RGPD, LPD et conformité web en Suisse : le guide complet 2026

Depuis le 1er septembre 2023, la Suisse dispose d'une nouvelle Loi sur la Protection des Données (nLPD) qui a remplacé l'ancienne loi de 1992. Et si votre site web cible aussi des visiteurs européens, le RGPD s'applique en parallèle.

Concrètement, cela signifie que chaque site web suisse — du restaurant de quartier à la boutique en ligne — doit respecter des règles précises sur la manière dont il collecte, utilise et stocke les données de ses visiteurs.

Et les conséquences ne sont pas anodines. Les amendes prévues par la nLPD peuvent atteindre 250 000 CHF, et elles visent directement la personne physique responsable — pas l'entreprise. Autrement dit, c'est le dirigeant ou le responsable IT qui risque personnellement une sanction pénale.

Ne pas se mettre en conformité, ce n'est pas juste un risque juridique. C'est aussi un signal négatif envoyé à vos clients : « Vos données ne comptent pas pour nous. »

La nLPD suisse et le RGPD européen partagent environ 70% de principes communs. Mais les différences sont importantes et déterminent ce que vous devez mettre en place sur votre site.

Les sanctions

La nLPD prévoit des amendes jusqu'à 250 000 CHF visant la personne physique responsable (le dirigeant, pas l'entreprise). Le RGPD, lui, peut sanctionner l'entreprise jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial.

Les cookies

C'est la différence la plus visible. En Suisse (nLPD), il n'existe aucune obligation légale d'afficher une bannière de cookies. Le droit suisse demande uniquement d'informer les utilisateurs et de leur permettre de refuser via les paramètres du navigateur. En revanche, le RGPD impose un consentement explicite (opt-in) avant tout cookie non essentiel.

Le consentement

La nLPD est plus souple : elle autorise les cases précochées et le traitement basé sur l'intérêt légitime sans consentement explicite. Le RGPD interdit formellement les cases précochées et exige un consentement actif pour la plupart des traitements.

Quand devez-vous appliquer les deux ?

Le RGPD s'applique à votre entreprise suisse dès que vous traitez des données de résidents de l'UE : site multilingue, prix affichés en euros, livraison en Europe, ou simplement des visiteurs européens identifiables. Notre recommandation : appliquez le standard le plus strict (RGPD) pour tous vos visiteurs. C'est plus simple à gérer et vous couvre dans tous les cas.

Les cookies sont le sujet qui génère le plus de confusion. Clarifions les choses.

Les cookies essentiels : aucun consentement nécessaire

Certains cookies sont indispensables au fonctionnement de votre site. Ils ne nécessitent aucun consentement, ni en Suisse ni en Europe :

• Sessions utilisateur (connexion, panier d'achat)
• Préférences de langue et d'affichage
• Sécurité (protection CSRF, authentification)
• Mémorisation du choix cookies lui-même

Les cookies non essentiels : là où ça se complique

Les cookies d'analyse (Google Analytics, Hotjar), de publicité (Meta Pixel, Google Ads) et de réseaux sociaux nécessitent une attention particulière.

En droit suisse pur (nLPD + Loi sur les télécommunications) :

• Pas de bannière obligatoire
• Information dans la politique de confidentialité
• Possibilité de refus via les paramètres navigateur

Si le RGPD s'applique (visiteurs européens) :

• Bannière de consentement obligatoire avant tout cookie non essentiel
• Le refus doit être aussi simple que l'acceptation
• Pas de cases précochées
• Aucun cookie non essentiel ne doit se déclencher avant le consentement

Google Analytics : un cas particulier

Google Analytics collecte des données personnelles (adresses IP, identifiants de session, comportement de navigation) et transfère ces données vers les États-Unis. Depuis juillet 2024, Google impose le Consent Mode v2 qui adapte le tracking selon la géolocalisation du visiteur. Si vous souhaitez éviter ces complications, des alternatives comme Matomo (hébergeable en Suisse) ou Plausible (serveurs européens) offrent une conformité simplifiée.

En pratique, même si la bannière cookies n'est pas obligatoire en Suisse, le PFPDT (Préposé fédéral à la protection des données) la recommande comme bonne pratique depuis ses directives de février 2025.

Contrairement aux mentions légales, la politique de confidentialité est obligatoire pour tout site web suisse qui collecte des données personnelles. Et « collecter des données », c'est bien plus large qu'on ne le pense : un simple formulaire de contact, un système d'analytics ou même des logs serveur suffisent.

