Home » Site Web » nLPD et RGPD en Suisse

nLPD & RGPD en Suisse

La nLPD suisse est un peu moins contraignante que le RGPD européen, mais elle s’en rapproche fortement tout de même[1]. De plus, le RGPD concerne toute société délivrant ses services à des résidents de l’UE, par exemple si cette dernière possède un site web recueillant des données (par exemple via un formulaire de contact ou via Google Analytics)[2]. Ainsi, si un site web basé en Suisse utilisant Google Analytics est visitable par des personnes établies dans l’UE, il se doit d’être RGPD-compliant dans la majorité des cas.

À noter également que le RGPD prévoit le rôle de Data Protection Officer (DPO – délégué à la protection des données). Cependant ce rôle n’est obligatoire que si une des conditions suivantes est remplie[3] :

le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 RGPD ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 RGPD.

A priori, une entreprise ou association n’a donc pas besoin de nommer un DPO pour respecter le RGPD lorsqu’une des conditions ci-dessus n’est pas remplie. Ce n’est pas non plus une obligation de la nLPD. Cependant, il est nécessaire de nommer un Responsable du traitement des données, qui peut être la société (personne morale) afin d’être conforme au RGPD (distinction entre le DPO, rôle actif d’un employé qui veille à la conformité de son organisme au regard du RGPD, et le Responsable du traitement des données, qui est la personne responsable du traitement des données, la personne de contact pour toute question etc. d’un visiteur ou d’une autorité).

Afin de pouvoir légalement utiliser des données personnelles, une société doit se reposer sur une base juridique[4]. La définition des “données personnelles” est large et comprend “toute information se rapportant à une personne physique identifiée ou identifiable[5]”. Par exemple, les éléments suivants sont des données personnelles[6] (liste non exhaustive) :

Prénom et nom
Adresse
Adresse email du type prénom.nom@entreprise.com
Une adresse IP
Certains types de cookies
Des données de localisation, comme par exemple celles provenant de la fonction de localisation d’un téléphone portable

Par base juridique, on entend par exemple :

Le consentement actif donné par l’utilisateur[7]
L’intérêt public
L’intérêt légitime
L’exécution d’un contrat

Si l’on souhaite se reposer sur le consentement de l’utilisateur pour pouvoir traiter ses données, il est nécessaire d’obtenir le consentement avant toute collecte et tout traitement de ces données. Le consentement doit être donné librement, et doit être éclairé et granulaire, c’est à dire que l’utilisateur doit être au clair sur les données personnelles qu’il partage et à quelles fins chacune de ces dernières sont utilisées.

Politique de confidentialité

Pour cela, une société doit donc obligatoirement se munir d’une politique de confidentialité, dont l’objectif est d’expliquer aux visiteurs du site de manière compréhensible l’usage qui est fait des données personnelles qu’ils renseignent via le site (par exemple lors d’une prise de contact via un formulaire de contact, lors de l’inscription à une newsletter ou lors d’un achat online).

Une politique de confidentialité se doit de contenir les éléments suivants afin de respecter le RGPD[8] :

l’identité et les coordonnées du propriétaire du site ou de l’application ;
l’identité et les coordonnées du responsable du traitement des données ;
l’identité et les coordonnées du délégué à la protection des données, le cas échéant ;
le but de la collecte des données à caractère personnel (analyses marketing, marketing direct (par exemple pour l’envoi de newsletter), envoi de la commande si on est sur un e-commerce, …) ;
les bases légales qui permettent au propriétaire du site de collecter et de traiter ces données. Par exemple, un achat sur un e-commerce ou le consentement donné par la personne ;
le caractère obligatoire ou facultatif de la collecte de données. Ainsi, un e-commerce doit forcément recueillir le nom, le prénom ou encore l’adresse postale de ces clients pour éditer la facture et livrer l’achat réalisé en ligne
les différentess personnes et organismes amenés à traiter ces données (par exemple les personnes responsables de l’envoi des commandes pour un e-commerce, mais également les éventuels tiers tels Google ou Meta si des systèmes de type Analytics sont en place sur le site);
le délai de conservation des données ;
les conditions de suppression ;
le droit d’accès, de modification et de suppression des personnes à leurs données personnelles ;
les droits d’introduire une réclamation auprès d’une autorité de contrôle (par exemple la CNIL en France).
La date de prise d’effet de la politique de confidentialité (date de mise en ligne ou de dernière modification)

En plus de ces mentions obligatoires, il peut être nécessaire de mentionner les éléments suivants, à certaines conditions :

Si des données sont transférées dans un pays hors UE, auquel cas il faut également préciser les modalités de traitement et les garanties prises dans le cadre de ce transfert.
Si le traitement des données est basé sur l’intérêt légitime, le document doit relater le contenu de cet intérêt. Il doit par exemple définir les dispositifs établis pour prévenir les fraudes.
Si le traitement des données sert entre autres à établir un profilage au sens du RGPD[9], alors il faut préciser comment l’algorithme de profilage fonctionne et quels résultats il produit.

