En octobre 2025, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié des directives actualisées sur l'utilisation des cookies et des technologies de traçage similaires. Ces nouvelles orientations clarifient les obligations qui découlent de la nouvelle loi fédérale sur la protection des données (nLPD) entrée en vigueur le 1er septembre 2023, et de l'article 45c de la loi sur les télécommunications (LTC). Pour les entreprises suisses — PME comprises — ces directives ont des implications concrètes et immédiates.
Pourquoi le PFPDT a-t-il actualisé ses directives ?
Depuis l'entrée en vigueur de la nLPD, de nombreux opérateurs de sites web suisses s'interrogeaient sur le degré de consentement requis pour les cookies non essentiels. Les pratiques variaient considérablement : certains se contentaient d'une bannière informative, d'autres s'appuyaient sur l'intérêt légitime pour justifier le dépôt de cookies analytiques ou publicitaires.
Les nouvelles directives du PFPDT mettent fin à cette zone grise. Elles adoptent une interprétation stricte du consentement, alignée sur les meilleures pratiques européennes mais ancrée dans le droit suisse. L'objectif : garantir que les utilisateurs restent maîtres de leurs données personnelles, y compris celles collectées via les technologies de traçage.
Ce qui change concrètement
1. Consentement explicite obligatoire avant tout cookie non essentiel
La règle est désormais claire : aucun cookie non essentiel ne peut être déposé avant que l'utilisateur ait donné son accord de manière active et informée. Cela signifie :
- La case à cocher doit être décochée par défaut.
- Le simple fait de continuer à naviguer sur le site (scroll, clic sur un lien interne) ne vaut plus consentement.
- Les bannières qui ne proposent pas de bouton de refus aussi visible que le bouton d'acceptation sont non conformes.
2. Fin du consentement par défilement ou par navigation
C'est l'un des changements les plus significatifs. De nombreux sites suisses affichaient une bannière du type « En continuant à naviguer, vous acceptez les cookies ». Cette pratique est explicitement invalidée par les nouvelles directives. Le consentement doit résulter d'une action positive et non ambiguë de l'utilisateur.
3. Information claire sur la finalité
Avant de donner son consentement, l'utilisateur doit pouvoir comprendre :
- Quels cookies sont utilisés (nom, fournisseur, durée de conservation).
- À quelle fin ils sont déposés (mesure d'audience, personnalisation publicitaire, réseaux sociaux, etc.).
- Qui a accès aux données collectées (y compris les tiers, comme Google Analytics ou Meta Pixel).
Les formulations vagues du type « améliorer votre expérience » ou « à des fins statistiques » ne sont plus suffisantes. Chaque catégorie de cookies doit être décrite de manière précise et compréhensible pour un utilisateur ordinaire.
4. Retrait du consentement aussi simple que son octroi
La nLPD consacre le droit de retirer son consentement à tout moment. Les nouvelles directives précisent que ce retrait doit être aussi facile que l'acceptation initiale. Concrètement :
- Un lien ou bouton permanent doit permettre d'accéder aux paramètres de cookies depuis n'importe quelle page du site.
- Le retrait doit prendre effet immédiatement, sans étapes supplémentaires.
- Les préférences retirées ne doivent pas être réinitialisées à chaque visite.
5. Durée de conservation limitée
Les cookies de consentement eux-mêmes doivent avoir une durée de vie raisonnable. Le PFPDT recommande de ne pas dépasser 12 mois pour la mémorisation du consentement, après quoi l'utilisateur devra être à nouveau sollicité.
Cookies essentiels vs cookies non essentiels : rappel de la distinction
Tous les cookies ne sont pas soumis aux mêmes règles. Les directives confirment la distinction suivante :
| Type de cookie | Exemples | Consentement requis ? |
|---|---|---|
| Strictement nécessaires | Session, panier, authentification, sécurité CSRF | Non |
| Fonctionnels | Langue, région, préférences d'affichage | Non (si liés à une demande explicite) |
| Analytiques / statistiques | Google Analytics, Matomo (non anonymisé) | Oui |
| Marketing / publicitaires | Meta Pixel, Google Ads, retargeting | Oui |
| Réseaux sociaux | Boutons de partage, widgets intégrés | Oui |
Droit suisse vs ePrivacy européen : les différences clés
La Suisse n'est pas membre de l'Union européenne et n'est pas directement soumise à la directive ePrivacy ou au RGPD. Cependant, les nouvelles directives du PFPDT s'en rapprochent considérablement tout en présentant quelques spécificités.
