Depuis l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD) le 1er septembre 2023, beaucoup d'entreprises suisses supposent que, parce qu'elles opèrent uniquement en Suisse, seule la nLPD les concerne. La réalité est plus nuancée : selon l'origine des contacts et les marchés visés, le Règlement général sur la protection des données de l'Union européenne (RGPD) peut aussi s'appliquer à des leads traités depuis la Suisse. Pour une entreprise qui achète ou revend des demandes de clients, savoir quelle loi gouverne les données reçues n'est pas une formalité juridique abstraite : c'est ce qui détermine la façon dont le consentement doit être recueilli, comment les données peuvent circuler, et qui porte la responsabilité en cas de manquement.
Ce dossier compare les deux cadres sous l'angle précis de l'achat de leads qualifiés, sans jargon inutile. Il ne remplace pas l'avis d'un juriste sur votre situation particulière, mais il vous donne les repères pour poser les bonnes questions à un fournisseur et vérifier que la chaîne de données qui aboutit chez vous est conforme. Il complète notre dossier dédié à la nLPD et à l'achat de leads B2B, ainsi que nos dossiers sur la qualité des leads et sur le choix d'un fournisseur, où le volet contractuel est détaillé plus avant.
Pourquoi les deux lois peuvent concerner votre entreprise
La première erreur consiste à raisonner par nationalité de l'entreprise plutôt que par situation de traitement. La nLPD s'applique aux traitements de données qui déploient leurs effets en Suisse, quel que soit le lieu où ils sont effectués. Le RGPD, lui, a une portée extraterritoriale : il s'applique dès qu'une entreprise, même établie hors de l'Union, propose des biens ou des services à des personnes situées dans l'UE ou surveille leur comportement. Concrètement, une entreprise suisse qui achète des leads correspondant exclusivement à des résidents suisses reste principalement sous l'empire de la nLPD ; mais dès qu'un lead concerne une personne résidant dans l'UE, ou que votre activité cible des clients transfrontaliers, le RGPD entre en jeu en parallèle.
Pour un acheteur de leads, cela a une conséquence pratique : il faut savoir d'où viennent les contacts que vous recevez. Un fournisseur qui collecte des demandes sur des formulaires accessibles depuis la France voisine ou destinés à des frontaliers manipule potentiellement des données couvertes par le RGPD. Ce n'est pas un obstacle en soi — les deux régimes sont largement compatibles — mais cela impose de vérifier que le fournisseur applique le niveau d'exigence le plus élevé des deux, plutôt que de supposer que « puisque nous sommes en Suisse, la nLPD suffit ». En cas de doute, mieux vaut traiter l'ensemble des leads selon les standards les plus stricts.
Le socle commun aux deux régimes
Malgré leurs différences, nLPD et RGPD reposent sur les mêmes grands principes, et c'est une bonne nouvelle pour qui achète des leads : se conformer sérieusement à l'un rapproche fortement de l'autre. Les deux textes imposent la transparence (la personne doit savoir qui collecte ses données et pour quoi faire), la limitation à la finalité (les données récoltées pour une mise en relation ne peuvent pas être détournées vers un usage sans rapport), la minimisation (ne collecter que ce qui est nécessaire), la sécurité des données, et le respect des droits des personnes : accès, rectification, effacement, opposition.
Pour l'entreprise réceptrice, ces principes se traduisent en obligations concrètes. Vous devez pouvoir dire à un client, s'il le demande, d'où vient sa demande et pourquoi vous le contactez. Vous devez être en mesure de supprimer ses données s'il s'y oppose ou si vous n'avez plus de raison légitime de les conserver. Vous devez protéger le fichier de leads reçus comme n'importe quelle donnée personnelle. Ces exigences sont identiques ou très proches dans les deux régimes ; les différences réelles, celles qui comptent au moment de choisir un fournisseur ou de rédiger un contrat, se situent ailleurs.
