nLPD et votre site web : guide de conformité pour les PME suisses en 2026
La nouvelle Loi fédérale sur la Protection des Données (nLPD), entrée en vigueur le 1er septembre 2023, impose des obligations concrètes à toute entreprise suisse qui collecte des données personnelles via son site web. Pour les PME de Genève, Lausanne et de Suisse Romande, ignorer ces obligations expose à des amendes pouvant atteindre 250 000 CHF. Ce guide traduit le jargon juridique en actions concrètes pour votre site web.
Ce que la nLPD change pour votre site web
La nLPD s'inspire du RGPD européen mais comporte des spécificités suisses importantes. Les principales obligations qui concernent votre site web sont le devoir d'information (vous devez informer les visiteurs de la collecte de leurs données), le consentement pour les cookies non essentiels, la minimisation des données (ne collectez que ce qui est strictement nécessaire), le droit d'accès et de suppression (vos visiteurs peuvent demander l'accès à leurs données ou leur suppression), et la notification des violations (obligation de signaler les fuites de données au PFPDT).
Les 6 actions concrètes pour votre site
1. Politique de confidentialité à jour
Votre site doit afficher une politique de confidentialité complète, rédigée en français clair (pas en jargon juridique), accessible depuis chaque page via un lien en footer. Elle doit mentionner l'identité du responsable du traitement (votre entreprise à Genève), les types de données collectées, les finalités du traitement, les destinataires éventuels, la durée de conservation et les droits des personnes concernées.
2. Bandeau de cookies conforme
Si votre site utilise des cookies non essentiels (analytics, marketing, réseaux sociaux), vous devez obtenir le consentement explicite avant de les déposer. Le bandeau doit offrir un vrai choix (accepter/refuser), pas de cases pré-cochées, et ne doit pas utiliser de dark patterns pour forcer l'acceptation. Les cookies essentiels (session, sécurité) ne nécessitent pas de consentement mais doivent être mentionnés.
3. Formulaires de contact optimisés
Chaque formulaire qui collecte des données personnelles doit indiquer clairement pourquoi ces données sont collectées, combien de temps elles seront conservées et comment les supprimer. Ne demandez que les champs strictement nécessaires. Pour un formulaire de contact basique, nom, email et message suffisent — pas besoin de date de naissance ou d'adresse postale.
4. Google Analytics configuré correctement
Google Analytics 4 collecte des données personnelles (adresses IP, comportement de navigation). Configurez l'anonymisation IP, réduisez la durée de rétention des données, et n'activez le tracking qu'après consentement explicite via votre bandeau de cookies. Envisagez des alternatives respectueuses de la vie privée comme Plausible ou Fathom si la conformité est une priorité pour votre PME à Fribourg ou Morges.
5. Hébergement des données en Suisse
La nLPD autorise le transfert de données vers des pays offrant un niveau de protection adéquat (liste maintenue par le Conseil fédéral). Mais pour simplifier la conformité et rassurer vos clients à Genève, héberger votre site et vos données en Suisse est la solution la plus sûre.
6. Registre des activités de traitement
Les entreprises de plus de 250 employés sont tenues de maintenir un registre des activités de traitement. Mais même pour les PME en dessous de ce seuil, c'est une bonne pratique qui démontre votre sérieux et facilite la gestion en cas de contrôle ou de demande d'accès.
Checklist de conformité nLPD pour votre site
Votre site doit comporter une politique de confidentialité complète et à jour, un bandeau de cookies avec consentement granulaire, des mentions légales avec coordonnées de contact, des formulaires avec indication des finalités de traitement, une configuration analytics respectueuse de la vie privée, un processus documenté pour répondre aux demandes d'accès et de suppression, un protocole de notification en cas de violation de données, et un hébergement dans un pays offrant une protection adéquate.
FAQ
Ma PME a moins de 250 employés, suis-je concernée par la nLPD ?
Oui. La nLPD s'applique à toutes les entreprises suisses qui traitent des données personnelles, quelle que soit leur taille. L'exemption de registre de traitement pour les entreprises de moins de 250 employés ne dispense d'aucune autre obligation (information, consentement, sécurité).
Quelles sont les sanctions en cas de non-conformité nLPD ?
Les amendes peuvent atteindre 250 000 CHF et visent les personnes physiques responsables, pas l'entreprise. C'est une spécificité de la nLPD par rapport au RGPD. Le dirigeant de la PME est personnellement exposé en cas de violation intentionnelle ou par négligence.
WebProSuisse peut-il rendre mon site conforme à la nLPD ?
Oui. Tous les sites que nous développons intègrent nativement les éléments de conformité nLPD : politique de confidentialité, bandeau de cookies, formulaires conformes et configuration analytics respectueuse. Pour les sites existants, nous proposons un audit de conformité et les corrections nécessaires.
Questions fréquentes
Oui. La nLPD s'applique à toutes les entreprises suisses qui traitent des données personnelles, quelle que soit leur taille.
Les amendes peuvent atteindre 250 000 CHF et visent les personnes physiques responsables.
Oui. Tous nos sites intègrent nativement les éléments de conformité nLPD.