LPD et newsletters en Suisse : sécuriser le consentement, les listes et vos prestataires d’emailing
Les PME dans le canton de Genève et dans le canton de Vaud veulent des leads, mais un emailing mal cadré peut déclencher des plaintes, abîmer votre réputation et vous compliquer la vie quand quelqu’un demande la suppression. Voici une méthode pragmatique pour cadrer vos formulaires, vos listes et vos outils (Mailchimp, Brevo et autres), sous réserve de votre configuration réelle.
Objectif
Des campagnes utiles, et un consentement prouvable.
Temps
45 à 90 min pour un audit simple et des correctifs.
Résultat
Une base saine, une preuve, et des demandes gérables.
Cet article donne des repères généraux selon la législation suisse et la LPD. Selon votre activité (e-commerce, SaaS, santé, RH), la configuration de votre outil emailing, et l’emplacement des serveurs, des ajustements sont souvent nécessaires. En cas de doute, faites valider vos formulaires, vos mentions d’information et vos clauses avec un expert juridique.
1 Objectif et prérequis (avant de commencer)
À réunir
- Vos points d’entrée de collecte : formulaire web, checkout e-commerce, pop-up, lead magnet, events, CRM.
- Les versions actuelles de votre politique de confidentialité et des textes de consentement.
- La liste des outils utilisés : CMS, CRM, pixel analytics, outil d’emailing, connecteurs (Zapier, plugins), et comptes publicitaires.
- Un export de quelques contacts avec leurs champs (source, date, preuve, préférences) pour vérifier ce qui est réellement enregistré.
Votre enjeu n’est pas seulement d’obtenir des adresses email. C’est de pouvoir expliquer, simplement, d’où vient la personne, ce qu’elle a accepté, et comment elle peut se désinscrire ou exercer ses droits.
Les risques concrets en 2026
- Un destinataire se plaint, et vous n’avez pas de preuve claire du consentement ou d’une base valable.
- Vous perdez du temps à traiter des demandes de suppression parce que les données sont dispersées (CRM, emailing, e-commerce).
- Votre prestataire emailing ou vos connecteurs envoient des données hors de Suisse, et vous ne savez pas exactement quoi, où et sur quelle base.
Pour vérifier la LPD et les recommandations officielles, référez-vous au Recueil systématique du droit fédéral et au site du Préposé fédéral à la protection des données et à la transparence.
2 Procédure pas à pas (ordre recommandé)
Chaque étape vise un résultat simple : vous pouvez démontrer votre logique, répondre vite aux demandes, et limiter les zones grises avec vos sous-traitants.
Cartographiez vos flux de données newsletter
Notez, pour chaque point d’entrée, ce qui est collecté (email, prénom, préférences, consentement, tracking), où cela part (CRM, outil emailing, e-commerce), et qui y a accès. Dans une PME digitale à Genève ou à Lausanne, cette cartographie révèle souvent des connecteurs oubliés.
- D’où vient l’adresse email, et à quelle date.
- Quel texte la personne a vu au moment de l’inscription.
- Quel mécanisme prouve l’accord (champ, log, double opt-in).
- Quels destinataires internes ou externes accèdent à la liste.
Nettoyez vos formulaires et vos cases à cocher
En pratique, un consentement marketing solide repose sur une action positive claire et un texte compréhensible. Évitez de mélanger plusieurs finalités dans une seule case. Pour un e-commerce dans le canton de Vaud, distinguer l’email transactionnel (commande, facture) de l’email marketing (promos, nouveautés) change tout.
Bon réflexe
- Une case dédiée aux newsletters et offres.
- Un lien visible vers la politique de confidentialité.
- Une phrase qui dit clairement qui envoie et pour quoi.
- Une option simple pour se désinscrire à tout moment.
Piège fréquent
- Case pré-cochée ou consentement noyé dans des CG.
- Une seule case pour newsletter, SMS, retargeting et partenaires.
- Aucune trace enregistrée sur la version du texte affiché.