Voici ce que votre politique doit contenir au minimum :

1. Identité du responsable du traitement — Nom de l'entreprise, adresse en Suisse, email de contact
2. Types de données collectées — Données d'identité, de navigation, cookies, logs serveur
3. Finalités du traitement — Pourquoi chaque donnée est collectée (ex. : « Email collecté pour confirmation de réservation »)
4. Destinataires des données — Sous-traitants, hébergeurs, services tiers (Google, Mailchimp, etc.)
5. Transferts hors de Suisse — Si vous utilisez AWS, Google Cloud ou tout service américain, précisez les pays et les garanties (clauses contractuelles types)
6. Durée de conservation — Combien de temps les données sont gardées
7. Droits des personnes — Droit d'accès, de rectification, de suppression, et la possibilité de porter plainte auprès du PFPDT

Si vous faites du profilage (segmentation d'audience, publicité ciblée), vous devez aussi expliquer comment fonctionnent vos algorithmes et quelles en sont les conséquences pour l'utilisateur.

C'est la question que tout le monde se pose. La réponse dépend de ce que vous allez faire avec les données collectées.

Cas 1 : Le restaurant qui prend des réservations en ligne

Un client réserve une table via votre formulaire et fournit son email pour recevoir la confirmation. Aucune case de consentement n'est nécessaire. L'email est collecté dans le cadre de l'exécution d'un service (la réservation). La base légale est l'exécution du contrat.

Vous pouvez envoyer :

• La confirmation de réservation
• Un rappel avant la venue
• Un email de suivi directement lié à cette réservation

Cas 2 : Le même restaurant veut envoyer sa newsletter

Le restaurateur souhaite réutiliser les emails de réservation pour envoyer des offres promotionnelles ou une newsletter. C'est interdit sans consentement séparé. Le consentement donné pour une réservation ne couvre pas le marketing.

La solution : ajouter une case (non précochée) dans le formulaire de réservation :

☐ J'accepte de recevoir les offres et actualités du restaurant par email. Je peux me désinscrire à tout moment.

Cas 3 : Un formulaire de contact classique

Un visiteur vous contacte via votre formulaire pour poser une question. Comme pour la réservation, pas de case obligatoire pour le traitement de la demande elle-même. Vous répondez à sa question, point final.

Mais si vous ajoutez cette personne à votre CRM pour lui envoyer des communications commerciales plus tard, le consentement redevient obligatoire.

Cas 4 : L'inscription à une newsletter

Ici, le consentement est toujours obligatoire puisque la finalité est purement marketing. La bonne pratique : utilisez le double opt-in. Le visiteur s'inscrit via le formulaire, puis reçoit un email de confirmation avec un lien à cliquer. Cela prouve le consentement de manière irréfutable.

Cas 5 : La boutique en ligne qui collecte des données de paiement

Pour le processus d'achat, les données nécessaires à la commande (adresse, paiement, livraison) sont collectées dans le cadre de l'exécution du contrat. Pas de case de consentement supplémentaire pour ces données-là. En revanche, l'acceptation des CGV est obligatoire avant l'achat.

La règle d'or à retenir

Le consentement explicite (case à cocher) est obligatoire quand :

• Vous utilisez les données pour du marketing (newsletter, promotions, relances commerciales)
• Vous collectez des données sensibles (santé, opinions, données biométriques)
• Vous faites du profilage à haut risque (analyse comportementale approfondie)
• Vous réutilisez des données pour une finalité différente de celle annoncée initialement

Il n'est PAS obligatoire quand les données sont strictement nécessaires à l'exécution du service demandé par l'utilisateur (réservation, demande de contact, commande).

Si vous vendez en ligne depuis la Suisse, vos obligations vont au-delà de la simple protection des données.

Les Conditions Générales de Vente (CGV) sont obligatoires

Tout e-commerce suisse doit proposer des CGV accessibles avant l'achat et l'acheteur doit les accepter expressément lors de la commande. Vos CGV doivent inclure :

• Identité du vendeur — Raison sociale, adresse, numéro RC, email de contact
• Prix et paiement — Prix TTC incluant la TVA, frais de port séparés, modes de paiement
• Livraison — Délais, frais, zones de livraison, transfert des risques
• Garantie — Garantie légale de 2 ans (art. 210 CO), procédure de réclamation
• Retours et rétractation — Attention : en Suisse, il n'existe aucun droit légal de rétractation

L'absence de droit de rétractation en Suisse

C'est un point méconnu. Contrairement à l'Union européenne qui impose 14 jours de rétractation obligatoires pour les achats en ligne, la Suisse ne prévoit aucun droit légal de retour. Une fois la commande confirmée, le client est engagé.

