Retour à la vue d'ensemble
Politique de confidentialitéLPDModèle

Créer une politique de confidentialité : modèle et guide pratique pour sites suisses

Une politique de confidentialité correcte est plus qu'un texte obligatoire pris d'un modèle. Ce qui doit vraiment y figurer, les erreurs que je vois régulièrement chez les PME suisses — et quand un générateur vaut mieux qu'un avocat.

Aiara Team··6 min de lecture
Créer une politique de confidentialité : modèle et guide pratique pour sites suisses

« Pourriez-vous brièvement examiner notre politique de confidentialité ? C'est un modèle standard. » Je reçois cette demande environ cinq fois par mois. Et dans 80 % des cas, la politique de confidentialité n'est pas seulement formellement incomplète mais aussi substantiellement fausse — parce que le modèle ne correspond pas au traitement de données effectif.

Ce qu'une politique correcte doit contenir en 2026, quelles erreurs je vois régulièrement et quand un générateur vaut mieux qu'un modèle — un guide pratique.

La base juridique

La LPD révisée (art. 19 ss.) oblige quiconque traite des données personnelles à informer les personnes concernées. Cela vaut indépendamment de la taille du site. Pour un site web, la politique de confidentialité est la forme habituelle de cette information.

Important : l'information doit être disponible avant le traitement, sous forme facilement accessible, et elle doit être complète. Une politique cachée en micro-police dans le footer ne remplit pas tout à fait ce critère.

Les 12 piliers d'une politique correcte

Si on structure la politique selon les exigences LPD et (pour activité DACH) RGPD, on obtient la structure suivante :

  1. Identité du responsable — raison sociale, adresse, personne de contact
  2. Contact pour demandes de protection des données — e-mail ou adresse postale
  3. Représentant UE — si le RGPD s'applique (art. 27)
  4. Quelles données sont traitées — catégories, pas chaque point de donnée
  5. Finalité du traitement — par catégorie
  6. Base légale — consentement, exécution du contrat, intérêt légitime
  7. Durée de conservation — par catégorie, idéalement avec justification
  8. Destinataires des données — sous-traitants (hébergeur, CRM, expéditeur d'e-mails), mais aussi réseaux publicitaires
  9. Exports à l'étranger — pays, mécanisme (clauses contractuelles types, décision d'adéquation)
  10. Droits des personnes concernées — accès, rectification, effacement, opposition
  11. Liste des cookies — en cas de tracking
  12. État et versioning — date du dernier changement

Dans cet ordre ou une logique similaire, chaque politique de confidentialité devrait être structurée. Une simple liste « nous utilisons Google Analytics » sans cette structuration n'est pas une politique — c'est une affirmation.

Trois erreurs fréquentes chez les PME suisses

Erreur 1 — Modèle obsolète. La politique a été créée en 2021 par le prestataire IT. Depuis : trois nouveaux outils (HubSpot, Calendly, Vimeo), pas de mise à jour. Résultat : la politique liste trois outils, le site en utilise six. Lors d'un contrôle aléatoire du PFPDT, c'est une violation documentée.

Erreur 2 — Modèle générique. « Ce site utilise des cookies nécessaires au fonctionnement. » Quels cookies ? Quel objectif ? Quelle durée de conservation ? Mentions obligatoires manquantes, la politique est juridiquement incomplète.

Erreur 3 — Export US caché. Mailchimp est nommé sans la mention que des données vont aux États-Unis et quel mécanisme légitime l'export (clauses contractuelles types). Une référence au EU-US Data Privacy Framework serait aussi utile ici.

Générateur vs. avocat — l'évaluation honnête

Générateur (Aiara, datenschutzgenerator.de, etc.) :

  • Pour : économique (CHF 200-600/an), mises à jour automatiques aux changements légaux, intégration scanner cookies
  • Contre : formulations standard, moins de profondeur juridique pour cas particuliers
  • Adapté à : sites standards, PME, agences web avec beaucoup de clients

Avocat (cabinet d'affaires suisse) :

  • Pour : sur mesure, conseil, couvre cas particuliers
  • Contre : cher (CHF 1000-3000 effort initial, mises à jour annuelles en plus), lourd pour mises à jour d'outils
  • Adapté à : traitement de données B2B complexe, industries avec exigences de conformité spécifiques (santé, finance)

En pratique : 90 % des PME sont mieux servies par un bon générateur. Qui a un traitement de données complexe (par ex. données médicales, transactions financières, décisions RH avec algorithmes) devrait emprunter la voie de l'avocat.