Pour rédiger une politique de confidentialité qui tienne compte des éléments ci-dessus, plusieurs possibilités existent. Vous pouvez mandater un avocat spécialisé pour cela, mais cette solution est généralement onéreuse (plusieurs milliers de CHF). Vous pouvez également utiliser un générateur de politique de confidentialité, payant ou non, qui prend en compte les spécificités du RGPD. Par exemple, les générateurs suivants :

CookieYes (gratuit, mais générée en anglais et donc à traduire par la suite)
PrivacyPolicies (payant, générée en anglais et donc à traduire par la suite)
CookieScript (français OK; semble être gratuit, potentiellement payant si les options de gestion des cookies sont prises avec – pas forcément nécessaires, d’autres solutions existent en ce qui concerne les cookies)

Attention à bien relire l’entier de la politique de confidentialité dans ce cas, afin de s’assurer qu’il n’y ait pas de coquilles et que tous les éléments nécessaires y figurent.

Finalement, vous pouvez également opter de vous inspirer d’une politique de confidentialité existante dont on sait qu’elle est de qualité, et l’adapter à votre société. Ici aussi, il faut faire attention de n’avoir rien oublié, et bien sûr changer le wording, un simple copier/coller ne suffit pas et enfreindrait probablement les lois sur la propriété intellectuelle.

Enfin, il faudra modifier tous les éventuels formulaires de contact existants sur le(s) site(s) ou autres applications afin d’ajouter à ces derniers une case à cocher obligatoire du type “J’ai pris connaissance de la Politique de confidentialité de la société ABC”, avec idéalement un lien s’ouvrant dans un nouvel onglet redirigeant sur la page de la politique confidentialité tel qu’illustré avec les mots en bleu ci-dessus.

Politique en termes de cookies et Cookie Management Platform

Si une société utilise des cookies sur son site, il est également nécessaire d’y faire figurer une politique de cookies décrivant de manière claire quels types de cookies sont employés par le site et à quelles fins ils sont utilisés[10].

Il est aussi obligatoire de faire figurer sur le site une bannière de gestion du consentement des cookies (cookie banner), dont le rôle est d’informer l’utilisateur que le site utilise des cookies, expliquer à quoi ils servent, et donner à l’utilisateur la possibilité d’accepter ou de refuser leur utilisation[11]. Les cookies doivent impérativement être désactivés jusqu’à l’accord du visiteur, qui doit être actif (via un bouton “J’accepte les cookies” par exemple). Le simple fait de continuer à utiliser le site ne peut pas être considéré comme un consentement actif[12]. De plus, il est nécessaire que le visiteur puisse modifier son consentement lié aux cookies[13]. Il doit donc avoir la possibilité de le faire rapidement depuis le site web, et cette possibilité doit être clairement indiquée.

Dans les faits, les bannières de gestion de consentement des cookies sont généralement partie intégrante d’une Cookie Management Platform (CMP – plateforme de gestion du consentement). Le rôle d’une CMP est de recueillir le consentement – ou le refus – de l’utilisateur par rapport aux cookies, généralement via la cookie banner, et de déclencher ou non le dépôt de cookies, en fonction de l’accord donné par l’utilisateur. Ainsi, un visiteur ayant donné son accord aux cookies à un site ne devra pas le donner à nouveau lors de chaque visite, pour autant qu’il n’ait pas vidé ses cookies ou changé d’appareil ou d’adresse IP, car il sera reconnu via la CMP. Il pourra également modifier son consentement s’il le souhaite.

Si votre site utilise des cookies, tels qu’indiqué par un scan dudit site, il est donc nécessaire d’y faire figurer une bannière de gestion du consentement des cookies ainsi qu’une politique de cookies précise.

Si votre site est sur une base WordPress, nous recommandons l’utilisation de plugins RGPD-compliant faisant office de CMP, c’est à dire que ces plugins scannent les sites, en récupèrent les cookies présents, les catégorisent selon leur fonction, et génèrent également une politique de cookie adaptée selon le site scanné. Ces plugins faisant également office de CMP comme indiqué plus haut, ils permettent également d’enregistrer l’état du consentement donné par le visiteur, car ils leur offrent la possibilité d’accepter ou non chaque catégorie de cookies granulairement. En résumé, ces plugins effectuent une grosse partie du travail pour vous et à moins d’avoir un développeur IT senior à l’interne qui dispose de beaucoup de temps pour développer le tout, c’est la meilleure solution car ils offrent tout ce qu’il faut pour respecter le RGPD de manière efficace et sont relativement rapides à intégrer.