En pratique, la plupart des boutiques en ligne suisses proposent tout de même un droit de retour (7 à 14 jours) pour rester compétitives face aux sites européens. Si vous choisissez de l'offrir, documentez-le clairement dans vos CGV.

La case « J'accepte les CGV » est-elle obligatoire ?

Oui. Pour un e-commerce, l'acceptation des CGV par l'acheteur est indispensable. Sans elle, vos conditions n'ont aucune valeur juridique en cas de litige. Concrètement, ajoutez une case non précochée avant le bouton de paiement :

☐ J'ai lu et j'accepte les Conditions Générales de Vente et la Politique de confidentialité.

Contrairement à la France, où les mentions légales sont strictement obligatoires pour tout site web, la situation en Suisse est plus nuancée.

Quand sont-elles obligatoires ?

Les mentions légales sont obligatoires pour tout site à vocation commerciale ou professionnelle en vertu de la Loi contre la concurrence déloyale (LCD). Cela inclut les sites vitrine d'entreprises, les e-commerces, et les sites de prestataires de services.

Seuls les blogs strictement personnels sans aucune activité commerciale en sont exemptés.

Que doivent-elles contenir ?

• Raison sociale ou nom complet du responsable du site
• Adresse postale complète en Suisse
• Adresse email de contact fonctionnelle
• Numéro d'inscription au Registre du Commerce (si applicable)
• Numéro IDE (identifiant des entreprises)
• Numéro de TVA (si assujetti)

Pour les professions réglementées (avocats, médecins, architectes), des mentions supplémentaires sont nécessaires : autorisation d'exercer, ordre professionnel, etc.

Où les placer ?

Les mentions légales (ou « Impressum ») doivent être facilement accessibles. La pratique standard en Suisse est de les placer en lien dans le pied de page, visibles depuis toutes les pages du site.

Si votre site utilise des services cloud américains (AWS, Google Cloud, Microsoft Azure), vos données transitent potentiellement hors de Suisse. La nLPD encadre strictement ces transferts.

Les pays reconnus comme adéquats

Les transferts vers les pays de l'Union européenne, le Royaume-Uni, le Canada, le Japon, la Nouvelle-Zélande, Israël et quelques autres sont autorisés sans formalité particulière. Ces pays offrent un niveau de protection jugé adéquat.

Le cas des États-Unis

Les États-Unis ne sont pas considérés comme un pays adéquat en matière de protection des données. Pour transférer des données vers des services américains, vous devez mettre en place des clauses contractuelles types (CCT) approuvées. De plus, le Cloud Act américain permet au gouvernement US d'accéder aux données stockées par des entreprises américaines, même si les serveurs sont en Europe.

Notre recommandation

Pour les sites suisses, privilégiez un hébergement en Suisse ou en Europe. Des fournisseurs comme Infomaniak (Suisse), Hetzner (Allemagne) ou Scaleway (France) garantissent que vos données restent sous juridiction européenne ou suisse, sans les complications liées aux transferts transatlantiques.

Dans tous les cas, documentez vos transferts dans votre politique de confidentialité et signez un Data Processing Agreement (DPA) avec chaque fournisseur cloud.

Voici une checklist pratique pour vérifier la conformité de votre site web en 2026.

Pour tout site web suisse

• Politique de confidentialité complète et accessible
• Mentions légales (si activité commerciale)
• Information sur les cookies dans la politique de confidentialité
• Formulaire de contact avec HTTPS/SSL
• Consentement séparé pour le marketing par email
• Double opt-in pour les newsletters
• Registre des activités de traitement documenté
• DPA signé avec chaque sous-traitant (hébergeur, analytics, email)

Si vous ciblez aussi l'UE

• Bannière de consentement cookies avec opt-in
• Refus aussi facile que l'acceptation
• Aucun cookie non essentiel avant consentement
• Pas de cases précochées
• Droit de rétractation de 14 jours (e-commerce)

Pour un e-commerce

• CGV complètes et accessibles
• Case d'acceptation CGV avant paiement
• Prix TTC avec TVA clairement affichés
• Information claire sur la politique de retour
• Processus de commande transparent

Chez Qodex, nous intégrons systématiquement ces éléments de conformité dans chaque site web que nous créons. Si vous avez des doutes sur la conformité de votre site actuel, contactez-nous pour un audit gratuit.