nLPD : ce que votre site internet doit avoir pour être conforme

La nLPD, c'est quoi ?

La nouvelle Loi fédérale sur la Protection des Données (nLPD) est entrée en vigueur le 1er septembre 2023 en Suisse. Elle remplace l'ancienne LPD de 1992 et renforce considérablement les droits des personnes concernées et les obligations des entreprises.

Si vous avez un site web, vous êtes concerné. Voici ce que vous devez mettre en place — simplement.

Ce que la nLPD exige pour votre site web

1. Une politique de confidentialité

C'est le document le plus important. Il doit expliquer clairement :

• Qui collecte les données (votre entreprise, avec ses coordonnées)
• Quelles données sont collectées (nom, email, adresse IP, cookies…)
• Pourquoi elles sont collectées (formulaire de contact, newsletter, analytics…)
• Comment elles sont traitées et protégées
• Avec qui elles sont partagées (hébergeur, outils d'analyse, etc.)
• Combien de temps elles sont conservées
• Les droits des personnes (accès, rectification, suppression)
• Comment exercer ces droits (email de contact)

Cette page doit être accessible depuis toutes les pages de votre site (lien dans le footer).

2. Des mentions légales

Bien que la nLPD ne l'exige pas directement, les mentions légales sont une bonne pratique (et parfois obligatoires selon votre canton ou secteur). Elles doivent contenir :

• Le nom de l'entreprise ou de la personne responsable
• L'adresse postale complète
• Un moyen de contact (email)
• Le numéro IDE (si applicable)

3. Un bandeau cookies

Si votre site utilise des cookies non essentiels (Google Analytics, Facebook Pixel, outils marketing), vous devez :

• Informer le visiteur de l'utilisation de cookies
• Obtenir son consentement avant d'activer les cookies non essentiels
• Permettre le refus sans conséquence sur l'accès au site

4. Des formulaires conformes

Si votre site contient des formulaires (contact, inscription, devis), vous devez :

• Ne collecter que les données nécessaires (principe de minimisation)
• Indiquer la finalité du traitement
• Ajouter un lien vers votre politique de confidentialité
• Ne pas pré-cocher les cases de consentement

Les sanctions en cas de non-conformité

La nLPD prévoit des sanctions pénales (pas seulement administratives comme le RGPD européen) :

• Amendes jusqu'à CHF 250'000 pour les personnes physiques responsables
• Les sanctions visent les individus (dirigeants, responsables), pas seulement l'entreprise
• Le Préposé fédéral à la protection des données (PFPDT) peut ouvrir des enquêtes

En pratique, les PME ne sont pas la cible prioritaire des contrôles. Mais un client mécontent peut déposer une plainte, et là, votre conformité sera examinée.

Checklist de conformité pour votre site

nLPD vs RGPD : quelle différence ?

Si vous avez des clients dans l'Union européenne, vous êtes aussi soumis au RGPD. Les deux lois sont proches mais pas identiques :

• La nLPD prévoit des sanctions pénales individuelles, le RGPD des amendes administratives (jusqu'à 4% du CA)
• Le RGPD exige un consentement explicite pour tout traitement ; la nLPD est un peu plus souple
• Le RGPD impose un DPO (délégué à la protection des données) dans certains cas ; la nLPD un "conseiller à la protection des données" (recommandé mais pas obligatoire pour les PME)

En pratique, si votre site est conforme au RGPD, il est quasi automatiquement conforme à la nLPD.

Par où commencer ?

1. Rédigez votre politique de confidentialité — C'est la priorité n°1. Soyez clair et spécifique.
2. Ajoutez des mentions légales — 5 minutes de travail, et c'est fait.
3. Installez un bandeau cookies — Si vous utilisez Google Analytics ou un outil de tracking.
4. Vérifiez vos formulaires — Collectez-vous uniquement ce qui est nécessaire ?
5. Passez en HTTPS — Si ce n'est pas déjà fait, c'est urgent.