Tous les articles du blog

Protection des données en Suisse | LPD, RGPD et cookies en Suisse | Recomman­dations du PFPDT

Le règlement sur la protection des données (RPGD) et la directive ePrivacy (ePR) affectent la manière dont votre site web peut utiliser les cookies pour traiter les données des citoyens européens qui visite votre site web.

Publié le 29 avril 2021.

Le 25 septembre 2020, la loi fédérale sur la protection des données (LPD) a été approuvée en Suisse, remplaçant la précédente loi de 1992. La nouvelle LDP suisse entrera en vigueur en septembre 2023.

La LDP suisse exige le consentement dans certains cas (comme le traitement de données personnelles sensibles). En outre, si votre site web est hébergé en Suisse, tout en ayant des visiteurs de l’UE, vous devrez également vous conformer au Règlement Général sur la Protection des Données (RGPD) de l’UE.

Dans cet article, découvrez comment rendre votre utilisation des cookies conforme à la loi suisse sur la protection des données (LPD) et au RGPD de l’UE avec la plateforme de gestion du consentement (CMP) de Cookiebot.

La loi fédérale sur la protection des données suisse (LPD), en bref

Le 25 septembre 2020, la Suisse a adopté une nouvelle version de la loi fédérale sur la protection des données (LPD), remplaçant la loi de 1992 afin d’atteindre un niveau de protection des données proche de celui du RGPD de l’UE.

Aligner ses lois sur la protection des données avec celles de l’UE – à savoir le Règlement Général sur la Protection des Données (RGPD) – était l’une des principales motivations entraînant la révision de la loi sur la protection des données de 1992, garantissant un flux continu de données personnelles à l’intérieur comme en dehors de la Suisse.

Le fruit de cette révision – la nouvelle LDP suisse – une loi sur la confidentialité des données qui présente des similitudes avec le RGPD de l’UE, comme l’obligation de consentement dans certains cas.

Si vous avez des utilisateurs en Suisse, vous êtes tenu de vous conformer à la nouvelle LDP suisse. Des amendes sévères sont infligées aux domaines non conformes. Mais la bonne nouvelle, c’est que si vous êtes déjà en conformité avec le RGPD de l’UE, vous êtes très probablement aussi en conformité avec la LDP suisse.

Scannez votre site web pour voir votre niveau de conformité avec le RGPD

Essayez Cookiebot CMP gratuitement pendant 30 jours – ou pour toujours si vous avez un petit site web.

La nouvelle loi suisse sur la protection des données (LPD) de 2020 entrera en vigueur en 2023 sans délai de grâce.

La loi fédérale sur la protection des données suisse (LPD), les grandes lignes :

  • La LPD suisse (loi fédérale sur la protection des données) a été adoptée le 25 septembre 2020, remplaçant la précédente loi de 1992, et entrera en vigueur en septembre 2023. Elle ne prévoit pas de délai de grâce, ce qui signifie que les entreprises devront être conformes dès la date d’entrée en vigueur.
  • La LPD suisse renforce la protection des données en Suisse et s’aligne sur le RGPD de l’UE afin de garantir le flux continu de données personnelles de l’Espace économique européen vers la Suisse.
  • La LPD suisse exige qu’un site web obtienne le consentement des utilisateurs en Suisse si, par exemple, il traite des données personnelles sensibles ou transfère des données vers un pays tiers sans protection adéquate. Elle exige également que votre site web dispose d’une politique de confidentialité.
  • La LPD suisse définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable, par exemple les adresses IP. En outre, la LDP suisse définit les données personnelles sensibles comme des informations sur la race, la santé, les convictions religieuses ou politiques, la génétique et la biométrie, la sécurité sociale et la vie sexuelle.
  • La LPD suisse s’applique tant au secteur privé qu’au secteur public et a une portée extraterritoriale, c’est-à-dire qu’elle s’applique à tout site web qui traite des données personnelles d’individus situés en Suisse, quelle que soit la localisation dudit site web dans le monde.
  • La LPD suisse autorise les transferts de données à caractère personnel de la Suisse vers des pays tiers s’ils présentent un niveau de protection des données adéquat.
  • La LPD suisse étend les pouvoirs d’investigation du préposé fédéral à la protection des données et à la transparence (PFPDT).
  • La LPD suisse sanctionne le non-respect de la loi par des amendes pouvant aller jusqu’à 250 000 francs suisses. Elle permet également d’imposer des sanctions pénales non seulement aux entreprises, mais aussi aux individus responsables d’une violation potentielle, par exemple les contrôleurs et les processeurs.

