Retour au blog
9 min de lecture Sécurité

Votre site web est-il conforme à la LPD ? Probablement pas.

90% des sites web suisses ne respectent pas la nouvelle LPD. Cookies sans consentement, formulaires non sécurisés, Google Analytics sans base légale. Voici ce qu'il faut corriger — et comment.

Votre site web est-il conforme à la LPD ? Probablement pas.

Le constat qui dérange

Je fais régulièrement des audits de sites web pour des PME suisses. Et le constat est presque toujours le même : la majorité des sites ne respectent pas la nouvelle LPD.

Pas par malveillance. Par ignorance. Parce que le développeur web (ou l’agence) qui a construit le site n’a pas pensé à la protection des données. Parce que le patron n’a pas idée de ce que la loi exige. Parce que “ça a toujours fonctionné comme ça.”

Le problème ? Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la Protection des Données (nLPD) est en vigueur. Les amendes vont jusqu’à 250'000 CHF. Et elles visent les personnes physiques responsables — pas l’entreprise. C’est le dirigeant qui paie.

Les 7 violations les plus courantes

1. Google Analytics sans base légale

Le problème : la grande majorité des sites suisses utilisent Google Analytics. Google collecte les données des visiteurs, les transfère aux États-Unis, et les utilise potentiellement pour ses propres fins publicitaires.

Ce que dit la loi : le transfert de données vers un pays sans protection adéquate (les USA, depuis l’arrêt Schrems II) nécessite des garanties supplémentaires (clauses contractuelles types, consentement explicite).

Ce que font la plupart des sites : rien. Google Analytics est installé, il tourne, personne ne demande le consentement des visiteurs.

La solution :

  • Utiliser GA4 avec anonymisation IP activée
  • Obtenir le consentement explicite avant de charger le script (pas un bandeau “en continuant à naviguer, vous acceptez…” — ça ne suffit plus)
  • Envisager des alternatives européennes comme Matomo (auto-hébergé) ou Plausible (EU)

2. Cookies déposés avant consentement

Le problème : vous arrivez sur un site, la bannière cookies s’affiche — mais les cookies sont déjà déposés. Le consentement est une façade.

Ce que dit la loi : en Suisse, la LPD exige la transparence. Le RGPD (si vous avez des visiteurs européens) exige le consentement préalable pour les cookies non essentiels. Aucun cookie de tracking ou marketing ne devrait être déposé avant que l’utilisateur clique “Accepter”.

Ce que font la plupart des sites : ils chargent Google Analytics, Facebook Pixel, HubSpot, et 15 autres trackers dès le chargement de la page. Le bandeau est décoratif.

La solution :

  • Implémenter un vrai consent management : aucun script non essentiel ne se charge avant le clic
  • Catégoriser les cookies (nécessaires, analytiques, marketing)
  • Permettre le refus aussi facilement que l’acceptation (pas de dark patterns)
  • Sur mon site, j’utilise un système de consentement qui bloque GA4 tant que l’utilisateur n’a pas accepté. C’est la seule approche correcte.

3. Formulaires de contact sans information

Le problème : un formulaire de contact qui collecte nom, email, téléphone, message — sans dire ce que vous faites de ces données.

Ce que dit la loi : toute collecte de données doit être accompagnée d’une information claire : qui collecte, pourquoi, combien de temps, à qui les données sont transmises.

Ce que font la plupart des sites : un formulaire, un bouton “Envoyer”, point.

La solution :

  • Ajouter un lien vers la politique de confidentialité sous le formulaire
  • Préciser : “Vos données sont utilisées uniquement pour répondre à votre demande et conservées X mois”
  • Si les données sont transmises à un tiers (FormSubmit, Mailchimp, etc.), le mentionner
  • Ajouter une case à cocher (non pré-cochée) pour le consentement si nécessaire

4. Politique de confidentialité absente ou copiée-collée

Le problème : soit il n’y a pas de politique de confidentialité, soit c’est un texte générique copié d’Internet qui ne correspond pas à la réalité du site.

Ce que dit la loi : la politique de confidentialité doit être spécifique à votre site. Elle doit décrire exactement quels outils vous utilisez, quelles données vous collectez, et comment vous les traitez.

Les erreurs typiques :

  • Mentionner des outils que vous n’utilisez pas (ou ne pas mentionner ceux que vous utilisez)
  • Ne pas préciser les transferts de données hors de Suisse
  • Ne pas indiquer les coordonnées du responsable du traitement
  • Texte en français uniquement sur un site multilingue

La solution :

  • Rédiger une politique sur mesure qui reflète votre situation réelle
  • La mettre à jour à chaque ajout d’outil (nouveau plugin, nouvelle intégration)
  • La rendre accessible depuis chaque page (lien en footer)

5. Pas de HTTPS ou certificat SSL expiré

Le problème : en 2026, ça semble basique — mais je rencontre encore des sites PME en HTTP, ou avec un certificat SSL expiré depuis des mois.

