leads-qualifie.chSuisse

Publié le 7 mars 2026

nLPD & leads : le cadre à trois parties

Pourquoi la nLPD s'applique différemment sur une marketplace de leads : trois parties aux responsabilités distinctes — client final, apporteur, entreprise réceptrice — et non un simple transfert bilatéral.

La loi fédérale sur la protection des données (nLPD) s'applique à tout traitement de données personnelles opéré en Suisse, quelle que soit la taille de l'entreprise concernée. Sur une marketplace de leads, cette application prend une forme particulière : contrairement à un transfert de données bilatéral classique, où une entreprise collecte elle-même les coordonnées de ses propres clients, une demande de lead met en jeu trois parties distinctes, chacune porteuse d'une part de responsabilité qui lui est propre. Réduire ce schéma à un simple échange entre l'apporteur qui capte la demande et l'entreprise qui la reçoit revient à ignorer le rôle central du client final en tant que personne concernée au sens de la loi, et les obligations spécifiques qui incombent à chacun des trois maillons de la chaîne.

Ce dossier détaille ce cadre à trois parties tel qu'il s'applique sur leads-qualifie.ch : qui sont ces trois parties et ce qui distingue structurellement leur situation d'un transfert bilatéral, ce que la nLPD exige concrètement en matière de consentement, de minimisation et de droits de la personne concernée, pourquoi ce consentement doit être traçable et pas seulement affirmé, quelles obligations propres commencent pour l'entreprise réceptrice au moment où elle reçoit les coordonnées d'un client, et comment l'opérateur de la plateforme audite les sources actives pour s'assurer que ce cadre est respecté en amont, avant même qu'une demande soit transmise.

Les trois parties impliquées dans un lead

Un lead ne circule jamais entre deux acteurs mais entre trois. Le client final est la personne concernée au sens de la nLPD : ses coordonnées, sa description du besoin et tout élément qui permet de l'identifier constituent des données personnelles dès l'instant où elles sont saisies dans un formulaire, énoncées au téléphone ou renseignées dans un simulateur. C'est sa demande, ce sont ses données, et c'est lui qui dispose des droits que la loi attache à cette qualité. L'apporteur — le site, le comparateur ou le réseau local qui capte cette demande au moment où elle s'exprime — occupe une position particulière : il est le premier point de collecte, donc le premier point où un consentement doit être recueilli et clairement expliqué avant toute transmission ultérieure. L'entreprise réceptrice, enfin, reçoit les coordonnées du client dans le seul but de donner suite à sa demande — établir un devis, prendre rendez-vous, formuler une proposition.

Cette structure à trois parties est ce qui distingue juridiquement un lead d'un simple transfert de données bilatéral. Dans un transfert classique, l'acteur qui collecte les données est généralement le même que celui qui les exploite, ce qui concentre l'essentiel des obligations sur une seule entité. Sur une marketplace, ces deux fonctions sont exercées par deux entités différentes — l'apporteur collecte, l'entreprise réceptrice exploite — avec la plateforme qui coordonne le flux entre elles sans jamais devenir elle-même l'utilisatrice finale des données. Chaque partie porte donc sa propre part de responsabilité au regard de la nLPD plutôt qu'une seule entité qui répondrait de l'ensemble de la chaîne : c'est cette répartition, absente d'une simple revente de fichier, qui impose un cadre de conformité pensé spécifiquement pour un modèle à trois parties.

Ce que la nLPD exige concrètement

Le premier réquisit est le consentement explicite à une finalité précise : le client doit avoir accepté d'être contacté par un professionnel du secteur concerné pour la demande qu'il a formulée, et rien d'autre. Un consentement donné pour recevoir un devis d'assurance ne vaut pas pour être démarché sur un produit financier sans lien avec la demande initiale, même si les deux relèvent au sens large du même secteur d'activité. Le deuxième réquisit est la minimisation des données : seules les informations nécessaires pour traiter la demande doivent être collectées et transmises — coordonnées de contact, description du besoin, zone géographique — sans champs superflus qui élargiraient inutilement le périmètre des données personnelles en circulation.

