HTTPS et certificat SSL : pourquoi c'est obligatoire en 2026
Pourquoi votre site doit être en HTTPS. Sécurité, SEO, confiance et obligations légales pour PME suisses.
Vous avez sans doute remarqué le petit cadenas dans la barre d’adresse de votre navigateur. Ce symbole indique que le site utilise HTTPS — une version sécurisée du protocole HTTP. En 2026, avoir un certificat SSL actif n’est plus une option technique réservée aux boutiques en ligne : c’est une exigence de base pour tout site web, qu’il s’agisse d’une vitrine de plombier à Sion ou d’un cabinet médical à Sierre.
HTTPS et SSL : de quoi parle-t-on exactement ?
Le protocole HTTP et ses limites
HTTP (HyperText Transfer Protocol) est le langage qu’utilisent les navigateurs et les serveurs pour échanger des données. Le problème : ces échanges circulent en clair, c’est-à-dire lisibles par n’importe quel acteur situé entre votre visiteur et votre serveur — un fournisseur d’accès, un réseau Wi-Fi public, un routeur intermédiaire.
HTTPS : HTTP avec chiffrement
HTTPS ajoute une couche de chiffrement via le protocole TLS (Transport Layer Security), souvent encore appelé SSL par abus de langage. Concrètement, les données échangées entre le navigateur du visiteur et votre serveur sont chiffrées : personne ne peut les lire ou les modifier en transit. L’adresse de votre site commence alors par https:// au lieu de http://.
Le certificat SSL/TLS
Pour activer HTTPS, votre serveur doit présenter un certificat numérique signé par une autorité de certification (CA) reconnue. Ce certificat remplit deux rôles : il prouve que votre domaine vous appartient, et il contient la clé publique qui permet d’initier le chiffrement.
Pourquoi c’est obligatoire aujourd’hui
La sécurité des données de vos visiteurs
Sans HTTPS, un visiteur qui remplit votre formulaire de contact transmet ses données en clair. Sur un réseau Wi-Fi public — une terrasse de café à Verbier, un salon d’aéroport — ces données peuvent être interceptées sans équipement sophistiqué. Avec HTTPS, elles sont illisibles en dehors de la connexion établie.
Google classe les sites HTTPS en priorité depuis 2014
Google a annoncé dès août 2014 que HTTPS était un signal de classement. Depuis, son poids a progressivement augmenté. En 2026, un site HTTP est pénalisé dans les résultats de recherche par rapport à un concurrent en HTTPS, toutes choses égales par ailleurs. C’est un désavantage concurrentiel difficile à justifier alors que les certificats sont gratuits.
Les navigateurs affichent des avertissements sur les sites HTTP
Chrome, Firefox et Safari affichent explicitement “Non sécurisé” dans la barre d’adresse pour tout site en HTTP. Sur mobile, cet avertissement peut occuper une large partie de l’écran. Pour un visiteur qui découvre votre entreprise, c’est un signal d’alarme immédiat qui pousse à fermer l’onglet.
La nLPD suisse impose la protection des données personnelles
La nouvelle Loi fédérale sur la protection des données (nLPD), en vigueur depuis septembre 2023, oblige les entreprises suisses à prendre des mesures techniques appropriées pour protéger les données personnelles qu’elles traitent. Un site HTTP qui collecte des adresses e-mail ou des numéros de téléphone via un formulaire de contact contrevient à cette obligation. HTTPS est une mesure technique minimale attendue.
La confiance des visiteurs
Au-delà des aspects techniques et légaux, le cadenas dans la barre d’adresse joue un rôle psychologique. Les internautes suisses sont sensibles à la sécurité en ligne. Un site sans HTTPS, même pour une simple page de présentation, envoie le signal que le propriétaire ne prête pas attention aux détails — ce qui rejaillit sur la confiance que vous inspirez à vos visiteurs et sur la perception globale de l’entreprise.
Comment obtenir un certificat SSL
Let’s Encrypt : gratuit et automatique
Let’s Encrypt est une autorité de certification à but non lucratif qui délivre des certificats DV (voir ci-dessous) gratuitement, avec renouvellement automatique tous les 90 jours. La quasi-totalité des hébergeurs sérieux (Infomaniak, Hostpoint, Vercel, Netlify, OVH) intègrent Let’s Encrypt nativement : l’activation se fait en un clic ou est automatique à la création du site.
Certificats payants
Les hébergeurs et des prestataires spécialisés (DigiCert, Sectigo, GlobalSign) proposent des certificats payants. Ils sont utiles dans deux cas : les certificats OV et EV qui affichent des informations sur l’entreprise (voir ci-dessous), et certaines configurations d’entreprise nécessitant une garantie financière ou un support dédié.
Via votre hébergeur ou agence
La solution la plus simple pour une PME est de laisser l’hébergeur gérer le certificat. Infomaniak active HTTPS automatiquement sur tous les domaines. Vercel et Netlify font de même dès que vous liez un domaine. Si vous passez par une agence web, elle doit s’assurer que HTTPS est activé avant la mise en ligne — c’est une responsabilité élémentaire.
Les trois types de certificats SSL
DV — Domain Validation (validation de domaine)
L’autorité de certification vérifie uniquement que vous contrôlez le domaine. La procédure est automatisée et prend quelques secondes à quelques minutes. C’est le type délivré par Let’s Encrypt. Il assure le chiffrement mais ne vérifie pas l’identité juridique de l’entreprise derrière le domaine. Suffisant pour la grande majorité des PME.
