La nouvelle loi fédérale sur la protection des données (nLPD) est en vigueur depuis le 1er septembre 2023. Pour les PME suisses, se mettre en conformité peut sembler complexe — mais en réalité, la grande majorité des obligations concernant votre site web se réduisent à 15 points concrets. Parcourez cette checklist, cochez ce que vous avez déjà mis en place, et identifiez ce qu'il vous reste à faire.
Pourquoi votre site web est au coeur de la conformité nLPD
Votre site web est souvent le premier point de collecte de données personnelles : adresses IP, cookies, formulaires, pixels publicitaires. C'est aussi là que vos visiteurs exercent leurs droits (accès, rectification, suppression). La nLPD, combinée à l'ordonnance sur la protection des données (OPDo), impose des obligations précises à chaque étape de ce parcours.
Les sanctions sont personnelles : jusqu'à CHF 250 000 contre le responsable du traitement (art. 60 nLPD). Ce n'est pas une amende institutionnelle abstraite — c'est une responsabilité qui pèse directement sur le dirigeant.
Les 15 points de la checklist nLPD pour votre site web
1. Politique de confidentialité publiée et accessible
Ce que c'est : un document décrivant quelles données vous collectez, pourquoi, combien de temps, et qui y a accès.
Article nLPD : art. 19 nLPD — obligation d'informer au moment de la collecte.
Comment l'implémenter : publiez une page dédiée (ex. /politique-de-confidentialite). Rédigez-la en langage clair, sans jargon juridique excessif. Elle doit couvrir : l'identité du responsable du traitement, les finalités, les catégories de données, les destinataires, les durées de conservation, et les droits des personnes concernées.
2. Bannière de cookies avec opt-in préalable
Ce que c'est : un mécanisme qui empêche le dépôt de cookies non essentiels avant que l'utilisateur ait donné son consentement explicite.
Article nLPD : art. 45c LTC (Loi sur les télécommunications) — consentement requis pour les cookies non nécessaires au service.
Comment l'implémenter : le consentement doit être libre, éclairé, spécifique et univoque. Un bouton "Tout accepter" est suffisant s'il est accompagné d'un refus aussi facile. Le silence ou le simple défilement de la page ne constituent pas un consentement valable.
3. Catégorisation des cookies
Ce que c'est : présenter les cookies par catégories (nécessaires, analytiques, marketing, préférences) avec une description de chaque service utilisé.
Article nLPD : art. 19 et 45c LTC — granularité de l'information et du choix.
Comment l'implémenter : dans votre bannière ou dans votre politique de cookies, listez chaque service tiers (Google Analytics, Meta Pixel, Hotjar, etc.), sa catégorie, sa durée de vie, et le pays où les données sont traitées. Permettez à l'utilisateur d'accepter ou refuser par catégorie.
4. Scripts bloqués jusqu'au consentement
Ce que c'est : les traceurs tiers (Google Analytics, Facebook Pixel, etc.) ne doivent pas se charger avant que l'utilisateur ait donné son accord.
Article nLPD : art. 45c LTC — le dépôt de cookies sans consentement est illégal.
Comment l'implémenter : utilisez un gestionnaire de consentement (CMP) qui charge les scripts conditionnellement. Techniquement, cela signifie que les balises <script> de services tiers doivent avoir leur type défini sur text/plain jusqu'à ce que le consentement soit accordé, puis être activées dynamiquement.
Bon à savoir : PrivaScan vérifie automatiquement les points 1 à 4 en crawlant votre site et en détectant les cookies déposés avant consentement, les scripts manquants dans votre politique, et l'absence de bannière conforme.
5. Politique de confidentialité liée depuis chaque page
Ce que c'est : un lien visible vers votre politique de confidentialité accessible depuis n'importe quelle page du site.
Article nLPD : art. 19 nLPD — l'information doit être facilement accessible.
Comment l'implémenter : intégrez le lien dans le pied de page (footer) de votre site. Ne le cachez pas dans un menu déroulant profond. Le texte du lien doit être explicite : "Politique de confidentialité" ou "Protection des données".
6. Disclosure dans les formulaires de contact
Ce que c'est : informer l'utilisateur, directement dans ou à côté du formulaire, de la façon dont ses données seront utilisées.
