RGPD ou nLPD : quelle loi s’applique à votre site de cabinet en Suisse ?
Beaucoup de sites de cabinets affichent fièrement une conformité « RGPD ». L’intention est bonne, mais le réflexe est souvent inexact. Le RGPD est une loi européenne. En Suisse, le texte qui s’applique s’appelle la nLPD. Comprendre la différence évite un malentendu fréquent et, parfois, une vraie lacune.
Deux lois, deux territoires
Le Règlement général sur la protection des données, le RGPD, est entré en vigueur dans l’Union européenne en 2018. La nouvelle loi fédérale sur la protection des données, la nLPD, est entrée en vigueur en Suisse le 1er septembre 2023. Les deux poursuivent le même but : protéger les données personnelles. Mais ce sont des textes distincts, avec des autorités de contrôle et des nuances propres.
Un cabinet établi en Suisse, qui reçoit des patients en Suisse, relève d’abord de la nLPD. C’est le point de départ, et il est souvent oublié.
Pourquoi « RGPD » ne suffit pas
Sur le plan technique, un site conçu pour le RGPD est presque conforme à la nLPD : les exigences se recoupent largement. Mais sur le plan de la précision et de la perception, écrire « RGPD » à un cabinet suisse pose problème.
D’abord, cela suggère que la conformité a été pensée pour un autre cadre juridique que le vôtre. Ensuite, les deux textes divergent sur des points concrets : la nLPD ne prévoit pas exactement les mêmes bases légales, ni les mêmes formulations de consentement, ni le même régime de sanction. Une déclaration de protection des données calquée sur un modèle européen mentionnera des articles qui n’existent pas en droit suisse.
Quand le RGPD entre quand même en jeu
Le RGPD peut s’appliquer à un cabinet suisse dans un cas précis : lorsque le site s’adresse activement à des patients résidant dans l’Union européenne. Pour un cabinet local, c’est rare. Mais la situation se présente dans les régions frontalières, par exemple à Genève avec la France voisine, où une partie de la patientèle vit de l’autre côté de la frontière.
Dans ce cas, il est prudent de prévoir une approche qui couvre les deux cadres, notamment pour le bandeau cookies et la déclaration de protection des données. Les deux ne sont pas incompatibles ; ils se superposent.
Ce que cela change pour votre site
En pratique, un site de cabinet suisse devrait viser la nLPD en priorité, et tenir compte du RGPD si la patientèle frontalière le justifie. Concrètement, cela signifie une déclaration de protection des données rédigée selon le droit suisse, un consentement clair, un hébergement maîtrisé et, le cas échéant, une mention adaptée aux patients européens.
Le mot que vous affichez compte. « Conforme nLPD » indique à un patient suisse que vous connaissez les règles qui vous concernent. C’est un détail, mais les détails composent la confiance.
En résumé
Le RGPD est européen, la nLPD est suisse. Un cabinet établi en Suisse relève de la nLPD. Le RGPD ne s’ajoute que si vous vous adressez réellement à des patients de l’Union européenne. Dans le doute, mieux vaut une conformité pensée pour le droit suisse, et complétée si nécessaire, qu’un modèle générique importé d’ailleurs.
