Checklist nLPD pour votre site web
La nLPD est en vigueur depuis le 1er septembre 2023. Elle s'applique à tous les sites qui collectent des données, quelle que soit leur taille. Cette checklist vous permet de vérifier votre conformité sans aide juridique externe.
Transparence
1. Politique de confidentialité. Accessible depuis toutes les pages (idéalement en pied de page). Elle doit indiquer : qui vous êtes, quelles données vous collectez, pourquoi, combien de temps vous les conservez, et avec quels tiers vous les partagez. Si votre dernière mise à jour date d'avant 2023, elle n'est probablement plus conforme.
2. Bannière de cookies. Obligatoire si vous utilisez Google Analytics, des pixels Meta, ou tout autre outil de tracking non essentiel. Le visiteur doit pouvoir refuser aussi facilement qu'accepter. Une bannière qui ne propose que "Accepter" n'est pas conforme.
3. Formulaires de contact. Chaque formulaire doit indiquer à quoi servent les données collectées. Un lien vers la politique de confidentialité suffit, mais il doit être présent.
4. Mentions légales. Nom de l'entreprise, adresse, numéro IDE, adresse email : ces informations doivent figurer sur votre site.
Collecte et traitement des données
5. Base légale documentée. Pour chaque outil ou formulaire, vous devez pouvoir justifier la base légale : consentement (newsletter), obligation contractuelle (livraison), intérêt légitime (suivi commercial). Notez-le dans un document simple.
6. Durées de conservation. Vous devez savoir combien de temps vous gardez chaque type de données et l'indiquer dans votre politique. Exemples courants : clients = durée du contrat + 10 ans (raison comptable), prospects = 2 ans, contacts newsletter = 3 ans.
7. Outils tiers et transferts hors Suisse. Listez les outils utilisés sur votre site (Google Analytics, HubSpot, Mailchimp, etc.) et vérifiez si les données partent hors Suisse. Si oui, un contrat de traitement (DPA) doit être signé avec chaque prestataire.
Sécurité
8. HTTPS actif. Votre site doit être accessible uniquement en HTTPS (cadenas dans la barre d'adresse). HTTP non sécurisé n'est pas acceptable pour un site qui collecte des données.
9. Accès aux données limité. Seules les personnes qui en ont besoin accèdent aux données clients. Pas de fichier Excel avec des adresses emails partagé dans un Drive public.
10. Procédure en cas de violation. Si vous subissez une fuite de données, vous devez le notifier au PFPDT dans les 72 heures si le risque pour les personnes concernées est élevé. Savoir quoi faire à l'avance évite la panique.
Score rapide
8 à 10 points : vous êtes en bonne posture. 5 à 7 points : des ajustements sont nécessaires, commencez par la politique de confidentialité et la bannière de cookies. Moins de 5 : votre site présente des risques réels. Contactez un spécialiste ou votre agence web.
