← Retour au blog Conformité

nLPD suisse : ce qui doit changer sur votre site web

Envestis Team 18 min de lecture

Le 1er septembre 2023, la nouvelle loi federale sur la protection des donnees (nLPD) a remplace l'ancienne loi de 1992 en Suisse. Si vous exploitez un site web pour une entreprise suisse, cette loi vous concerne, et elle a modifie plusieurs elements qui affectent directement la maniere dont votre site web traite les donnees personnelles.

Ce n'est pas une preoccupation theorique. Les sanctions sont personnelles : les individus responsables des violations peuvent etre amendes jusqu'a CHF 250 000. Pas l'entreprise. La personne. Cela pourrait etre le proprietaire de l'entreprise, le directeur general ou la personne responsable de la protection des donnees au sein de l'organisation.

Cet article couvre ce que la nLPD signifie specifiquement pour votre site web. Pas le champ complet de la loi, mais les exigences specifiques aux sites web que la plupart des entreprises suisses doivent traiter.

Ce qui a change par rapport a l'ancienne loi

Changements cles

  • Champ d'application : La loi ne protege plus que les donnees des personnes physiques, pas des personnes morales.
  • Donnees genetiques et biometriques : Desormais classees comme "donnees personnelles sensibles".
  • Privacy by design et by default : Ces principes sont maintenant legalement requis.
  • Notification de violation de donnees : Vous devez signaler les violations au PFPDT le plus rapidement possible.
  • Analyse d'impact sur la protection des donnees : Requise quand les activites de traitement presentent un risque eleve.
  • Transparence : Devoir d'information etendu.
  • Profilage : La loi traite specifiquement du profilage, avec des regles plus strictes pour le "profilage a risque eleve".
  • Sanctions penales : Jusqu'a CHF 250 000 imposes a la personne physique responsable.

nLPD vs RGPD : differences cles

AspectRGPDnLPD
Cible des sanctionsL'organisation (jusqu'a 4% du CA mondial ou EUR 20M)La personne physique responsable (jusqu'a CHF 250 000)
Consentement au traitementLe consentement est l'une des six bases legalesLe traitement est permis sauf absence de justification ; consentement necessaire pour les donnees sensibles
Notification de violation72 heures a l'autorite de controle"Le plus rapidement possible" au PFPDT
DPORequis dans de nombreux casVolontaire (mais recommande)
Transferts transfrontaliersDecisions d'adequation, CCT, BCRCadre similaire ; liste suisse specifique de pays adequats

Exigences specifiques aux sites web

Politique de confidentialite

Votre site web doit avoir une politique de confidentialite qui repond aux exigences de transparence de la nLPD (Articles 19-21). Elle doit inclure :

  • Identite et coordonnees du responsable du traitement.
  • Finalites du traitement : Pourquoi vous collectez chaque type de donnees. Soyez specifique.
  • Categories de donnees collectees.
  • Destinataires ou categories de destinataires.
  • Transferts de donnees transfrontaliers : Si des donnees sont transferees hors de Suisse, vous devez le divulguer, nommer les pays et indiquer les garanties en place.
  • Periodes de conservation.
  • Droits des personnes concernees.
  • Prise de decision automatisee.

Consentement aux cookies

La nLPD n'a pas de "loi sur les cookies" specifique comme la directive ePrivacy de l'UE. Cependant, les cookies qui traitent des donnees personnelles sont soumis aux exigences de transparence et de consentement de la nLPD. En pratique :

  • Cookies techniquement necessaires peuvent etre poses sans consentement, mais doivent etre divulgues dans la politique de confidentialite.
  • Cookies d'analytics collectent des donnees personnelles et necessitent un consentement ou une anonymisation.
  • Cookies marketing/publicite necessitent un consentement.

Pour en savoir plus sur l'implementation du consentement aux cookies, consultez notre article sur les erreurs legales courantes du consentement aux cookies.

Formulaires de contact

  • Vous devez informer les utilisateurs de ce qui sera fait avec leurs donnees avant qu'ils soumettent le formulaire.
  • Les donnees collectees doivent etre traitees uniquement pour la finalite declaree.
  • Vous devez avoir une politique de conservation claire.
  • Si les donnees sont envoyees a des services tiers, cela doit etre divulgue.

Analytics

Google Analytics souleve plusieurs questions nLPD :

  • Transfert de donnees transfrontalier : Google Analytics envoie des donnees aux serveurs de Google, qui peuvent etre situes aux USA.
  • Traitement de donnees personnelles : Les adresses IP et les donnees de comportement utilisateur sont des donnees personnelles sous la nLPD.
  • Exigence de consentement : Obtenir le consentement avant de charger Google Analytics est l'approche la plus sure.

Des alternatives orientees vie privee comme Plausible, Umami ou Fathom offrent une alternative conforme sans cookies et pouvant etre auto-hebergees en Suisse.