Article nLPD : art. 19 nLPD — information au moment de la collecte.
Comment l'implémenter : ajoutez une courte mention sous chaque formulaire (contact, devis, inscription) du type : "Vos données sont utilisées uniquement pour répondre à votre demande. En savoir plus." Une case à cocher est optionnelle si la finalité est évidente, mais recommandée pour les inscriptions commerciales.
7. Double opt-in pour les newsletters
Ce que c'est : après inscription, l'utilisateur reçoit un e-mail de confirmation qu'il doit valider avant d'être ajouté à votre liste.
Article nLPD : art. 6 nLPD (licéité du traitement) + art. 3 LPD sur le consentement ; également requis par la loi anti-spam (LCADin).
Comment l'implémenter : configurez votre outil d'emailing (Mailchimp, Brevo, etc.) en mode double opt-in. Conservez les preuves de consentement (date, adresse IP, version du formulaire). En cas de litige, c'est vous qui devez prouver que le consentement a été obtenu.
8. Services tiers listés dans la politique de confidentialité
Ce que c'est : chaque service externe intégré à votre site (hébergeur, outil d'analyse, CRM, support chat, etc.) doit être mentionné.
Article nLPD : art. 19 al. 2 nLPD — obligation de mentionner les destinataires des données.
Comment l'implémenter : faites l'inventaire de tous les outils que vous utilisez : Google Analytics, Stripe, Intercom, HubSpot, Cloudflare, votre hébergeur, etc. Pour chacun, indiquez : le nom du service, son rôle, le pays de traitement, et un lien vers sa propre politique de confidentialité.
9. Contrats de sous-traitance (DPA) avec les prestataires
Ce que c'est : un accord contractuel avec chaque prestataire qui traite des données personnelles en votre nom (votre hébergeur, votre outil CRM, votre service emailing, etc.).
Article nLPD : art. 9 nLPD — obligation de conclure un contrat écrit avec les sous-traitants.
Comment l'implémenter : la plupart des grands fournisseurs (Google, AWS, Stripe, Brevo) proposent un DPA (Data Processing Agreement) à signer dans leurs paramètres de compte ou sur demande. Signez-les et archivez-les. Pour les prestataires suisses ou européens de taille modeste, un avenant contractuel suffit.
10. Chiffrement SSL/TLS actif sur tout le site
Ce que c'est : votre site doit être accessible uniquement en HTTPS, avec un certificat SSL/TLS valide, sur toutes les pages sans exception.
Article nLPD : art. 8 nLPD — obligation de mesures techniques et organisationnelles adéquates (sécurité des données).
Comment l'implémenter : vérifiez que votre hébergeur fournit un certificat SSL (Let's Encrypt est gratuit). Configurez une redirection automatique de HTTP vers HTTPS. Assurez-vous qu'il n'y a pas de contenu mixte (images ou scripts chargés en HTTP sur une page HTTPS).
11. Durées de conservation définies et documentées
Ce que c'est : pour chaque catégorie de données que vous collectez, vous devez définir combien de temps vous les conservez, puis les supprimer.
Article nLPD : art. 6 al. 4 nLPD — principe de minimisation et de limitation de la conservation.
Comment l'implémenter : créez un tableau simple listant : catégorie de données, finalité, durée de conservation, base légale de la conservation. Exemples : données de contact (3 ans après la dernière interaction), données de commande (10 ans pour obligations comptables), logs serveur (90 jours). Automatisez la suppression dans vos outils si possible.
12. Procédure d'exercice des droits (accès, rectification, suppression)
Ce que c'est : vos visiteurs ont le droit de savoir quelles données vous détenez sur eux, de les faire corriger, et de les faire supprimer.
Article nLPD : art. 25 (droit d'accès), art. 32 (droit à la rectification/suppression) nLPD.
Comment l'implémenter : publiez dans votre politique de confidentialité une adresse e-mail dédiée (ex. privacy@votreentreprise.ch) pour recevoir les demandes. Définissez un processus interne : vérification de l'identité du demandeur, délai de réponse (30 jours maximum), procédure de suppression dans vos différents outils.