Attention cependant, le paramétrage de ces outils peut être fastidieux si l’on n’est pas habitué à l’écosystème WordPress : il faut s’assurer que les cookies soient bien catégorisés, que la bannière et la politique de cookies soient traduites si on est sur un site multilingue, s’assurer que les cookies ne se déclenchent pas avant leur éventuelle acceptation, et il faut également brander et paramétrer l’affichage de la bannière sur le site (et potentiellement activer l’enregistrement du consentement, qui n’est pas toujours activé de base). De plus, il faut pouvoir être capable de publier des pages sur WordPress, et connaître l’utilisation des shortcodes sur ce CMS.

Nous recommandons les plugins suivants pour cela :

GDPR Cookie Consent de Webtoffee (licence annuelle)
Cookie Consent Solution for GDPR de CookieYes dans sa version premium Pro (licence mensuelle)

Mentions légales

Il est important de distinguer les mentions légales d’un site de sa politique de confidentialité. En effet, ce sont là deux éléments distincts, dont l’obligation en Suisse découle de différentes lois : la loi fédérale contre la concurrence déloyale (LCD) pour les mentions légales, et la loi sur la protection des données (LPD) pour la politique de confidentialité. Les mentions légales doivent obligatoirement figurer sur un site e-commerce basé en Suisse depuis 2012[14]. Elles doivent indiquer clairement l’identité complète ainsi que les adresses de contact du prestataire, y compris une adresse e-mail. Les éléments suivants doivent donc figurer dans les mentions légales d’un site suisse :

Raison sociale de la société ou Nom & Prénom du prestataire
Adresse du siège social ou du domicile
Adresse email

À noter que les éléments suivants ne sont pas obligatoires, mais fortement recommandés :

Numéro de téléphone
Forme juridique de l’entreprise
Numéro de TVA
Numéro d’inscription au Registre du Commerce ou Numéro d’identification des entreprises (IDE)

À noter également qu’un simple formulaire de contact ne suffit pas à respecter la LCD.

En ce qui concerne l’UE, les mentions légales sont légalement obligatoires depuis 2004, mais ce n’est pas lié au RGPD. Leur législation est plus stricte que celle de la Suisse, et les informations suivantes doivent figurer dans les mentions légales d’un site s’adressant aux consommateurs de pays de l’UE[15] :

Raison sociale de la société
Nom de l’entreprise s’il diffère de sa raison sociale
Adresse du siège social
Adresse email
Numéro de téléphone
Numéro d’identification des entreprises (IDE)
Numéro de TVA
(si basé dans l’UE, montant du capital social)
Mentions relatives à l’hébergeur du site internet, soit :
- Nom de l’hébergeur
- Sa raison sociale
- Son adresse
- Son numéro de téléphone
- Son IDE

Autres éléments à mettre en place sur les sites

Double opt-in

Le double opt-in[16] n’est pas une obligation du RGPD, cependant il est obligatoire en Suisse via la nLPD, ainsi que notamment en Allemagne, Autriche, Belgique et Luxembourg entre autres. C’est également un excellent moyen de s’assurer de la qualité de ses contacts et d’ainsi légèrement améliorer la déliverabilité des campagnes d’emailing.

[1] https://dsg-lpd.ch/comparaison-entre-le-rgpd-et-la-lpd-en-suisse/

[2] https://dsg-lpd.ch/comparaison-entre-le-rgpd-et-la-lpd-en-suisse/

[3] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37

[4] https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales

[5] https://www.economie.gouv.fr/entreprises/reglement-general-protection-donnees-rgpd

[6] https://commission.europa.eu/law/law-topic/data-protection/reform/what-personal-data_fr

[7] https://dsg-lpd.ch/consentement-lpd-guide-pour-les-entreprises-suisses/

[8] https://www.cnil.fr/fr/conformite-rgpd-information-des-personnes-et-transparence

[9] https://www.legalplace.fr/guides/profilage-rgpd/

[10] https://www.cnil.fr/fr/cnil-direct/recherche/cookies

[11] https://dsg-lpd.ch/lpd-en-suisse-quel-systeme-de-banniere-de-consentement-pour-les-cookies/

[12] https://www.cnil.fr/fr/cnil-direct/question/cookies-visiter-un-site-web-suffit-il-accepter-ses-cookies

[13] https://www.cnil.fr/fr/cnil-direct/question/cookies-est-il-possible-de-finalement-refuser-les-cookies-dun-site-web-apres

