您的网站符合 DPA 规定吗？可能不会。

令人不安的观察

Je fais régulièrement des audits de sites web pour des PME suisses, et le constat est presque toujours le même : la majorité des sites ne respectent pas la nouvelle LPD.

Dans la plupart des cas, c’est juste de l’ignorance. Le développeur ou l’agence qui a construit le site n’a pas pensé à la protection des données. Le patron n’a pas idée de ce que la loi exige. Et puis “ça a toujours fonctionné comme ça.”

Le problème, c’est que depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la Protection des Données (nLPD) est en vigueur. Les amendes montent jusqu’à 250'000 CHF, et elles visent les personnes physiques responsables, pas l’entreprise. Autrement dit, c’est le dirigeant qui paie.

Les 7 violations les plus courantes

1. Google Analytics sans base légale

Le problème : la plupart des sites suisses tournent sous Google Analytics. Google collecte les données des visiteurs, les transfère aux États-Unis et les utilise potentiellement pour sa propre publicité.

Ce que dit la loi : un transfert vers un pays sans protection adéquate (les USA, depuis l’arrêt Schrems II) demande des garanties supplémentaires, comme des clauses contractuelles types ou un consentement explicite.

Ce que font la plupart des sites : rien. Google Analytics est installé, il tourne, personne ne demande l’avis des visiteurs.

La solution :

• Utiliser GA4 avec l’anonymisation IP activée
• Obtenir un consentement explicite avant de charger le script. Le vieux bandeau “en continuant à naviguer, vous acceptez…” ne suffit plus.
• Regarder du côté des alternatives européennes comme Matomo (auto-hébergé) ou Plausible (EU)

2. Cookies déposés avant consentement

Le problème : vous arrivez sur un site, la bannière cookies s’affiche, mais les cookies sont déjà posés. Le consentement n’est qu’une façade.

Ce que dit la loi : en Suisse, la LPD exige la transparence. Le RGPD, lui, exige le consentement préalable pour les cookies non essentiels dès que vous avez des visiteurs européens. Aucun cookie de tracking ou de marketing ne devrait être déposé avant le clic sur “Accepter”.

Ce que font la plupart des sites : ils chargent Google Analytics, Facebook Pixel, HubSpot et une quinzaine d’autres trackers dès l’ouverture de la page. Le bandeau, lui, est purement décoratif.

La solution :

• Mettre en place un vrai consent management : aucun script non essentiel ne se charge avant le clic
• Catégoriser les cookies (nécessaires, analytiques, marketing)
• Rendre le refus aussi simple que l’acceptation, sans dark patterns
• Sur mon propre site, j’utilise un système qui bloque GA4 tant que le visiteur n’a pas accepté. À mes yeux c’est la seule approche correcte.

3. Formulaires de contact sans information

Le problème : un formulaire de contact qui collecte nom, email, téléphone et message, sans jamais dire ce que vous faites de ces données.

Ce que dit la loi : toute collecte doit s’accompagner d’une information claire. Qui collecte, pourquoi, combien de temps, à qui les données sont transmises.

Ce que font la plupart des sites : un formulaire, un bouton “Envoyer”, et c’est tout.

La solution :

• Ajouter sous le formulaire un lien vers la politique de confidentialité
• Préciser quelque chose comme “Vos données servent uniquement à répondre à votre demande et sont conservées X mois”
• Si les données partent chez un tiers (FormSubmit, Mailchimp…), le dire
• Ajouter une case à cocher non pré-cochée pour le consentement, quand c’est nécessaire

4. Politique de confidentialité absente ou copiée-collée

Le problème : soit il n’y a pas de politique de confidentialité du tout, soit c’est un texte générique copié sur Internet qui n’a rien à voir avec la réalité du site.

Ce que dit la loi : la politique doit être spécifique à votre site. Elle décrit les outils que vous utilisez réellement, les données que vous collectez et la manière dont vous les traitez.

Les erreurs que je vois le plus souvent :

• Mentionner des outils que vous n’utilisez pas, ou oublier ceux que vous utilisez
• Passer sous silence les transferts de données hors de Suisse
• Ne pas indiquer les coordonnées du responsable du traitement
• Un texte en français uniquement, alors que le site est multilingue

La solution :

• Rédiger une politique sur mesure, qui colle à votre situation réelle
• La mettre à jour dès que vous ajoutez un outil (nouveau plugin, nouvelle intégration)
• La rendre accessible depuis chaque page, via un lien en footer

5. Pas de HTTPS ou certificat SSL expiré

Le problème : en 2026, ça paraît évident. Pourtant je tombe encore sur des sites de PME en HTTP, ou avec un certificat SSL expiré depuis des mois.

Ce que ça implique :

• Les données du formulaire de contact circulent en clair sur le réseau
• N’importe qui sur le même WiFi peut les intercepter
• Google pénalise le site dans les résultats de recherche
• Le navigateur affiche un avertissement “Non sécurisé” qui fait fuir les visiteurs

La solution :

• Installer un certificat SSL (Let’s Encrypt est gratuit)
• Configurer la redirection HTTP vers HTTPS
• Vérifier que le certificat se renouvelle tout seul
• Ajouter l’en-tête HSTS pour forcer HTTPS

6. En-têtes de sécurité manquants

Le problème : même avec HTTPS, si les en-têtes de sécurité HTTP ne sont pas configurés, le site reste vulnérable.

