La conformité à la nLPD ne s'ajoute pas après coup. Elle découle de choix faits avant de lancer un site : où les données sont hébergées, quels outils tiers sont intégrés, comment les formulaires sont conçus. Une refonte est toujours plus coûteuse qu'une bonne conception initiale.
Cet article prend l'angle du lancement : vous construisez un nouveau site, vous reposez tout sur une nouvelle stack, ou vous changerez prochainement d'hébergeur. Quelles décisions prendre pour partir conforme ?
Les quatre articles de fond de ce blog traitent du détail de la loi, de la checklist des points à vérifier, du cas Google Analytics et du fonctionnement général de la nLPD pour un site web. Cet article les relie et ajoute la logique de conception.
Pourquoi la conformité par défaut change tout
Partir conforme par conception, c'est différent de corriger un site existant. Quand un site est en production depuis deux ans avec Google Analytics, des formulaires sans finalité déclarée et des données hébergées sur des serveurs américains, le chemin vers la conformité est long : audit technique, refonte des intégrations, migration des données, mise à jour contractuelle avec chaque sous-traitant.
Quand on part d'une feuille blanche, chaque choix d'architecture a un coût marginal proche de zéro. Choisir Umami plutôt que Google Analytics au départ ne prend pas plus de temps. Choisir un hébergeur suisse plutôt qu'AWS ne rallonge pas le projet. Concevoir un formulaire avec une finalité claire ne demande pas plus de travail qu'un formulaire vague.
La nLPD (loi fédérale sur la protection des données, en vigueur depuis le 1er septembre 2023) pose une obligation de résultat : vos traitements doivent être licites, transparents et proportionnés. Elle ne prescrit pas de stack technique. Elle vous laisse le choix des moyens, et c'est là que la conception joue.
Où héberger vos données pour rester sous droit suisse
Le premier choix est géographique. Un site hébergé sur AWS (États-Unis), Google Cloud ou Azure implique potentiellement un transfert de données hors de Suisse. La nLPD encadre ces transferts : elle exige que le pays destinataire offre un niveau de protection adéquat, ou que des garanties contractuelles soient en place.
En pratique, beaucoup de PME suisses ignorent où leurs données sont réellement stockées. Le contrat avec leur hébergeur le précise rarement clairement, et les sous-processeurs (CDN, bases de données, sauvegardes) ajoutent des couches supplémentaires.
La décision la plus simple : choisir un hébergeur dont les serveurs sont physiquement en Suisse, soumis au droit suisse, sans sous-traitants hors Suisse par défaut. Infomaniak (Genève) répond à ce critère. C'est l'hébergeur que nous utilisons pour tous nos projets, précisément parce que la question des transferts transfrontaliers ne se pose pas.
Notre page sur la souveraineté numérique détaille ce que cela change concrètement pour vos données. L'article cloud souverain suisse pour les PME compare les options disponibles sur le marché.
Mesurer l'audience sans ouvrir la porte aux traceurs tiers
Google Analytics est l'outil d'analyse d'audience le plus utilisé en Suisse. Il est aussi le plus problématique au regard de la nLPD et de la relation avec les autorités de protection des données, notamment parce qu'il transfère des données vers des serveurs américains soumis au CLOUD Act.
Le PFPDT (Préposé fédéral à la protection des données et à la transparence) a publié des orientations claires sur ce sujet. Notre article dédié Google Analytics et la nLPD résume la position des autorités et les alternatives.
La bonne décision au moment de concevoir un site : choisir un outil d'analyse sans cookies, hébergé en Suisse ou sur votre propre infrastructure. Umami et Matomo remplissent ces critères. Ils mesurent les visites, les sources de trafic et les conversions sans déposer de cookies de traçage, ce qui vous dispense de bannière de consentement pour cette partie de votre site.
Notre article analytics sans cookies en Suisse compare ces outils et détaille leur intégration.
Concevoir les formulaires correctement dès le départ
Chaque formulaire collecte des données personnelles. La nLPD exige que cette collecte soit justifiée par une finalité claire, proportionnée (pas plus de données que nécessaire) et transparente pour la personne concernée.
