Hebergement conforme RGPD et nLPD : guide complet 2026
La protection des donnees personnelles est devenue un enjeu majeur pour toute entreprise disposant d’un site web. En Suisse, deux cadres juridiques coexistent : le RGPD europeen et la nouvelle Loi federale sur la Protection des Donnees (nLPD), entree en vigueur le 1er septembre 2023. Le choix de votre hebergeur web a un impact direct sur votre conformite a ces reglementations. Ce guide vous explique tout ce que vous devez savoir pour heberger votre site en toute legalite en 2026.
Comprendre le RGPD et la nLPD
Le RGPD (Reglement General sur la Protection des Donnees)
Le RGPD est le reglement europeen en vigueur depuis mai 2018. Il s’applique a toute organisation qui traite les donnees personnelles de residents de l’Union europeenne, quel que soit le lieu d’etablissement de cette organisation. Concretement, si votre site suisse a des visiteurs ou clients dans l’UE, vous etes concerne par le RGPD.
Les principes fondamentaux du RGPD incluent :
- Consentement explicite : les utilisateurs doivent donner leur accord avant toute collecte de donnees
- Droit a l’effacement : possibilite de demander la suppression de ses donnees
- Portabilite des donnees : l’utilisateur peut recuperer ses donnees dans un format lisible
- Notification de violation : obligation d’informer les autorites dans les 72 heures en cas de fuite
- Privacy by design : la protection des donnees doit etre integree des la conception
La nLPD (nouvelle Loi federale sur la Protection des Donnees)
La nLPD suisse, revisee en profondeur et entree en vigueur le 1er septembre 2023, s’aligne largement sur le RGPD tout en conservant des specificites helvetiques. Elle s’applique a toute entreprise qui traite des donnees de personnes en Suisse.
Les points cles de la nLPD :
- Protection des donnees des personnes physiques uniquement (contrairement a l’ancienne LPD qui protegeait aussi les personnes morales)
- Obligation d’informer lors de la collecte de donnees personnelles
- Analyse d’impact obligatoire pour les traitements a risque eleve
- Notification au PFPDT (Preopose federal a la protection des donnees) en cas de violation
- Sanctions penales pouvant aller jusqu’a 250 000 CHF pour les personnes responsables
Differences cles entre RGPD et nLPD
| Aspect | RGPD | nLPD |
|---|---|---|
| Territoire | Union europeenne | Suisse |
| Personnes protegees | Physiques et morales | Physiques uniquement |
| Consentement | Explicite requis | Implicite acceptable dans certains cas |
| DPO obligatoire | Oui (dans certains cas) | Non (mais recommande) |
| Amendes maximales | 20 millions EUR ou 4% du CA | 250 000 CHF (personne physique) |
| Notification de violation | 72 heures | ”Dans les meilleurs delais” |
| Registre des traitements | Obligatoire (>250 employes) | Obligatoire (sauf PME < 250) |
| Transfert hors pays | Adequation ou garanties | Adequation ou garanties |
Impact de l’hebergement sur la conformite
Le choix de votre hebergeur web influence directement votre conformite reglementaire sur plusieurs points essentiels.
Localisation des donnees
La localisation physique des serveurs qui hebergent votre site et ses donnees est un element determinant. Les deux reglementations encadrent strictement les transferts de donnees vers des pays tiers.
Pour le RGPD : les donnees peuvent etre hebergees dans l’UE/EEE sans restriction. Le transfert vers un pays tiers n’est possible que si ce pays offre un niveau de protection adequat (decision de la Commission europeenne) ou si des garanties supplementaires sont mises en place (clauses contractuelles types, BCR).
Pour la nLPD : le Conseil federal publie une liste des pays offrant un niveau de protection adequat. La Suisse et les pays de l’UE/EEE y figurent. Pour les transferts vers d’autres pays, des garanties supplementaires sont requises.
Bonne nouvelle : la Suisse est reconnue comme pays adequat par l’UE, et inversement. Heberger vos donnees en Suisse vous met en conformite avec les deux reglementations pour les transferts de donnees.
Securite des infrastructures
Les deux lois exigent des mesures techniques et organisationnelles appropriees pour proteger les donnees. Votre hebergeur doit garantir :
- Chiffrement des donnees en transit (SSL/TLS) et au repos
- Sauvegardes regulieres et plan de reprise d’activite
- Controle d’acces strict aux infrastructures physiques et logiques
- Journalisation des acces et des operations sur les donnees
- Protection contre les intrusions (pare-feu, detection d’intrusion, anti-DDoS)
Sous-traitance et contrat de traitement
Lorsque vous utilisez un hebergeur web, celui-ci agit comme sous-traitant au sens du RGPD et de la nLPD. Un contrat de traitement des donnees (Data Processing Agreement, DPA) doit etre signe entre vous et votre hebergeur. Ce contrat definit :
- La nature et la finalite du traitement
- Les categories de donnees traitees
- Les obligations de l’hebergeur en matiere de securite
- Les conditions de sous-traitance ulterieure
- Les modalites de restitution et de suppression des donnees
Quels hebergeurs sont conformes RGPD et nLPD ?
