Nous utilisons des analytics pour améliorer le site. Confidentialité
Tout ce que votre site web doit respecter en 2026 : nouvelle Loi sur la Protection des Données, cookies, registre des traitements. Checklist conformité PME, sanctions PFPDT, exemples concrets.
La nouvelle Loi fédérale sur la Protection des Données (nLPD) est entrée en vigueur le 1er septembre 2023. Beaucoup de PME suisses pensaient que c'était du RGPD allégé et qu'elles avaient le temps. En 2026, ce n'est plus vrai. Le Préposé fédéral à la protection des données (PFPDT) a multiplié les contrôles depuis fin 2024, et les premières sanctions tombent.
250'000 CHF
Amende maximale prévue par la nLPD pour les personnes responsables, en cas de violation intentionnelle
Loi fédérale sur la protection des données, art. 60 ss
À noter : la nLPD sanctionne les personnes physiques, pas les entreprises. Le dirigeant ou le responsable des traitements peut être personnellement amendé. C'est une particularité suisse qui change la perception du risque pour les PME.
Cet article fait le point sur ce que votre site web doit absolument respecter en 2026, sans jargon juridique inutile. C'est un guide opérationnel, pas un cours de droit.
Si vous traitez déjà des données de citoyens européens, vous êtes peut-être déjà conforme RGPD. Bonne nouvelle : 80 % des obligations se recoupent. Mais quelques différences notables existent.
| Critère | nLPD (Suisse) | RGPD (UE) |
|---|---|---|
| Champ d'application | Sites traitant des données suisses | Sites traitant des données UE |
| Responsabilité | Personne physique (dirigeant) | Entreprise |
| Amende max | 250'000 CHF (personne) | 20 M EUR ou 4 % CA |
| Délégué à la protection | Conseiller recommandé, non obligatoire | DPO obligatoire dans certains cas |
| Registre des traitements | Obligatoire dès 250 employés ou risque élevé | Obligatoire (avec exceptions) |
| Notification de violation | Au PFPDT dès que possible | Sous 72 heures à l'autorité |
| Consentement cookies | Modèle opt-in non explicite à clarifier | Opt-in explicite obligatoire |
Cas particulier : si vous touchez l'UE
Si votre site cible aussi des clients européens (ce qui est presque toujours le cas pour une PME romande), le RGPD s'applique en plus de la nLPD. Le plus contraignant des deux régimes prime. En pratique, viser la conformité RGPD vous met aussi en conformité nLPD.
Voici ce que votre site doit impérativement avoir en 2026 pour être conforme à la nLPD. Aucun de ces points n'est optionnel.
Politique de confidentialité claire et accessible
Un lien permanent en footer vers une page expliquant quelles données vous collectez, pourquoi, combien de temps vous les conservez et avec qui vous les partagez. Pas de jargon. Une PME romande devrait pouvoir la rédiger en une page.
Information lors de la collecte
Chaque formulaire (contact, newsletter, devis) doit indiquer clairement la finalité de la collecte et renvoyer vers la politique de confidentialité. Pas besoin de case à cocher pour la plupart des cas, mais l'information doit être visible.
Consent banner cookies conforme
Bouton Accepter ET bouton Refuser de même taille et de même visibilité. Pas de pré-coche. Les cookies non-essentiels (analytics, marketing) ne doivent se déclencher qu'après acceptation explicite.
Droit d'accès et de rectification
Toute personne peut demander quelles données vous détenez sur elle, et leur correction ou suppression. Vous avez 30 jours pour répondre. Prévoyez une adresse email dédiée (par exemple [email protected]) et un processus interne.
Sécurité des données (SSL, hébergement)
HTTPS obligatoire (certificat SSL valide). Si vous hébergez en dehors de Suisse/UE, vérifiez que le pays offre une protection équivalente ou prévoyez des clauses contractuelles types.
Notification de violation au PFPDT
En cas de fuite de données (piratage, fuite accidentelle), vous devez notifier le PFPDT dès que possible. Préparez un plan de réponse à incident en amont, ce n'est pas le moment d'improviser.
Registre des activités de traitement
Obligatoire si vous avez 250 employés et plus, OU si vos traitements présentent un risque élevé (données sensibles, profilage). Pour la plupart des PME romandes, ce n'est pas obligatoire, mais vivement recommandé pour démontrer votre conformité en cas de contrôle.
Le PFPDT a deux pouvoirs principaux : enquêter de sa propre initiative ou suite à une plainte, et émettre des injonctions. Les sanctions financières, elles, sont prononcées par les tribunaux pénaux cantonaux.
