par le client à l'entrée en relation. Ça crée une preuve d'information explicite.
3. Sécurité technique et organisationnelle (TOM)
L'art. 8 nLPD impose des "mesures techniques et organisationnelles appropriées" pour garantir la sécurité des données. Le PFPDT n'impose pas une liste précise, mais en pratique sont attendues :
| Mesure | Détail attendu |
|---|---|
| Authentification forte | 2FA pour tous les accès comptes admin |
| Chiffrement | TLS 1.2+ en transit, AES-256 au repos pour les fichiers sensibles |
| Logs d'accès | Qui a accédé à quel dossier client, quand |
| Sauvegarde et restauration testée | Backup quotidien + test de restauration trimestriel |
| Gestion des accès collaborateurs | Onboarding/offboarding documenté |
| Hébergement | Hébergement souverain CH (ou EU avec DPA) pour les données sensibles |
Pour les cabinets qui hébergent leurs données sur des services US (Microsoft 365, Google Workspace, AWS US), une analyse de risque Cloud Act doit être documentée. La nLPD ne l'interdit pas, mais l'expose à un risque d'accès américain par l'éditeur sans information du client.
4. Analyse d'impact (DPIA) pour les traitements à risque
L'art. 22 nLPD impose une analyse d'impact sur la protection des données (DPIA) quand un traitement présente un "risque élevé" pour les personnes concernées. Pour un cabinet fiduciaire :
Traitements typiquement à risque :
Mise en place d'un outil IA qui analyse les documents fiscaux clients
Externalisation comptable vers un sous-traitant offshore
Profilage automatisé des clients à des fins de pricing
Vidéosurveillance des bureaux avec accès aux postes de travail
Application de scoring crédit pour les clients
Traitements typiquement non risqués :
Comptabilité standard d'un client PME suisse
Déclaration TVA via Portail AFC
Time tracking interne des collaborateurs
La DPIA doit documenter : le traitement, les risques identifiés, les mesures pour les atténuer, et la décision finale (procéder, modifier, abandonner).
5. Notification de violation au PFPDT sous 72h
L'art. 24 nLPD impose la notification au PFPDT en cas de violation de la sécurité des données, "dans les meilleurs délais". La pratique européenne (RGPD) impose 72 heures et le PFPDT l'a adoptée comme référence informelle.
Qu'est-ce qu'une violation ?
Vol ou perte d'un laptop contenant des dossiers clients
Compromission d'un compte email avec accès aux pièces comptables
Erreur d'envoi : facture client envoyée par erreur à un autre client
Cyberattaque ransomware affectant les serveurs cabinet
Fuite involontaire de données via un sous-traitant
Avoir une procédure écrite, connue des collaborateurs, est crucial. Quand la violation arrive, vous avez 72h pour faire l'analyse + la notification.
Le double risque pénal + réputationnel
Une violation non notifiée peut conduire à une amende pénale (jusqu'à 250 000 CHF pour la personne responsable, art. 60 nLPD). Mais le risque réel est réputationnel : un client qui apprend par hasard qu'une violation a touché son dossier ferme la relation immédiatement.
6. Contrats DPA avec tous les sous-traitants
L'art. 9 nLPD impose un contrat écrit avec tous les sous-traitants qui traitent des données pour votre compte. Un sous-traitant = tout fournisseur qui voit ou stocke des données clients.
Sous-traitants typiques d'un cabinet :
Hébergeur (Infomaniak, Exoscale, AWS, Azure, Google Cloud)
Email (Microsoft 365, Google Workspace, Resend, Mailgun)
Stockage documents (Dropbox, Google Drive, SharePoint, S3)
IA (OpenAI, Anthropic, Voyage AI, Mistral)
Comptabilité (Bexio, Crésus, Abacus)
Outils de prospection ou CRM (HubSpot, Pipedrive)
Pour chaque sous-traitant, un Data Processing Agreement (DPA) doit être signé. La plupart des éditeurs sérieux fournissent un DPA standard téléchargeable. À conserver dans votre dossier conformité.
7. Procédure pour les droits des personnes
Les clients (et leurs salariés, leurs ayants droit) ont 5 droits opposables :
| Droit | Délai de réponse |
|---|---|
| Accès à leurs données | 30 jours |
| Rectification | 30 jours |
| Effacement (sous conditions) | 30 jours |
| Limitation du traitement | 30 jours |
| Portabilité (export des données) | 30 jours |
La procédure interne doit identifier qui reçoit la demande (souvent l'AMLCO ou l'associé), qui l'instruit, qui répond, et comment c'est tracé.
Cas particulier de l'effacement : pour un cabinet, beaucoup de données ne peuvent PAS être effacées car elles sont sous obligation de conservation légale (10 ans pour les pièces comptables, 10 ans pour les dossiers LBA). Le droit à l'effacement est alors limité — il faut le notifier au client.
Conformité nLPD intégrée dans FidUp
Hébergement souverain suisse (Infomaniak Genève + Supabase Zurich), audit log immutable sur toutes les actions sensibles, RLS multi-tenant strict, DPA fournis avec le contrat de service. Toutes les exigences nLPD sont implémentées by design, pas en option.
Beaucoup de cabinets pensent qu'avoir choisi un fournisseur certifié ISO 27001 ou SOC 2 les couvre automatiquement. Faux. La certification du sous-traitant prouve sa propre rigueur, pas la conformité de votre cabinet. Vous restez responsable du traitement et devez :
Documenter le RAT (même si le sous-traitant est super sécurisé)
La nLPD n'est pas une charge bureaucratique. C'est une discipline qui rend votre cabinet auditeable et défendable. Un cabinet qui a son RAT à jour, ses DPA signés et sa procédure violations écrite, dort mieux qu'un cabinet qui croise les doigts.