Le troisième réquisit est la limitation de la finalité dans le temps comme dans l'usage : les données collectées pour un besoin précis ne peuvent pas être réutilisées ultérieurement pour un usage différent sans une base légale propre à ce nouvel usage. Le quatrième réquisit, enfin, concerne les droits que la loi attache directement à la personne concernée : le droit d'accès, qui lui permet de demander quelles entreprises détiennent ses données et pour quelle raison ; le droit de rectification, s'il constate une erreur dans les informations transmises ; et le droit d'opposition, qui lui permet de faire cesser tout contact ultérieur à tout moment, sans justification à fournir. Ces quatre exigences s'appliquent indépendamment de la taille de l'entreprise réceptrice — la nLPD ne prévoit pas d'exemption pour les petites structures sur ces points précis.

La traçabilité du consentement sur une marketplace

Un consentement qui ne peut pas être démontré n'a, en pratique, pas la même valeur qu'un consentement documenté. Affirmer qu'un client « a accepté d'être recontacté » ne constitue pas en soi une preuve recevable si la question est un jour posée par le client lui-même, par l'entreprise réceptrice ou par une autorité de contrôle. Une traçabilité correcte suppose plusieurs éléments réunis au moment même de la captation : un horodatage précis de l'instant où le consentement a été donné, une conservation du formulaire ou de la case à cocher effectivement utilisée par le client, et surtout une trace du texte exact qui lui a été présenté à ce moment-là — ce qu'il a été informé pouvoir advenir de ses coordonnées, notamment le fait qu'elles puissent être transmises à un ou plusieurs professionnels du secteur.

Cette exigence de traçabilité n'est pas seulement une précaution théorique : elle a une conséquence pratique directe pour l'entreprise réceptrice. Si un client conteste avoir consenti à être contacté, l'entreprise qui a reçu ses coordonnées doit pouvoir se retourner vers la plateforme, et la plateforme vers l'apporteur, pour obtenir la preuve de ce consentement dans un délai raisonnable. Sur leads-qualifie.ch, cette capacité à produire une preuve sur demande fait partie des critères qui distinguent une source fiable d'une source qui ne l'est pas — un apporteur incapable de reconstituer l'origine et le contenu exact d'un consentement contesté n'offre pas la même garantie qu'un apporteur qui conserve systématiquement cette trace, même si les deux affirment, au moment de la transmission, avoir respecté la loi.

Obligations de l'entreprise réceptrice une fois le lead transmis

La conformité ne s'arrête pas à la réception d'un lead correctement consenti : elle se poursuit, sous une forme différente, dès que l'entreprise réceptrice commence à traiter les coordonnées qu'elle vient de recevoir. Cette entreprise devient à son tour responsable, à son niveau, du traitement des données personnelles qu'elle détient désormais. Sa première obligation concerne la durée de conservation : les coordonnées d'un client ne doivent être conservées que le temps nécessaire au traitement de la demande — le temps d'établir un devis, de mener la relation commerciale à son terme, ou la durée légale de conservation distincte applicable en cas d'obligations comptables ou contractuelles — et non indéfiniment par défaut.

La deuxième obligation porte sur la sécurité : les coordonnées reçues doivent être protégées par des mesures raisonnables — accès restreint aux personnes qui en ont besoin, absence d'exports non protégés qui circuleraient sans contrôle. La troisième concerne le droit d'opposition du client : si celui-ci indique ne plus vouloir être contacté, l'entreprise doit cesser tout contact ultérieur, indépendamment du canal utilisé. La quatrième, enfin, porte sur la finalité : les coordonnées reçues pour traiter une demande précise ne peuvent pas être ajoutées sans autre forme de procès à une liste de prospection générale ou à un fichier de newsletter — un tel usage constitue un traitement distinct de celui pour lequel le consentement initial a été donné, et nécessite sa propre base légale.

