La semaine dernière, on a audité le site d'une fiduciaire vaudoise. Le site était propre, rapide, bien conçu. Et pourtant, dès la première page chargée, les données du visiteur partaient vers quatre serveurs américains différents — Google Fonts, un pixel LinkedIn, un outil de chat support, et un plugin de formulaire hébergé en Virginie. La fiduciaire ne le savait pas. Son agence non plus, probablement. Sa clientèle, elle, fait confiance en partageant des informations comptables sensibles via ce site.
C'est le paradoxe de la conformité LPD en Suisse en 2026 : les entreprises se préoccupent de « l'hébergement en Suisse » comme d'un gage de conformité, alors que le vrai problème se passe souvent ailleurs.
La question piège : faut-il héberger physiquement en Suisse ?
La réponse courte est non — et c'est important de le dire clairement, parce que beaucoup de prestataires vendent « l'hébergement suisse » comme une garantie de conformité LPD, ce qu'il n'est pas automatiquement.
La loi fédérale sur la protection des données (LPD, révisée en septembre 2023) ne fixe pas d'obligation de localisation physique des serveurs en Suisse. Elle exige que les transferts de données vers des pays tiers (hors Suisse et hors UE) soient encadrés par des garanties adéquates — un contrat de traitement de données (DPA), une décision d'adéquation, ou d'autres mécanismes validés. Un hébergement dans un datacenter certifié ISO 27001 en Allemagne, avec un DPA signé, peut être parfaitement conforme LPD.
Ce qui compte, c'est moins l'adresse du serveur que la traçabilité des données et l'existence de garanties contractuelles avec chaque prestataire qui y accède.
Les 4 risques cachés que personne ne vous montre
1. Google Fonts chargé depuis les serveurs Google
C'est l'erreur la plus répandue, et de loin. Quand un site appelle Google Fonts via une URL du type fonts.googleapis.com, il envoie l'adresse IP du visiteur à Google à chaque chargement de page. En Allemagne, plusieurs tribunaux ont sanctionné cette pratique comme violation du RGPD (analogue à la LPD). La correction est simple — télécharger les polices et les héberger localement — mais une grande majorité des sites de PME suisses ne l'ont pas faite.
2. Les pixels marketing de Meta, LinkedIn et Google Ads
Chaque pixel marketing installé sur un site envoie des données comportementales vers des serveurs américains à chaque visite. Pour un site de notaire ou de fiduciaire, cela signifie que le fait qu'un client ait visité la page « Planification successorale » ou « Restructuration d'entreprise » est connu de Facebook ou Google — des informations qui peuvent être sensibles dans certains contextes. Sans bannière de consentement correctement configurée et sans base légale explicite, c'est une violation LPD potentielle.
3. Le CDN Cloudflare : une infrastructure américaine par défaut
Cloudflare est présent dans la chaîne d'un très grand nombre de sites suisses — souvent à l'insu du client final. Cloudflare est une entreprise américaine soumise au CLOUD Act, ce qui signifie que les autorités américaines peuvent demander l'accès aux données qui transitent par leur réseau, même si les serveurs physiques sont en Europe. Ce n'est pas une raison de paniquer, mais c'est une réalité que votre DPA et votre politique de confidentialité doivent documenter.
4. Les plugins WordPress avec services tiers
Un site WordPress classique utilise en moyenne 18 à 25 plugins actifs. Chacun peut appeler des services tiers externes — des APIs de traduction, des widgets de réseaux sociaux, des outils d'optimisation d'images, des systèmes de commentaires. La plupart de ces services sont hébergés hors Europe, et chaque appel constitue un transfert de données potentiel. Auditer un site WordPress existant pour identifier ces fuites prend plusieurs heures de travail.
Hetzner Francfort vs Infomaniak Suisse : la comparaison honnête
On utilise deux hébergeurs selon les situations :
- Hetzner Francfort (Allemagne, UE) : notre option par défaut. Certifié ISO 27001, DPA standard disponible, excellent rapport performance/prix, latence depuis Zurich de 12 ms. Conforme LPD avec le DPA correct en place. Prix : 20-80 CHF/mois selon la configuration. Aucun lien avec les USA dans la chaîne d'infrastructure.
- Infomaniak Genève (Suisse) : option recommandée pour les secteurs les plus sensibles (études notariales, fiduciaires, cabinets médicaux, wealth management). Infrastructure 100 % suisse, propriété d'un groupe genevois, certifié ISO 27001 et 14001, énergie 100 % renouvelable. Prix légèrement supérieur à Hetzner. Délai de mise en place supplémentaire de 3-4 semaines pour les projets nécessitant une configuration spécifique.
Dans les deux cas, le DPA est signé avant la mise en service, et l'adresse IP du serveur est communiquée à la signature du contrat.
Ce qui se passe concrètement en cas de plainte au PFPDT
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) peut être saisi par n'importe quel particulier qui estime que ses données ont été traitées de façon non conforme. Depuis la révision de la LPD en 2023, le PFPDT a des pouvoirs renforcés, dont la capacité d'imposer des injonctions et de publier ses décisions.
En pratique, une plainte déclenche une procédure d'enquête. Le PFPDT demande à l'entreprise de documenter ses traitements de données, ses DPA avec ses sous-traitants, et ses mesures de sécurité. La protection la plus efficace n'est pas un hébergeur suisse — c'est une politique de confidentialité à jour, des DPA en place avec chaque prestataire, et un site qui ne transfère de données vers des tiers que pour des raisons documentées et consenties.
Ce qu'on intègre par défaut dans chaque projet
Sur chaque site qu'on construit pour une fiduciaire, une étude notariale ou un cabinet médical : polices d'écriture auto-hébergées, aucun pixel marketing américain activé par défaut, DPA signé avec Hetzner ou Infomaniak avant mise en service, politique de confidentialité adaptée à votre activité, formulaires de contact qui ne stockent rien en dehors de l'UE.
Si la conformité de votre présence en ligne vous préoccupe pour une raison précise — secret professionnel, données comptables, dossiers patients — deux ressources complètent ce point. Notre offre dédiée aux études détaille comment on traite ces contraintes : sites web pour études notariales vaudoises. Et la question du référencement local, souvent liée, est traitée à part : SEO local pour études notariales.
Vérifier la conformité de votre site
On regarde ensemble, en 20 minutes, où partent réellement les données de votre site actuel : polices, pixels, plugins, hébergeur. Vous repartez avec une liste claire de ce qui fuit et de ce qu'il faut corriger — que vous décidiez de travailler avec nous ou de confier la correction à votre prestataire actuel.