11 min de lecture

nLPD, RGPD et cookies : guide pratique pour les sites suisses

marché-suisseguide-pratique
Bouclier suisse et étoiles européennes symbolisant la protection des données

« Dois-je vraiment afficher une bannière cookies sur mon site ? » Si vous gérez un site web en Suisse, vous vous êtes forcément posé la question. Et la réponse n’est pas aussi simple qu’on le voudrait.

Entre la nouvelle loi suisse sur la protection des données (nLPD), le règlement européen (RGPD) et les exigences techniques liées aux cookies, la confusion règne. Beaucoup de PME suisses oscillent entre deux extrêmes : ignorer complètement le sujet, ou copier-coller une bannière trouvée sur internet sans comprendre ce qu’elle implique.

Ce guide fait le point, concrètement, sur ce que la loi exige de votre site web en 2026. Sans jargon juridique inutile, avec des actions concrètes.

La nLPD : la nouvelle loi suisse sur la protection des données

La nouvelle Loi fédérale sur la Protection des Données (nLPD) est entrée en vigueur le 1er septembre 2023. Elle remplace l’ancienne LPD de 1992, devenue largement obsolète face aux réalités du numérique.

Les principes fondamentaux

La nLPD repose sur six principes clés :

  • Transparence : les personnes concernées doivent être informées de la collecte et du traitement de leurs données
  • Finalité : les données ne peuvent être collectées que pour des buts déterminés et reconnaissables
  • Minimisation : ne collecter que les données strictement nécessaires
  • Exactitude : les données doivent être correctes et à jour
  • Limitation de la conservation : les données doivent être supprimées dès qu’elles ne sont plus nécessaires
  • Sécurité : des mesures techniques et organisationnelles appropriées doivent protéger les données

Ce qui a changé concrètement

Par rapport à l’ancienne loi, la nLPD introduit plusieurs obligations nouvelles :

  • Obligation d’informer renforcée : vous devez indiquer clairement quelles données vous collectez, pourquoi et avec qui vous les partagez
  • Registre des activités de traitement : les entreprises de plus de 250 collaborateurs doivent tenir un registre (recommandé pour toutes)
  • Analyse d’impact : obligatoire lorsqu’un traitement présente un risque élevé pour la personnalité des personnes concernées
  • Notification des violations : en cas de fuite de données, notification au PFPDT (Préposé fédéral à la protection des données et à la transparence) dans les 72 heures
  • Sanctions : amendes pouvant atteindre CHF 250’000, et c’est un point crucial · elles visent les personnes physiques responsables, pas l’entreprise

Ce dernier point change la donne. Contrairement au RGPD qui sanctionne les entreprises, la nLPD engage la responsabilité personnelle des dirigeants et responsables. Un directeur ou un responsable IT peut être personnellement amendé.

Point important : la nLPD n’est pas une copie du RGPD. Les deux textes partagent des objectifs communs, mais diffèrent sur plusieurs aspects. Les confondre peut mener à des erreurs de conformité.

Le RGPD : quand s’applique-t-il en Suisse ?

Le Règlement Général sur la Protection des Données (RGPD) est le règlement européen en vigueur depuis mai 2018. Vous pensez qu’il ne concerne que les entreprises de l’UE ? Ce n’est pas le cas.

Le principe d’extraterritorialité

Le RGPD s’applique à votre entreprise suisse si vous :

  • Offrez des biens ou services à des résidents de l’UE ou de l’EEE (même gratuitement)
  • Suivez le comportement de personnes situées dans l’UE/EEE (tracking, profilage, analytics)

En pratique, cela concerne la majorité des entreprises suisses ayant une présence en ligne. Votre site vitrine en français est accessible depuis la France, la Belgique et le Luxembourg. Votre site en allemand touche l’Autriche et l’Allemagne. Votre site en italien est visible depuis l’Italie.

Dès lors qu’un visiteur européen consulte votre site et que vous collectez des données à son sujet (ne serait-ce que via Google Analytics), le RGPD entre potentiellement en jeu.

La différence majeure sur les cookies

Le RGPD impose le consentement explicite et préalable pour tout cookie non essentiel. Pas de case pré-cochée. Pas de consentement implicite par la navigation. L’utilisateur doit pouvoir refuser aussi facilement qu’accepter. C’est là que les choses se compliquent pour les sites suisses.

Cookies : que dit la loi ?

Avant de parler de bannières, il faut comprendre ce qu’est un cookie du point de vue légal et les distinguer par catégorie.

