Une plateforme de gestion du consentement (CMP) sert à recueillir, stocker et respecter les choix de vos visiteurs sur les cookies. En Suisse, la nLPD impose que refuser soit aussi simple qu'accepter, que rien ne soit précoché, et que les données de consentement restent traçables. Cookiebot, OneTrust et les solutions souveraines répondent à cette exigence, chacune avec ses compromis. Ce guide vous aide à choisir.
À quoi oblige vraiment la nLPD en matière de cookies
La nouvelle loi fédérale sur la protection des données, en vigueur depuis septembre 2023, n'exige pas une bannière cookies pour tous les sites. Elle s'applique dès que vous utilisez des traceurs qui traitent des données personnelles, typiquement Google Analytics, Meta Pixel, outils de retargeting ou scripts tiers d'analyse comportementale.
Si votre site ne charge aucun outil de ce type, une bannière de consentement n'est pas obligatoire. Un site conforme nLPD sans traceur peut s'en passer entièrement.
Dès qu'un traceur est présent, trois règles s'appliquent sans exception.
- Le visiteur doit pouvoir refuser aussi facilement qu'accepter : bouton « Refuser tout » aussi visible que « Accepter tout ».
- Aucune case précochée : les consentements par catégorie s'affichent décochés par défaut.
- Aucun cookie non essentiel ne se charge avant que le visiteur ait fait son choix.
Cette dernière règle est la plus souvent violée. Beaucoup de sites affichent une bannière, mais chargent déjà Google Analytics au moment où la page s'affiche. C'est non conforme.
Cookiebot, OneTrust, solution maison : comparatif
| Critère | Cookiebot | OneTrust | Solution souveraine (ex. Anorac Consent) |
|---|---|---|---|
| Coût mensuel | Gratuit jusqu'à 1 domaine/100 sous-pages, puis à partir d'env. CHF 12/mois | À partir de CHF 50/mois, tarification sur devis pour les PME | Inclus dans une prestation agence ou licence fixe |
| Conformité nLPD | Oui, certifié IAB TCF | Oui, très complet, conçu pour les grandes réglementations mondiales | Oui, conçu pour la nLPD et le marché suisse |
| Où vont les données de consentement | Serveurs Cookiebot (Danemark, UE) | Serveurs OneTrust (États-Unis, UE optionnelle) | Suisse, selon l'hébergeur du site |
| Performance | Script externe chargé à chaque page, impact variable | Script lourd, conçu pour les grandes entreprises | Léger, hébergé avec le site, aucun appel tiers |
| Pour qui | PME avec un site simple, besoin basique | Grandes entreprises, multinationales, secteur réglementé lourd | PME et institutions qui veulent garder leurs données en Suisse |
| Prise en main | Rapide, interface claire | Complexe, courbe d'apprentissage notable | Dépend du prestataire qui la configure et la maintient |
| Scan automatique des cookies | Oui | Oui | Selon la solution, souvent manuel au départ |
Le paradoxe que personne ne dit clairement
Une CMP est censée protéger les données de vos visiteurs. Certaines le font en envoyant elles-mêmes des informations à l'étranger.
Cookiebot transmet les données de consentement à ses serveurs au Danemark. C'est dans l'UE, donc légal pour les sites soumis au RGPD. Pour les sites suisses soumis à la nLPD, le cadre est différent : la Suisse n'est pas dans l'EEE, et tout transfert vers un pays tiers doit être couvert par des garanties appropriées.
OneTrust repose par défaut sur une infrastructure américaine, ce qui ajoute une couche de complexité pour les organisations suisses qui tiennent à la souveraineté de leurs données.
Une solution hébergée en Suisse élimine ce transfert. Les données de consentement restent dans le pays, sans dépendance à un acteur étranger. La contrepartie directe : cette solution suppose un prestataire technique qui la met en place et la maintient à jour lorsque les réglementations évoluent. Ce n'est pas un outil que l'on installe soi-même en cinq minutes.
Comment choisir selon votre profil
Vous avez un site vitrine sans marketing actif. Si vous n'utilisez pas de traceurs publicitaires et que votre analyse de trafic repose sur un outil sans cookies (Umami, Plausible), vous n'avez peut-être pas besoin de CMP. Vérifiez d'abord votre situation au regard de la nLPD.
Vous avez une PME avec un budget marketing actif. Google Analytics, Meta Pixel, Google Ads : vous avez besoin d'une CMP. Cookiebot couvre la majorité des cas pour un coût raisonnable. Si vous tenez à ce que les données de consentement restent en Suisse, une solution souveraine gérée par votre agence est plus cohérente avec cette exigence.