Ce que ça implique :

  • Les données du formulaire de contact transitent en clair sur le réseau
  • N’importe qui sur le même WiFi peut intercepter les informations
  • Google pénalise le site dans les résultats de recherche
  • Les navigateurs affichent un avertissement “Non sécurisé” qui fait fuir les visiteurs

La solution :

  • Installer un certificat SSL (Let’s Encrypt est gratuit)
  • Configurer la redirection HTTP → HTTPS
  • Vérifier que le certificat se renouvelle automatiquement
  • Ajouter l’en-tête HSTS pour forcer HTTPS

6. En-têtes de sécurité manquants

Le problème : même avec HTTPS, si les en-têtes de sécurité HTTP ne sont pas configurés, le site reste vulnérable.

Les en-têtes essentiels :

  • Content-Security-Policy (CSP) — empêche le chargement de scripts malveillants (protection XSS)
  • X-Frame-Options — empêche que votre site soit intégré dans un iframe frauduleux (clickjacking)
  • X-Content-Type-Options — empêche le navigateur d’interpréter un fichier autrement que prévu
  • Strict-Transport-Security (HSTS) — force HTTPS sans possibilité de retour en HTTP
  • Referrer-Policy — contrôle quelles informations sont envoyées lors d’un clic vers un autre site
  • Permissions-Policy — contrôle l’accès aux API du navigateur (caméra, micro, géolocalisation)

Ce que font la plupart des sites : aucun de ces en-têtes n’est configuré.

La solution : configurer ces en-têtes dans le serveur web (Apache, Nginx, CloudPanel). C’est une configuration qui prend 30 minutes et qui change radicalement la sécurité du site.

7. Données de réservation/formulaire stockées sans chiffrement

Le problème : les données soumises via formulaire sont stockées en base de données en texte clair. En cas de piratage, tout est lisible.

Ce que dit la loi : la LPD exige des mesures techniques appropriées pour protéger les données personnelles. Le stockage en clair n’est pas “approprié”.

La solution :

  • Chiffrer les données sensibles en base de données
  • Utiliser des mots de passe hashés (bcrypt, Argon2) — jamais en clair
  • Limiter l’accès à la base de données (principe du moindre privilège)
  • Supprimer les données quand elles ne sont plus nécessaires

Comment vérifier votre site en 10 minutes

Vous pouvez faire un premier diagnostic rapide vous-même :

Test 1 : HTTPS

Votre URL commence par https:// ? Le cadenas est affiché dans le navigateur ? Si non, c’est la priorité absolue.

Test 2 : Cookies

Ouvrez votre site en navigation privée. Avant de cliquer sur quoi que ce soit, ouvrez les DevTools (F12) → Application → Cookies. Y a-t-il des cookies déjà déposés ? Si oui, et qu’ils ne sont pas strictement nécessaires, c’est une violation.

Test 3 : Formulaire

Votre formulaire de contact indique-t-il clairement ce qui arrive aux données ? Y a-t-il un lien vers votre politique de confidentialité ?

Test 4 : Politique de confidentialité

Avez-vous une politique de confidentialité ? Mentionne-t-elle spécifiquement : Google Analytics, les formulaires, les cookies, les éventuels transferts de données hors de Suisse ?

Test 5 : En-têtes de sécurité

Allez sur securityheaders.com et entrez votre URL. Si vous obtenez une note inférieure à B, il y a du travail.

Pourquoi les agences web ne font pas ça

Je vais être direct : la plupart des agences web en Suisse ne vérifient pas la conformité LPD des sites qu’elles livrent. Pourquoi ?

  1. Ce n’est pas leur métier. Elles font du design, du développement, du SEO. La conformité légale, c’est un autre domaine.
  2. Ça prend du temps. Configurer correctement les cookies, les en-têtes, la politique de confidentialité — ça ne rentre pas dans un devis de 5'000 CHF.
  3. Le client ne le demande pas. Si le client ne sait pas que c’est nécessaire, personne n’en parle.
  4. Les CMS facilitent les mauvaises pratiques. WordPress avec 15 plugins qui chacun dépose ses cookies, sans aucune coordination.

Ce n’est pas une accusation — c’est un constat. Et c’est pour ça qu’un professionnel qui comprend à la fois la technique ET le droit est précieux.

Ma position

La conformité LPD n’est pas un luxe. C’est une obligation légale et une responsabilité éthique.

Vos visiteurs vous confient leurs données. Leur nom, leur email, leurs questions. Ce n’est pas anodin. Chaque donnée collectée est une confiance accordée. Et cette confiance mérite d’être protégée — pas par un bandeau cookies décoratif, mais par des mesures techniques réelles.

Sur mon site, chaque aspect est pensé :

  • Consentement cookies réel (GA4 bloqué jusqu’au clic)
  • En-têtes de sécurité configurés
  • HTTPS partout avec HSTS
  • Politique de confidentialité sur mesure
  • Aucune donnée envoyée à des tiers sans raison

Ce n’est pas de la paranoïa. C’est du professionnalisme. Et c’est ce que chaque site web en Suisse devrait faire.

Sources et ressources

Votre site est-il conforme ? Réservez un audit gratuit — je vérifie la conformité LPD, la sécurité technique et les performances de votre site en 30 minutes.