← Retour au journal
Conseil9 min de lecture

RGPD et nLPD en Suisse : ce que votre site web doit respecter

Guide pratique de conformité nLPD et RGPD pour les sites web suisses : obligations, cookies, mentions légales et sanctions à connaître en 2026.


Depuis l'entrée en vigueur de la nouvelle Loi fédérale sur la protection des données (nLPD) le 1er septembre 2023, chaque site web suisse doit se conformer à un cadre juridique renforcé, souvent doublé du RGPD européen lorsqu'il traite des données de visiteurs européens. Pour les PME, startups et indépendants basés à Genève, Lausanne ou Zürich, la conformité nLPD n'est plus optionnelle : c'est un prérequis légal et un facteur de confiance commerciale. Chez Tourbillon Studios, nous intégrons systématiquement ces exigences dès la phase de conception des sites que nous développons.

Qu'est-ce que la nLPD et en quoi diffère-t-elle du RGPD ?

La nLPD est la loi suisse de protection des données entrée en vigueur le 1er septembre 2023, alignée sur les standards européens du RGPD mais avec des spécificités propres au droit fédéral suisse. Les deux textes partagent la même philosophie : transparence, consentement et droits renforcés des personnes concernées. Toutefois, la nLPD ne prévoit pas de mécanisme d'amende administrative contre les entreprises ; elle sanctionne pénalement les personnes physiques responsables, avec des amendes pouvant atteindre 250 000 CHF selon l'art. 60 nLPD.

  • Champ d'application : la nLPD couvre les entreprises suisses ; le RGPD s'applique dès qu'un site cible ou traite des données de résidents UE.
  • Sanctions : jusqu'à 250 000 CHF (nLPD, personnes physiques) vs. jusqu'à 4 % du chiffre d'affaires mondial (RGPD).
  • Registre des activités de traitement : obligatoire pour toute entreprise de plus de 250 employés ou traitant des données sensibles à grande échelle.
  • Notification de violation : à l'autorité (PFPDT en Suisse, CNIL ou équivalent dans l'UE) dans les meilleurs délais.

Pourquoi votre site web suisse doit-il respecter ces deux cadres ?

Un site web suisse atteint quasi systématiquement des visiteurs européens, ce qui déclenche l'application extraterritoriale du RGPD en parallèle de la nLPD. Selon l'Office fédéral de la statistique, plus de 92 % des entreprises suisses disposent d'un site web et collectent des données via formulaires, cookies ou outils analytiques. Ignorer cette double conformité expose à des risques juridiques, mais aussi commerciaux : selon une étude Cisco 2023, 94 % des consommateurs déclarent qu'ils n'achèteraient pas auprès d'une entreprise qui ne protège pas correctement leurs données.

Selon le rapport annuel 2024 du Préposé fédéral à la protection des données (PFPDT), plus de 1 000 annonces de violations de sécurité ont été déposées durant la première année d'application de la nLPD — un chiffre multiplié par dix par rapport à l'ancienne loi.

Quelles obligations concrètes pour votre site web ?

Tout site web exploité depuis la Suisse doit intégrer un socle minimum d'éléments de conformité visibles et fonctionnels. Ces obligations s'appliquent quel que soit le secteur : e-commerce, site vitrine, plateforme SaaS ou portfolio.

  • Une politique de confidentialité claire, datée, mentionnant le responsable du traitement, les finalités, les destinataires et la durée de conservation.
  • Des mentions légales identifiant l'éditeur (raison sociale, adresse en Suisse, numéro IDE, contact).
  • Une bannière cookies avec consentement explicite préalable pour tout cookie non strictement nécessaire (analytics, marketing, retargeting).
  • Un mécanisme permettant l'exercice des droits : accès, rectification, suppression, portabilité, opposition.
  • Un registre interne des activités de traitement si l'entreprise dépasse les seuils légaux.
  • Un contrat de sous-traitance (DPA) avec chaque prestataire technique : hébergeur, CRM, outil d'emailing, analytics.

