Conseils

nLPD et sites web : ce que les PME suisses doivent savoir en 2026

La nouvelle loi sur la protection des données suisse (nLPD) et ses implications pour votre site web. Obligations, cookies et bonnes pratiques.

· tacelo
Protection des données nLPD pour sites web suisses

Entrée en vigueur le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) remplace un texte datant de 1992. Pour les PME suisses disposant d’un site web, cette révision introduit des obligations concrètes, souvent méconnues. Voici ce que vous devez savoir pour être en conformité en 2026.

Pourquoi la nLPD concerne votre site web

Un site web collecte des données personnelles dès qu’il utilise des cookies d’analyse, des formulaires de contact, un outil de newsletter ou un pixel publicitaire. Même sans boutique en ligne, votre présence digitale est concernée. La nLPD impose désormais une transparence accrue envers les visiteurs et des mesures techniques minimales.

Les obligations principales pour les PME

1. Politique de confidentialité obligatoire

Toute entreprise qui collecte des données via son site doit publier une déclaration de protection des données (souvent appelée Datenschutzerklärung en allemand). Ce document doit indiquer :

  • quelles données sont collectées (adresse IP, cookies, données de formulaire, etc.) ;
  • la finalité du traitement ;
  • la durée de conservation ;
  • les éventuels transferts à des tiers ou à l’étranger ;
  • les droits des personnes concernées.

2. Bandeau cookies pour les traceurs non essentiels

Les cookies strictement nécessaires au fonctionnement du site (session, panier) ne requièrent pas de consentement. En revanche, les cookies d’analyse (Google Analytics, Matomo non anonymisé) et les cookies publicitaires nécessitent une information préalable et, selon leur nature, un consentement explicite. Un bandeau de gestion des cookies est donc indispensable.

3. Information sur la collecte de données

Contrairement au RGPD européen, la nLPD n’exige pas systématiquement un consentement pour tout traitement de données non sensibles. Un intérêt légitime peut suffire à légitimer un traitement — à condition d’en informer clairement les utilisateurs. La transparence reste le principe central.

4. Registre des activités de traitement

Les entreprises de 250 collaborateurs et plus ont l’obligation formelle de tenir un registre des activités de traitement. Pour les PME en dessous de ce seuil, cette obligation ne s’applique pas légalement, mais il est fortement recommandé de documenter les traitements effectués afin de pouvoir démontrer sa conformité en cas de contrôle.

5. Droits des personnes concernées

La nLPD renforce les droits des individus. Vos clients, prospects et visiteurs peuvent exercer :

  • le droit d’accès : savoir quelles données vous détenez sur eux ;
  • le droit de rectification : faire corriger des informations inexactes ;
  • le droit à l’effacement : demander la suppression de leurs données.

Vous devez être en mesure de répondre à ces demandes dans un délai raisonnable.

6. Notification des violations de données

En cas de fuite ou de violation de données susceptible d’engendrer un risque élevé pour les personnes concernées, vous avez l’obligation de le notifier au Préposé fédéral à la protection des données et à la transparence (PFPDT) dans un délai de 72 heures.

Sanctions : une responsabilité personnelle

Point important qui distingue la nLPD du RGPD : les amendes ne frappent pas la société, mais les personnes physiques responsables de l’infraction (dirigeants, responsables informatiques). Le montant peut atteindre 250 000 CHF. Cette responsabilité personnelle rend la mise en conformité particulièrement sérieuse pour les dirigeants de PME.

Différences clés avec le RGPD européen

Si votre site est uniquement destiné au marché suisse, c’est la nLPD qui s’applique. Si vous ciblez également des résidents de l’Union européenne, le RGPD s’impose en parallèle. Les deux textes sont proches, mais diffèrent sur plusieurs points :

  • Consentement : le RGPD exige un consentement pour la plupart des traitements ; la nLPD admet plus largement l’intérêt légitime pour les données non sensibles.
  • DPO : le RGPD peut imposer un délégué à la protection des données ; la nLPD prévoit un conseiller à la protection des données, facultatif pour les PME.
  • Amendes : le RGPD sanctionne les entreprises (jusqu’à 4 % du CA mondial) ; la nLPD sanctionne les personnes physiques.

Checklist pratique : votre site web est-il conforme ?

  • Une page de politique de confidentialité est publiée et à jour
  • Un bandeau de gestion des cookies est en place pour les traceurs non essentiels
  • Le site est accessible en HTTPS (certificat SSL actif)
  • Les formulaires de contact transmettent les données de manière sécurisée
  • L’hébergement est localisé en Suisse ou dans l’UE (recommandé)
  • Google Analytics 4 est configuré avec anonymisation des IP et rétention des données limitée
  • Une procédure interne existe pour répondre aux demandes d’accès ou d’effacement
  • Une procédure de notification au PFPDT est définie en cas de violation

Ce que Tacelo fait pour vos projets

Chez Tacelo, la conformité nLPD est intégrée dès la conception de chaque site web. Concrètement, tous nos projets incluent :

  • une page de politique de confidentialité rédigée et adaptée à votre activité ;
  • un bandeau de gestion des cookies conforme, paramétrable ;
  • un certificat SSL actif (HTTPS) par défaut ;
  • des formulaires de contact sécurisés, avec transmission chiffrée des données ;
  • une recommandation d’hébergement suisse ou européen.

Nous vous accompagnons également dans la configuration de Google Analytics (anonymisation des IP, durée de conservation réduite) et dans la rédaction des mentions légales adaptées à votre contexte.

Questions fréquentes

La nLPD s’applique-t-elle à ma petite entreprise ?

Oui. La nLPD s’applique à toute personne privée ou morale qui traite des données personnelles en Suisse, quelle que soit la taille de la structure. Même une indépendante avec un site vitrine est concernée dès lors qu’elle collecte des données via un formulaire ou des cookies d’analyse.

Mon site utilise Google Analytics : suis-je en infraction ?

Pas nécessairement, mais des précautions s’imposent. Google Analytics collecte des données qui peuvent être traitées aux États-Unis. Vous devez l’indiquer dans votre politique de confidentialité, proposer un choix via votre bandeau cookies, et configurer l’outil correctement : anonymisation des adresses IP, durée de conservation des données limitée, et désactivation du partage des données avec Google.

Faut-il refaire entièrement mon site pour être conforme ?

Dans la majorité des cas, non. La mise en conformité passe le plus souvent par l’ajout ou la mise à jour de quelques éléments : une page de politique de confidentialité, un bandeau cookies fonctionnel, et quelques réglages techniques. Un audit de votre site actuel permet d’identifier rapidement les points à corriger sans tout reconstruire.

Articles similaires

Photos professionnelles vs stock photos pour site web
Conseils

Photos professionnelles vs stock photos : l'impact sur la confiance
Maintenance site web pour PME suisses
Conseils

Maintenance de site web : ce qu'il faut savoir
Tous les articles

Besoin d'un site web ?

Prix fixes dès 990 CHF, livré en 1 semaine.

Discuter sur WhatsApp