OV — Organization Validation (validation d’organisation)
L’autorité vérifie en plus l’existence légale de l’entreprise (numéro IDE en Suisse, adresse, etc.). Les certificats OV affichent le nom de l’organisation dans les détails du certificat. Utile pour les cabinets professionnels, les cabinets médicaux ou les associations qui veulent renforcer la crédibilité visible de leur site.
EV — Extended Validation (validation étendue)
Vérification approfondie de l’entreprise par l’autorité de certification. Historiquement, les certificats EV affichaient le nom de l’entreprise en vert dans la barre d’adresse. Les navigateurs modernes ont largement supprimé cet affichage visuel, ce qui diminue leur intérêt pratique. Réservés aux grandes organisations et aux banques.
Problèmes courants et comment les résoudre
Contenu mixte (mixed content)
Un site peut être en HTTPS et pourtant afficher un avertissement si certaines ressources (images, scripts, feuilles de style) sont encore chargées en HTTP. Le navigateur bloque ou signale ces ressources, ce qui peut casser l’affichage ou déclencher une alerte. La solution consiste à mettre à jour toutes les URLs internes en HTTPS et à vérifier que les ressources tierces (polices, scripts analytiques) sont également servies en HTTPS.
Certificat expiré
Let’s Encrypt émet des certificats valables 90 jours. Le renouvellement doit être automatique via le client ACME de l’hébergeur. Si le renouvellement échoue — par exemple suite à un changement de DNS ou une configuration serveur modifiée — le certificat expire et les visiteurs voient une page d’erreur bloquante. Il est recommandé de configurer une alerte e-mail avant expiration.
Boucles de redirection
Une mauvaise configuration de la redirection HTTP vers HTTPS peut créer une boucle infinie (redirect loop) qui empêche toute navigation. Cela arrive souvent quand la règle de redirection est définie à plusieurs niveaux (serveur web, CMS, proxy). La bonne pratique est de définir la redirection une seule fois, au niveau du serveur ou du fichier de configuration, et de vérifier avec un outil de test de redirection.
Comment vérifier que votre site est correctement sécurisé
Le cadenas dans la barre d’adresse
Ouvrez votre site dans Chrome ou Firefox. Un cadenas fermé sans avertissement indique que HTTPS est actif et qu’il n’y a pas de contenu mixte. Cliquez sur le cadenas pour voir les détails du certificat : émetteur, date d’expiration, domaine couvert.
SSL Labs (ssllabs.com/ssltest)
SSL Labs de Qualys est l’outil de référence pour auditer la configuration HTTPS d’un site. Il attribue une note de A+ à F et détaille les protocoles supportés, la force des suites de chiffrement et les éventuelles vulnérabilités. Un site bien configuré doit obtenir au minimum un A. L’outil est gratuit et public.
Ce que Tacelo fait pour ses clients
Chez Tacelo, HTTPS est activé par défaut sur tous les sites que nous livrons — sans exception et sans supplément.
- Certificat automatique : les sites déployés via Vercel obtiennent un certificat Let’s Encrypt dès la liaison du domaine. Le renouvellement est entièrement automatique, sans intervention manuelle.
- Aucun contenu mixte : tous les sites sont construits avec Astro, qui génère des fichiers statiques. Toutes les URLs internes et les ressources tierces sont vérifiées pour s’assurer qu’elles pointent exclusivement vers des sources HTTPS.
- Redirection propre : nous configurons une redirection permanente (301) de HTTP vers HTTPS et de la version sans
wwwvers la version canonique, ce qui évite les doublons de contenu et les boucles. - Note SSL Labs : nos configurations visent systématiquement la note A ou A+.
Si vous gérez un site existant et avez un doute sur sa configuration HTTPS, contactez-nous pour un audit rapide.
Questions fréquentes
Mon site est une simple page de présentation sans formulaire. HTTPS est-il vraiment nécessaire ?
Oui. Chrome affiche “Non sécurisé” pour tous les sites HTTP, quelle que soit leur nature. Un visiteur qui voit cet avertissement doute immédiatement de votre sérieux. De plus, Google prend en compte HTTPS comme facteur de classement même pour les sites sans données sensibles. Enfin, la nLPD s’applique dès lors que votre site collecte des adresses IP ou utilise des cookies analytiques, ce qui est le cas pour la quasi-totalité des sites avec Google Analytics ou un système équivalent.
Let’s Encrypt est-il aussi fiable qu’un certificat payant ?
Pour le chiffrement, oui. Un certificat Let’s Encrypt (DV) offre exactement le même niveau de chiffrement TLS qu’un certificat payant. La différence réside dans la validation de l’identité de l’entreprise (OV/EV) et dans le support commercial. Pour un site PME standard, Let’s Encrypt est tout à fait suffisant et est utilisé par des millions de sites à travers le monde, y compris de grands services commerciaux.
Que se passe-t-il si mon certificat expire pendant les vacances et que je ne suis pas disponible ?
Les visiteurs voient une page d’erreur rouge bloquante dans leur navigateur (“Votre connexion n’est pas privée”), ce qui stoppe tout trafic entrant. Avec un hébergeur qui gère le renouvellement automatique (Infomaniak, Vercel, Netlify), ce scénario ne devrait pas se produire. Si vous gérez vous-même votre certificat, configurez impérativement une alerte e-mail 30 jours avant expiration et vérifiez que le processus de renouvellement automatique fonctionne après chaque changement d’infrastructure.
