EN CONSULTATION · DÈS LE 5 MARS 2026

Révision de la LPrD vaudoise : ce que les communes et entités publiques doivent faire

La LPrD ne concerne que les entités publiques vaudoises, pas les entreprises privées. La révision introduit six obligations nouvelles. Voici lesquelles, qui est concerné, et comment vous y préparer dès la phase de consultation.

Évaluer ma préparationParler à un spécialiste
LoiLPrD · Canton de Vaud
StatutMise en consultation
ConcernésOrganes publics vaudois
Mise à jour17.06.2026
Champ d'application

Qu'est-ce que la LPrD, et qui y est soumis ?

La LPrD s'applique uniquement aux entités publiques vaudoises, et non aux entreprises privées, qui relèvent de la loi fédérale (LPD). Elle encadre la manière dont les organes publics du canton collectent, conservent, communiquent et détruisent les données personnelles, pour protéger les administrés contre un usage abusif par les autorités.

Soumis à la LPrD

Les organes publics vaudois

  • Administration cantonale et ses services
  • Communes et leurs services
  • Établissements de droit public
  • Entités privées chargées d'une tâche publique cantonale
Relèvent de la LPD fédérale

Le secteur privé et fédéral

  • Entreprises privées, PME, indépendants
  • Associations agissant à titre privé
  • Organes et administrations fédérales
  • Cas mixte : rattachement activité par activité
Contexte législatif

Pourquoi cette révision, et pourquoi maintenant ?

La révision répond à une nécessité d'harmonisation. La loi fédérale sur la protection des données (LPD) est entrée en vigueur le 1er septembre 2023 et a relevé le niveau d'exigence pour l'ensemble du pays. Le droit cantonal vaudois doit s'aligner pour que les organes publics du canton offrent un niveau de protection équivalent à celui attendu au niveau fédéral et européen.

Le Conseil d'État a autorisé la mise en consultation le 5 mars 2026. Le projet ne se limite pas à la LPrD : il étend ses principes à l'ensemble des lois spéciales cantonales et s'accompagne d'une nouvelle loi sur la vidéosurveillance. La phase de consultation permet aux communes, associations et acteurs concernés de faire valoir leurs observations avant l'adoption par le Grand Conseil. C'est précisément la fenêtre durant laquelle une entité publique a intérêt à mesurer son écart de conformité, parce que les obligations sont déjà connues et que le temps de préparation est encore disponible.

Comparaison

LPrD, LPD et RGPD

Les trois régimes partagent la même philosophie mais s'appliquent à des acteurs différents et désignent des autorités différentes. Une commune raisonne avec la LPrD, une entreprise avec la LPD, et toute organisation traitant des données de résidents de l'UE avec le RGPD.

Comparaison LPrD, LPD et RGPD
CritèreLPrD (Vaud)LPD (fédérale)RGPD (UE)
Qui est concernéOrganes publics vaudoisPersonnes privées et organes fédérauxDonnées de résidents de l'UE
Autorité de surveillancePréposé cantonal à la protection des données et à la transparencePFPDTAutorités nationales et CEPD
RegistreActivités de traitement (nouveauté)Activités de traitementActivités de traitement (art. 30)
Analyse d'impactProcédure d'AIPD (nouveauté)AIPD si risque élevéAIPD (art. 35)
ViolationsAnnonce formelle (nouveauté)Annonce au PFPDTNotification sous 72 h (art. 33)
Données sensiblesÉlargies aux génétiques et biométriquesInclut génétiques et biométriquesCatégories particulières (art. 9)
Les nouveautés

Les six changements introduits par la révision

Voici ce que chaque évolution signifie concrètement au quotidien pour une entité publique.

Données sensibles élargies

Les données génétiques et biométriques deviennent sensibles. Tout traitement qui les utilise exige une base légale plus stricte et, le plus souvent, une analyse d'impact.

Profilage et décisions automatisées

Le profilage est spécifiquement encadré. Une entité qui utilise des scores ou des outils d'aide à la décision doit pouvoir en expliquer la logique et préserver l'intervention humaine.