+340 %
d'augmentation des plaintes auprès du PFPDT entre 2023 et 2025, depuis l'entrée en vigueur de la nLPD
Rapport d'activité PFPDT 2024
En pratique pour une PME, le risque immédiat n'est pas l'amende, mais le coût de mise en conformité forcée et l'atteinte réputationnelle. Un dossier PFPDT public sur votre entreprise est très difficile à effacer.
| Critère | Type d'infraction | Sanction prévue |
|---|---|---|
| Information insuffisante lors de la collecte | Jusqu'à 250'000 CHF | personne physique |
| Violation du devoir de diligence | Jusqu'à 250'000 CHF | personne physique |
| Violation de la confidentialité | Jusqu'à 250'000 CHF | personne physique |
| Non-respect d'une décision PFPDT | Jusqu'à 250'000 CHF | personne physique |
Certaines situations méritent une attention spécifique car elles concentrent les risques pour les PME romandes.
Google Analytics, Meta Pixel, Hotjar
Ces outils transfèrent des données personnelles (adresses IP) hors de Suisse. Cela nécessite des clauses contractuelles types et une information claire dans la politique de confidentialité. Alternatives respectueuses : Plausible, Matomo, Microsoft Clarity (avec configuration adaptée).
Hébergement hors Suisse/UE
Si votre site est hébergé aux États-Unis (Vercel, Netlify, AWS), vérifiez que le fournisseur certifie le DPF (Data Privacy Framework) et précisez la localisation des données dans votre politique de confidentialité.
Formulaires de contact et email marketing
Le double opt-in est devenu un standard de fait pour les newsletters. Pour les formulaires de contact, conservez les données uniquement le temps nécessaire et précisez ce délai dans votre politique.
Vidéos YouTube et embeds tiers
Une vidéo YouTube intégrée pose un cookie Google avant tout consentement. Solution : utiliser le mode privacy-enhanced de YouTube (youtube-nocookie.com) ou n'afficher la vidéo qu'après acceptation des cookies.
Avant de paniquer, faites cet audit rapide. Si vous cochez moins de 9 cases sur 12, votre site présente un risque réel de non-conformité.
Audit conformité nLPD express
Coût d'une mise en conformité
Pour une PME romande avec un site standard, comptez CHF 1'500 à CHF 4'000 pour une mise en conformité complète (audit, refonte du consent banner, rédaction politique, registre, processus interne). C'est 50 fois moins qu'une amende.
Oui, sans seuil. La nLPD s'applique à toute entreprise suisse qui traite des données personnelles, indépendamment de sa taille. Une PME d'une personne avec un simple formulaire de contact est concernée. Les obligations sont allégées (pas de registre obligatoire en dessous de 250 employés), mais les principes de base s'appliquent.
Si votre site cible uniquement des résidents suisses, seule la nLPD s'applique. Si vous touchez des clients européens (ce qui est quasi toujours le cas), le RGPD s'applique aussi. En pratique, viser la conformité RGPD vous rend aussi conforme nLPD car le RGPD est plus strict.
Vérifiez ces 4 points : 1) Bouton Refuser visible et de même taille que Accepter. 2) Aucune case pré-cochée. 3) Cookies non-essentiels chargés uniquement après acceptation. 4) Possibilité de revenir sur ses choix. Si un seul de ces points manque, votre banner n'est pas conforme.
Pas obligatoire en Suisse pour la plupart des PME. La nLPD parle de conseiller à la protection des données, recommandé mais non obligatoire (sauf cas particuliers : autorités, traitement à grande échelle de données sensibles). Pour les PME romandes standards, désigner un référent interne suffit.
Oui, mais avec précautions. Vous devez : informer dans la politique de confidentialité, ne charger Analytics qu'après consentement cookies, configurer la pseudonymisation des IP, signer les clauses contractuelles types Google. Alternative simple : Plausible (suisse, sans cookies, conforme par défaut).
1) Évaluer le risque pour les personnes concernées. 2) Notifier le PFPDT dès que possible (formulaire en ligne disponible). 3) Informer les personnes concernées si le risque est élevé. 4) Documenter l'incident et les mesures prises. Préparez ce processus avant qu'un incident n'arrive : c'est trop tard pour improviser le jour J.
Pour un site standard de PME romande : CHF 1'500 à CHF 4'000 selon la complexité (audit, consent banner, rédaction politique, registre, formation interne). Pour les structures plus complexes (e-commerce, multi-sites, traitement de données sensibles) : CHF 5'000 à CHF 15'000. Toujours bien moins coûteux qu'une procédure PFPDT.
Tous les sites que nous concevons sont conformes nLPD et RGPD par défaut. Consent banner avec Accepter/Refuser, cookies non-essentiels chargés conditionnellement, headers de sécurité (HSTS, CSP, COOP), politique de confidentialité personnalisée, hébergement Vercel avec localisation européenne.
Pour les PME qui ont déjà un site et veulent le mettre en conformité, nous proposons un audit ciblé. En quelques heures de travail, vous savez exactement ce qui pose problème et combien coûte la correction.
Audit conformité de votre site
Audit nLPD complet de votre site avec rapport actionnable. Vous savez exactement où vous en êtes et ce qu'il reste à faire.
Demander un auditApprofondir ton projet de site web
Consulte notre page création de sites pour voir les offres, les étapes projet et les options de refonte.
Voir notre page création de sitesOn commence toujours par un échange. Racontez-nous votre projet, on vous répond sous 48h.
