Mivelaz Consulting
Mivelaz Consulting

Conformité nLPD Suisse : Votre site web est-il en règle avec la loi ?

Michel Mivelaz
Michel Mivelaz·Consultant en transformation digitale
·

Conformité nLPD Suisse : votre site web est-il en règle ?

Depuis l'entrée en vigueur de la nouvelle Loi sur la Protection des Données (nLPD) en septembre 2023, chaque site web suisse qui collecte des données personnelles doit être conforme. Les sanctions vont jusqu'à CHF 250'000 d'amende personnelle. Pourtant, la majorité des PME romandes ne respectent pas encore toutes les obligations.

Voici un guide complet pour comprendre ce que la nLPD exige de votre site web et comment vous mettre en conformité.

Qu'est-ce que la nLPD et qui est concerné ?

La nLPD (nouvelle Loi fédérale sur la Protection des Données) remplace la loi de 1992 et aligne la Suisse avec le RGPD européen. Elle est entrée en vigueur le 1er septembre 2023.

Vous êtes concerné si votre site web :

  • Collecte des emails via un formulaire de contact ou une newsletter
  • Utilise des cookies de tracking (Google Analytics, Facebook Pixel, etc.)
  • Traite des données clients (commandes, réservations, devis en ligne)
  • Stocke des informations de connexion (espace client, login)

En pratique, tout site web professionnel est concerné. Même un simple formulaire de contact collecte des données personnelles (nom, email, message).

Différence entre nLPD et RGPD

La nLPD s'inspire du RGPD mais avec des spécificités suisses :

  • Sanctions personnelles : contrairement au RGPD qui sanctionne l'entreprise, la nLPD vise la personne physique responsable (dirigeant, DPO). Jusqu'à CHF 250'000 d'amende
  • Pas de DPO obligatoire : le RGPD impose un Data Protection Officer dans certains cas. La nLPD le recommande mais ne l'impose pas aux PME
  • Notification de violation : obligation de notifier le PFPDT (Préposé fédéral) "dans les meilleurs délais" en cas de fuite de données. Pas de délai strict de 72h comme le RGPD
  • Portée territoriale : la nLPD s'applique à toute entreprise qui traite des données de personnes en Suisse, même si l'entreprise est basée ailleurs

Les 5 obligations de votre site web selon la nLPD

1. Politique de confidentialité complète

Votre site doit afficher une politique de confidentialité claire et accessible. Elle doit mentionner :

  • L'identité du responsable du traitement (votre entreprise, avec adresse en Suisse)
  • Les types de données collectées et les finalités de traitement
  • Les destinataires des données (sous-traitants, hébergeur, outils analytics)
  • La durée de conservation des données
  • Les droits des personnes concernées (accès, rectification, suppression)
  • Les transferts de données hors de Suisse (crucial pour les outils américains)

2. Consentement explicite pour les cookies

La nLPD exige un consentement avant l'activation des cookies non essentiels. Un simple bandeau "En continuant, vous acceptez" n'est plus suffisant.

Votre bannière de consentement doit :

  • Lister les catégories de cookies (nécessaires, analytiques, marketing)
  • Permettre un choix granulaire (accepter/refuser par catégorie)
  • Fonctionner sans charger de cookies avant le consentement
  • Stocker la preuve du consentement

3. Hébergement et transfert de données

C'est le point le plus sensible. Si votre site est hébergé aux États-Unis, les données de vos visiteurs tombent sous la juridiction américaine, incompatible avec la nLPD sans garanties supplémentaires.

Recommandations :

  • Privilégier un hébergement en Suisse ou en Europe (Infomaniak, Cyon, Hostpoint)
  • Si hébergement hors Suisse : vérifier l'existence de clauses contractuelles types (CCT)
  • Documenter les transferts internationaux dans votre politique de confidentialité

4. Le problème Google Analytics

Google Analytics envoie par défaut les adresses IP de vos visiteurs aux serveurs Google aux USA. Selon les jurisprudences récentes en Europe (décisions CNIL, Datatilsynet), c'est problématique.