Les outils tiers les plus fréquents — et comment les mentionner

Une courte liste de ce qu'on rencontre chez la plupart des PME suisses :

  • Google Analytics 4 / Google Ads — Destinataire : Google Ireland ; export États-Unis avec clauses types ; finalité : statistiques web / optimisation publicitaire ; conservation : 14 mois (par défaut GA4).
  • Meta Pixel — Destinataire : Meta Platforms Ireland ; export États-Unis ; finalité : ciblage publicitaire ; conservation : 90 jours (par défaut).
  • HubSpot / Salesforce — Destinataire : HubSpot/Salesforce ; export États-Unis/UE ; finalité : CRM et automation marketing ; conservation : jusqu'à fin de la relation commerciale.
  • Mailchimp / Brevo — Destinataire : prestataire ; export selon prestataire (Brevo UE, Mailchimp États-Unis) ; finalité : envoi newsletter ; conservation : jusqu'à désinscription.
  • Calendly — Destinataire : Calendly Inc. ; export États-Unis ; finalité : prise de rendez-vous ; conservation : limitée dans le temps après le rendez-vous.

Pour chaque outil vous devriez faire ces cinq mentions dans la politique. Générique « nous utilisons des prestataires tiers » sans spécification n'est pas admissible.

Multilinguisme — le sujet souvent oublié

Une politique de confidentialité en allemand sur un site DE/FR/IT est une faille de conformité classique. La LPD n'exige pas explicitement le multilinguisme, mais « facile accessibilité » signifie pratiquement que l'information doit être compréhensible pour le public cible.

En pratique : si vous avez un site multilingue, vous avez besoin d'une politique multilingue. Chez Aiara cela se passe automatiquement — lors de la configuration du générateur, la politique est créée dans les quatre langues DE/FR/IT/EN en parallèle et tenue synchrone.

Checklist pratique

Avant chaque mise à jour majeure du site :

  • La politique se met-elle à jour en synchronisation avec les outils ?
  • Tous les prestataires tiers actuellement utilisés sont-ils nommés ?
  • La date de la dernière mise à jour est-elle visible ?
  • Tous les exports à l'étranger sont-ils déclarés avec mécanisme ?
  • La politique est-elle disponible dans toutes les langues du site ?
  • Existe-t-il un processus d'accès avec destinataire clairement défini ?

Ce que fait Aiara concrètement ici

Aiara génère la politique de confidentialité en se basant sur votre scan cookie et vos saisies dans le questionnaire. Le système connaît les outils tiers les plus fréquents et remplit automatiquement les mentions obligatoires. Aux changements de cookies sur le site, la politique s'adapte. Le versioning est intégré — les versions antérieures restent consultables, ce qui vaut de l'or lors de demandes d'accès ou d'audits.

Questions fréquentes

Ai-je besoin d'une politique de confidentialité en tant qu'indépendant ?

Dès que vous exploitez un site web, oui — même en tant qu'indépendant. Un simple formulaire de contact ou un abonnement à la newsletter signifie que vous traitez des données personnelles. La LPD exige une information à ce sujet. Une politique de confidentialité est la forme standard de cette information.

Un modèle d'internet suffit-il ?

Un modèle est un point de départ, jamais le résultat fini. Vous devez l'adapter à votre installation concrète : quels outils utilisez-vous, quelles données collectez-vous, dans quel but, à qui transmettez-vous des données. Sans cette adaptation, le modèle est juridiquement sans valeur.

Combien coûte un générateur vs. un avocat ?

Un bon générateur suisse de politique de confidentialité coûte entre CHF 200-600 par an et livre une politique techniquement propre. Un avocat coûte typiquement CHF 1000-3000 pour une rédaction initiale sur mesure. Pour les sites standards, le générateur est économique, pour le traitement de données complexes l'avocat se justifie.

À quelle fréquence dois-je mettre à jour la politique de confidentialité ?

À chaque changement pertinent — nouveaux outils, nouveaux sous-traitants, nouveaux exports à l'étranger. Au moins annuellement, une revue complète devrait avoir lieu. Qui utilise un scanner cookie voit automatiquement les changements de l'installation devant être suivis dans la politique.

En quelles langues la politique de confidentialité doit-elle être disponible ?

Il n'y a pas d'obligation légale de multilinguisme. Mais la politique doit être compréhensible pour votre public cible. Si vous avez un site en allemand, l'allemand suffit. Pour des sites multilingues (DE/FR/IT) vous devriez offrir la politique dans chaque langue — sinon survient l'argument qu'elle n'est pas accessible.

Prêt pour un consentement cookies propre ?

Aiara gère bannière cookies, politique de confidentialité et mentions légales pour votre site — conforme LPD et RGPD.

Découvrir Aiara

Autres articles

Catégories de cookies expliquées : nécessaires, fonctionnels, statistiques, marketing

22 avril 2026 · 5 min de lecture

Catégories de cookies expliquées : nécessaires, fonctionnels, statistiques, marketing

Radar de risques selon l'annexe A du PFPDT : évaluer systématiquement les risques de protection des données

15 avril 2026 · 4 min de lecture

Radar de risques selon l'annexe A du PFPDT : évaluer systématiquement les risques de protection des données

Scanner cookies : comment savoir ce que votre site traque vraiment

3 avril 2026 · 5 min de lecture

Scanner cookies : comment savoir ce que votre site traque vraiment