Aller au contenu principal

Votre site web collecte plus de données que vous ne pensez

Vous pensez avoir « juste un site vitrine ». Dès qu'un visiteur arrive, une dizaine de tiers reçoivent peut-être des données sur lui, sans que vous l'ayez décidé. Comment cartographier ce que votre site collecte vraiment, et reprendre la main avant la prochaine refonte.

Protection des données 24 mai 2026 Yvann Barras
Votre site web collecte plus de données que vous ne pensez

Vous pensez avoir « juste un site vitrine ». En réalité, dès qu'un visiteur arrive, une dizaine de tiers reçoivent peut-être des données sur lui : l'outil de statistiques, un pixel publicitaire, une vidéo intégrée, une carte, des polices chargées à distance. Vous ne l'avez pas forcément décidé. Mais vous en êtes responsable. Voici comment reprendre la main, sans devenir technicien.

Votre site fait travailler plus de monde que vous ne croyez

Un site moderne ne se contente pas d'afficher vos pages. À chaque visite, il charge des services tiers, c'est-à-dire des outils extérieurs appelés par votre site : mesure d'audience comme Google Analytics, pixel publicitaire, vidéo YouTube intégrée, carte Google Maps, fenêtre de chat, polices chargées à distance, boutons de réseaux sociaux. La plupart ont été ajoutés par l'agence, « pour le confort » ou « pour le marketing », sans décision consciente de votre part.

Chacun de ces services peut déposer un cookie, un petit fichier placé sur l'appareil du visiteur pour le reconnaître. Un pixel, lui, est un mouchard invisible qui signale la visite à un tiers. Le mécanisme a de quoi rassurer : ce n'est pas vous qui transmettez les données « de votre main ». C'est le navigateur du visiteur qui contacte ces tiers directement, à la demande de votre site. Le résultat reste le même : des données partent.

Voici le point qui fait basculer la question. Selon le PFPDT, l'autorité fédérale de protection des données, ces tiers traitent souvent les données pour leur propre compte, pas seulement pour vous. Un pixel publicitaire posé pour suivre une campagne alimente le profilage publicitaire du fournisseur, sur des dizaines d'autres sites. Vos visiteurs nourrissent un système qui vous dépasse.

La responsabilité ne s'arrête pas à votre prestataire

« C'est mon agence qui gère », ou « c'est Google, pas moi ». Cette croyance est la plus répandue, et la plus fausse. L'exploitant du site reste responsable de ce qu'il intègre.

Le PFPDT est explicite sur ce point. Vous contrôlez les services que vous chargez sur votre site. Vous ne pouvez pas supposer que votre responsabilité s'arrête là où commencent les conditions générales du tiers. Vous devez vous renseigner sur ce que font les services intégrés, et garantir que vos visiteurs en sont informés.

Première conséquence concrète : votre déclaration de protection des données. C'est le texte qui dit à vos visiteurs quelles données vous traitez et pourquoi. Une déclaration générique, copiée d'un modèle, ne reflète pas votre site réel. Elle cite des outils que vous n'utilisez pas, et passe sous silence ceux qui tournent vraiment. Dans nos mandats, c'est presque la règle : le texte ne correspond pas aux services réellement chargés. Sur une vitrine soignée, cette information doit être active et accessible, pas enfouie dans une rubrique oubliée.

Deuxième conséquence : le consentement. Pour les cookies non essentiels, le visiteur doit pouvoir s'opposer, c'est l'opt-out, le droit de refuser. Pour les usages les plus intrusifs, comme le profilage publicitaire, il doit consentir activement, c'est l'opt-in. Une bannière qui ne propose qu'un gros bouton « tout accepter » n'offre pas un vrai choix. Refuser doit être aussi simple qu'accepter.

Méfiez-vous aussi de la bannière alibi, posée pour faire bonne figure. Dans bien des cas, les cookies sont déposés avant même que le visiteur ait répondu. Et s'il refuse, ils ne sont pas retirés pour autant. C'est une limite technique : un bandeau ne sait pas effacer des cookies déjà déposés. Une fois le consentement donné, faire machine arrière est tout aussi compliqué. La bannière affiche un choix ; encore faut-il que votre site le respecte vraiment.

Avant d'en ajouter, demandez-vous si vous en avez besoin

Le bon réflexe n'est pas d'empiler les outils, puis de « poser une bannière » pour être en règle. C'est de questionner l'utilité en amont. C'est précisément là qu'on évite l'erreur.

Posez-vous une question simple : exploitez-vous vraiment ces données ? Dans beaucoup de PME, l'outil de statistiques tourne depuis des années sans que personne ne lise les rapports. Si c'est votre cas, vous collectez un risque sans en tirer le moindre bénéfice. Ce n'est pas que la mesure d'audience est inutile. C'est qu'un outil que personne n'exploite ne justifie pas les données qu'il aspire.