Scannez votre site web pour voir quels cookies et traceurs sont utilisés

Essayez Cookiebot CMP gratuitement pendant 30 jours – ou pour toujours si vous avez un petit site web

Conformité avec la LDP suisse avec Cookiebot CMP

Cookiebot CMP est une solution de premier plan au niveau mondial, permettant de rendre votre site web conforme aux principales lois sur la protection des données, notamment le RGPD de l’UE, la LPD Suisse, le CCPA/CPRA de la Californie, la LGPD du Brésil, la POPIA de l’Afrique du Sud et bien d’autres.

Construit autour d’une technologie de scan inégalée, capable d’analyser et de trouver tous les cookies et autres traceurs similaires utilisés sur votre site web, Cookiebot CMP offre une transparence et un contrôle complet à vos utilisateurs finaux, leur permettant d’établir un choix de consentement facile et rapide, tout en assurant la conformité totale de votre site web.

Trouvez un équilibre entre la protection des données et les activités basées sur ces dernières au sein de votre site web grâce à des interfaces de consentement hautement personnalisables, des politiques de cookies générées automatiquement et un renouvellement régulier du consentement de l’utilisateur final.

La fonction de géociblage de Cookiebot CMP détermine automatiquement la localisation de l’utilisateur de votre site web dans le monde, par exemple dans l’UE ou en Suisse, et présente automatiquement la solution de conformité adéquate.

La nouvelle loi fédérale sur la protection des données suisse (LDP), en détail

Analysons de plus près la LDP suisse et ses exigences pour votre site web.

La LDP suisse sur le consentement, les cases pré-cochées et les murs de cookies

En vertu de la loi suisse sur la protection des données (LDP), les sites web qui traitent des données à caractère personnel provenant d’utilisateurs situés en Suisse pourraient devoir obtenir le consentement préalable, libre, éclairé de ces utilisateurs avant de s’exercer.

Cela inclut les cookies qui ne sont pas strictement nécessaires aux fonctions de base de votre site web, mais qui traitent des données personnelles à d’autres fins, telles que l’analyse ou le marketing.

Le consentement est requis en cas de traitement de données personnelles particulièrement sensibles, de profilage à haut risque par une personne privée ou de profilage par un organe fédéral.

En outre, le consentement peut être nécessaire si les données sont transférées vers un pays ne disposant pas d’un niveau de protection adéquat.

Le consentement aux cookies n’est valable que lorsqu’il représente un choix réel, c’est-à-dire lorsque l’utilisateur donne son consentement sans contrainte, pression ou autre influence externe. Cela signifie qu’un utilisateur qui refuse un cookie nécessitant un consentement ne doit pas se voir refuser certains services ou avantages, comme l’accès au site web.

Lorsqu’un utilisateur refuse les cookies, il ne devrait pas être exposé à des conséquences négatives et devrait pouvoir continuer à accéder au site web.
Comme le RGPD de l’UE, la LDP suisse exige que le consentement de l’utilisateur final aux cookies soit spécifique, c’est-à-dire que le consentement de l’utilisateur doit être demandé pour chaque finalité entreprise par les cookies.

Le consentement ne peut pas être donné pour une utilisation générale de tous les cookies sans spécifier davantage quelles données sont collectées via ces cookies et à quelles fins. La LDP suisse exige un choix plus précis qu’un simple “tout ou rien”, c’est-à-dire un consentement pour chaque catégorie de cookies.

La LDP suisse rompt avec son ancienne version de 1992 pour offrir un niveau de protection des données aligné sur celui de l’UE.

Les informations relatives au consentement doivent être visibles, complètes et perceptibles. Elles doivent être rédigées en termes simples, pouvant être compris par tout utilisateur. Par ailleurs, elles doivent être disponibles dans toutes les langues du site web, par exemple, si le site web s’adresse à un public francophone et germanophone, les informations figurant sur le bandeau de consentement doivent être rédigées à la fois en français et en allemand.

Ces informations sont généralement regroupées dans la politique de confidentialité ou de cookies d’un site web et devraient au moins comprendre les éléments suivants :

  • l’identité et les coordonnées du responsable du traitement (propre ou tiers) ;
  • les finalités des cookies qui vont être déposés et/ou lus ;
  • les destinataires ou catégories de destinataires des données.

En outre, il peut être nécessaire d’inclure les catégories de données traitées et les pays vers lesquels les données sont transférées, au cas où le pays ne dispose pas d’un niveau de sécurité adéquat, ainsi que les garanties sur lesquelles le transfert de données est basé.