Solutions conformes :

  • Matomo auto-hébergé : alternative open-source hébergée sur votre serveur suisse. Les données ne quittent jamais la Suisse
  • Google Analytics 4 avec proxy : server-side tracking qui anonymise les données avant envoi à Google
  • Plausible ou Umami : alternatives légères, hébergées en Europe ou auto-hébergées
  • Désactiver le tracking : si vous n'utilisez pas les données analytics, le plus simple est de ne pas en collecter

5. Sécurité technique obligatoire

La nLPD impose des "mesures techniques et organisationnelles appropriées" pour protéger les données. Si votre site se fait pirater et que des données clients fuitent, vous êtes personnellement responsable.

Les mesures minimales :

  • Certificat SSL (HTTPS) obligatoire
  • Mises à jour régulières du CMS, des plugins et du thème
  • Sauvegardes automatisées avec stockage hors site
  • Mot de passe fort pour l'administration du site
  • En-têtes de sécurité HTTP (CSP, HSTS, X-Frame-Options)

Un site WordPress non maintenu est une bombe à retardement. Consultez notre guide sur la sécurité WordPress pour les détails techniques. Si votre site est déjà compromis, voici comment nettoyer un WordPress piraté.

Comment vérifier la conformité de votre site

Vous pouvez auditer vous-même les bases :

  1. Politique de confidentialité : est-elle accessible depuis toutes les pages (lien en footer) ? Mentionne-t-elle tous les outils que vous utilisez ?
  2. Bandeau cookies : testez en navigation privée. Les cookies analytics se chargent-ils avant votre consentement ? (Vérifiez avec les DevTools du navigateur)
  3. HTTPS : l'icône cadenas est-elle présente dans la barre d'adresse ? Un site en HTTP est non conforme
  4. Hébergement : où est physiquement situé votre serveur ? Demandez à votre hébergeur
  5. Formulaires : avez-vous une case à cocher "J'accepte la politique de confidentialité" sur vos formulaires ?

Pour un audit complet incluant la vérification technique, les en-têtes de sécurité et la conformité des outils tiers, faites appel à un professionnel.

Les risques concrets de non-conformité

Au-delà de l'amende de CHF 250'000, la non-conformité expose votre entreprise à :

  • Perte de confiance : les clients suisses sont de plus en plus sensibles à la protection de leurs données
  • Responsabilité personnelle : c'est le dirigeant ou la personne en charge qui est visé, pas l'entreprise
  • Obligation de notification : en cas de fuite, vous devez notifier le PFPDT et potentiellement vos clients
  • Impact commercial : certains clients B2B exigent la conformité nLPD de leurs fournisseurs

Les professions réglementées (avocats, fiduciaires, médecins) sont particulièrement exposées. La confidentialité des données est au coeur de leur activité et une fuite peut avoir des conséquences dévastatrices. Découvrez nos solutions adaptées aux professions réglementées.

Notre accompagnement conformité nLPD

Chez Mivelaz Consulting, nous proposons un accompagnement concret :

  1. Audit de conformité : vérification complète de votre site (cookies, analytics, hébergement, sécurité, politique de confidentialité)
  2. Mise en conformité technique : implémentation du bandeau cookies, migration analytics vers Matomo, sécurisation des formulaires
  3. Maintenance WordPress** : mises à jour de sécurité, sauvegardes, surveillance des vulnérabilités
  4. Migration vers une architecture sécurisée : si votre site WordPress accumule de la dette technique, une refonte sur Next.js élimine 90% des vecteurs d'attaque

La conformité nLPD n'est pas un coût, c'est un investissement dans la confiance de vos clients.

FAQ

Qu'est-ce que la nLPD et depuis quand est-elle en vigueur ?

La nLPD (nouvelle Loi fédérale sur la Protection des Données) est entrée en vigueur le 1er septembre 2023. Elle modernise la loi de 1992 et aligne la Suisse avec les standards européens du RGPD. Toute entreprise suisse traitant des données personnelles doit s'y conformer.

Mon site web doit-il être conforme à la nLPD ?