13. Registre des activités de traitement
Ce que c'est : un inventaire interne documentant toutes les activités de traitement de données personnelles de votre organisation.
Article nLPD : art. 12 nLPD — obligatoire pour les entreprises dont le traitement présente un risque élevé ; fortement recommandé pour toutes les PME.
Comment l'implémenter : listez chaque traitement (gestion clients, facturation, marketing, RH, support, etc.) avec : la finalité, les catégories de données, les destinataires, les pays de traitement, les durées de conservation, les mesures de sécurité. Un tableur suffit pour commencer ; des outils dédiés comme PrivaGuard facilitent la gestion et la mise à jour.
14. Garanties pour les transferts hors de Suisse
Ce que c'est : si vous utilisez des services dont les serveurs sont hors de Suisse (USA, Inde, etc.), vous devez vous assurer que des garanties adéquates protègent les données transférées.
Article nLPD : art. 16-18 nLPD — transferts de données à l'étranger.
Comment l'implémenter : vérifiez pour chaque prestataire où les données sont physiquement stockées. Pour les transferts vers des pays sans niveau de protection adéquat reconnu par le PFPDT (la liste est disponible sur edoeb.admin.ch), vous devez vous appuyer sur des clauses contractuelles types (CCT) ou des règles d'entreprise contraignantes. Mentionnez ces garanties dans votre politique de confidentialité.
15. Calendrier d'audit régulier
Ce que c'est : planifier des révisions périodiques de votre conformité pour maintenir votre site à jour face aux évolutions légales et techniques.
Article nLPD : principe général de responsabilité (art. 5 et 8 nLPD) — le responsable du traitement doit être en mesure de démontrer sa conformité à tout moment.
Comment l'implémenter : fixez un audit annuel minimum (ou après chaque changement majeur de votre site ou de votre stack technique). Vérifiez : la liste des cookies actifs, les contrats sous-traitants, les durées de conservation appliquées, les droits d'accès aux données, et la politique de confidentialité. Documentez chaque audit.
Récapitulatif visuel
| # | Point de contrôle | Article nLPD | Priorité |
|---|---|---|---|
| 1 | Politique de confidentialité publiée | Art. 19 | Critique |
| 2 | Bannière cookies opt-in préalable | Art. 45c LTC | Critique |
| 3 | Catégorisation des cookies | Art. 19 + 45c LTC | Critique |
| 4 | Scripts bloqués avant consentement | Art. 45c LTC | Critique |
| 5 | Lien politique dans chaque page | Art. 19 | Élevée |
| 6 | Disclosure dans les formulaires | Art. 19 | Élevée |
| 7 | Double opt-in newsletters | Art. 6 + LCADin | Élevée |
| 8 | Services tiers listés | Art. 19 al. 2 | Élevée |
| 9 | Contrats DPA sous-traitants | Art. 9 | Élevée |
| 10 | SSL/TLS sur tout le site | Art. 8 | Élevée |
| 11 | Durées de conservation définies | Art. 6 al. 4 | Moyenne |
| 12 | Procédure droits d'accès/suppression | Art. 25, 32 | Moyenne |
| 13 | Registre des traitements | Art. 12 | Moyenne |
| 14 | Garanties transferts hors Suisse | Art. 16-18 | Moyenne |
| 15 | Audit régulier planifié | Art. 5, 8 | Continue |
Par où commencer ?
Si vous partez de zéro, concentrez-vous d'abord sur les 4 premiers points — ils constituent le minimum légal visible par vos visiteurs et par le PFPDT. Les points 5 à 10 suivent naturellement, puis la documentation interne (11-15) vient consolider votre posture globale.
Ne laissez pas la complexité vous paralyser : une conformité imparfaite mais évolutive vaut mieux qu'une inaction totale. La nLPD prend en compte la bonne foi et les efforts démontrés dans l'appréciation des sanctions.
Commencez par un diagnostic automatique : PrivaScan analyse votre site en quelques minutes et vérifie les points 1 à 4 de cette checklist — détection des cookies déposés avant consentement, scripts tiers non déclarés, et conformité de votre bannière. C'est gratuit, sans inscription, et vous obtenez un rapport détaillé immédiatement.