Le guide du PFPDT en pratique : ce qu'il signifie vraiment pour les exploitants de sites

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l'autorité de surveillance centrale pour les questions de protection des données en Suisse. Son guide sur le tracking en ligne et les cookies est, depuis 2019, la référence la plus importante pour les exploitants de sites suisses — même si peu l'ont effectivement lu. Voici une mise en perspective des recommandations les plus importantes, complétée par l'observation de la manière dont le PFPDT les met en œuvre en pratique.

Ce qu'est le guide — et ce qu'il n'est pas

Le guide V1.1 de février 2024 n'est ni un règlement, ni une loi, ni une norme contraignante. C'est une déclaration de l'autorité expliquant son interprétation de la LPD pour le domaine du tracking en ligne. Cela paraît faible mais c'est très efficace en pratique : qui est enquêté est mesuré au guide. Qui s'en écarte doit justifier.

Du point de vue juridique : le guide ne lie pas directement, mais il forme la « pratique sûre ». Devant un tribunal, l'argument « mais le PFPDT a recommandé ainsi » ne serait pas décisif mais serait un facteur substantiel.

Les cinq recommandations principales

1. Approche en couches pour l'information cookies

Le PFPDT recommande une information à deux étapes : premier niveau comme bannière avec les points clés, deuxième niveau avec listage détaillé des cookies. Le deuxième niveau doit être atteignable intuitivement.

En pratique : la plupart des bannières l'ont implémenté, mais souvent mal — le clic sur « Paramètres » ouvre une liste à peine lisible. Ce que veut le PFPDT : listage lisible, catégoriel avec possibilité de choix claire.

2. Équivalence d'accepter et refuser

« Accepter » et « Refuser » doivent être visuellement et logiquement équivalents. Concrètement : les deux boutons devraient être de même taille, également visibles, avec contraste similaire.

En pratique : il y a beaucoup de violations ici. Le bouton « Accepter » vert et lumineux à côté du « Refuser » gris et semi-transparent est un dark pattern classique que le PFPDT marque explicitement comme non admissible.

3. Pas de murs cookies

Un mur cookie — c'est-à-dire « accepter ou quitter le site » — n'est pas admissible selon la position du PFPDT car le consentement n'est alors plus libre. Il y a une marge pour des modèles comme « pay-per-page » ou « consent ou abonnement », mais c'est juridiquement délicat.

En pratique : les murs cookies sont rares en Suisse. La plupart des sites permettent de refuser sans bloquer l'accès.

4. Possibilité de choix granulaire

Les utilisateurs doivent pouvoir choisir non seulement « tout accepter » ou « tout refuser » mais aussi catégoriellement — par exemple seulement statistiques, seulement marketing. Idéalement par outil tiers individuel.

En pratique : la granularité est généralement implémentée, mais souvent avec un libellé de catégorie peu clair. « Marketing » signifie quoi exactement ? Quels outils tombent dedans, lesquels dehors ? La page de détail doit clarifier cela.

5. Documentation du consentement

Chaque consentement doit être prouvable. Concrètement : journal de consentement qui consigne pour chaque clic utilisateur ce qui, quand, avec quelles catégories a été choisi.

En pratique : le point faible chez beaucoup de sites suisses. Quand un utilisateur fait une demande d'accès et demande son journal de consentement, c'est souvent silence radio — parce qu'aucun n'est tenu.

La pratique de l'autorité depuis 2024

Le PFPDT a contrôlé sensiblement plus activement ces 18 derniers mois. Procédure typique :

1. Réception d'une plainte ou sélection aléatoire par l'autorité
2. Demande informelle à l'entreprise avec requête d'avis
3. Recommandation d'adaptation avec délai approprié (typiquement 30-60 jours)
4. En cas de non-mise en œuvre : recommandation formelle avec publication
5. En cas de non-mise en œuvre supplémentaire : plainte au Tribunal administratif fédéral

En pratique, la plupart des cas se concluent à l'étape 2 — une adaptation informelle suffit. L'étape 3 devient publique, l'étape 4 est rare.

Ce que la V2 (annoncée 2026) pourrait apporter

Le PFPDT a annoncé une V2 du guide. Focus attendus :

• Tracking lié à l'IA — profilage comportemental via modèles ML
• Tracking côté serveur — contournements posant des cookies first-party mais envoyant des données à des tiers
• Tracking d'apps mobiles — interface entre LPD et politiques de tracking d'apps Apple/Google
• Extensions dark patterns — nouvelles catégories de patterns UI trompeurs

Qui implémente proprement aujourd'hui est préparé pour la V2. Qui utilise des contournements devrait s'attendre à de nouvelles exigences.

Checklist pratique avant un contrôle aléatoire du PFPDT

Si le PFPDT frappe, vous devriez pouvoir immédiatement montrer ces points :

• Bannière cookies avec boutons accepter/refuser équivalents
• Page détail avec listage de tous les cookies, sélection catégorielle et individuelle
• Journal de consentement avec consentements traçables
• Politique de confidentialité correspondant à la réalité des cookies
• Processus de demande d'accès avec temps de réponse documenté
• Exports à l'étranger déclarés avec mécanisme
• Registre des activités de traitement (si requis)

Où Aiara met en œuvre le guide

La bannière d'Aiara est construite par défaut selon l'approche en couches. Accepter et refuser ont la même taille et visibilité. La page de détail liste chaque cookie individuellement, avec fournisseur, finalité et durée de conservation. Le journal de consentement tourne automatiquement en arrière-plan — lors d'une demande d'accès vous voyez d'un coup d'œil quand l'utilisateur a fait quel choix. Ce n'est pas de la magie, c'est l'application de ce que le PFPDT recommande comme « pratique sûre ».