Insights

IA et protection des données en Suisse : nLPD révisée

Ce que les entreprises suisses doivent considérer en matière de protection des données lorsqu'elles utilisent l'IA : les obligations de la nLPD révisée, la position du PFPDT sur l'IA, le registre des activités de traitement et l'analyse d'impact - avec renvoi aux sources officielles et une note claire sur le moment où un conseil juridique s'impose.

AetherDigital· AI Engineering & StrategyPublié le 11 juillet 202612 min de lecture

IA et protection des données en Suisse : ce qui s'applique vraiment

Réponse directe : La nouvelle loi suisse sur la protection des données révisée (nLPD, en vigueur depuis le 1er septembre 2023) est neutre sur le plan technologique et, selon le PFPDT, directement applicable aux traitements de données fondés sur l'IA. Pour les entreprises, cela signifie : transparence sur l'usage de l'IA, un registre des activités de traitement et, en cas de risque élevé, une analyse d'impact relative à la protection des données. Mise à jour : juillet 2026.

Ce guide explique ce que cela signifie concrètement lorsque vous utilisez l'IA avec des données personnelles - en termes clairs, avec renvoi aux sources officielles et une limite nette : il ne remplace pas un conseil juridique. La protection des données est un domaine où le cas concret compte ; les points ci-dessous vous aident à poser les bonnes questions et à reconnaître quand faire appel à un professionnel.

La loi sur la protection des données s'applique-t-elle à l'IA ?

Oui. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a précisé que la loi applicable sur la protection des données s'applique directement à l'IA - elle est rédigée de façon neutre sur le plan technologique et n'a pas besoin d'une loi IA distincte pour s'appliquer. Dès qu'une application d'IA traite des données personnelles, les principes habituels valent : licéité, bonne foi, proportionnalité, limitation de la finalité, exactitude des données et transparence.

La conséquence importe : il n'y a pas d'échappatoire du type "c'était l'IA". Celui qui déploie une IA reste responsable du traitement des données - que le modèle provienne ou non d'un tiers. C'est pourquoi la protection des données appartient à tout projet IA dès le départ, pas à un audit ultérieur, comme nous le soulignons aussi dans le guide sur l'introduction de l'IA en entreprise.

(Source : PFPDT, informations sur l'IA et la protection des données, admin.ch. La nLPD révisée est en vigueur depuis le 1er septembre 2023.)

Les obligations concrètes pour l'IA avec données personnelles

Ces obligations découlent de la nLPD révisée et de la pratique du PFPDT. Le tableau les situe - c'est une orientation, pas un avis juridique définitif.

ObligationCe que cela signifie pour l'IASource / remarque
Transparence / informationLes personnes doivent savoir quand des données personnelles sont traitées - et, selon le PFPDT, si elles communiquent avec une machine et si les saisies sont réutiliséesPFPDT, IA et protection des données (admin.ch)
Registre des activités de traitementLes traitements fondés sur l'IA figurent au registre (finalité, catégories de données, destinataires, conservation)nLPD révisée ; exception pour les PME de moins de 250 employés à faible risque
Analyse d'impact relative à la protection des données (AIPD)En cas de risque élevé - profilage à risque élevé ou traitement étendu de données sensibles - une AIPD est requisenLPD révisée ; indépendant de la taille de l'entreprise
Contrat de sous-traitanceSi vous utilisez un outil IA externe, il vous faut un contrat de sous-traitance et vous devez évaluer les transferts à l'étrangernLPD révisée ; devoir de diligence dans le choix du prestataire
Minimisation des données & limitation de la finalitéSeulement les données nécessaires dans les invites, journaux et données d'entraînement ; pas de détournement de finalité sans basePrincipes de la nLPD révisée

Cette vue d'ensemble est volontairement générale et ne remplace pas un examen de votre cas concret. Pour l'interprétation contraignante, faites appel à un professionnel du droit de la protection des données.

Quand une analyse d'impact (AIPD) est-elle requise ?

Selon la nLPD révisée, une AIPD est requise lorsqu'un traitement envisagé est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Le risque élevé comprend notamment le profilage étendu à risque élevé et le traitement étendu de données personnelles sensibles (données de santé, religieuses ou biométriques).

Pour les projets IA, cela signifie concrètement : un bot de connaissance répondant à des informations produit publiques ne déclenche généralement pas d'AIPD. Un système qui évalue automatiquement des candidats, construit des profils clients pour des décisions ou traite des données de santé, très probablement si.

Important : le seuil des 250 employés ne concerne que l'exception au registre des traitements - pas l'obligation d'AIPD. Une petite entreprise peut être partiellement dispensée du registre et devoir tout de même mener une AIPD si le traitement est risqué. L'AIPD appartient à la phase de conception, car elle co-détermine l'architecture (hébergement, journalisation, contrôle d'accès).

(Source : nLPD révisée ; notions de base du PFPDT sur l'AIPD, admin.ch.)

Garde-fous pratiques de protection des données pour les projets IA

Ces mesures techniques et organisationnelles traitent les risques de protection des données les plus fréquents avec l'IA. Elles complètent, sans remplacer, l'examen juridique.

  1. Minimisation des données dans les invites et journaux

    Ne mettez que les données personnelles vraiment nécessaires dans le système. Vérifiez ce qui est journalisé et pendant combien de temps - les journaux sont un lieu de stockage de données personnelles souvent oublié.

  2. Pas d'entraînement sur vos données sans base

    Clarifiez contractuellement si le prestataire utilise vos saisies pour l'entraînement du modèle. Pour un usage professionnel avec données personnelles, il vous faut généralement une exclusion de l'entraînement.