Voici les questions à poser avant de créer le moindre champ :
| Question | Ce qu'elle évite |
|---|---|
| Pourquoi collectez-vous cette donnée ? | Collecte sans finalité, non conforme |
| En avez-vous réellement besoin ? | Sur-collecte (champ téléphone obligatoire quand il ne sert pas) |
| Combien de temps la conservez-vous ? | Stockage indéfini, non conforme |
| Qui y a accès en dehors de votre équipe ? | Transfert non déclaré vers un CRM, une newsletter tiers |
| Faut-il un consentement explicite ici ? | Traitement sans base légale |
La base légale la plus fréquente pour les formulaires de contact est l'intérêt légitime ou l'exécution d'un contrat, pas le consentement. Le consentement n'est requis que pour les traitements qui vont au-delà de la finalité première : par exemple, ajouter le contact à une liste de newsletter sans lien direct avec sa demande initiale.
Pour les cas complexes (données sensibles, profilage, marketing automatisé), consultez le PFPDT ou un juriste spécialisé. Nous ne fournissons pas de conseil juridique définitif.
La bannière cookies : seulement si vous en déposez
Un point souvent mal compris : la bannière de consentement n'est pas obligatoire pour tous les sites. Elle est requise seulement si vous déposez des cookies non essentiels ou des traceurs tiers (Google Analytics, Meta Pixel, outils de chat, etc.).
Un site conçu sans aucun traceur tiers, avec un outil d'analytics sans cookies, peut se passer de bannière. C'est une simplification de l'expérience utilisateur, pas un risque juridique.
Si votre site intègre des outils qui déposent des cookies non essentiels, la bannière devient obligatoire et doit respecter des critères précis : présentation équilibrée des choix, refus aussi facile qu'acceptation, absence de cases pré-cochées. Notre module Anorac Consent gère ces exigences. Notre comparatif Cookiebot, OneTrust ou solution maison détaille les options si vous devez en choisir une.
La checklist complète des points à vérifier sur votre site est dans notre article checklist nLPD en 10 points.
La politique de confidentialité et ce qu'elle doit dire
La nLPD impose une obligation d'information : les personnes dont vous collectez les données doivent savoir quelles données vous traitez, dans quel but, pendant combien de temps et avec qui vous les partagez.
En pratique, cela se traduit par une politique de confidentialité accessible sur votre site (footer, formulaires), rédigée en termes compréhensibles, à jour.
Une politique de confidentialité complète couvre au minimum :
- Les catégories de données collectées (coordonnées, données de navigation, messages)
- La finalité de chaque traitement
- La durée de conservation
- Les sous-traitants et partenaires qui ont accès aux données
- Les droits des personnes (accès, rectification, suppression)
- Les coordonnées du responsable du traitement
Rédigez-la au moment de concevoir le site, pas après la mise en ligne. Les informations nécessaires sont disponibles à ce stade : vous savez quels outils vous utiliserez et pourquoi.
Le registre des traitements pour les PME
La nLPD introduit une obligation de tenir un registre des activités de traitement. Pour les entreprises de moins de 250 collaborateurs, cette obligation est allégée si les traitements ne présentent pas de risque élevé pour les personnes concernées.
Dans la pratique, la plupart des PME suisses qui gèrent un site vitrine, un CRM et une newsletter tombent dans la catégorie des traitements à risque faible. Un registre simplifié suffit : un tableau qui liste chaque traitement (site web, CRM, comptabilité, RH), sa finalité, les catégories de données et les personnes qui y ont accès.
Commencer ce registre au moment du lancement d'un site est le bon moment : vous documentez les traitements au fur et à mesure qu'ils sont créés, plutôt que de devoir les reconstituer rétrospectivement.
La sécurité comme obligation, pas comme option
La nLPD impose des mesures techniques et organisationnelles pour protéger les données personnelles. Pour un site web, cela se traduit par des obligations concrètes.
Ce qui est non négociable au lancement :
- HTTPS sur toutes les pages (certificat TLS valide, HSTS activé)
- Accès à l'administration protégé (authentification forte, pas de mot de passe générique)
- Sauvegardes régulières et testées
- Mise à jour des dépendances (CMS, plugins, libraries)
- Journalisation des accès aux données sensibles
Ces mesures ne sont pas propres à la nLPD : elles relèvent de la bonne pratique technique. La nLPD leur donne une portée juridique.
Les sous-traitants hors Suisse : le point de vigilance
Un site web moderne repose rarement sur un seul prestataire. CRM, outil emailing, CDN, chat, paiement, vidéo hébergée : chaque outil tiers est un sous-traitant potentiel. Si cet outil traite des données personnelles de vos visiteurs ou clients depuis des serveurs hors Suisse, la nLPD s'applique.