Infomaniak : le champion suisse de la conformite
Infomaniak est l’hebergeur le mieux positionne pour la conformite aux deux reglementations. Base a Geneve, avec des datacenters exclusivement en Suisse, Infomaniak offre :
- Localisation 100% suisse des donnees (datacenters a Geneve et Winterthour)
- Certification ISO 27001 pour la gestion de la securite de l’information
- DPA disponible et conforme RGPD et nLPD
- Chiffrement des donnees en transit et au repos
- Energie 100% renouvelable pour ses datacenters
- Pas de transfert de donnees hors de Suisse
Pour les entreprises suisses qui traitent des donnees sensibles ou qui ciblent le marche europeen, Infomaniak represente la solution la plus sure. Decouvrez notre avis complet sur Infomaniak.
Autres hebergeurs et leur niveau de conformite
| Hebergeur | Localisation serveurs | Certifications | DPA | Conformite RGPD | Conformite nLPD |
|---|---|---|---|---|---|
| Infomaniak | Suisse | ISO 27001 | Oui | Excellente | Excellente |
| PlanetHoster | Suisse, Canada, France | ISO 27001 | Oui | Tres bonne | Tres bonne |
| OVHcloud | France, Europe | ISO 27001, HDS | Oui | Tres bonne | Bonne |
| Hetzner | Allemagne, Finlande | ISO 27001 | Oui | Tres bonne | Bonne |
| o2switch | France | Aucune publiee | Oui | Bonne | Bonne |
| Hostinger | Lituanie, Europe | Aucune publiee | Oui | Correcte | Moyenne |
Points importants :
- Les hebergeurs europeens (OVHcloud, Hetzner, o2switch) sont conformes RGPD par defaut grace a leur localisation dans l’UE. Ils offrent un bon niveau de conformite nLPD grace a la decision d’adequation mutuelle Suisse-UE.
- Les hebergeurs avec des serveurs aux Etats-Unis necessitent des garanties supplementaires (EU-US Data Privacy Framework depuis juillet 2023), mais cette adequation peut etre remise en question a tout moment.
- Pour une conformite maximale avec la nLPD, privilegiez un hebergement en Suisse.
Checklist de conformite pour votre hebergement
Voici les points a verifier systematiquement avant de choisir votre hebergeur :
1. Localisation des serveurs
- Les serveurs sont situes en Suisse, dans l’UE/EEE ou dans un pays reconnu adequat
- Vous savez precisement dans quels datacenters vos donnees sont stockees
- Les sauvegardes sont egalement localisees dans des pays adequats
2. Contrat et documentation
- Un DPA (contrat de traitement des donnees) est disponible et signe
- Les CGU/CGV mentionnent explicitement la conformite RGPD et/ou nLPD
- La politique de confidentialite de l’hebergeur est transparente
- Les sous-traitants de l’hebergeur sont listes et situes dans des pays adequats
3. Securite technique
- Certificat SSL/TLS inclus ou disponible (idealement Let’s Encrypt ou equivalent)
- Sauvegardes automatiques quotidiennes
- Protection anti-DDoS active
- Pare-feu applicatif (WAF) disponible
- Acces SFTP/SSH (pas de FTP non chiffre)
4. Droits des personnes
- Possibilite d’exporter toutes les donnees hebergees
- Processus de suppression des donnees documente
- Portabilite des donnees garantie (pas de lock-in technique)
5. Incidents et notifications
- Procedure de notification en cas de violation de donnees
- SLA incluant des engagements sur la securite
- Historique des incidents de securite consultable
Bonnes pratiques pour un site conforme
Au-dela du choix de l’hebergeur, vous devez mettre en place des mesures sur votre site web.
Politique de confidentialite
Redigez une politique de confidentialite claire qui mentionne :
- L’identite du responsable du traitement
- Les categories de donnees collectees
- Les finalites du traitement
- La base juridique du traitement
- Les destinataires des donnees
- La duree de conservation
- Les droits des personnes concernees
- Les coordonnees du DPO (si applicable)
Bandeau de cookies
Implementez un bandeau de consentement aux cookies qui :
- Bloque les cookies non essentiels avant le consentement
- Permet de refuser aussi facilement qu’accepter
- Conserve la preuve du consentement
- Permet de modifier ses choix a tout moment
Formulaires de contact
Pour chaque formulaire collectant des donnees personnelles :
- Informez l’utilisateur de la finalite de la collecte
- Ne collectez que les donnees strictement necessaires (minimisation)
- Ajoutez une case a cocher pour le consentement (non pre-cochee)
- Prevoyez un mecanisme de suppression des donnees
Hebergement d’emails professionnels
Si vous hebergez des emails professionnels, les memes regles s’appliquent. Les emails contiennent souvent des donnees personnelles sensibles. Privilegiez un hebergement email en Suisse pour une conformite optimale.