Obtenez une politique en matière de cookies automatique avec Cookiebot CMP

Essayez Cookiebot CMP gratuitement pendant 30 jours – ou pour toujours si vous avez un petit site web

Recommandations du PFPDT sur le traçage web en Suisse

En Suisse, le Préposé fédéral à la protection des données et à la transparence (PFPDT) est chargé de contrôler le respect de la loi fédérale sur la protection des données (LPD) par les entreprises et les organisations.

Le PFPDT a publié des guides sur la manière dont votre site web peut utiliser des outils de suivi pour suivre l’activité des utilisateurs sur votre domaine, de manière à demeurer en conformité avec la LPD suisse.

Les utilisateurs finaux de votre site web doivent être informés de manière transparente de la collection de leurs données personnelles, de la finalité du traitement des données, de l’analyse des données et des possibilités qui leurs sont offertes pour s’opposer au suivi.

En savoir plus sur comment créer une politique en matière de cookies pour votre site web

Dans le cas de données personnelles sensibles, les utilisateurs finaux doivent confirmer explicitement qu’ils ont été informés et qu’ils acceptent le traçage web, par exemple par un clic de souris.

Le PFPDT précise qu’en tant que propriétaire ou opérateur d’un site web, vous êtes responsable de tout traitement de données personnelles de personnes se trouvant en Suisse, même si vous faites appel à des prestataires de services de traçage web. En outre, le PFPDT rappelle que même le traitement de l’adresse IP d’un utilisateur est soumis à la loi fédérale sur la protection des données, puisque cette adresse est considérée comme une donnée personnelle.

Le PFPDT précise également que lors de l’utilisation de cookies à des fins de suivi sur le web, l’exploitant d’un site web doit tenir compte des exigences de la directive ePrivacy du Parlement européen et du Conseil, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Vous n’êtes pas sûr que votre site web soit conforme à la directive ePrivacy ? Testez gratuitement votre site web avec le test de conformité de Cookiebot CMP.

Le transfert de données personnelles entre l’UE, les États-Unis et la Suisse

Le 16 juillet 2020, la Cour de justice de l’Union européenne (CJUE) a mis fin au bouclier de protection des données, qui autorisait jusqu’alors les transferts de données de l’UE vers les États-Unis.

La CJUE impose aux responsables du traitement d’évaluer le niveau de protection des données dans le pays du destinataire et de suspendre le transfert si ce pays s’avère inadéquat. Les transferts entre l’UE et la Suisse sont également soumis à ces exigences.

Le bouclier de protection des données entre l’UE et les États-Unis et entre la Suisse et les États-Unis a été jugé inadéquat.

Le 8 septembre 2020, suite à une évaluation du bouclier de protection des données entre l’UE et les États-Unis, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a également déclaré que le régime de transfert Suisse-États-Unis était inadéquat.

En ligne avec la CJUE, le PFPDT a estimé que le niveau de protection des données aux États-Unis était insuffisant et que le mécanisme de transfert prévu par le bouclier de protection des données entre la Suisse et les États-Unis n’était plus valide.

En savoir plus sur la décision concernant le bouclier de protection des données entre la Suisse et les États-Unis

Le mode de consentement de Google et Cookiebot CMP


Avec le mode de consentement de Google et Cookiebot CMP, vous pouvez faire fonctionner tous les services Google de votre site web en fonction du statut de consentement de vos utilisateurs finaux – une conformité totale avec le RGPD avec des données d’analyse et des revenus publicitaires optimisés grâce à une solution simple et unique.

Cookiebot CMP gère le consentement des utilisateurs de votre site web, et communique les états de consentement à l’API exécutant le mode de consentement de Google, qui gère ensuite tous vos services préférés (tels que Google Analytics et Google Ads) en fonction de l’état de consentement de chaque utilisateur individuel sur votre site web.

Un utilisateur n’a pas consenti aux statistiques ou aux cookies de marketing ? Cookiebot CMP informe le mode de consentement de Google, qui assure que vous obtenez toujours des informations agrégées et non identifiantes sur les performances de votre site web, et met en œuvre la possibilité d’afficher des annonces contextuelles au lieu d’annonces ciblées – respectant la vie privée des utilisateurs tout en optimisant votre site web.

Avec Cookiebot CMP et le mode de consentement de Google, bénéficiez d’une conformité instantanée et simple avec le RGPD, ainsi que de données analytiques optimisées et de revenus publicitaires, avec une solution unique.

Démarrez avec le mode de consentement de Google

Scannez votre site web pour voir quels cookies et traceurs sont utilisés

Essayez Cookiebot CMP gratuitement pendant 30 jours – ou pour toujours si vous avez un petit site web

La LPD suisse, résumée

Dans cet article, nous avons examiné le nouveau RGPD suisse, qui entrera en vigueur en 2022, ainsi que ses exigences en ce qui concerne l’utilisation de cookies et de traceurs traitant les données personnelles des utilisateurs en Suisse, liés à votre site web.