Les cas les plus fréquents à surveiller :
| Outil | Risque | Alternative souveraine |
|---|---|---|
| Mailchimp | Données hébergées aux États-Unis | Postal (auto-hébergé en Suisse) |
| Google Analytics | Transfert vers serveurs US | Umami, Matomo |
| Typeform | Formulaires hébergés hors Suisse | Formulaires intégrés sur votre site |
| AWS S3 | Stockage hors Suisse par défaut | S3 Infomaniak (Genève) |
| Intercom, Drift | Données de chat hors Suisse | Solution auto-hébergée |
La question n'est pas d'éliminer tout outil tiers : c'est de savoir où vos données vont, de le documenter et de vous assurer que les garanties contractuelles sont en place si le pays de destination est hors Suisse. Le même principe de prudence s'applique aux outils IA que vous utilisez en interne : notre article utiliser l'IA sans exposer les données de vos clients détaille la question.
Checklist « conforme by design »
À valider avant la mise en ligne d'un nouveau site :
- Hébergement en Suisse (serveurs physiquement en Suisse, sans sous-traitants hors Suisse par défaut)
- Outil d'analytics sans cookies ou avec consentement conforme
- Formulaires : finalité déclarée, champs limités au nécessaire, durée de conservation définie
- Bannière cookies si et seulement si des cookies non essentiels sont déposés
- Politique de confidentialité accessible, à jour, compréhensible
- Registre des traitements initié (même simplifié)
- HTTPS activé, accès admin sécurisé, sauvegardes en place
- Sous-traitants tiers identifiés, localisés et documentés
- Contrats de sous-traitance signés avec chaque prestataire qui traite des données personnelles
Pour chaque point, notre article checklist nLPD en 10 points donne le détail technique.
À lire aussi : Hébergement suisse : quand c'est vraiment nécessaire, Prix d'un site web en Suisse en 2026, L'IA générative et la communication
Questions fréquentes
La nLPD s'applique-t-elle à toutes les PME suisses, quelle que soit leur taille ?
Oui. La nLPD s'applique à toute personne physique ou morale qui traite des données personnelles dans le cadre d'une activité en Suisse, sans seuil de taille. Les obligations sont modulées selon le risque des traitements : une PME avec un site vitrine et un formulaire de contact est soumise à des obligations plus légères qu'une grande entreprise avec des traitements à risque élevé.
Mon site n'a qu'un formulaire de contact. Faut-il vraiment une politique de confidentialité ?
Oui. Dès que vous collectez des données personnelles (nom, adresse email, message), l'obligation d'information s'applique. Une politique de confidentialité courte et claire suffit dans ce cas. Elle doit être accessible depuis le formulaire ou le footer.
Google Analytics est gratuit. Peut-on continuer à l'utiliser si on accepte les conditions ?
Accepter les conditions d'utilisation de Google ne suffit pas à rendre le traitement conforme à la nLPD si les données sont transférées vers des serveurs américains sans garanties adéquates. Le PFPDT a publié des orientations sur ce point. Notre article Google Analytics et la nLPD détaille la situation et les alternatives.
Faut-il un consentement pour chaque cookie déposé par le site ?
Le consentement est requis pour les cookies non essentiels (analytics, marketing, réseaux sociaux). Les cookies strictement nécessaires au fonctionnement du site (session, panier, sécurité) n'en ont pas besoin. Un site sans cookie non essentiel peut se passer de bannière.
Un hébergeur qui « respecte le RGPD » est-il conforme à la nLPD ?
Pas automatiquement. La nLPD est le droit suisse : elle s'applique aux traitements en Suisse et peut diverger du RGPD européen sur certains points. Un hébergeur certifié RGPD ne garantit pas la conformité nLPD si ses serveurs sont hors Suisse. Vérifiez la localisation physique des données, pas seulement la politique de confidentialité de l'hébergeur.
Anorac Studio peut-il s'occuper de tout cela pour nous ?
Nous concevons les sites en intégrant les choix techniques qui réduisent votre surface de risque : hébergement Infomaniak, analytics sans cookies, formulaires construits avec une finalité claire, bannière de consentement si nécessaire. La politique de confidentialité et le registre des traitements relèvent de votre responsabilité en tant que responsable du traitement. Pour les questions juridiques complexes, nous vous recommandons de consulter un juriste spécialisé en protection des données.
Vous lancez un nouveau site et vous voulez partir sur des bases solides ?