- Une désinscription qui supprime l’emailing mais laisse le CRM intact, ou l’inverse.
Organisez la preuve du consentement (et la preuve d’information)
L’erreur typique n’est pas d’envoyer une newsletter. C’est de ne pas pouvoir prouver ce qui a été accepté, ni démontrer que la personne a été informée. Votre but est de conserver des éléments cohérents, exportables et compréhensibles, même si vous changez d’outil.
Un setup pragmatique consiste à stocker au minimum : source, date, méthode (formulaire, event, import), et version du texte présenté. Si vous utilisez un double opt-in, gardez aussi la trace de la confirmation.
Segmentez et limitez la collecte
La LPD pousse à la discipline. Collectez ce dont vous avez vraiment besoin et segmentez vos listes pour éviter d’envoyer des contenus inutiles. Moins vous sur-collectez, plus vous réduisez le risque en cas d’accès non autorisé ou d’erreur d’envoi.
Segmentation utile
Par exemple, séparer les prospects B2B, les clients e-commerce, et les abonnés qui veulent seulement des contenus éditoriaux. Vous réduisez les désinscriptions et vous gardez votre consentement crédible.
Collecte à éviter par défaut
Les informations sensibles ou non nécessaires au marketing. Si votre modèle dépend de données plus fines, un juriste peut vous aider à poser le bon cadre, et à rédiger les mentions adaptées.
Mettez en place une vraie mécanique de désinscription et de suppression
Une demande “supprimez-moi” ne doit pas se transformer en enquête interne de deux semaines. Prévoyez une procédure simple, documentée, et alignée entre vos outils. La désinscription marketing n’est pas toujours la même chose que la suppression complète des données, et votre communication doit rester claire.
Désinscription
Lien visible dans chaque newsletter, et action effective.
Liste d’opposition
Éviter la réinscription involontaire via import ou sync CRM.
Propagation
La demande doit se refléter dans les outils connectés.
3 Textes prêts à adapter (formulaire et emails)
Remplacez les éléments entre crochets selon votre activité. Ces modèles restent généraux. Un expert juridique peut les adapter à votre funnel, à vos finalités marketing, et à vos sous-traitants réels.
Astuce pour vos lead magnets
Si vous offrez un guide PDF, séparez la livraison du guide et l’inscription marketing. Sinon, votre consentement devient discutable, et votre taux de plaintes augmente.
Cohérence avec votre site
Vérifiez que la politique de confidentialité liée depuis le formulaire correspond à la réalité de vos outils et de vos prestataires. Une politique “copiée-collée” est un risque réputationnel.
4 Tableau de contrôle (audit rapide)
Remplissez ce tableau pour chaque liste (newsletter, clients, B2B, partenaires). Vous verrez vite où se cachent les risques.
| Point à vérifier | Où c’est défini | Preuve disponible | Risque si vide | Action |
|---|---|---|---|---|
| Texte exact du consentement | Formulaire, checkout, CRM | Capture, version, log | Plaintes, contestation | Unifier et historiser |
| Source de la donnée (opt-in, import) | Outil emailing, CRM | Champ source, tags | Impossible de prouver | Standardiser les champs |
| Désinscription et suppression | Paramètres emailing, CRM | Test réel sur un contact | Réinscriptions, erreurs | Process interne + liste d’opposition |
| Prestataires et accès | Contrats, paramètres, rôles | DPA, audit, exports | Exposition en cas d’incident | Clauses et droits d’accès |
Pour une checklist LPD plus complète, vous pouvez aussi vous référer aux ressources du PFPDT. Si vous devez adapter vos contrats ou vos mentions, une validation par un juriste est souvent le moyen le plus rapide d’éviter des erreurs structurelles.
5 Prestataires d’emailing et sous-traitants (Mailchimp, Brevo, etc.)
Ce que vous devez exiger d’un sous-traitant emailing
- Un cadre contractuel clair sur le traitement des données, les instructions, et la confidentialité.
