Conseils

RGPD, nLPD et cookies sur un site web suisse en 2026

Ce que les PME suisses doivent savoir sur le RGPD, la nLPD et la gestion des cookies en 2026 : consentement, bannières, analytics et conformité.

· tacelo
Conformité cookies et protection des données pour sites suisses

La gestion des cookies et de la protection des données sur un site web suisse est un sujet qui crée de la confusion chez de nombreux dirigeants de PME. Deux cadres juridiques se superposent : le RGPD européen et la nLPD suisse. Les exigences ne sont pas identiques, et les pratiques à adopter dépendent de votre audience et de vos outils.

Cet article clarifie la situation en 2026 et donne des recommandations concrètes pour les PME suisses romandes.

Les deux cadres juridiques

La nLPD (nouvelle Loi sur la Protection des Données suisse)

En vigueur depuis le 1er septembre 2023, la nLPD est la loi fédérale suisse qui régit la protection des données personnelles. Elle s’applique à toute entreprise domiciliée en Suisse qui traite des données personnelles.

Points clés pour un site web :

  • Déclaration de confidentialité obligatoire : elle doit indiquer quelles données sont collectées, dans quel but, par qui, et les droits des personnes concernées.
  • Pas d’obligation de consentement explicite pour les cookies en tant que telle. La nLPD n’exige pas de bannière de consentement pour les cookies. En revanche, elle impose la transparence sur les traitements de données.
  • Notification en cas de violation de données : obligation de signaler les violations à haut risque au PFPDT (Préposé fédéral à la protection des données et à la transparence).
  • Sanctions : amendes jusqu’à CHF 250’000 pour les personnes physiques responsables (pas l’entreprise en tant que telle).

Le RGPD (Règlement Général sur la Protection des Données, UE)

Le RGPD s’applique aux entreprises suisses dès lors qu’elles :

  • Ciblent des clients dans l’UE/EEE (offre de biens ou services).
  • Suivent le comportement d’utilisateurs situés dans l’UE/EEE (tracking, analytics).

Pour une PME romande dont le site est en français et potentiellement visité par des résidents français, le RGPD est souvent applicable.

Points clés du RGPD pour les cookies :

  • Consentement préalable obligatoire pour les cookies non essentiels (analytics, marketing, réseaux sociaux).
  • Le consentement doit être libre, spécifique, éclairé et univoque.
  • Les cookies essentiels (fonctionnement du site, sécurité) ne nécessitent pas de consentement mais doivent être mentionnés.
  • Sanctions : amendes jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.

Quels cookies nécessitent un consentement ?

Cookies essentiels (pas de consentement requis)

  • Cookies de session (panier d’achat, authentification).
  • Cookies de préférence de langue.
  • Cookies de sécurité (protection CSRF).
  • Cookies de charge serveur (load balancing).

Cookies non essentiels (consentement requis sous le RGPD)

  • Analytics : Google Analytics, Matomo (avec cookies), Hotjar.
  • Marketing : Google Ads, Facebook Pixel, LinkedIn Insight Tag.
  • Réseaux sociaux : boutons de partage qui déposent des cookies.
  • Vidéos embarquées : YouTube, Vimeo (déposent des cookies de suivi).

La bannière de consentement : bonnes pratiques

Si votre site est soumis au RGPD (ce qui est probable si vous avez des visiteurs français), vous devez afficher une bannière de consentement conforme.

Exigences de conformité

  1. Affichage au premier accès : la bannière doit apparaître avant que les cookies non essentiels ne soient déposés.
  2. Choix réel : le visiteur doit pouvoir accepter, refuser ou personnaliser ses choix avec la même facilité. Un bouton “Accepter” visible et un lien “Refuser” caché dans un sous-menu n’est pas conforme.
  3. Pas de cookie walls : conditionner l’accès au contenu à l’acceptation des cookies est interdit dans la plupart des cas.
  4. Granularité : le visiteur doit pouvoir choisir par catégorie (analytics, marketing, etc.), pas seulement tout accepter ou tout refuser.
  5. Retrait facile : le visiteur doit pouvoir modifier son choix à tout moment (lien dans le footer, par exemple).
  6. Preuve de consentement : vous devez être capable de prouver quand et comment le consentement a été donné.

Solutions techniques

Plusieurs plateformes de gestion du consentement (CMP) sont disponibles :

  • Cookiebot : solution populaire, conforme RGPD, avec plan gratuit jusqu’à 100 pages.
  • Klaro : open source, léger, hébergeable sur votre propre serveur.
  • Tarteaucitron : solution française open source, bien adaptée au marché francophone.
  • CookieYes : interface simple, plan gratuit disponible.

Choisissez une solution qui bloque effectivement les scripts avant le consentement, pas simplement un bandeau cosmétique qui n’empêche pas le dépôt de cookies.

