Politique de confidentialité suisse : guide complet et modèle nLPD

Votre site web collecte des données personnelles — adresses e-mail, adresses IP, données de navigation, formulaires de contact. La nLPD vous impose d'en informer clairement vos visiteurs. Cette obligation de transparence, inscrite à l'art. 19 nLPD, se concrétise principalement par la publication d'une politique de confidentialité. Ce guide vous explique exactement ce qu'elle doit contenir, comment l'écrire, et où la placer.

Pourquoi chaque site web suisse a besoin d'une politique de confidentialité

La réponse tient en un article de loi : l'art. 19 nLPD impose au responsable du traitement d'informer les personnes concernées au moment de la collecte de leurs données. Cette information doit être facilement accessible, compréhensible, et intervenir avant ou au moment de la collecte — pas après.

En pratique, cela signifie que dès que votre site :

• affiche Google Analytics ou un autre outil de mesure d'audience,
• intègre un formulaire de contact ou d'inscription,
• utilise des cookies publicitaires ou des pixels de suivi (Meta Pixel, LinkedIn Insight Tag…),
• héberge une boutique en ligne ou un espace client,

…vous êtes légalement tenu de disposer d'une politique de confidentialité publiée et accessible.

L'absence de politique de confidentialité — ou une politique incomplète — peut entraîner une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) et des sanctions pouvant aller jusqu'à CHF 250 000 (à titre personnel, contre le responsable du traitement).

Si vous avez également des clients dans l'Union européenne, l'art. 13 RGPD s'applique en parallèle et impose des exigences similaires — souvent légèrement plus étendues. Une politique bien rédigée peut satisfaire aux deux textes simultanément.

Ce que doit obligatoirement contenir une politique de confidentialité nLPD

L'art. 19 nLPD, précisé par l'ordonnance sur la protection des données (OPDo), liste les informations minimales à communiquer. Voici les sections indispensables :

1. Identité et coordonnées du responsable du traitement

Qui traite les données ? Indiquez le nom légal de votre entreprise, son adresse postale complète, et un contact e-mail dédié aux questions de protection des données. Si vous avez désigné un représentant en Suisse (ou dans l'UE), mentionnez-le également.

2. Finalités et bases légales du traitement

Pour chaque catégorie de traitement, précisez pourquoi vous traitez les données (finalité) et sur quelle base (consentement, exécution d'un contrat, intérêt légitime, obligation légale). Soyez concret : "améliorer nos services" est trop vague ; "mesurer le taux de conversion de nos campagnes e-mail via Mailchimp" est acceptable.

3. Catégories de données personnelles traitées

Listez les types de données que vous collectez : données d'identification (nom, prénom, e-mail), données de navigation (adresse IP, pages visitées, durée), données de paiement, données contractuelles, etc. Inutile d'être exhaustif à l'extrême — regroupez par catégories logiques.

4. Destinataires et sous-traitants

Avec qui partagez-vous les données ? Mentionnez les catégories de destinataires (prestataire d'hébergement, outil de CRM, plateforme e-mail, service de paiement) ainsi que les principaux tiers nommément si possible (ex. : Stripe pour le paiement, Resend pour les e-mails transactionnels).

5. Transferts de données hors de Suisse

Si des données sont traitées hors de Suisse — typiquement par des services cloud américains ou européens — vous devez l'indiquer, préciser le pays de destination, et mentionner les garanties en place (clauses contractuelles types, décision d'adéquation du PFPDT, etc.). La Suisse maintient sa propre liste de pays offrant un niveau de protection adéquat.

6. Durées de conservation

Combien de temps conservez-vous chaque catégorie de données ? Indiquez des durées concrètes ou les critères qui les déterminent (ex. : "données de facturation conservées 10 ans conformément au Code des obligations suisse", "logs de connexion supprimés après 90 jours").

7. Droits des personnes concernées

La nLPD garantit aux personnes physiques plusieurs droits : accès, rectification, effacement, limitation, portabilité, et opposition. Expliquez comment les exercer — adresse e-mail de contact, délai de réponse (en principe 30 jours), et possibilité de saisir le PFPDT en cas de litige.

8. Cookies et technologies de suivi

Dédiez une section entière aux cookies. Distinguez les cookies strictement nécessaires (session, CSRF, préférences) des cookies analytiques, publicitaires et de suivi tiers. Expliquez votre mécanisme de consentement et indiquez comment les visiteurs peuvent modifier leurs préférences.

9. Coordonnées de contact

Terminez par une invitation claire à vous contacter pour toute question relative à la protection des données, avec une adresse e-mail dédiée (idéalement privacy@votredomaine.ch ou dpo@votredomaine.ch).

Politique de confidentialité vs. mentions légales (Impressum) : quelle différence ?

C'est une confusion fréquente, surtout pour les PME. En Suisse :

• L'Impressum (mentions légales) identifie le responsable du site — raison sociale, adresse, contact — et peut être requis par le droit commercial ou certaines professions réglementées. Il ne traite pas de la protection des données.
• La politique de confidentialité explique comment les données personnelles sont collectées, traitées et protégées. Elle est exigée par la nLPD.

Ce sont deux documents distincts, qui doivent figurer dans deux pages séparées. Il est courant — et recommandé — de les lier toutes les deux depuis le pied de page de votre site.

