RGPD et nLPD Suisse : Ce que Votre Site Web Doit Respecter

La legislation sur la protection des donnees n'est pas optionnelle pour les sites web. Que vous operiez sous le Reglement General sur la Protection des Donnees (RGPD) de l'UE, la nouvelle Loi federale sur la Protection des Donnees suisse (nLPD), ou les deux, votre site web a des obligations legales specifiques.

Ce guide couvre les etapes pratiques et techniques pour mettre votre site web en conformite. Pas de jargon juridique, pas de tactiques alarmistes. Des explications claires de ce que la loi exige et comment l'implementer.

Qui Doit Se Conformer ?

Reponse courte : presque toute entreprise possedant un site web.

Le RGPD S'applique Si :

• Votre entreprise est etablie dans l'UE/EEE
• Vous offrez des biens ou services a des personnes dans l'UE (meme si votre entreprise est en Suisse)
• Vous surveillez le comportement de personnes dans l'UE (analytics, tracking, profilage)

La nLPD S'applique Si :

• Vous traitez des donnees personnelles d'individus en Suisse
• Votre traitement de donnees a des effets en Suisse

Pour la plupart des entreprises suisses, les deux lois s'appliquent simultanement. Une entreprise a Lugano vendant a des clients en France et en Allemagne doit se conformer a la nLPD et au RGPD.

Exigences de Consentement aux Cookies

Les cookies sont le point ou la plupart des sites web rencontrent leurs premiers problemes de conformite.

Regles Cookies UE/RGPD

Sous la Directive ePrivacy, la regle est claire : le consentement prealable est requis avant de placer des cookies non essentiels.

• Cookies strictement necessaires : pas de consentement requis
• Cookies analytics : consentement requis
• Cookies marketing/publicite : consentement requis
• Cookies de preference : consentement requis

Ce qu'est un Consentement Valide

1. Libre : L'utilisateur doit avoir un choix veritable. Cases pre-cochees ou "tout accepter" plus visible que "tout refuser" sont problematiques.
2. Specifique : Les utilisateurs doivent pouvoir consentir a differentes categories separement.
3. Eclaire : La banniere doit expliquer a quoi servent les cookies.
4. Non ambigu : Le consentement requiert une action affirmative claire.
5. Revocable : Les utilisateurs doivent pouvoir retirer leur consentement aussi facilement qu'ils l'ont donne.

Regles Cookies Suisses nLPD

La loi suisse adopte une approche legerement differente. La nLPD n'a pas de disposition specifique aux cookies. Elle se concentre sur les principes generaux : transparence, base legale et proportionnalite. En pratique, il est recommande d'implementer un consentement cookies de style UE de toute facon.

Implementation de la Banniere Cookie

• Se charge avant que les cookies non essentiels soient places
• Bloque les scripts tiers jusqu'au consentement
• Offre des choix granulaires
• Rend le refus aussi facile que l'acceptation
• Stocke le choix de consentement de l'utilisateur
• Fournit un moyen de modifier les preferences ulterieurement
• Enregistre le consentement pour l'audit

Essentiels de la Politique de Confidentialite

Chaque site web a besoin d'une politique de confidentialite, accessible depuis chaque page via un lien dans le footer.

Informations Requises (RGPD Art. 13/14)

• Identite et coordonnees du responsable du traitement
• Coordonnees du DPO (si applicable)
• Finalites du traitement et base juridique pour chacune
• Destinataires ou categories de destinataires
• Transferts vers des pays tiers et garanties
• Durees de conservation pour chaque categorie
• Droits des personnes concernees
• Droit de retirer le consentement
• Droit de deposer une plainte aupres d'une autorite de controle

Services Tiers : Le Probleme de Conformite Cache

Google Analytics

Plusieurs autorites de protection des donnees de l'UE ont juge certaines implementations de GA non conformes. Le consentement est requis avant de charger les scripts GA.

Alternatives : Matomo (auto-heberge), Plausible, Fathom.

Google Fonts

Charger des polices depuis le CDN de Google transmet l'adresse IP de l'utilisateur a Google. Un tribunal allemand a juge cela contraire au RGPD en janvier 2022. La solution : auto-hebergez vos polices.

Contenu Embarque

Videos YouTube, Google Maps, widgets de reseaux sociaux chargent des ressources externes. Utilisez des solutions a deux clics, le mode youtube-nocookie.com, ou des images statiques avec lien.

Formulaires et Collecte de Donnees

• Collecter uniquement les donnees necessaires (minimisation des donnees)
• Lier la politique de confidentialite pres du formulaire
• Consentement marketing separe via case non cochee
• HTTPS pour la soumission des formulaires
• Protection antispam respectueuse de la vie privee
• Durees de conservation definies et appliquees

Droits des Personnes Concernees

RGPD et nLPD conferent aux individus des droits sur leurs donnees : acces, rectification, effacement, limitation, portabilite, opposition. Vous devez pouvoir repondre sous 30 jours.

Sanctions et Application

Sanctions RGPD

Jusqu'a 20 millions EUR ou 4% du chiffre d'affaires annuel mondial. Pour les PME, les amendes pour violations de sites web vont typiquement de quelques milliers a plusieurs centaines de milliers d'euros.

Sanctions nLPD Suisse

La nLPD cible les personnes physiques responsables, pas l'entreprise. Amende maximale : CHF 250 000. La responsabilite personnelle est deliberee pour motiver la conformite.

Suisse vs UE : Differences Cles

Aspect	RGPD	nLPD Suisse
Base juridique	6 bases explicites	Pas de liste explicite ; le traitement est licite s'il ne porte pas atteinte a la personnalite
Exigence DPO	Obligatoire pour certaines organisations	Facultatif (mais recommande)
Notification breach	72 heures a l'autorite	"Des que possible" au PFPDT
Sanctions	Jusqu'a 20M EUR / 4% CA (contre l'entreprise)	Jusqu'a CHF 250 000 (contre personnes physiques)

Checklist de Conformite Pratique

Consentement Cookies

• Banniere chargee avant les cookies non essentiels
• Scripts non essentiels bloques jusqu'au consentement
• Refus en un clic
• Choix granulaires (analytics, marketing, preferences)
• Possibilite de modifier les preferences a tout moment
• Consentement enregistre avec horodatage

Politique de Confidentialite

• Accessible depuis chaque page
• Disponible dans toutes les langues du site
• Liste tous les services tiers avec leurs finalites
• Inclut des durees de conservation specifiques
• Explique les droits des personnes et comment les exercer

Services Tiers

• DPA en place pour tous les sous-traitants
• Google Fonts auto-hebergees
• Analytics avec consentement ou alternative privacy-friendly
• Contenu embarque avec solution a deux clics

Mesures Techniques

• HTTPS applique sur toutes les pages
• En-tetes de securite configures (voir notre checklist audit securite)
• Acces aux donnees personnelles restreint et journalise
• Sauvegardes chiffrees
• Plan de reponse aux incidents pour violations de donnees

Prochaines Etapes

La conformite du site web n'est pas un projet ponctuel. Elle necessite une attention continue. Commencez par la checklist ci-dessus et integrez la conformite dans votre processus de developpement.

Si vous avez besoin d'aide pour evaluer la conformite de votre site web, contactez notre equipe. Nous travaillons avec des entreprises dans toute la Suisse pour aligner leur presence web sur les exigences RGPD et nLPD.