nLPD : le site de votre PME est-il en règle ? (checklist)
Conformité nLPD côté site web : la checklist concrète pour savoir si votre site PME est en règle, et les différences clés avec le RGPD européen.
Votre site est-il en règle avec la nLPD ?
« Au fait, la nouvelle loi sur les données, je suis censé faire quoi ? » La question revient à chaque visite chez un client, en général à la fin, une fois le site validé. Beaucoup de patrons de PME romandes ont vu passer un article alarmiste sur les amendes, retenu qu'il fallait « faire quelque chose », et rangé le dossier dans la pile « à régler un jour ».
Côté site web, la nLPD n'a rien d'un mur. La plupart des corrections tiennent sur une après-midi. Le vrai problème, on le voit ailleurs : des dizaines de sites romands affichent une politique de confidentialité récupérée en ligne, calquée sur le RGPD européen, qui cite la CNIL française sur un site suisse. Voici ce que la nLPD attend concrètement de votre site, et comment vérifier où vous en êtes.
La nLPD, l'essentiel pour une PME
La nLPD (nouvelle loi fédérale sur la protection des données) est entrée en vigueur le 1er septembre 2023. Elle remplace l'ancienne LPD de 1992, écrite avant le web grand public. Particularité qui a pris des entreprises de court : aucune période transitoire. Du jour au lendemain, le nouveau régime s'appliquait, sans délai de grâce.
Si vous connaissez vaguement le RGPD européen, la nLPD s'en inspire, mais quelques différences comptent pour une PME suisse.
| nLPD (Suisse) | RGPD (UE) | |
|---|---|---|
| Qui paie l'amende | La personne physique responsable | L'entreprise |
| Montant maximal | Jusqu'à CHF 250'000 | Jusqu'à 20 M€ ou 4 % du CA mondial |
| Ce qui est punissable | Seulement l'intentionnel | Négligence comprise |
| Conseiller à la protection des données | Facultatif dans le secteur privé | DPO obligatoire dans plusieurs cas |
| Cookies | LTC art. 45c : information / opposition | Consentement préalable dans beaucoup de cas |
Deux lignes de ce tableau méritent qu'on s'y arrête, parce qu'elles changent la façon de voir le risque.
L'amende vise d'abord une personne. En Suisse, l'amende — jusqu'à CHF 250'000 — frappe la personne physique responsable, pas seulement une entreprise abstraite. Et ce n'est pas le Préposé fédéral (le PFPDT) qui prononce cette amende : lui enquête, recommande et peut dénoncer. Ce sont les autorités pénales cantonales qui prononcent une amende, sur dénonciation, dans le cadre d'une procédure pénale ordinaire.
Seul l'intentionnel est puni pénalement. C'est le point le plus souvent mal compris. La nLPD ne sanctionne pénalement que les manquements commis intentionnellement — refuser sciemment de renseigner une personne, mentir sur une finalité, ignorer une obligation qu'on connaît. La bonne foi compte, mais elle n'est pas un bouclier magique : en droit pénal suisse, accepter le risque peut aussi entrer dans l'intentionnel. Le but n'est donc pas de parier sur l'absence d'intention, mais d'avoir un site propre — parce qu'une personne mécontente peut toujours saisir le PFPDT ou le juge civil.
Ce que la loi demande, en clair
Quelques principes structurent le reste :
- Protection dès la conception et par défaut (le privacy by design / by default du jargon) : la protection des données se pense au moment où l'on construit le site, et les réglages les plus protecteurs sont actifs d'office, pas en option à activer. C'est inscrit dans la loi.
- Devoir d'informer : quand vous collectez des données — un formulaire de contact, par exemple — vous devez dire qui vous êtes, pourquoi vous collectez, et à qui les données sont transmises.
- Droits des personnes : chacun peut demander à accéder à ses données, les faire rectifier ou effacer.
- Annonce des violations : en cas de fuite présentant un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, vous devez l'annoncer au PFPDT dans les meilleurs délais.
Pas de DPO obligatoire. La nLPD ne connaît pas le délégué à la protection des données du RGPD ; elle prévoit un conseiller à la protection des données, et il reste facultatif pour une entreprise privée. Une charge en moins par rapport à ce que beaucoup imaginent.
Cookies : information, opposition, et vrai choix
C'est le point qui crée le plus de confusion, parce que tout le monde a en tête les bannières envahissantes des sites français.
En Suisse, la logique repose sur l'information et le droit d'opposition plutôt que sur le consentement préalable systématique. Subtilité que beaucoup ratent : ce n'est pas la nLPD qui régit les cookies, mais la loi sur les télécommunications (la LTC, art. 45c). Vous devez informer vos visiteurs de l'usage de cookies et leur laisser la possibilité de s'y opposer.
Ce n'est pas un blanc-seing pour tout tracer sans choix clair. Pour les cookies non strictement nécessaires — mesure d'audience fine, publicité, profilage, données sensibles — le PFPDT attend de la transparence et une vraie possibilité de refus, compréhensible et accessible. Et si votre entreprise cible ou observe des personnes dans l'Union européenne — vente active vers l'UE, campagne pensée pour ce marché, suivi comportemental de visiteurs européens — alors le RGPD s'applique en plus de la nLPD. Dans ce cas, la bannière de consentement redevient nécessaire.