Personne de référence

Chaque entité désigne une personne de référence en protection des données, point de contact et garante des obligations. Interne ou par mandat externe.

Analyse d'impact (AIPD)

Une procédure formelle d'analyse d'impact s'applique aux traitements à risque élevé, menée avant la mise en oeuvre du traitement.

Registre des activités de traitement

Le registre des fichiers devient un registre des activités de traitement, plus complet et orienté processus.

Annonce des violations

Les violations de sécurité devront être formellement annoncées. L'entité doit savoir détecter, qualifier et notifier, et qui décide.

Source : communiqué de l'État de Vaud du 5 mars 2026. Le projet étend ces principes aux lois spéciales cantonales et s'accompagne d'une nouvelle loi sur la vidéosurveillance.

Périmètre réel

Qui est concerné en pratique

La révision touche un large éventail d'entités publiques. La charge est proportionnelle au volume et à la sensibilité des données traitées.

Communes : habitants, état civil, fiscalité, écoles, social, policeÉcoles et hautes écoles : élèves, étudiants, personnelSanté publique : données médicalesServices sociaux : situations à haut risqueParapublic : fondations, régies, mandataires
Feuille de route

Se mettre en conformité, étape par étape

Une commune peut aborder la conformité de façon ordonnée. La cartographie vient en premier car tout le reste en dépend.

Cartographier

Inventorier tous les traitements, service par service, y compris outils numériques et formulaires en ligne.

Gouverner

Désigner la personne de référence et clarifier les rôles, en interne ou par mandat externe.

Documenter

Construire le registre des activités de traitement à partir de la cartographie.

Évaluer les risques

Mener une analyse d'impact pour les traitements à risque, à commencer par la vidéosurveillance et le profilage.

Encadrer les sous-traitants

Identifier les prestataires qui traitent des données et contractualiser les garanties.

Préparer les violations et maintenir

Mettre en place la procédure d'annonce, puis faire vivre le dispositif à chaque nouveau traitement.

Agir maintenant

Que faire pendant la phase de consultation ?

Attendre l'adoption pour agir est l'erreur la plus coûteuse. Les obligations sont déjà connues, et la cartographie des traitements, qui prend le plus de temps, peut être lancée immédiatement. Une entité qui utilise la fenêtre de consultation pour inventorier ses traitements et désigner sa personne de référence abordera l'entrée en vigueur avec un dispositif déjà en place.

C'est aussi l'occasion, pour une commune ou une association faîtière, de faire valoir ses observations sur la faisabilité opérationnelle du projet de loi.

Lancez votre évaluation d'écart dès maintenant
Points de vigilance

Les erreurs fréquentes à éviter

Croire que la révision concerne les entreprises privées

Elle ne vise que les organes publics vaudois. Les entreprises privées restent sous la LPD fédérale, quelle que soit leur implantation dans le canton.

Traiter la conformité comme un projet ponctuel

Il s'agit d'un dispositif permanent qui se met à jour à chaque nouveau traitement, chaque nouveau prestataire, chaque nouvelle technologie.

Ignorer les sous-traitants

L'entité publique reste responsable du traitement même lorsqu'elle confie des données à un prestataire. La gestion des sous-traitants devient un point de contrôle central.

Diagnostic interactif

Où en êtes-vous avec la LPrD ?

Quelques questions pour identifier la loi qui s'applique, situer votre préparation, et obtenir des priorités personnalisées.

Étape 1

Quel type d'organisation représentez-vous ?

Partager ce diagnostic

Partager par emailLinkedInVersion intégrable

Pour une intégration sur un site de commune ou d'association, utilisez la version intégrable.