Cas particuliers et secteurs reglementees
Donnees de sante
Si votre site traite des donnees de sante (cabinet medical, pharmacie en ligne, application de suivi), vous etes soumis a des exigences supplementaires. En France, l’hebergeur doit etre certifie HDS (Hebergeur de Donnees de Sante). En Suisse, la nLPD considere les donnees de sante comme des donnees sensibles necessitant des protections renforcees.
E-commerce et donnees bancaires
Les sites e-commerce qui traitent des paiements doivent en plus respecter la norme PCI-DSS. La bonne pratique consiste a deleguer le traitement des paiements a un prestataire certifie (Stripe, PayPal, Datatrans en Suisse) et a ne jamais stocker les donnees bancaires sur vos serveurs.
Donnees d’enfants
Le RGPD fixe a 16 ans (ou 13-16 selon les pays) l’age minimum pour le consentement numerique. La nLPD ne fixe pas d’age specifique mais requiert le consentement du representant legal pour les mineurs.
Que faire en cas de controle ou d’incident ?
En cas de violation de donnees
- Identifiez la nature et l’etendue de la violation
- Notifiez les autorites competentes (CNIL pour le RGPD, PFPDT pour la nLPD) dans les delais requis
- Informez les personnes concernees si le risque est eleve
- Documentez l’incident et les mesures prises
- Corrigez la faille et renforcez vos mesures de securite
En cas de controle
Tenez a jour un registre des traitements et conservez toute la documentation relative a votre conformite : DPA avec l’hebergeur, politique de confidentialite, preuves de consentement, analyses d’impact.
FAQ
Un hebergeur americain peut-il etre conforme RGPD ?
Depuis le EU-US Data Privacy Framework adopte en juillet 2023, les transferts vers les Etats-Unis sont possibles si l’entreprise americaine est certifiee dans le cadre de ce framework. Cependant, cette adequation reste fragile juridiquement (les deux precedents accords, Safe Harbor et Privacy Shield, ont ete invalides par la CJUE). Pour une securite juridique maximale, privilegiez un hebergeur europeen ou suisse.
La nLPD s’applique-t-elle a mon petit site vitrine ?
Oui, des lors que votre site collecte des donnees personnelles (formulaire de contact, analytics, cookies), la nLPD s’applique. Les PME de moins de 250 employes beneficient toutefois d’une exemption partielle concernant le registre des traitements, sauf si elles traitent des donnees sensibles a grande echelle.
Dois-je nommer un DPO (delegue a la protection des donnees) ?
Le RGPD impose un DPO dans certains cas (autorites publiques, suivi systematique a grande echelle, donnees sensibles a grande echelle). La nLPD ne l’exige pas mais le recommande fortement. Pour les PME suisses, la designation d’un conseiller a la protection des donnees est facultative mais constitue une bonne pratique.
Quelle est la difference entre hebergement en Suisse et hebergement conforme nLPD ?
Un hebergement en Suisse garantit que vos donnees restent sur le territoire helvetique, ce qui facilite la conformite nLPD. Cependant, un hebergeur localise en Suisse n’est pas automatiquement conforme : il doit aussi offrir les mesures techniques et contractuelles necessaires (DPA, securite, notification des incidents). Inversement, un hebergeur europeen peut etre conforme nLPD grace a la decision d’adequation.
Les sauvegardes doivent-elles aussi etre localisees en Suisse ?
Les sauvegardes contiennent les memes donnees que vos serveurs principaux et sont soumises aux memes regles. Si vous choisissez un hebergement en Suisse pour des raisons de conformite, assurez-vous que les sauvegardes restent egalement en Suisse ou dans un pays adequat. Verifiez ce point specifiquement aupres de votre hebergeur.
Quelles sanctions risque-t-on en cas de non-conformite ?
Sous le RGPD, les amendes peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Sous la nLPD, les sanctions penales peuvent aller jusqu’a 250 000 CHF et visent les personnes physiques responsables (dirigeants, responsables du traitement), ce qui constitue une particularite notable de la legislation suisse.
Conclusion
La conformite RGPD et nLPD n’est pas une option mais une obligation legale pour tout site web qui traite des donnees personnelles. Le choix de votre hebergeur est la premiere brique de cette conformite. En privilegiant un hebergeur suisse comme Infomaniak ou un hebergeur europeen certifie, vous posez des fondations solides.
Pour aller plus loin, consultez notre guide sur l’hebergement web en Suisse qui compare les solutions locales disponibles sur le marche helvetique.