Les trois catégories de cookies

1. Cookies essentiels / techniques Indispensables au fonctionnement du site : session utilisateur, panier d’achat, jeton CSRF, préférences de langue. Ces cookies ne nécessitent pas de consentement, ni sous la nLPD, ni sous le RGPD.

2. Cookies analytiques Google Analytics, Matomo, Hotjar, etc. Ils mesurent le trafic et le comportement des visiteurs. Selon la configuration et l’outil utilisé, ils peuvent nécessiter un consentement.

3. Cookies marketing / tracking Meta Pixel (Facebook), Google Ads, LinkedIn Insight Tag, pixels de retargeting. Ces cookies suivent l’utilisateur à travers plusieurs sites pour du ciblage publicitaire. Ils nécessitent toujours un consentement préalable.

Position de la nLPD

La nLPD exige la transparence sur la collecte de données. Vous devez informer les utilisateurs. Cependant, la loi suisse ne requiert pas explicitement un consentement préalable pour tous les cookies, contrairement au RGPD.

La Loi sur les télécommunications (LTC, art. 45c) complète le cadre : elle impose d’informer les utilisateurs sur l’utilisation de cookies et de leur donner la possibilité de les refuser. Mais elle n’exige pas un mécanisme de consentement opt-in aussi strict que celui du RGPD.

Position du RGPD

Le RGPD (combiné à la directive ePrivacy) est plus catégorique :

  • Consentement préalable obligatoire pour les cookies non essentiels
  • Pas de cases pré-cochées
  • Le bouton « Tout refuser » doit être aussi visible et accessible que « Tout accepter »
  • Le consentement doit être libre, spécifique, éclairé et univoque
  • L’utilisateur doit pouvoir retirer son consentement aussi facilement qu’il l’a donné

La réalité pratique

Votre site web est accessible depuis l’Union européenne. C’est un fait technique incontournable. Si vous utilisez des outils de tracking qui collectent des données sur des visiteurs européens, vous êtes concerné par le RGPD, que votre entreprise soit basée à Genève, Lausanne ou Zurich.

Faut-il une bannière cookies sur votre site ?

Réponse courte : ça dépend de ce que votre site fait techniquement.

OUI, une bannière est nécessaire si :

  • Vous utilisez Google Analytics (même GA4, qui pose des transferts de données hors UE)
  • Vous avez installé le Meta Pixel (Facebook/Instagram)
  • Vous utilisez des cookies publicitaires (Google Ads, LinkedIn Ads)
  • Vous intégrez des scripts tiers qui déposent des cookies de tracking (chat en direct, vidéos YouTube en mode standard, boutons de partage social)
  • Vous faites du retargeting ou du remarketing

PAS FORCÉMENT, si :

  • Votre site n’utilise que des cookies techniques (session, CSRF, préférences)
  • Vous utilisez une solution d’analytics respectueuse de la vie privée et sans cookies : Plausible, Umami (en mode cookieless), Fathom
  • Vous n’intégrez aucun script tiers déposant des cookies
  • Votre site est purement informatif sans aucune collecte de données

En cas de doute

La recommandation prudente : ajoutez une bannière conforme. Le coût d’implémentation est faible comparé au risque d’amende ou d’atteinte à la réputation. Et une bannière bien conçue n’impacte pas significativement l’expérience utilisateur.

Comment se mettre en conformité : checklist pratique

Voici les étapes concrètes pour mettre votre site en conformité avec la nLPD et, si nécessaire, le RGPD.

1. Rédiger ou mettre à jour votre politique de confidentialité

Votre site doit disposer d’une politique de confidentialité (ou déclaration de protection des données) accessible depuis chaque page. Elle doit mentionner :

  • L’identité et les coordonnées du responsable du traitement
  • Les types de données collectées et les finalités
  • Les destinataires ou catégories de destinataires
  • La durée de conservation des données
  • Les droits des personnes (accès, rectification, suppression, portabilité)
  • Le cas échéant, les transferts de données à l’étranger
  • Les coordonnées pour les demandes liées à la protection des données

2. Implémenter une bannière cookies (si nécessaire)

Plusieurs outils facilitent l’implémentation :

  • Cookiebot : solution SaaS populaire, conformité RGPD automatique, scan des cookies
  • Klaro : open source, léger, hautement personnalisable
  • Tarteaucitron.js : solution française open source, très utilisée dans la francophonie
  • Complianz : plugin WordPress complet pour la conformité cookies

L’essentiel : la bannière doit bloquer les scripts non essentiels tant que le consentement n’a pas été donné. Afficher une bannière décorative sans bloquer les scripts est inutile juridiquement.

