Entre la LPD suisse (nouvelle LPD) et le RGPD, beaucoup de PME en Suisse romande (Genève, Lausanne, Vaud, Valais, Fribourg, Neuchâtel, Jura) hésitent : faut-il une bannière cookies, que mettre dans la politique de confidentialité, comment gérer GA4 et les formulaires ? Cet article propose une checklist pragmatique pour WordPress et WooCommerce, avec des sources officielles.
Note : ce contenu est informatif et ne remplace pas un avis juridique.
Sources officielles : LPD (RS 235.1) sur Fedlex, Ordonnance sur la protection des données (OPDo) sur Fedlex, Préposé fédéral à la protection des données (PFPDT), Texte officiel du RGPD (EUR-Lex), Lignes directrices du CEPD (EDPB), Consentement et balises Google, Privacy sur WordPress.org.
1) Identifier votre cadre : LPD seule ou LPD + RGPD ?
Point de départ : où se trouvent vos clients et quelles données sont traitées. En pratique :
- LPD : s’applique dès que vous traitez des données personnelles en Suisse.
- RGPD : peut s’appliquer si vous ciblez des personnes dans l’UE (ex. offre, livraison, suivi, publicité).
Astuce opérationnelle : si votre site attire ou sert des clients UE, aligner vos pratiques sur le RGPD simplifie souvent la gouvernance (à valider selon votre cas).
2) Cartographier les données en 30 minutes
Avant de parler « cookies » ou « bannière », dressez une liste courte des traitements réels. Sur WordPress/WooCommerce, on retrouve souvent :
- Formulaires (contact, demande de devis, candidatures).
- Mesure d’audience (GA4, Search Console, pixels publicitaires).
- Marketing (newsletter, CRM, automation).
- E-commerce (comptes clients, commandes, paiements, livraison).
- Support (chat, tickets, e-mails).
Résultat attendu : un tableau simple « outil -> données -> finalité -> base -> durée -> destinataires ». Cette base accélère tout le reste (politiques, contrats, réglages).
3) Cookies : transparence d’abord, consentement selon le contexte
Dans la pratique, une bannière permet de gérer proprement les traceurs (analytics, marketing) et de documenter le choix de l’utilisateur. Pour les balises Google, la référence officielle se trouve ici : Consentement et balises Google.
- Essentiels (sécurité, panier, session) : souvent nécessaires au fonctionnement.
- Mesure (analytics) : à paramétrer proprement, idéalement après choix explicite si vous visez l’UE.
- Marketing (publicité, retargeting) : à encadrer strictement, surtout si vous ciblez l’UE.
Conseil WordPress : évitez les doublons (plusieurs plugins qui injectent des scripts). Un seul point de contrôle, une seule logique de chargement.
4) Politique de confidentialité : une structure qui tient la route
Une politique utile n’est pas un texte générique. Elle doit refléter vos traitements. WordPress propose une base et des recommandations officielles : WordPress Privacy.
Structure recommandée (simple, lisible) :
- Responsable du traitement et coordonnées de contact.
- Données collectées et finalités (formulaires, commandes, analytics, marketing).
- Bases et fondements (selon votre cadre) et intérêts poursuivis.
- Destinataires (hébergeur, outils e-mailing/CRM, paiements, livraison).
- Transferts à l’étranger, si applicable.
- Durées de conservation (par type de donnée).
- Droits des personnes et modalités de demande.
5) Formulaires WordPress : réduire le risque sans perdre des leads
Sur un site vitrine, le formulaire est souvent la première source de données personnelles. Objectif : limiter le contenu collecté et sécuriser le trajet.
- Ne demander que le nécessaire (souvent nom, e-mail, message).
- Éviter les champs sensibles si ce n’est pas indispensable.
- Activer l’anti-spam (reCAPTCHA ou équivalent) et le HTTPS.
- Documenter la finalité (ex. « répondre à votre demande ») et la durée de conservation.
6) WooCommerce : points de vigilance concrets
Une boutique traite davantage : comptes clients, commandes, paiements, livraison. Les priorités opérationnelles :
- Limiter l’accès aux données (rôles WordPress, droits minimaux).
- Journaliser les accès administrateurs (selon votre organisation).
- Documenter les prestataires (paiements, livraison, e-mailing) et les transferts éventuels.
- Définir des durées de conservation cohérentes pour commandes et comptes inactifs.
7) Contrats et sous-traitants : ne pas oublier l’essentiel
Hébergement, e-mailing, CRM, analytics : vos prestataires comptent. La LPD et le RGPD impliquent, selon les cas, une gestion contractuelle et une documentation adaptée. Pour la base légale suisse, références : LPD (Fedlex) et OPDo (Fedlex).
FAQ (LPD, RGPD, cookies) pour la Suisse romande
Cette FAQ vise des requêtes fréquentes (Genève, Lausanne, Vaud) et répond de manière directe. Pour le balisage, la référence officielle est : FAQPage (Google Search Central).
Une PME à Genève doit-elle respecter le RGPD ?
Le RGPD peut s’appliquer si l’entreprise cible des personnes dans l’UE (offre, livraison, suivi, publicité). Le texte officiel du RGPD est disponible sur EUR-Lex. En parallèle, la LPD s’applique au traitement de données personnelles en Suisse : LPD sur Fedlex.
Faut-il une bannière cookies en Suisse romande ?
Une bannière n’est pas qu’un « blocage » : elle sert surtout à informer, à permettre un choix et à piloter le chargement des traceurs. Si votre site vise l’UE, la gestion du consentement devient généralement un point central. Pour les balises Google, voir : Consentement et balises Google.
GA4 peut-il fonctionner sans consentement ?
Techniquement, certaines configurations existent selon le cadre choisi, mais l’enjeu est la conformité et la gouvernance (finalité, base, information, transferts). Pour la gestion du consentement côté balises, référez-vous à la documentation officielle : Tag Platform – Consent.
Que doit contenir une politique de confidentialité WordPress ?
Elle doit refléter vos traitements : données collectées, finalités, destinataires, durées, droits et contact. WordPress propose une base officielle à adapter : WordPress Privacy.
Combien de temps conserver les messages de formulaire de contact ?
Il n’y a pas de durée unique : le principe consiste à conserver ce qui est nécessaire à la finalité (répondre, assurer un suivi), puis à supprimer ou anonymiser. L’important est d’avoir une règle interne simple et de l’indiquer dans votre documentation et, si pertinent, dans votre politique.
Quels sont les liens officiels suisses à consulter en priorité ?
Pour la Suisse : LPD et OPDo sur Fedlex, ainsi que le site du PFPDT.
Checklist express (à appliquer cette semaine)
- Inventorier vos outils (analytics, formulaires, e-mailing, paiements, chat).
- Mettre à jour la politique de confidentialité pour coller au réel.
- Mettre en place une logique de consentement cohérente pour les traceurs.
- Limiter les données collectées dans les formulaires et sécuriser le parcours.
- Définir 2 ou 3 règles simples de conservation (formulaires, prospects, commandes).
Pour une mise en place propre sur WordPress ou WooCommerce (cookies, pages légales, réglages, vérifications), contactez clickclick.ch.