Google Analytics et le transfert de données vers les USA

L’utilisation de Google Analytics soulève des questions spécifiques pour les sites suisses depuis l’invalidation du Privacy Shield.

La situation en 2026

Le EU-US Data Privacy Framework, adopté en 2023, fournit un cadre pour les transferts de données vers les entreprises américaines certifiées (dont Google). Ce cadre est reconnu par la Commission européenne mais son avenir reste incertain.

En Suisse, le Conseil fédéral a reconnu un niveau de protection adéquat pour les transferts vers les USA sous ce cadre.

Options pour les PME suisses

  1. Google Analytics 4 avec paramètres de confidentialité : activez l’anonymisation IP, désactivez les signaux Google, réduisez la durée de conservation des données. Cela limite les risques mais ne les élimine pas.

  2. Alternatives respectueuses de la vie privée : des outils comme Plausible, Fathom ou Matomo permettent de mesurer le trafic sans cookies tiers. Voir notre guide des alternatives analytics.

  3. Matomo auto-hébergé en Suisse : si vous hébergez Matomo sur un serveur suisse, les données ne quittent pas le pays. C’est la solution la plus sûre juridiquement.

Recommandations concrètes pour les PME suisses

Scénario 1 : Site vitrine local (audience principalement suisse)

  • Déclaration de confidentialité obligatoire (nLPD).
  • Si vous utilisez Google Analytics ou des outils marketing avec cookies : bannière de consentement recommandée par précaution.
  • Alternative : passez à un outil analytics sans cookies (Plausible, Fathom) et supprimez la bannière.

Scénario 2 : Site avec audience en France et en Suisse

  • Déclaration de confidentialité obligatoire (nLPD + RGPD).
  • Bannière de consentement conforme RGPD obligatoire.
  • Blocage effectif des cookies non essentiels avant consentement.
  • Documentation du consentement.

Scénario 3 : Site e-commerce vendant en UE

  • Toutes les exigences du scénario 2, plus :
  • Politique de cookies détaillée.
  • Possibilité de nommer un représentant dans l’UE si nécessaire.
  • Attention particulière aux cookies de paiement et de marketing.

Ce que doit contenir votre déclaration de confidentialité

Que vous soyez soumis uniquement à la nLPD ou aussi au RGPD, votre déclaration doit mentionner :

  1. Identité du responsable du traitement : nom de l’entreprise, adresse, contact.
  2. Types de données collectées : données de formulaire, cookies, données de navigation, adresses IP.
  3. Finalités du traitement : pourquoi vous collectez ces données (contact, analytics, marketing).
  4. Base juridique : consentement, intérêt légitime, exécution d’un contrat.
  5. Destinataires : qui a accès aux données (hébergeur, outils analytics, prestataires).
  6. Transferts internationaux : si des données sont envoyées hors de Suisse/UE.
  7. Durée de conservation : combien de temps les données sont gardées.
  8. Droits des personnes : droit d’accès, de rectification, de suppression, de portabilité.
  9. Contact : comment exercer ses droits.

Erreurs fréquentes à éviter

  1. Bannière de consentement cosmétique. Une bannière qui dit “En continuant à naviguer, vous acceptez les cookies” n’est pas conforme au RGPD. Le consentement doit être actif.

  2. Charger Google Analytics avant le consentement. Si votre script analytics se charge dès l’ouverture de la page, avant que le visiteur n’ait cliqué “Accepter”, vous n’êtes pas conforme.

  3. Déclaration de confidentialité copiée-collée. Votre déclaration doit refléter vos pratiques réelles, pas celles d’un template générique trouvé en ligne.

  4. Ignorer la nLPD parce qu’on est “trop petit”. La nLPD s’applique à toutes les entreprises suisses, quelle que soit leur taille.

  5. Oublier les sous-traitants. Si vous utilisez un hébergeur, un outil d’emailing, un CRM ou un outil analytics, vous devez les mentionner dans votre déclaration.

Conclusion

La conformité en matière de cookies et de protection des données n’est pas optionnelle pour les PME suisses en 2026. La bonne nouvelle, c’est que les solutions existent et sont accessibles : une déclaration de confidentialité claire, une bannière de consentement conforme si nécessaire, et le choix d’outils respectueux de la vie privée.

L’approche la plus simple pour une PME romande est souvent de réduire la dépendance aux cookies tiers. En choisissant un outil analytics sans cookies et en limitant les scripts marketing, vous simplifiez votre conformité tout en améliorant l’expérience de vos visiteurs. C’est un sujet à intégrer dès la création de votre site ou lors de sa prochaine refonte.

Articles similaires

Photos professionnelles vs stock photos pour site web
Conseils

Photos professionnelles vs stock photos : l'impact sur la confiance
Maintenance site web pour PME suisses
Conseils

Maintenance de site web : ce qu'il faut savoir
Tous les articles

Besoin d'un site web ?

Prix fixes dès 990 CHF, livré en 1 semaine.

Discuter sur WhatsApp