nLPD et site web : ce que votre PME doit mettre en place
Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la Protection des Données (nLPD) est en vigueur. Si vous avez un site web avec un formulaire de contact, Google Analytics ou des pixels publicitaires, vous avez des obligations. Ce guide explique ce qui change et ce qu'il faut faire.
Ce que la nLPD change concrètement
L'ancienne loi datait de 1992. La nLPD, adoptée en 2020 et en vigueur depuis 2023, modernise ces règles autour de trois points.
Responsabilité documentée : vous devez pouvoir prouver votre conformité, pas seulement l'affirmer. Un registre des activités de traitement est requis pour les entreprises qui traitent des données sensibles à grande échelle. Alignement avec le RGPD : si vous avez des clients en Europe, les règles s'appliquent des deux côtés. Sanctions renforcées : des amendes jusqu'à 250'000 CHF sont prévues pour les manquements intentionnels.
Ce que votre site doit avoir
Bannière de consentement : obligatoire si vous utilisez des cookies non essentiels (analytics, publicité, réseaux sociaux). Elle doit permettre de refuser aussi facilement qu'accepter. Politique de confidentialité : accessible depuis chaque page, elle doit lister les données collectées, leur usage, leur durée de conservation et les tiers impliqués. Formulaires conformes : chaque formulaire de contact doit indiquer ce qui est fait avec les données soumises.
Le cas Google Analytics
Le PFPDT a déclaré que l'utilisation standard de Google Analytics n'est probablement pas conforme à la nLPD, en raison du transfert de données vers les États-Unis (Cloud Act). Vos options : activer le masquage d'IP dans GA4 et signer un DPA avec Google, ou passer à un outil alternatif.
Des outils comme Matomo (hébergeable en Suisse), Plausible ou Fathom Analytics offrent une alternative sans cookies et sans transfert hors Suisse. Chez Anorac, on utilise Umami, hébergé sur notre propre infrastructure en Suisse, conforme LPD et sans bannière de cookies nécessaire. C'est l'approche qu'on recommande à nos clients.
Ce qu'il faut vérifier sur votre site
Faites ce test rapide : ouvrez votre site sans être connecté. Voyez-vous une bannière de consentement ? Pouvez-vous la refuser ? La politique de confidentialité est-elle accessible ? Si vous utilisez Google Analytics, avez-vous signé un DPA avec Google ? Si une de ces réponses est non, votre site n'est pas conforme.