Les en-têtes qui comptent :

• Content-Security-Policy (CSP) bloque le chargement de scripts malveillants (protection XSS)
• X-Frame-Options empêche d’intégrer votre site dans un iframe frauduleux (clickjacking)
• X-Content-Type-Options empêche le navigateur d’interpréter un fichier autrement que prévu
• Strict-Transport-Security (HSTS) force HTTPS, sans retour possible en HTTP
• Referrer-Policy contrôle les informations envoyées lors d’un clic vers un autre site
• Permissions-Policy contrôle l’accès aux API du navigateur (caméra, micro, géolocalisation)

Ce que font la plupart des sites : aucun de ces en-têtes n’est configuré.

La solution : les définir dans le serveur web (Apache, Nginx, CloudPanel). Comptez une trentaine de minutes, et le niveau de sécurité du site change du tout au tout.

7. Données de réservation/formulaire stockées sans chiffrement

Le problème : les données envoyées via un formulaire sont stockées en base en texte clair. En cas de piratage, tout est lisible d’un coup.

Ce que dit la loi : la LPD exige des mesures techniques appropriées pour protéger les données personnelles. Le stockage en clair n’a rien d’approprié.

La solution :

• Chiffrer les données sensibles en base
• Hasher les mots de passe avec bcrypt ou Argon2, jamais les stocker en clair
• Limiter l’accès à la base (principe du moindre privilège)
• Supprimer les données dès qu’elles ne servent plus

Comment vérifier votre site en 10 minutes

Vous pouvez faire un premier diagnostic vous-même, sans outil particulier.

Test 1 : HTTPS

Votre URL commence par https:// et le cadenas s’affiche dans le navigateur ? Si non, c’est la priorité numéro un.

Test 2 : Cookies

Ouvrez votre site en navigation privée. Avant de cliquer où que ce soit, ouvrez les DevTools (F12) puis Application puis Cookies. Des cookies sont déjà posés ? S’ils ne sont pas strictement nécessaires, c’est une violation.

Test 3 : Formulaire

Votre formulaire de contact dit-il clairement ce qui arrive aux données ? Y a-t-il un lien vers votre politique de confidentialité ?

Test 4 : Politique de confidentialité

Vous en avez une ? Et mentionne-t-elle nommément Google Analytics, les formulaires, les cookies et les éventuels transferts hors de Suisse ?

Test 5 : En-têtes de sécurité

Allez sur securityheaders.com et entrez votre URL. En dessous de B, il y a du travail.

Pourquoi les agences web ne font pas ça

Je vais être direct : la plupart des agences web en Suisse ne vérifient pas la conformité LPD des sites qu’elles livrent. Pourquoi ?

1. Ce n’est pas leur métier. Elles font du design, du développement, du SEO. La conformité légale, c’est un autre monde.
2. Ça prend du temps. Configurer les cookies, les en-têtes et la politique de confidentialité comme il faut, ça ne tient pas dans un devis de 5'000 CHF.
3. Le client ne le demande pas. S’il ignore que c’est nécessaire, personne n’aborde le sujet.
4. Les CMS facilitent les mauvaises pratiques. Prenez WordPress avec quinze plugins qui déposent chacun leurs cookies dans leur coin, sans aucune coordination.

Ce n’est pas une accusation, juste un constat. Et c’est précisément pour ça qu’un pro qui comprend la technique autant que le droit a de la valeur.

Ce qui est en jeu

La conformité LPD n’est pas un luxe. C’est une obligation légale, et aussi une question d’éthique.

Vos visiteurs vous confient leur nom, leur email, leurs questions. Ce n’est pas rien. Chaque donnée collectée, c’est une confiance qu’on vous accorde, et un bandeau cookies décoratif ne suffit pas à l’honorer. Il faut des mesures techniques réelles.

Sur mon propre site, voici comment c’est géré :

• Consentement cookies réel, avec GA4 bloqué jusqu’au clic
• En-têtes de sécurité configurés
• HTTPS partout, avec HSTS
• Politique de confidentialité sur mesure
• Aucune donnée envoyée à des tiers sans raison

Ce n’est pas de la paranoïa, c’est juste le minimum que devrait faire n’importe quel site web en Suisse.

---

Sources et ressources

• Confédération suisse, Nouvelle loi sur la protection des données (nLPD), 1er septembre 2023
• PFPDT, Guide pratique pour les entreprises, 2024
• CJUE, Arrêt Schrems II (C-311/18), juillet 2020
• OWASP, Top 10 des vulnérabilités web, 2021
• Mozilla, Observatory (Security Headers)
• SecurityHeaders.com, Outil de vérification en-têtes HTTP

---

Votre site est-il conforme ? Réservez un audit gratuit : je vérifie la conformité LPD, la sécurité technique et les performances de votre site en 30 minutes.