Ce que le site d'une PME doit concrètement prévoir
Voici ce qu'on vérifie quand on regarde le site d'un client.
Une politique de confidentialité à jour et spécifique. Pas un texte générique trouvé en ligne, mais un document qui décrit votre situation réelle : quelles données vous collectez, pourquoi, combien de temps vous les gardez. La politique de confidentialité de ce site est un exemple de ce à quoi ça ressemble dans le bon cadre.
La mention de vos vrais sous-traitants. C'est l'oubli le plus fréquent. Votre site s'appuie sur des prestataires techniques qui traitent des données pour vous : l'hébergeur (Vercel, Infomaniak, un serveur en Suisse), l'outil de mesure d'audience, le service qui fait tourner votre formulaire de contact (chez nous, c'est Resend). Chacun doit être nommé. Si certains sont à l'étranger, on le mentionne.
La base et la finalité du traitement. Pourquoi vous traitez ces données, et sur quel fondement. Pour un formulaire de contact, c'est simple : répondre à la demande de la personne qui vous écrit.
Le HTTPS. Le cadenas dans la barre d'adresse. Ce n'est pas un point de droit en soi, mais une donnée transmise en clair est une donnée mal protégée. Aujourd'hui c'est gratuit et automatique sur tout hébergement sérieux ; un site sans HTTPS en 2026 envoie un mauvais signal.
Une gestion transparente des cookies et de la mesure d'audience. Google Analytics, un outil suisse comme Matomo, ou rien du tout : ça doit être dit clairement.
Un formulaire de contact qui informe. Au moment où quelqu'un vous écrit, un mot — ou un lien vers la politique de confidentialité — suffit à respecter le devoir d'informer.
L'identité de l'éditeur visible. Raison sociale, commune, contact, accessibles depuis une page de mentions légales. Ça relève autant de la confiance que de la loi.
Le piège : la politique copiée-collée d'un site français
C'est l'erreur qu'on corrige le plus souvent. Une PME, pressée ou mal conseillée, récupère une politique de confidentialité française toute faite, la colle sur son site, et se croit tranquille.
Sauf que ce texte cite le mauvais cadre légal. Il parle du RGPD, d'articles européens, de la CNIL française, d'un DPO — et reste muet sur la nLPD, le PFPDT et le contexte suisse. Pour un visiteur attentif, et plus encore pour le PFPDT s'il regarde de près, c'est le signe que personne ne s'est vraiment penché sur la question : un document qui ne décrit ni vos vraies données ni votre vrai cadre ne vous protège pas, il signale juste l'absence d'effort. Une politique de confidentialité se rédige pour votre entreprise, dans le bon droit. Ce n'est pas un copier-coller.
La checklist de conformité nLPD pour votre site
À passer en revue, point par point :
- HTTPS actif sur tout le site (le cadenas, partout)
- Politique de confidentialité présente, à jour, qui mentionne la nLPD — pas seulement le RGPD
- Sous-traitants réels nommés : hébergeur, analytics, outil de formulaire, etc.
- Finalité et durée de conservation indiquées clairement
- Formulaire de contact qui informe au moment de la collecte
- Identité de l'éditeur visible (raison sociale, commune, contact)
- Mesure d'audience transparente (et possibilité de s'y opposer)
- Consentement cookies prévu si le RGPD s'applique, et refus réel possible pour les traceurs non nécessaires
- Procédure prête pour répondre à une demande d'accès, de rectification ou d'effacement
Si la majorité des cases sont déjà cochées, votre site est probablement en bonne posture. Ce sont presque toujours les sous-traitants oubliés et la politique générique qui clochent.
On construit conforme, mais on n'est pas avocats
Chez Altinova, on conçoit des sites conformes dès la conception : HTTPS d'office, politique de confidentialité rédigée pour le contexte suisse, sous-traitants documentés, formulaires qui informent. Poser ces fondations proprement fait partie du métier quand on monte un site moderne pour une PME, et c'est nettement plus simple à faire dès le départ qu'à rattraper après coup. Le choix de la technologie compte aussi : un site sans base de données exposée ni plugins vulnérables réduit mécaniquement la surface de risque.
Mais nous ne sommes pas avocats, et nous ne jouons pas à l'être. Pour une situation sensible — données de santé, profilage, gros volumes, clientèle largement européenne — faites valider votre dispositif par un conseil juridique spécialisé. La nLPD se gère très bien à deux niveaux : la technique propre côté développement web, le droit côté juriste quand l'enjeu le demande. Pour les faits officiels, la source de référence reste le Préposé fédéral à la protection des données (PFPDT).
Vous voulez un contrôle rapide ? Envoyez-nous l'URL de votre site : on vous retourne une checklist annotée des points techniques à corriger, séparée des sujets à faire valider par un juriste.