Les erreurs les plus fréquentes dans les politiques de confidentialité suisses

Au fil de l'analyse de centaines de sites suisses, voici les lacunes récurrentes :

1. Copier-coller d'un modèle RGPD sans adaptation suisse. Le RGPD et la nLPD partagent des principes communs mais diffèrent sur plusieurs points (bases légales, terminologie, droits spécifiques). Un modèle purement européen ne suffit pas.

2. Omettre les cookies tiers. Google Analytics, Meta Pixel, LinkedIn Tag, Hotjar — chacun de ces outils traite des données de vos visiteurs. Ils doivent figurer dans votre politique et être couverts par votre bannière de consentement.

3. Ne pas mentionner les transferts hors de Suisse. L'utilisation de services AWS, Google Cloud ou Microsoft Azure implique souvent un traitement aux États-Unis. Ce transfert doit être déclaré avec les garanties associées.

4. Des durées de conservation inexistantes ou vagues. "Nous conservons vos données aussi longtemps que nécessaire" ne respecte pas l'obligation de transparence. Des durées concrètes ou des critères clairs sont requis.

5. Une politique inaccessible ou enfouie. La politique doit être accessible en un clic depuis n'importe quelle page — typiquement depuis le pied de page. La placer uniquement dans les CGV ou dans un onglet obscur n'est pas conforme.

6. Ne pas mettre à jour la politique après l'installation de nouveaux outils. Chaque nouveau tracker, outil analytique ou service tiers ajouté à votre site doit être reflété dans votre politique.

Où placer votre politique de confidentialité

L'accessibilité est une exigence implicite de la nLPD. En pratique, votre politique doit être liée depuis :

• Le pied de page de chaque page de votre site (lien permanent, libellé clair : "Politique de confidentialité" ou "Protection des données")
• La bannière de consentement aux cookies — les visiteurs doivent pouvoir lire votre politique avant d'accepter ou de refuser
• Tous les formulaires qui collectent des données (formulaire de contact, inscription à la newsletter, création de compte) — un lien "En soumettant ce formulaire, vous acceptez notre politique de confidentialité" avec hyperlien actif
• Les e-mails marketing et transactionnels — un lien en pied d'e-mail est une bonne pratique

Modèle de structure pour votre politique de confidentialité nLPD

Voici un plan en sections que vous pouvez adapter à votre situation :

1. Responsable du traitement
   - Raison sociale, adresse, e-mail de contact

2. Données collectées et finalités
   2.1 Données de navigation et cookies
   2.2 Formulaires de contact
   2.3 Données de compte / espace client
   2.4 Données de facturation et de paiement
   2.5 Newsletter et communications marketing

3. Bases légales du traitement

4. Destinataires et sous-traitants
   - Hébergement, outils analytiques, CRM, paiement, e-mail

5. Transferts de données hors de Suisse

6. Durées de conservation

7. Vos droits
   - Accès, rectification, effacement, portabilité, opposition
   - Comment les exercer et délai de réponse

8. Cookies et technologies de suivi
   - Cookies nécessaires
   - Cookies analytiques (avec consentement)
   - Cookies publicitaires / tiers (avec consentement)
   - Gestion des préférences

9. Modifications de la présente politique

10. Contact et réclamations

Ce plan couvre les exigences de l'art. 19 nLPD et peut être complété pour satisfaire à l'art. 13 RGPD si vous avez des utilisateurs dans l'UE.

Quand faut-il mettre à jour votre politique de confidentialité ?

Une politique de confidentialité n'est pas un document figé. Vous devez la réviser :

• À l'installation de tout nouvel outil qui traite des données personnelles (nouveau CRM, outil de live chat, solution de paiement, tracker publicitaire)
• En cas de changement de sous-traitant (changement d'hébergeur, migration vers un autre service cloud)
• Lors d'une modification des finalités de traitement (vous lancez une newsletter, vous commencez à faire de la publicité ciblée)
• Après chaque évolution législative — que ce soit une mise à jour de l'OPDo, une nouvelle décision d'adéquation, ou un arrêt de référence du Tribunal fédéral
• En cas de violation de données — votre politique doit refléter les nouvelles mesures de sécurité mises en place

Une bonne pratique est de dater clairement votre politique ("Dernière mise à jour : mai 2026") et d'en archiver les versions précédentes.

Simplifiez la rédaction avec PrivaGuard

Rédiger une politique de confidentialité conforme à la nLPD prend du temps, nécessite une bonne connaissance du droit et doit être maintenue à jour. C'est précisément pour cela que PrivaGuard intègre un générateur de politique de confidentialité dès le plan Starter+.

Le générateur vous guide section par section, adapte le contenu à votre activité (e-commerce, SaaS, site vitrine, cabinet professionnel…), prend en compte les outils que vous utilisez, et produit un document trilingue (français, allemand, anglais) prêt à publier — conçu pour s'aligner sur la nLPD et compatible RGPD pour vos utilisateurs européens.

Avant de rédiger votre politique, commencez par savoir quels cookies et traceurs sont réellement actifs sur votre site. PrivaScan analyse votre site gratuitement, les classe par catégorie, et vous donne une vue claire de ce qui doit figurer dans votre politique de confidentialité.

Analyser mon site gratuitement