Comment gérer correctement les cookies et le tracking ?

La gestion des cookies est le point de non-conformité le plus fréquent en Suisse comme en Europe. Selon une analyse de la CNIL publiée en 2023, près de 60 % des sites audités présentaient des bannières cookies non conformes. Le principe est simple : aucun cookie de mesure d'audience non anonymisée, de publicité ou de réseau social ne peut être déposé avant un consentement actif de l'utilisateur.

  • Bannière avec choix équivalents : « Accepter » et « Refuser » au même niveau visuel.
  • Granularité par finalité : nécessaire, statistiques, marketing, personnalisation.
  • Conservation de la preuve du consentement (log horodaté).
  • Possibilité de retirer le consentement aussi facilement que de le donner.
  • Privilégier des outils respectueux comme Plausible, Matomo en mode anonymisé ou Google Analytics 4 avec Consent Mode v2 correctement configuré.

Quels sont les risques en cas de non-conformité ?

Les sanctions de la nLPD visent les personnes physiques responsables : dirigeants, DPO ou responsables marketing peuvent être condamnés personnellement à une amende allant jusqu'à 250 000 CHF en cas de manquement intentionnel. Au-delà du juridique, le risque réputationnel est majeur : une plainte au PFPDT, relayée publiquement, peut durablement entamer la crédibilité d'une marque suisse, en particulier dans les secteurs sensibles (finance, santé, conseil).

Comment Tourbillon Studios sécurise vos sites web ?

Chez Tourbillon Studios, à Genève, Lausanne et Zürich, nous concevons chaque site web avec une approche « privacy by design » conforme à la nLPD et au RGPD. Cela inclut l'audit des outils tiers, la configuration d'un gestionnaire de consentement (CMP) certifié IAB, la rédaction sur mesure des politiques de confidentialité, l'hébergement en Suisse ou dans l'UE, ainsi qu'un contrat de sous-traitance complet avec nos clients. Cette rigueur est aussi un atout SEO : Google valorise les sites sécurisés et transparents dans son classement.

FAQ : questions fréquentes sur la conformité nLPD

Faut-il appliquer le RGPD si mon site ne cible que la Suisse ? Oui, dès qu'un visiteur de l'UE accède à votre site et que vous collectez ses données (formulaire, cookies analytiques, newsletter), le RGPD s'applique en parallèle de la nLPD. Une double conformité est donc la norme pour tout site suisse public.

Une PME doit-elle nommer un délégué à la protection des données (DPO) ? La nLPD ne l'impose pas, mais le recommande fortement. Le RGPD l'exige uniquement pour les traitements à grande échelle ou portant sur des données sensibles. Pour une PME suisse classique, désigner un référent interne suffit généralement.

Combien coûte la mise en conformité d'un site web en Suisse ? Pour un site vitrine standard, comptez entre 1 500 et 4 000 CHF pour un audit complet, la rédaction des documents légaux et l'installation d'un CMP. Pour un e-commerce ou une plateforme SaaS, le budget se situe généralement entre 5 000 et 15 000 CHF selon la complexité des traitements.

Conclusion : la conformité comme avantage concurrentiel

Respecter la nLPD et le RGPD n'est pas une simple obligation administrative : c'est un signal de confiance puissant pour vos clients, partenaires et moteurs de recherche. À l'heure où les consommateurs suisses et européens exigent une transparence totale sur l'usage de leurs données, un site web conforme devient un argument commercial différenciant. Tourbillon Studios accompagne les PME, startups et entreprises établies en Suisse romande et alémanique pour transformer cette exigence légale en levier de crédibilité durable — parce qu'à Genève, Lausanne ou Zürich, la précision suisse s'applique aussi à la protection des données.


Un projet digital à lancer ?

Quelques questions pour cadrer votre projet. Nous vous recontactons sous 24 heures ouvrées.

Démarrer un projet