Formulé sur base du RGPD de l’UE et reprenant un grand nombre de ses définitions fondamentales, la LPD suisse est une loi sur la protection des données qui exige que votre site web obtienne un consentement s’il traite des données personnelles sensibles d’utilisateurs situés en Suisse ou en cas de profilage par une personne privée ou un organe fédéral.

Comme sa consœur de l’UE, elle s’accompagne également de plusieurs autres exigences pour votre site web, telles que l’obligation de mettre à la disposition de vos utilisateurs finaux une politique actualisée en matière de confidentialité et de renouveler régulièrement les consentements.

Cookiebot CMP est une solution plug-and-play qui automatise l’ensemble de ces processus pour vous – il suffit de s’inscrire et de mettre en œuvre Cookiebot CMP directement depuis le cloud avec quelques lignes de JavaScript.

Questions fréquentes

Qu’est-ce que la loi fédérale sur la protection des données suisse (LPD) ?

La LPD suisse est la loi suisse sur la protection des données qui régit le traitement des données personnelles des individus se trouvant en Suisse. Elle exige que tout site web dans le monde ayant des utilisateurs en Suisse obtienne leur consentement s’il traite leurs données personnelles sensibles ou en cas de profilage.

Essayez Cookiebot CMP gratuitement pour être en conformité avec la LPD suisse

La Suisse doit-elle également se conformer au RGPD ?

Oui, si votre site web situé en Suisse traite des données personnelles d’utilisateurs de l’UE, le règlement général sur la protection des données (RGPD) s’applique et vous êtes tenu d’obtenir le consentement préalable avant d’être légalement autorisé à traiter ou à partager n’importe quel type de données personnelles.

Essayez Cookiebot CMP gratuitement pendant 30 jours – ou pour toujours si vous avez un petit site web.

La Suisse dispose-t-elle d’une décision d’adéquation de l’UE ?

Oui, la Suisse fait partie des pays auxquels l’UE a accordé une décision d’adéquation, ce qui signifie que l’UE a estimé que le niveau de protection des données de la Suisse est essentiellement équivalent et qu’il garantit la poursuite de la libre circulation des données personnelles entre les deux régions.

Scannez votre site web pour voir quels cookies et traceurs sont utilisés

Qu’est-ce qu’un bandeau cookies conforme à la LPD suisse ?

Un bandeau de consentement sur votre site web devrait contenir des informations faciles à comprendre sur les paramètres des cookies et les pratiques de traitement des données personnelles de votre site web. Un bandeau de consentement valide ne doit pas comporter de cases à cocher pré-cochées (cookies activés par défaut), ne doit pas pousser ou forcer les utilisateurs à donner leur consentement (murs de cookies), et ne doit pas interpréter une activité de l’utilisateur, telle que le défilement ou la poursuite de la navigation sur le domaine, comme un consentement.

Essayez Cookiebot CMP gratuitement pendant 30 jours – ou pour toujours si vous avez un petit site web.

Les murs de cookies sont-ils légaux en Suisse ?

Il n’existe pas de législation spéciale sur les murs de cookies en Suisse. Cependant, étant donné que de nombreux sites web suisses reçoivent des utilisateurs de l’UE, il est recommandé aux sites web suisses de suivre les lignes directrices du Comité européen de la protection des données (CEPD) sur le consentement valable dans l’UE. Celles-ci affirment que les murs de cookies conditionnant le consentement à l’accès à un site web sont un moyen illégal d’obtenir le consentement. Au contraire, le consentement doit être granulaire et donné librement. Les utilisateurs doivent pouvoir choisir entre certains cookies et pas d’autres lorsqu’ils donnent leur consentement.

Essayez Cookiebot CMP gratuitement pendant 30 jours – ou pour toujours si vous avez un petit site web.

Ressources

Qu’est-ce que le RGPD ?

RGPD et consentement aux cookies

Lignes directrices du EDPB sur les cookies et autres traceurs (en anglais)

Directive ePrivacy (« Vie privée et communications électroniques »)

Site du Préposé fédéral à la protection des données et à la transparence (PFPDT)

Explications du PFPDT sur le webtracking

Loi fédérale sur la protection des données (LPD)

Optimex Data – La protection des données personnelles en Suisse

Lignes directrices de la CNIL sur l’utilisation des cookies en France

Planet49 et le consentement aux cookies valide dans l’UE

Rendez l’utilisation des cookies et du suivi en ligne sur votre site conforme dès aujourd’hui

FAITES UN ESSAI GRATUIT