Le PFPDT précise d'ailleurs que la mesure d'audience peut souvent se faire de façon anonyme. Dans ce cas, ni justification ni consentement ne sont requis. Moins d'outils intrusifs, c'est moins de bannières, moins de friction pour vos visiteurs, et moins de zones grises pour vous.

C'est le même angle mort que pour la cybersécurité ou pour l'intelligence artificielle au travail. On empile les outils avant de se demander à quoi ils servent. La question d'utilité vient toujours trop tard, une fois le risque déjà installé.

Les tiers qui travaillent sur votre site, en clair

  • Mesure d'audience (Google Analytics, Matomo) : compte et profile les visites.
  • Pixel publicitaire (Meta, LinkedIn, Google Ads) : signale la visite à une régie pour le reciblage.
  • Vidéo intégrée (YouTube, Vimeo) : charge le lecteur du tiers, et ses cookies.
  • Carte (Google Maps) : contacte le fournisseur dès l'affichage.
  • Polices et bibliothèques distantes : chargées depuis un serveur tiers à chaque page.
  • Chat, boutons de réseaux sociaux : connectent le visiteur au service externe.

Reprendre la main, étape par étape

Vous n'avez pas besoin d'être technicien pour vous y mettre. Quelques points se vérifient seul, les autres avec votre agence.

  1. Listez vos intégrations. Ouvrez votre site et notez tout ce qui vient d'ailleurs : statistiques, pixels publicitaires, vidéos, cartes, chat, polices, boutons sociaux. Demandez la liste complète à votre agence.
  2. Pour chacune, une question : ça sert à quoi, concrètement ? Si personne ne lit les données produites, l'outil peut partir.
  3. Vérifiez votre déclaration de protection des données. Reflète-t-elle ce que vous venez de lister, ou est-ce un texte générique hérité d'un modèle ?
  4. Vérifiez votre bannière. Permet-elle de refuser aussi simplement que d'accepter ?
  5. Posez trois questions à votre agence. Quels services tiers sont chargés ? Lesquels sont vraiment essentiels ? Que peut-on retirer ou rendre anonyme ?

Cette démarche ne vous transforme pas en juriste ni en technicien. Elle vous redonne une vue d'ensemble sur un site que vous croyiez simple. Le meilleur moment pour la prendre, c'est avant la prochaine refonte ou le prochain ajout d'outil. Votre devoir d'information vient de la LPD ; le droit de s'opposer aux cookies, de la loi sur les télécommunications. Mais l'enjeu, au fond, est plus simple : savoir ce que votre site fait des gens qui vous font confiance.

Aller plus loin : Un audit de votre site sous l'angle de la protection des données cartographie les tiers chargés, confronte votre déclaration à la réalité et liste ce qui peut être retiré ou rendu anonyme. Si vous préférez en discuter d'abord, parlons-en.

Côté outils — Pour la gestion du consentement, nous apprécions les solutions suisses comme Biskoui : plateforme développée et hébergée en Suisse, où les données de consentement restent stockées en Suisse. Elle est labellisée Swiss Made Software, conforme à la LPD comme au RGPD, et propose une version gratuite avant ses offres payantes. Quand le contexte s'y prête, privilégier une solution suisse ou européenne pour ce type de brique a du sens.

Vous aimerez aussi

Sur les mêmes thématiques que cet article.

Demande d'accès aux données : être prêt le jour où elle arrive
Protection des données

Demande d'accès aux données : être prêt le jour où elle arrive

Un e-mail arrive : « Communiquez-moi toutes les données que vous détenez sur moi. » C'est un droit, et le délai de réponse court dès sa réception. Comment y répondre sans improviser ni refuser par réflexe, et en faire une formalité une fois la marche à suivre en place.

En savoir plus
Conformité d'outils digitaux : le cas Executive Education HEC Lausanne
Cas client, Protection des données

Conformité d'outils digitaux : le cas Executive Education HEC Lausanne

« Cet outil est-il conforme ? » est presque toujours la mauvaise question. Pour Executive Education HEC Lausanne, YBCS a analysé trois outils digitaux très différents en croisant les angles juridique, technique et organisationnel. Résultat : des verdicts opérationnels, des conditions d'usage explicites, et une relation qui se poursuit dans la durée. Récit et trois enseignements.

En savoir plus
Vidéoprotection : poser le cadre avant d'ajouter des caméras
Cas client, Protection des données

Vidéoprotection : poser le cadre avant d'ajouter des caméras

Une entreprise romande voulait étendre son système de vidéoprotection : conserver les images plus longtemps, ajouter une caméra. Avant le matériel, YBCS a posé le cadre. Qui voit quoi, comment les collaborateurs sont informés, quelle procédure suivre : trois décisions ont été tranchées en connaissance de cause, dont celle de ne pas installer la caméra prévue. Récit et trois enseignements.

En savoir plus