| Critère | Suisse (nLPD + LTC Art. 45c) | UE (RGPD + ePrivacy) |
|---|---|---|
| Base légale pour cookies non essentiels | Consentement explicite | Consentement explicite |
| Consentement par navigation | Interdit (directives PFPDT 2025) | Interdit (CJUE) |
| Autorité de contrôle | PFPDT (Berne) | CNIL, BfDI, etc. (selon pays) |
| Sanctions maximales | CHF 250 000 (art. pénaux nLPD) | Jusqu'à 4% du CA mondial (RGPD) |
| Cookie wall | Non recommandé | Généralement invalide (CNIL, EDPB) |
| Durée max. consentement recommandée | 12 mois (PFPDT) | 6 à 13 mois (selon autorité) |
| Registre des traitements | Obligatoire (> 250 employés ou traitement à risque) | Obligatoire (art. 30 RGPD) |
La différence essentielle reste le régime de sanctions : les sanctions suisses sont pénales (dirigées contre les personnes physiques responsables), tandis que les amendes RGPD sont administratives et peuvent atteindre des montants bien plus élevés pour les grandes entreprises. Pour les PME suisses, le risque réputationnel et les interventions du PFPDT restent les leviers de pression les plus concrets.
Impact pour les PME suisses
Les nouvelles directives s'appliquent à tout site web ciblant des utilisateurs en Suisse, quelle que soit la taille de l'entreprise. Une boutique en ligne à Lausanne, un cabinet d'avocats à Zurich ou un artisan indépendant à Berne sont tous concernés si leur site utilise des outils tiers comme Google Analytics, Facebook Pixel ou des plugins de chat en direct.
Les risques en cas de non-conformité sont multiples :
- Plaintes d'utilisateurs auprès du PFPDT.
- Enquêtes officielles pouvant aboutir à des recommandations contraignantes.
- Atteinte à la réputation, notamment pour les entreprises dont la clientèle est sensible à la protection des données (secteurs bancaire, médical, juridique).
- Invalidation des données analytiques collectées sans consentement valide, rendant les décisions marketing basées sur ces données non fiables.
Les étapes pratiques pour se mettre en conformité
Étape 1 : Auditer les cookies de votre site
Avant toute action, il est indispensable de savoir exactement quels cookies votre site dépose, quand et pourquoi. Un audit doit recenser :
- Les cookies first-party (générés par votre propre infrastructure).
- Les cookies third-party (Google, Meta, LinkedIn, Hotjar, Intercom, etc.).
- Les cookies déposés avant tout consentement.
Utilisez les outils de développement de votre navigateur ou des scanners automatisés pour obtenir une liste exhaustive.
Étape 2 : Mettre en place une solution CMP conforme
Une plateforme de gestion du consentement (CMP) est désormais indispensable pour la grande majorité des sites professionnels. Elle doit :
- Afficher une bannière avec des options de refus aussi visibles que les options d'acceptation.
- Permettre la gestion granulaire par catégorie de cookies.
- Bloquer le chargement des scripts tiers avant l'obtention du consentement.
- Enregistrer les consentements (horodatage, version de la bannière, choix de l'utilisateur) pour pouvoir en apporter la preuve en cas de contrôle.
- Offrir un mécanisme de retrait du consentement accessible en permanence.
Étape 3 : Mettre à jour votre politique de confidentialité
Votre politique de confidentialité doit refléter la réalité des traitements effectués via les cookies. Elle doit mentionner :
- La liste des cookies utilisés et leurs finalités.
- Les bases légales (consentement pour les non-essentiels, intérêt légitime pour les strictement nécessaires).
- Les transferts de données vers des pays tiers (ex. : Google Analytics envoie des données vers les États-Unis).
- Le droit de retrait du consentement et la marche à suivre.
Les références légales à inclure : Art. 6 nLPD (licéité du traitement), Art. 45c LTC (cookies et technologies similaires), ainsi que les directives officielles du PFPDT.
Étape 4 : Tester et documenter
Une fois la CMP en place, effectuez des tests rigoureux :
- Naviguez sur votre site sans accepter les cookies : vérifiez qu'aucun cookie non essentiel n'est déposé.
- Testez le retrait du consentement : vérifiez que les préférences sont respectées immédiatement.
- Vérifiez la compatibilité avec Google Consent Mode v2 si vous utilisez Google Analytics ou Google Ads.
- Conservez des captures d'écran et des journaux de consentement.
Références légales et ressources officielles
- Art. 6 nLPD — Licéité du traitement des données personnelles
- Art. 45c LTC — Protection des données dans les communications électroniques
- PFPDT — www.edoeb.admin.ch — Directives cookies (octobre 2025)
- nLPD — Loi fédérale sur la protection des données du 25 septembre 2020
La mise en conformité avec les directives PFPDT n'est pas une option réservée aux grandes entreprises. Elle concerne chaque site professionnel suisse qui utilise des outils de mesure d'audience ou de marketing digital. La bonne nouvelle : avec les bons outils, l'essentiel peut être réglé en quelques heures.
Commencez par savoir où vous en êtes. PrivaScan analyse automatiquement les cookies de votre site, les classe par catégorie et vous indique lesquels nécessitent un consentement explicite selon les nouvelles directives du PFPDT. Lancer le scan gratuit