Oui, si votre site collecte des données personnelles sous quelque forme que ce soit : formulaires de contact, cookies de tracking, newsletter, espace client, analytics. En pratique, tout site web professionnel est concerné. Un simple formulaire de contact suffit à déclencher les obligations nLPD.

Quelles sanctions risque-t-on en cas de non-conformité ?

Les amendes peuvent atteindre CHF 250'000. Particularité suisse : les sanctions visent la personne physique responsable (dirigeant, personne en charge de la protection des données), pas l'entreprise. Au-delà de l'amende, la perte de confiance des clients et les obligations de notification en cas de fuite sont des risques majeurs.

Google Analytics est-il conforme à la nLPD ?

Google Analytics pose problème car il envoie les données de vos visiteurs aux serveurs Google aux USA. Les alternatives conformes sont Matomo auto-hébergé en Suisse, Plausible ou Umami hébergés en Europe, ou Google Analytics 4 avec un proxy server-side qui anonymise les données avant envoi.

Comment rendre mon site WordPress conforme à la nLPD ?

Les étapes clés : rédiger une politique de confidentialité complète, implémenter un bandeau de consentement cookies conforme, vérifier que l'hébergement est en Suisse ou en Europe, remplacer Google Analytics par une alternative conforme, sécuriser le site avec SSL, mises à jour et sauvegardes régulières.

La nLPD est-elle équivalente au RGPD européen ?

La nLPD est similaire au RGPD mais avec des différences. Les sanctions visent les personnes physiques (pas l'entreprise), le DPO n'est pas obligatoire pour les PME, et le délai de notification de violation est moins strict. Si votre site est déjà conforme au RGPD, vous êtes en grande partie conforme à la nLPD.

Combien coûte la mise en conformité nLPD d'un site web ?

Un audit de conformité et la mise en place des éléments essentiels (politique de confidentialité, bandeau cookies, migration analytics) coûtent entre CHF 300 et CHF 1'000 selon la complexité du site. La maintenance de sécurité mensuelle revient à CHF 50-150/mois. C'est un investissement modeste comparé aux CHF 250'000 d'amende potentielle.

Retour au blog

Explorer nos expertises

Automatisation

Intelligence Artificielle

Site Internet Pro

Solutions par métier

Articles qui pourraient vous intéresser

Prix création site internet à Lausanne en 2026

Vous tapez « prix création site internet Lausanne » et vous tombez sur des fourchettes allant de 500 à 25'000 francs - de quoi perdre la tête. En tant que prestataire web basé dans le canton de Vaud, je vous livre les tarifs réels pratiqués sur le marché lausannois en 2026, type de site par type de

Tarif audit SEO en Suisse

Vous avez demandé un devis pour un audit SEO et le prix varie du simple au quintuple selon les prestataires - comment savoir si vous payez le juste prix ? Le tarif d'un audit SEO en Suisse oscille entre CHF 200 et plus de CHF 2000, mais rares sont les consultants qui détaillent ce que chaque franc c

Devis création site internet en Suisse

Vous venez de recevoir un devis pour la création de votre site internet en Suisse - mais comment savoir s'il est complet, honnête et compétitif ? Après avoir analysé des centaines de devis web pour des PME et indépendants en Suisse romande, je constate que la majorité oublient des lignes essentielle

Besoin d'aide pour votre projet digital ?

Discutons de votre stratégie et découvrez comment nous pouvons booster votre visibilité en ligne et automatiser vos processus.

Demander un audit gratuit

Ou découvrez notre forfait maintenance WordPress

Zone d'intervention

En présentiel

Canton de Vaud

Rencontres en personne, visites sur site, formations en entreprise

Villes

Lausanne, Morges, Nyon, Vevey, Montreux, Yverdon-les-Bains, Renens, Pully, Prilly, Ecublens, Gland, Rolle, Echallens, Lutry, La Tour-de-Peilz, Aigle, Payerne

À distance

Suisse romande

Consultations vidéo, support à distance, livraison de projets digitaux

Cantons

Genève, Neuchâtel, Valais, Fribourg, Jura

Villes

Genève, Neuchâtel, Sion, Fribourg, Delémont, La Chaux-de-Fonds, Martigny, Sierre, Monthey, Bulle, Bienne