  3. Lieu d'hébergement adapté

    Vérifiez où les données sont traitées. Pour beaucoup de secteurs suisses, l'hébergement suisse ou UE est une condition ; les transferts vers des États tiers exigent une base légale.

  4. Contrat de sous-traitance

    Tout service IA externe qui traite des données personnelles a besoin d'un contrat correspondant avec des obligations claires sur la sécurité, la réutilisation et la suppression.

  5. Transparence envers les personnes concernées

    Rendez transparent, dans la déclaration de confidentialité et à l'interface, que l'IA est utilisée et pourquoi - et où des personnes parlent à une machine.

  6. Humain dans la boucle pour les décisions

    Pour les décisions touchant des personnes (candidature, crédit, performance), il faut une relecture humaine et une traçabilité plutôt qu'une sortie automatique en boîte noire.

Quand vous avez besoin d'un avocat ou d'un professionnel de la protection des données

Ce guide vous aide à poser les bonnes questions et à mettre en place les garde-fous techniques. Mais il ne remplace pas un conseil juridique, et dans les situations suivantes vous devriez consulter un professionnel de la protection des données :

Données sensibles. Les données de santé, biométriques, religieuses ou relatives à des poursuites pénales exigent un examen plus strict et souvent une AIPD.

Décisions individuelles automatisées. Lorsqu'une IA prend des décisions produisant des effets juridiques ou un impact significatif sur des personnes, des obligations particulières d'information et de contrôle s'appliquent.

Transferts à l'étranger. Dès que des données touchent des prestataires ou serveurs hors de Suisse et de l'UE, la base légale doit être soigneusement clarifiée.

Activité transfrontalière / RGPD. Si vous vous adressez à des personnes dans l'UE, le RGPD entre en outre en jeu - avec des exigences en partie plus strictes que la nLPD révisée.

La posture honnête : en tant que partenaire d'intégration IA, nous mettons en œuvre l'architecture respectueuse de la vie privée et collaborons avec vos conseils juridiques - mais nous ne donnons pas d'avis juridique contraignant. Cette clarté fait partie d'un projet IA sérieux.

Questions fréquentes

  • La loi suisse sur la protection des données s'applique-t-elle aux applications IA ?

    Oui. Le PFPDT a précisé que la nLPD révisée (en vigueur depuis le 1er septembre 2023) est neutre sur le plan technologique et directement applicable aux traitements fondés sur l'IA. Dès qu'une IA traite des données personnelles, les principes de la LPD s'appliquent - transparence, limitation de la finalité, minimisation des données - et la responsabilité reste à l'entreprise, même si le modèle provient d'un tiers.

  • Ai-je besoin d'une analyse d'impact pour un projet IA ?

    Une AIPD est requise lorsque le traitement est susceptible d'entraîner un risque élevé pour les personnes concernées, en particulier pour un profilage étendu à risque élevé ou le traitement étendu de données sensibles. Un simple bot de connaissance avec des informations publiques n'en a généralement pas besoin ; un système qui évalue automatiquement des personnes ou traite des données de santé, très probablement si. L'obligation dépend du risque, pas de la taille de l'entreprise.

  • Dois-je inscrire l'usage de l'IA au registre des activités de traitement ?

    En général oui : les traitements fondés sur l'IA de données personnelles figurent au registre avec finalité, catégories de données, destinataires et conservation. Les entreprises de moins de 250 employés bénéficient d'une exception partielle au registre à faible risque - mais cette exception ne couvre pas l'obligation d'AIPD.

  • Les collaborateurs peuvent-ils saisir des données personnelles dans un outil IA ?

    Pas dans des outils grand public gratuits quelconques. Les données personnelles ne peuvent entrer que dans des systèmes disposant d'une base légale claire, d'un contrat de sous-traitance, d'une exclusion de l'entraînement et d'un lieu d'hébergement adapté. Les saisies non encadrées dans des outils ouverts sont l'une des violations de protection des données les plus fréquentes - une courte politique d'usage l'évite.

  • Quelle différence entre la nLPD révisée et le RGPD pour l'IA ?

    La nLPD révisée est le droit suisse et régit les traitements suisses ; le RGPD est le droit de l'UE et devient en outre pertinent dès que vous traitez ou vous adressez à des personnes dans l'UE. Les principes de base sont similaires, et le RGPD est en partie plus strict (par exemple sur les amendes et certaines obligations). Pour une activité transfrontalière, il faut tenir compte des deux - un conseil juridique est ici payant.

  • AETHER Digital aide-t-il à mettre en œuvre l'IA de façon conforme à la protection des données ?

    Oui - au niveau technique et organisationnel. Nous construisons l'architecture respectueuse de la vie privée (hébergement, minimisation des données, contrôle d'accès, sous-traitance) et collaborons avec vos conseils juridiques. Nous ne donnons volontairement pas d'avis juridique contraignant ; nous veillons plutôt à ce que la technique satisfasse aux exigences légales et disons clairement quand un professionnel est requis.

Études de cas associées

Poursuivre la lecture

Utiliser l'IA et respecter la protection des données suisse - les deux sont possibles

La protection des données n'est pas une raison de renoncer à l'IA - c'est une raison de la construire correctement. Nous mettons en œuvre l'architecture respectueuse de la vie privée et disons honnêtement quand vous avez besoin d'un conseil juridique.

Un appel. Trente minutes. Une vision claire de ce qui est possible et de ce qu'il faudrait. Pas de slides, pas de pression.

Discovery 30 min gratuit · Sans pression tarifaire · Confidentialité suisse