3. Tenir un registre des activités de traitement

Documentez tous les traitements de données de votre entreprise :

  • Quelles données vous collectez
  • Pourquoi vous les collectez
  • Comment elles sont stockées et protégées
  • Combien de temps vous les conservez
  • Avec qui vous les partagez

4. Configurer vos analytics correctement

Si vous utilisez Google Analytics :

  • Activez l’anonymisation des adresses IP
  • Limitez la durée de rétention des données (14 mois maximum recommandé)
  • Désactivez les signaux Google si non nécessaire
  • Configurez le mode consentement (Consent Mode v2) pour respecter les choix utilisateurs

Alternative : migrez vers une solution privacy-first comme Plausible ou Umami, qui ne nécessitent pas de bannière cookies.

5. Garantir l’équité du choix

Le bouton « Tout refuser » (ou « Rejeter ») doit être :

  • Aussi visible que « Tout accepter »
  • Au même niveau dans l’interface (pas caché dans les paramètres)
  • De taille comparable (pas un lien discret face à un gros bouton coloré)

6. Auditer vos scripts tiers

Faites l’inventaire de tous les scripts chargés sur votre site et vérifiez :

  • Quels cookies chaque script dépose
  • Quelles données sont collectées et transmises
  • Vers quels pays les données sont transférées
  • Si chaque script est bien conditionné au consentement

7. Prévoir un point de contact

Indiquez clairement dans votre politique de confidentialité comment les utilisateurs peuvent exercer leurs droits (accès, suppression, rectification). Une adresse email dédiée suffit.

Les erreurs les plus courantes

Voici les pièges que nous observons régulièrement sur les sites suisses :

  • Dark patterns : un énorme bouton vert « Tout accepter » à côté d’un minuscule lien gris « Paramètres ». Ce type de design est contraire à l’esprit du RGPD et de plus en plus sanctionné
  • Cases pré-cochées : le consentement obtenu via des cases déjà cochées n’est pas valide. Le consentement doit résulter d’une action active de l’utilisateur
  • Scripts chargés avant le consentement : si Google Analytics ou le Meta Pixel se chargent dès l’ouverture de la page, avant même que l’utilisateur ait interagi avec la bannière, votre bannière ne sert à rien. Les scripts doivent être conditionnés au consentement
  • Politique de confidentialité absente ou incomplète : un site sans page de politique de confidentialité est en infraction avec la nLPD. Une politique générique copiée d’un autre site, sans adaptation à votre activité, est insuffisante
  • Cookie wall : bloquer l’accès au site si l’utilisateur refuse les cookies. La légalité de cette pratique est débattue · le Comité européen de la protection des données (CEPD) la considère généralement comme non conforme
  • Confondre nLPD et RGPD : les deux lois ont des exigences différentes. Se conformer uniquement à la nLPD ne garantit pas la conformité RGPD, et inversement. Votre approche doit tenir compte des deux cadres si votre site touche un public européen
  • Ne pas mettre à jour la politique : vous ajoutez un nouveau pixel de tracking, un chatbot, un outil d’emailing ? Votre politique de confidentialité et votre bannière doivent être mises à jour en conséquence

La conformité : une protection, pas une contrainte

La mise en conformité d’un site web suisse en matière de protection des données repose sur quelques principes clés :

  • Sous la nLPD : informer vos utilisateurs de manière transparente sur la collecte de données, tenir un registre de vos traitements, notifier les violations de données
  • Sous le RGPD (si votre site touche l’UE) : obtenir un consentement préalable et explicite pour les cookies non essentiels, garantir un choix libre et équitable
  • Dans tous les cas : disposer d’une politique de confidentialité complète et à jour, minimiser la collecte de données, sécuriser les données collectées

La solution la plus simple reste souvent la plus efficace : utilisez le moins de cookies possible, choisissez des outils respectueux de la vie privée, et soyez transparents avec vos visiteurs.

Avertissement : cet article fournit des informations générales à titre indicatif. Il ne constitue pas un avis juridique. Pour les situations complexes ou les traitements de données sensibles, consultez un·e juriste spécialisé·e en protection des données.

Vous souhaitez savoir si votre site est conforme ? Nous analysons vos cookies, vos scripts tiers et votre politique de confidentialité pour identifier les points à corriger.