Julien RochatVotre employé vient de cliquer sur un lien de phishing. Des données clients ont été volées, des fonds détournés. La question arrive immédiatement : qui est juridiquement et financièrement responsable — l'employé qui a cliqué, ou l'entreprise qui ne l'avait pas suffisamment formé ? En Suisse, la réponse est moins évidente qu'elle n'y paraît, et les conséquences peuvent atteindre CHF 250 000 d'amende selon la nouvelle Loi sur la protection des données (nLPD).
Le phishing, menace n°1 des entreprises suisses en 2026
Selon le rapport annuel 2025 du Centre national pour la cybersécurité (NCSC), 64 733 signalements de cyberincidents ont été enregistrés en Suisse l'an passé — soit 2 000 de plus qu'en 2024. Le phishing représente 19 % de ces incidents, en deuxième position après les appels frauduleux de faux agents d'autorité (26 %).
En 2026, les attaques évoluent : les cybercriminels combinent désormais le vol de données par phishing avec un appel téléphonique ciblé (le "double phishing"), rendant leurs escroqueries beaucoup plus difficiles à détecter. Les cibles ne sont plus uniquement les particuliers : les PME suisses sont de plus en plus visées, notamment via des e-mails imitant les CFF, La Poste ou les principales banques helvétiques.
Employé ou employeur : qui est responsable si ça tourne mal ?
En droit suisse, la responsabilité est partagée — mais c'est souvent l'entreprise qui assume le plus lourd fardeau juridique.
Du côté de l'employé : le Code des obligations impose un devoir de diligence. Si un salarié clique sur un lien manifestement suspect malgré des consignes claires et une formation adéquate, sa responsabilité personnelle peut être engagée. Toutefois, les tribunaux considèrent rarement qu'un employé doit indemniser personnellement son employeur pour avoir été victime d'une attaque de phishing bien construite.
Du côté de l'employeur : la nLPD (entrée en vigueur le 1er septembre 2023) est sans ambiguïté. Chaque entreprise doit mettre en place des mesures techniques et organisationnelles appropriées pour prévenir les violations de données. L'absence de formation régulière des employés, de pare-feu anti-phishing ou de procédures de vérification des virements constitue un manquement à cette obligation légale.
En cas d'incident, si l'entreprise ne peut pas démontrer qu'elle avait formé ses équipes et installé des protections adéquates, elle sera tenue pour responsable — indépendamment du "clic" de l'employé.
Ce que la nLPD impose concrètement à votre entreprise
La nouvelle Loi fédérale sur la protection des données, en vigueur depuis 2023, a durci les exigences pour toutes les entreprises suisses qui traitent des données personnelles. Voici ce qu'elle impose en matière de phishing :
Formation continue obligatoire : les collaborateurs doivent être formés régulièrement à la détection des tentatives d'hameçonnage. Une formation de bienvenue lors de l'embauche ne suffit pas.
Notification sous 72 heures : si une attaque de phishing entraîne une violation de données à risque élevé, l'entreprise est tenue de le signaler au Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les 72 heures. Toute notification tardive constitue une infraction.
Amende ciblant les individus : contrairement au RGPD européen qui sanctionne les organisations, la nLPD frappe les dirigeants et responsables de données à titre personnel. Les sanctions peuvent atteindre CHF 250 000.
Pour les entreprises traitant des données sensibles (données de santé, données financières, etc.), le vol de données et les obligations cybersécurité font déjà l'objet d'une attention croissante de la part du PFPDT.
Les 4 mesures que votre entreprise doit mettre en place maintenant
Pour réduire à la fois les risques d'attaque et votre exposition juridique, quatre mesures sont incontournables en 2026 :
1. L'authentification à deux facteurs (2FA) : même si un identifiant est volé via phishing, le 2FA empêche l'accès aux systèmes. C'est la mesure la plus efficace et la plus facile à déployer.
2. Les simulations de phishing : envoyer régulièrement de faux e-mails de phishing à vos équipes pour tester leur réactivité — et former ceux qui "mordent à l'hameçon". Des prestataires suisses proposent ce type d'audit.
3. Les procédures de vérification des virements : un employé ne devrait jamais effectuer un virement sans double confirmation orale ou par canal sécurisé, quelle que soit l'urgence apparente de la demande.
4. La cyber-assurance : plusieurs assureurs suisses (AXA, Zurich, Helvetia) proposent des couvertures spécifiques pour les cyberattaques. En cas d'incident, l'assurance peut couvrir les frais de gestion de crise, les honoraires d'avocat et les pertes financières directes.
Que faire si votre entreprise est victime d'une attaque de phishing ?
En cas d'incident avéré, le délai des premières heures est critique. Voici les étapes prioritaires :
Isoler les systèmes compromis immédiatement pour limiter la propagation. Identifier les données touchées pour évaluer si la nLPD impose une notification au PFPDT. Contacter votre assureur cyber pour déclencher les procédures d'urgence. Signaler l'incident au NCSC via le formulaire en ligne pour obtenir un appui technique.
Pour les questions de responsabilité interne, de notification réglementaire et de gestion des réclamations des clients affectés, la situation requiert souvent un double accompagnement : un expert en informatique pour l'aspect technique et un avocat spécialisé en droit des données pour l'aspect juridique.
Sur Expert Zoom, vous pouvez consulter rapidement un expert en sécurité informatique ou un juriste spécialisé nLPD, en ligne, sans délai d'attente cabinet. Une décision rapide en cas de cyberincident peut faire la différence entre une amende et une gestion maîtrisée de la crise.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour toute situation spécifique, consultez un professionnel qualifié.