Ce qui change vraiment : base légale, consentement et sanctions
La différence la plus structurante porte sur la base légale du traitement. Le RGPD exige, pour chaque traitement, une base juridique explicite parmi une liste fermée : consentement, exécution d'un contrat, obligation légale, intérêt légitime, etc. La nLPD raisonne différemment : pour une entreprise privée, le traitement de données non sensibles est en principe licite tant qu'il ne porte pas une atteinte illicite à la personnalité de l'intéressé. Le consentement n'est pas systématiquement requis ; il devient nécessaire notamment pour lever une atteinte, pour les données sensibles, ou pour certaines communications. En pratique, la nLPD laisse un peu plus de marge sur le traitement de contacts professionnels, mais cette souplesse ne dispense jamais d'informer les personnes ni de respecter leur droit d'opposition.
La deuxième différence majeure tient aux sanctions et à qui elles visent. Le RGPD prévoit des amendes administratives dirigées contre l'entreprise responsable, calculées en proportion de son chiffre d'affaires mondial. La nLPD, elle, prévoit des sanctions pénales qui visent en priorité la personne physique responsable au sein de l'entreprise (par exemple le dirigeant ayant enfreint certaines obligations), et non l'entité comme telle. Cette logique très différente explique pourquoi la conformité nLPD se joue beaucoup au niveau des responsabilités internes clairement attribuées. D'autres écarts existent — délai de notification d'une violation de données, seuils d'exemption pour le registre des traitements des PME, désignation d'un représentant en Suisse pour les responsables établis à l'étranger — mais base légale et régime de sanction sont les deux points que tout acheteur de leads doit avoir en tête.
Consentement, prospection et la place de la LCD
Sur les leads, la question du consentement se double d'une règle souvent oubliée : en Suisse, la prospection commerciale de masse n'est pas encadrée par la seule nLPD, mais aussi par la loi contre la concurrence déloyale (LCD). Celle-ci soumet l'envoi de publicité de masse par voie électronique (e-mail, SMS) à un régime d'opt-in : il faut en principe le consentement préalable du destinataire, une identification correcte de l'expéditeur et une possibilité de refus simple. Cette règle vise l'entreprise qui exploite le lead, pas seulement celle qui l'a collecté. Autrement dit, acheter un lead ne vous exonère pas de vérifier sur quelle base vous êtes autorisé à le contacter, et par quel canal.
Le point rassurant pour l'acheteur, c'est qu'un lead correctement qualifié résout l'essentiel du problème : la personne a rempli un formulaire en demandant explicitement à être recontactée par un professionnel de votre secteur. Ce consentement, à condition d'être documenté et traçable, constitue une base solide aussi bien au regard de la nLPD que du RGPD, et couvre la prise de contact prévue par la LCD. C'est précisément pourquoi la traçabilité du consentement — horodatage, formulation exacte du formulaire, adresse IP le cas échéant — est le critère le plus important à exiger d'un fournisseur. Un lead sans preuve de consentement est un risque juridique déguisé en opportunité commerciale, quel que soit le régime applicable.
Ce que l'acheteur de leads doit vérifier concrètement
Au moment de choisir un fournisseur, quelques vérifications simples permettent de sécuriser toute la chaîne. Demandez d'abord la preuve du consentement : le fournisseur doit pouvoir vous montrer, pour un lead donné, ce à quoi la personne a consenti, quand et comment. Assurez-vous ensuite que le contrat qui vous lie précise les rôles de chacun au sens de la protection des données — qui décide des finalités, qui traite pour le compte de qui — car c'est ce document qui déterminera votre responsabilité en cas de contrôle ou de plainte. Vérifiez la manière dont les leads vous sont transmis et stockés, et la durée pendant laquelle le fournisseur conserve les données après vous les avoir cédées.
Deux points méritent une attention particulière si une dimension européenne existe. Premièrement, les transferts de données : la Suisse dispose de son propre régime pour les flux transfrontaliers, et l'UE reconnaît la Suisse comme offrant une protection adéquate, ce qui fluidifie les échanges — mais un fournisseur qui héberge ou sous-traite hors de cet espace doit pouvoir le justifier. Deuxièmement, l'existence d'un point de contact clair pour les demandes des personnes concernées (accès, suppression), que vous devrez pouvoir honorer. Une fois ces éléments réunis, votre exposition juridique devient maîtrisée : vous exploitez des demandes consenties, dans un cadre contractuel net, avec un fournisseur capable de documenter la conformité de sa collecte. C'est cette rigueur en amont, bien plus que le choix entre nLPD et RGPD, qui protège durablement l'entreprise réceptrice.