Transferts de donnees transfrontaliers

Services qui transferent des donnees a l'etranger

  • Google Analytics : Donnees envoyees aux serveurs Google (USA).
  • Mailchimp : Donnees de marketing par email sur serveurs USA.
  • Facebook/Meta Pixel : Donnees visiteurs envoyees aux serveurs Meta (USA).
  • HubSpot : Donnees CRM et marketing sur serveurs USA.
  • Stripe : Donnees de paiement envoyees aux serveurs USA.

Sous la nLPD, pour les pays ne figurant pas sur la liste d'adequation du Conseil federal (y compris les USA dans de nombreux scenarios), vous avez besoin de : Clauses contractuelles types (CCT), consentement explicite de la personne concernee, ou un autre mecanisme de garantie reconnu.

Notification de violation de donnees

Si votre site est viole et que des donnees personnelles sont compromises, la nLPD vous oblige a notifier le PFPDT le plus rapidement possible. Vous devez egalement notifier les personnes concernees si necessaire pour les proteger.

Sanctions : responsabilite personnelle

Sous la nLPD, les violations sont punissables d'amendes jusqu'a CHF 250 000 imposees a la personne physique responsable.

Ce qui peut declencher des sanctions

  • Defaut de fournir des informations adequates aux personnes concernees.
  • Defaut de mettre en oeuvre des mesures techniques et organisationnelles appropriees.
  • Transferts de donnees transfrontaliers non autorises sans garanties appropriees.
  • Defaut de signaler les violations de donnees au PFPDT.

Checklist pratique de conformite pour le site web

Politique de confidentialite

  1. Avoir une politique de confidentialite repondant a toutes les exigences nLPD.
  2. Lister chaque service tiers par nom.
  3. Divulguer tous les transferts de donnees transfrontaliers.
  4. Specifier les periodes de conservation.
  5. Rendre la politique de confidentialite accessible depuis chaque page.
  6. Fournir la politique de confidentialite dans toutes les langues supportees par le site.

Consentement aux cookies

  1. Implementer un mecanisme de consentement qui bloque les cookies non essentiels jusqu'au consentement.
  2. Categoriser les cookies en necessaires, analytics et marketing.
  3. Permettre un consentement granulaire.
  4. Permettre aux utilisateurs de retirer leur consentement.
  5. Documenter le consentement.
  6. Tester que les cookies sont effectivement bloques avant le consentement.

Securite

  1. HTTPS sur toutes les pages.
  2. En-tetes de securite forts (CSP, HSTS, X-Frame-Options, etc.).
  3. Mises a jour logicielles regulieres.
  4. Stockage securise des donnees personnelles collectees.
  5. Sauvegardes regulieres avec procedures de restauration testees.
  6. Un plan de reponse aux violations de donnees.

Violations courantes sur les sites suisses actuellement

  • Google Analytics charge sans consentement : La majorite des sites suisses chargent encore Google Analytics avant que l'utilisateur n'ait donne son consentement.
  • Politiques de confidentialite ne mentionnant pas les transferts transfrontaliers.
  • Aucun mecanisme de consentement aux cookies.
  • Politiques de confidentialite generiques.
  • Accords de traitement des donnees manquants.
  • Aucune politique de conservation.

Prochaines etapes

Si vous n'etes pas sur que votre site soit conforme a la nLPD, vous avez probablement du travail a faire. La plupart des sites suisses que nous evaluons presentent de multiples lacunes de conformite.

Chez Envestis, nous realisons des audits de conformite de sites web. Pour une perspective plus large sur la conformite RGPD, consultez notre article sur la conformite RGPD pour sites web.

Contactez-nous pour planifier un audit de conformite. Les sanctions sont personnelles. Le moment d'agir est maintenant.

Vous voulez savoir si votre site est sécurisé ?

Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.

Demander un Audit Gratuit

Articles Connexes

Conformité

RGPD et nLPD Suisse : Ce que Votre Site Web Doit Respecter

Guide pratique de conformite en matiere de protection des donnees pour les sites web. Couvre le consentement aux cookies, la politique de confidentialite, les services tiers et les differences entre le RGPD et la nLPD suisse.

· 17 min de lecture
Conformité

Consentement aux Cookies : Les Erreurs qui Rendent Votre Site Illegal

Cases pre-cochees, pas de bouton de refus, tracking avant consentement, Google Fonts charges depuis les serveurs Google. La plupart des sites suisses ont des implementations de consentement aux cookies qui violent le RGPD, la nLPD suisse ou les deux.

· 15 min de lecture
Conformité

Plan de Reponse aux Incidents pour PME : Un Guide Pratique pour les Entreprises Suisses

La plupart des PME n'ont aucun plan pour quand elles se font pirater. Ce guide couvre les 6 phases de la reponse aux incidents, qui contacter en Suisse (NCSC, autorites cantonales), un template IRP pratique pour les ressources PME, les obligations de notification sous la nLPD et le RGPD, et les exercices tabletop.

· 16 min de lecture

Contact Rapide