Questions fréquentes

Ce que les entités publiques demandent

Qui est soumis à la LPrD ?
Les organes publics vaudois : administration cantonale, communes, établissements de droit public, et personnes privées chargées d'une tâche publique cantonale. Les entreprises privées et les organes fédéraux n'y sont pas soumis.
Quand la révision entrera-t-elle en vigueur ?
Le projet a été mis en consultation le 5 mars 2026. L'entrée en vigueur interviendra après la consultation et l'adoption par le Grand Conseil, selon le calendrier législatif cantonal.
La révision crée-t-elle des amendes comme le RGPD ?
La LPrD relève du droit public cantonal et ne prévoit pas le régime d'amendes administratives du RGPD. L'enjeu est la conformité et la responsabilité, non une sanction financière de type européen.
Une association ou une fondation est-elle soumise à la LPrD ?
Cela dépend de son activité. Une entité privée chargée d'une tâche publique cantonale relève de la LPrD pour cette part d'activité, et de la LPD pour le reste.
Une entité reste-t-elle responsable de ses sous-traitants ?
Oui. L'entité publique reste responsable du traitement même lorsqu'elle confie des données à un prestataire. Elle doit encadrer la relation par contrat et vérifier les garanties. En savoir plus sur les sous-traitants.
Par où commencer concrètement ?
Par la cartographie des traitements, qui constitue la base du registre, des analyses d'impact et de la gestion des sous-traitants. Faites le diagnostic pour situer vos priorités.
Qui doit désigner une personne de référence en protection des données ?
Toute entité publique vaudoise soumise à la LPrD doit désigner une personne de référence dans le cadre de la révision. Ce rôle peut être interne ou externalisé sous forme de mandat. Pour les petites communes, un mandat externe assure l'expertise sans charge de poste à temps plein. En savoir plus sur la personne de référence.
Qu'est-ce qu'un registre des activités de traitement et comment le construire ?
Un registre des activités de traitement est l'inventaire structuré de tous les traitements de données d'une entité, avec la finalité, la base légale, les catégories de données et de personnes, les destinataires et les durées de conservation. La révision de la LPrD le rend obligatoire en remplacement de l'ancien registre des fichiers. Sa construction commence par une cartographie des traitements. Guide complet sur le registre.
Quand une analyse d'impact (AIPD) est-elle obligatoire pour une entité publique vaudoise ?
Une analyse d'impact relative à la protection des données est requise pour les traitements susceptibles d'engendrer un risque élevé pour les droits des personnes concernées, par exemple la vidéosurveillance, le profilage ou les décisions automatisées. La révision de la LPrD instaure formellement cette procédure pour les organes publics vaudois. Guide sur l'AIPD dans le secteur public.
Comment piloter la conformité LPrD, LPD et RGPD sans tout faire en triple ?
Une entité qui doit satisfaire plusieurs régimes gagne à mutualiser ses contrôles : cartographier une fois, rattacher chaque exigence aux mêmes contrôles et réutiliser les preuves. Une plateforme GRC dédiée à la protection des données permet ce pilotage unifié. Découvrir Acuna GRC.
Expertise et sources

Rédigé par un spécialiste

Laura Menetrey

Conseillère juridique senior en protection des données et vie privée, Abilene Advisors. Expertise : LPrD, LPD, RGPD, NIS2, DORA.

Sources : communiqué de l'État de Vaud du 5 mars 2026 · loi fédérale sur la protection des données (LPD), en vigueur depuis le 1er septembre 2023 · Préposé cantonal vaudois à la protection des données et à la transparence · Préposé fédéral à la protection des données et à la transparence (PFPDT).

Publié le 17.06.2026Mis à jour le 17.06.2026
Pour aller plus loin

Pages liées

DéfinitionQu'est-ce que la LPrD ?ComparaisonLPrD ou LPD : la différenceObligationLe registre des activités de traitementGouvernanceLa personne de référenceAnalyseL'analyse d'impact (AIPD)Traitement à risqueVidéosurveillance communale
Abilene Advisors

Préparez la LPrD pendant la consultation

Évaluation d'écart, registre des activités de traitement, analyses d'impact, ou mandat de personne de référence. Avec une approche d'implémentation, pas seulement de conseil.

Demander une évaluation