Comment une marketplace sérieuse audite ses fournisseurs sur ce point

Aucune entreprise réceptrice n'est en mesure d'auditer individuellement chacune des dizaines de sources actives sur une marketplace — c'est précisément cette fonction que l'opérateur de la plateforme doit assumer à leur place. Sur leads-qualifie.ch, cet audit porte spécifiquement sur les pratiques de consentement de chaque apporteur : le texte affiché au client au moment de la captation, la présence effective d'un horodatage conservé, et la cohérence entre ce qui est déclaré par la source et ce qui peut réellement être produit comme preuve en cas de contestation. Cet audit s'exerce de façon continue et pas seulement à l'entrée d'un nouvel apporteur sur la plateforme, car des pratiques peuvent évoluer — ou se dégrader — après l'intégration initiale.

Une source qui ne peut pas démontrer une pratique de consentement conforme voit son flux rétrogradé dans le système de notation en attendant une correction, suspendu si le manquement se répète, ou définitivement exclue en cas de manquement grave ou répété malgré les avertissements. C'est cette fonction d'audit continu, largement invisible pour l'entreprise réceptrice mais déterminante pour la fiabilité de ce qu'elle reçoit, qui distingue une marketplace sérieuse d'un simple relais qui transmettrait des coordonnées sans se préoccuper de la manière dont elles ont été obtenues en amont. Une entreprise qui achète un fichier de contacts à un fournisseur unique n'a, par comparaison, aucune garantie équivalente : rien ne l'assure qu'un audit de ce type ait jamais été mené sur l'origine des données qu'elle reçoit.

À lire aussi sur la place de marché

Trois autres dossiers choisis pour leur proximité thématique avec celui-ci — poursuivez votre lecture sur la place de marché.

Prêt à rejoindre la place de marché ?

Publiez une demande ou explorez le catalogue de catégories pour voir comment leads-qualifie.ch met en relation entreprises et générateurs de demandes en Suisse.

Questions fréquentes

Qui est responsable si un client se plaint d'avoir été contacté sans avoir donné son consentement ?

La responsabilité se répartit selon le rôle de chacun : la plateforme enquête sur la source à l'origine de la demande et peut la sanctionner si le consentement fait défaut, tandis que l'entreprise réceptrice doit cesser tout contact immédiatement et documenter sa réaction à la réclamation.

Un même consentement couvre-t-il toutes les entreprises qui reçoivent un lead partagé ?

Oui, à condition que cette possibilité ait été clairement indiquée au client au moment de la captation — le texte présenté doit mentionner que la demande peut être transmise à plusieurs professionnels du secteur, pas seulement à un destinataire unique non précisé.

Combien de temps l'entreprise réceptrice peut-elle conserver les données d'un lead reçu ?

Seulement le temps nécessaire au traitement de la demande et à la relation commerciale qui en découle. Une fois le dossier clos, sans suite ou sans obligation légale de conservation distincte, les coordonnées doivent être supprimées plutôt que conservées par défaut.

Que faire si un client demande la suppression de ses données après avoir reçu un devis ?

Il faut faire droit à cette demande dans un délai raisonnable, sous réserve d'une obligation légale de conservation propre (comptabilité, par exemple), et en informer la plateforme si le client indique que la source d'origine n'aurait pas dû le recontacter.

La marketplace elle-même est-elle soumise à un audit sur ce point ?

Oui : les pratiques de consentement et de traçabilité appliquées aux apporteurs font l'objet d'une revue régulière par l'opérateur, avec les mêmes exigences que celles imposées aux sources — un contrôle qui ne s'arrête pas au moment de leur intégration initiale.

Ce dossier concerne toutes ces catégories

Le mécanisme décrit dans ce dossier s'applique à l'ensemble des catégories de la place de marché. Quelques points d'entrée pour le voir en pratique :

Configurer ma demande