Vous êtes une institution ou une organisation dans un secteur réglementé. Santé, finances, services publics : la tolérance aux risques est nulle. OneTrust offre les fonctions les plus complètes pour les contextes complexes (politiques multi-domaines, DPA automatisées, audits). Son coût et sa complexité sont justifiés à cette échelle. Une solution souveraine reste pertinente si l'organisation exige un hébergement 100 % suisse.
Les erreurs les plus fréquentes
Bannière non conforme. Le bouton « Refuser » est gris, petit, ou caché dans un menu. La nLPD interdit toute hiérarchie visuelle entre accepter et refuser.
Cookies chargés avant le choix. La bannière s'affiche, mais les scripts tiers sont déjà actifs dans le code source. Aucune CMP ne résout ce problème si l'intégration n'est pas faite correctement : il faut conditionner chaque script au consentement donné.
CMP installée, puis oubliée. Les outils que vous utilisez évoluent. Un pixel ajouté six mois plus tard sans mise à jour de la bannière crée une non-conformité invisible. La gestion du consentement est un processus continu, pas une case à cocher une fois.
Consentement implicite. Continuer à naviguer ne vaut pas consentement. Ce principe, acquis depuis le RGPD en Europe, s'applique aussi en Suisse.
Ce que ça change concrètement pour votre site
Choisir le bon outil ne suffit pas. La conformité repose sur trois éléments qui doivent fonctionner ensemble : la bannière visible et équitable, le blocage réel des scripts avant consentement, et la mise à jour régulière quand votre stack évolue.
Chez Anorac Studio, nous avons développé Anorac Consent, une CMP hébergée en Suisse, intégrée aux sites que nous concevons. Elle ne collecte aucune donnée pour un tiers et reste alignée sur la nLPD. Elle n'est pas la réponse universelle : si vous gérez un site WordPress en autonomie et que Cookiebot suffit à votre situation, il n'y a pas de raison de changer.
Si vous doutez de la conformité de votre bannière actuelle ou si vous refondez votre site, c'est le bon moment pour y regarder de près. Notre article un site conforme nLPD dès le départ détaille les autres choix de conception à faire au lancement.
À lire aussi : Utiliser l'IA sans exposer ses données, Cloud souverain suisse pour votre PME, Analytics sans cookies en Suisse, Hébergement suisse : quand c'est vraiment nécessaire
Questions fréquentes
Mon site a une bannière cookies. Est-ce que je suis conforme nLPD ?
Pas nécessairement. La présence d'une bannière ne garantit pas la conformité. Il faut vérifier que le refus est aussi simple que l'acceptation, qu'aucun cookie non essentiel ne se charge avant le choix du visiteur, et que la liste des traceurs est à jour. Un audit de votre site permet de le vérifier.
Quelle est la différence entre la nLPD suisse et le RGPD européen ?
Les deux lois convergent sur les principes (consentement, droit d'accès, droit à l'effacement), mais la nLPD relève du droit suisse, pas du droit européen. Un site suisse soumis uniquement à la nLPD n'est pas tenu par le RGPD, sauf s'il s'adresse à des résidents de l'UE ou de l'EEE. Les outils certifiés RGPD couvrent souvent la nLPD, mais pas toujours complètement : vérifier le point de l'hébergement des données reste utile.
Cookiebot est-il légal pour un site suisse ?
Oui. Cookiebot est un acteur danois (UE), et ses conditions d'utilisation prévoient un traitement conforme au RGPD et des garanties pour les transferts de données. Pour la nLPD, le transfert vers le Danemark est couvert par la liste des États offrant une protection adéquate selon le PFPDT. Cela ne signifie pas que les données restent en Suisse.
Faut-il une CMP si j'utilise Google Analytics ?
Oui, dès que vous utilisez Google Analytics (sous toutes ses versions), vous traitez des données personnelles. Une bannière de consentement est obligatoire, et Google Analytics ne doit se charger qu'après l'accord explicite du visiteur. Google propose le Consent Mode pour conditionner le tracking au consentement : votre CMP doit être compatible avec ce protocole. Notre article GA4 et nLPD détaille cette configuration.
Une solution souveraine coûte-t-elle plus cher ?
Le coût d'une solution souveraine dépend du prestataire qui la gère. Elle peut être incluse dans une prestation globale (refonte de site, maintenance) ou facturée séparément. Elle est rarement moins chère qu'un abonnement Cookiebot de base, mais elle supprime les frais d'abonnement à un tiers et garde les données de consentement sous votre contrôle.
Comment savoir si ma CMP est configurée correctement ?
Ouvrez votre site en navigation privée, activez l'inspecteur réseau de votre navigateur, et rechargez la page sans accepter les cookies. Si des scripts Google, Meta ou autres s'exécutent avant que vous ayez cliqué sur quoi que ce soit, la configuration n'est pas conforme.
Vous souhaitez vérifier la conformité de votre bannière ou changer de solution ? Discuter de votre projet.