- Une visibilité raisonnable sur où les données sont hébergées et comment des transferts à l’étranger peuvent intervenir, sous réserve de l’architecture réelle.
- Des mesures de sécurité et une gestion des accès adaptées à votre équipe et à vos prestataires externes (agence, freelance).
- Une procédure de support et de suppression qui fonctionne vraiment, surtout si vous devez répondre à un client pressé.
Beaucoup de PME découvrent trop tard qu’un simple connecteur envoie des contacts vers plusieurs outils. Gardez une liste à jour de vos intégrations, et limitez les droits d’accès au strict nécessaire.
Clauses et documents à vérifier
- Le document de traitement de données (souvent appelé DPA) et ses annexes, notamment sur les sous-traitants ultérieurs.
- Les modalités de support en cas d’incident ou d’accès non autorisé, et les engagements de communication.
- La fin de contrat : restitution, suppression, export des logs, et preuve de suppression.
- La possibilité d’auditer ou d’obtenir des attestations, selon ce qui est réaliste pour un service cloud.
Si vous faites du marketing dans plusieurs pays, ou si votre outil implique des transferts à l’étranger, demandez un cadrage juridique. Cela se traite souvent vite, mais il faut le faire proprement, surtout si vous travaillez avec des prestataires basés hors de Suisse.
Vous voulez sécuriser vos newsletters sans tuer votre génération de leads ?
Un expert juridique peut relire vos formulaires, cadrer vos mentions d’information et verrouiller les clauses avec votre prestataire emailing. Vous gagnez du temps, vous évitez les bricolages, et vous réduisez fortement le risque de plaintes.
Si vous lisez aussi nos contenus sur d’autres sujets du quotidien, vous pouvez consulter nos guides, par exemple sur le téléphone au volant ou sur la fouille du véhicule lors d’un contrôle routier.
6 FAQ - questions fréquentes
Cliquez pour ouvrir.
Une case à cocher est-elle toujours obligatoire pour envoyer une newsletter ?
Dans la plupart des cas, une action positive claire est la manière la plus simple de démontrer l’accord et d’éviter les discussions. Selon votre contexte, d’autres bases peuvent exister, mais si vous cherchez un cadre marketing robuste et défendable, la case dédiée et bien rédigée reste la solution la plus sûre.
Faut-il un double opt-in en Suisse romande ?
Il n’y a pas une réponse unique applicable à toutes les situations. Dans la pratique, le double opt-in apporte une preuve plus forte, surtout quand vous avez des formulaires exposés (pop-ups, campagnes payantes) ou quand votre réputation d’envoi est critique. Un juriste peut vous aider à choisir une configuration proportionnée à votre risque.
Peut-on acheter une liste d’emails et l’utiliser pour du marketing ?
C’est un terrain à haut risque. Même si une liste est “qualifiée”, il est souvent difficile de prouver l’information donnée et l’accord pour vos finalités à vous. En plus du risque juridique, vous risquez d’abîmer votre délivrabilité et votre image. Avant d’utiliser une liste tierce, faites vérifier le cadre par un expert juridique sur JuriUp.
Que vérifier si mon outil emailing traite des données hors de Suisse ?
Vérifiez où les données peuvent être hébergées, qui peut y accéder, et quels sous-traitants ultérieurs peuvent intervenir. Ensuite, vérifiez si vous devez prévoir des garanties contractuelles ou des informations spécifiques aux personnes concernées. Comme les configurations varient selon l’outil et les options activées, une revue contractuelle ciblée est souvent nécessaire.
Que répondre si quelqu’un demande “supprimez toutes mes données” ?
Accusez réception, vérifiez l’identité si nécessaire, puis exécutez la demande selon vos obligations et votre documentation interne. Dans la plupart des cas, vous devrez aussi vérifier les systèmes où l’email existe (CRM, e-commerce, support). Si votre architecture est complexe ou si vous hésitez sur la portée, faites valider votre réponse et votre processus par un juriste via JuriUp.