[14] https://www.kmu.admin.ch/kmu/fr/home/savoir-pratique/gestion-pme/e-commerce/creer-site/obligations-legales-ch-et-ue.html

[15] https://www.francenum.gouv.fr/guides-et-conseils/developpement-commercial/site-web/quelles-sont-les-mentions-legales-pour-un-site

[16] https://blog.hubspot.fr/marketing/double-opt-in

Cookie	Durée	Description
__cfruid	session	Cloudflare sets this cookie to identify trusted web traffic.
__hssc	1 hour	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie enregistre le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Analytiques".
cookielawinfo-checkbox-functional	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Fonctionnel".
cookielawinfo-checkbox-necessary	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Il est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaires".
cookielawinfo-checkbox-others	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Autres".
cookielawinfo-checkbox-performance	11 mois	Ce cookie est défini par le plugin GDPR Cookie Consent. Ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Performance".
CookieLawInfoConsent	1 an	CookieYes définit ce cookie pour enregistrer l'état du bouton par défaut de la catégorie correspondante et le statut du CCPA. Il ne fonctionne qu'en coordination avec le cookie principal.
elementor	never	Le thème WordPress du site web utilise ce cookie. Il permet au propriétaire du site de mettre en œuvre ou de modifier le contenu du site en temps réel.
JSESSIONID	session	New Relic utilise ce cookie pour stocker un identifiant de session afin que New Relic puisse surveiller le nombre de sessions pour une application.
viewed_cookie_policy	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent et est utilisé pour enregistrer si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
wpEmojiSettingsSupports	session	WordPress sets this cookie when a user interacts with emojis on a WordPress site. It helps determine if the user's browser can display emojis properly.

Cookie	Durée	Description
__hstc	6 months	Hubspot set this main cookie for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_fbp	3 months	Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website.
_ga	2 ans	Google Analytics utilise ce cookie pour calculer les données relatives aux visiteurs, aux sessions et aux campagnes et pour suivre l'utilisation du site dans le cadre du rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_ga_*	2 ans	Google Analytics utilise ce cookie pour stocker et compter les pages vues.
_gcl_au	3 months	Google Tag Manager sets the cookie to experiment advertisement efficiency of websites using their services.
CONSENT	2 years	YouTube installe ce cookie via les vidéos YouTube intégrées et enregistre des données statistiques anonymes.
hubspotutk	6 months	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
_cfuvid	session	Description is currently not available.
VISITOR_PRIVACY_METADATA	5 mois 27 jours	La description n'est pas disponible actuellement.

Cookie	Durée	Description
__cf_bm	30 minutes	Cloudflare a mis en place ce cookie pour prendre en charge le Cloudflare Bot Management.
messagesUtk	5 mois 27 jours	HubSpot place ce cookie pour reconnaître les visiteurs qui discutent via l'outil Chatflows.
sib_cuid	6 months	SendinBlue sets this cookie to store unique visits.
wp-wpml_current_language	session	Le plugin multilingue de WordPress utilise ce cookie pour stocker la langue actuelle et les paramètres linguistiques.
yt-player-bandwidth	never	The yt-player-bandwidth cookie is used to store the user's video player preferences and settings, particularly related to bandwidth and streaming quality on YouTube.
yt-player-headers-readable	never	The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience.
yt-remote-cast-available	session	The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player.
yt-remote-cast-installed	session	The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video.
yt-remote-fast-check-period	session	The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos.
yt-remote-session-app	session	The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player.
yt-remote-session-name	session	The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video.
ytidb::LAST_RESULT_ENTRY_KEY	never	The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future.

Cookie	Durée	Description
IDE	1 year 24 days	Google DoubleClick IDE cookies store information about how the user uses the website to present them with relevant ads according to the user profile.
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	YouTube utilise ce cookie pour mesurer la bande passante et déterminer si l'utilisateur bénéficie de l'ancienne ou de la nouvelle interface de lecture.
YSC	session	YouTube installe ce cookie pour suivre les vues des vidéos intégrées sur les pages YouTube.
yt-remote-connected-devices	never	YouTube utilise ce cookie pour stocker les préférences vidéo de l'utilisateur lors de l'utilisation de vidéos YouTube intégrées.
yt-remote-device-id	never	YouTube utilise ce cookie pour stocker les préférences vidéo de l'utilisateur lors de l'utilisation de vidéos YouTube intégrées.
yt.innertube::nextId	never	YouTube utilise ce cookie pour enregistrer un identifiant unique afin de stocker des données sur les vidéos de YouTube que l'utilisateur a vues.
yt.innertube::requests	never	YouTube utilise ce cookie pour enregistrer un identifiant unique afin de stocker des données sur les vidéos de YouTube que l'utilisateur a vues.