La LPD s'applique-t-elle aux outils IA comme ChatGPT ou Copilot utilisés en entreprise?
Oui. Dès lors que ces outils traitent des données personnelles de personnes physiques identifiables (noms, emails, informations sur des employés ou clients), la nLPD s'applique. L'entreprise qui utilise ces outils est responsable du traitement. Elle doit s'assurer que la finalité est documentée, que les personnes sont informées et que les données ne sont pas réutilisées à des fins non prévues par le fournisseur. Une vérification des conditions contractuelles du fournisseur est indispensable, notamment sur la localisation des données et la réutilisation pour l'entraînement de modèles.
Mon entreprise doit-elle nommer un délégué à la protection des données (DPO) pour utiliser l'IA?
La nLPD ne rend pas le DPO obligatoire dans les mêmes conditions que le RGPD. Cependant, nommer ou mandater un responsable de la protection des données est fortement recommandé dès lors que votre entreprise déploie des systèmes IA traitant des données personnelles à grande échelle ou des données sensibles. Ce responsable peut être interne ou externe (conseiller juridique, consultant spécialisé). Son rôle: superviser la conformité, réaliser les AIPD, gérer les demandes des personnes concernées et assurer la liaison avec le PFPDT si nécessaire.
Qu'est-ce qu'une AIPD et dans quels cas est-elle obligatoire pour un projet IA?
Une Analyse d'Impact sur la Protection des Données (AIPD) est une évaluation documentée des risques qu'un traitement de données fait peser sur les droits et libertés des personnes concernées. Elle est obligatoire sous la nLPD lorsque le traitement est susceptible de présenter un risque élevé: traitement de données sensibles à grande échelle, profilage extensif, décisions automatisées aux effets significatifs, ou surveillance systématique. Pour la plupart des projets IA ambitieux en entreprise (IA RH, scoring client, analyse comportementale), une AIPD est nécessaire. Elle doit être réalisée avant le déploiement.
Peut-on entraîner un modèle IA avec les données clients ou employés de l'entreprise?
Oui, sous conditions. Il faut d'abord disposer d'une base légale valide pour ce nouveau traitement (la collecte initiale des données ne suffit pas si la finalité était différente). Les personnes concernées doivent être informées de cette utilisation. Si les données sont sensibles, le consentement explicite ou une autre base légale forte est requis. La localisation du modèle est déterminante: un modèle hébergé sur des serveurs hors Suisse ou hors EEE implique un transfert international de données, soumis à des garanties supplémentaires. Documenter ces décisions dans votre registre de traitement est indispensable.
Quelles pratiques IA sont interdites par la nLPD?
La nLPD n'établit pas une liste exhaustive mais le PFPDT a précisé que certaines applications sont incompatibles avec les droits fondamentaux qu'elle protège: la reconnaissance faciale généralisée en temps réel dans les espaces publics, les systèmes de notation sociale (social scoring) qui évaluent systématiquement les comportements des individus, et toute collecte ou traitement de données biométriques ou sensibles sans base légale solide. L'AI Act de l'UE, qui interdit explicitement certaines de ces pratiques, peut s'appliquer indirectement aux entreprises suisses qui traitent des données de résidents UE.
Quelles sont les sanctions en cas de violation de la nLPD dans le contexte IA?
La nLPD sanctionne les personnes physiques, pas directement l'entreprise. Les amendes peuvent atteindre 250'000 CHF par violation. Les dirigeants, responsables informatiques et collaborateurs impliqués sont personnellement exposés. Les violations les plus sanctionnables: ne pas informer les personnes concernées, ne pas notifier une violation de données, ou violer les règles sur les décisions individuelles automatisées. Une plainte doit être déposée pour déclencher une procédure. Le risque réputationnel est souvent plus préoccupant que l'amende elle-même.
La nLPD et le RGPD s'appliquent-ils simultanément à mon entreprise suisse?
Cela dépend de votre activité. Si vous traitez des données de résidents de l'UE (clients, partenaires, prospects), le RGPD s'applique à ces traitements, que votre entreprise soit en Suisse ou non. La nLPD s'applique à tous les traitements de données de personnes en Suisse. En pratique, beaucoup d'entreprises suisses doivent respecter les deux cadres. Bonne nouvelle: les deux sont largement alignés et une politique de conformité bien construite couvre les deux, à condition de tenir compte des quelques différences (sanctions, DPO, délais de notification).
L'AI Act européen concerne-t-il les entreprises basées en Suisse?
L'AI Act de l'UE ne s'applique pas directement en Suisse, qui n'est pas membre de l'UE. Cependant, si votre entreprise met sur le marché européen des systèmes IA, ou si vos systèmes produisent des effets sur des personnes dans l'UE, les règles de l'AI Act peuvent vous concerner. Par ailleurs, la Suisse a signé la Convention du Conseil de l'Europe sur l'IA (mars 2025), dont la ratification introduira des obligations complémentaires, en particulier pour les systèmes IA à risque élevé.
Comment choisir un fournisseur IA conforme à la nLPD?
Trois critères principaux: la localisation des données (préférer des serveurs en Suisse ou en UE/EEE pour éviter les transferts internationaux non encadrés), la politique de réutilisation des données (le fournisseur utilise-t-il vos données pour entraîner ses modèles? Si oui, avec quelle base légale?), et la transparence contractuelle (le fournisseur peut-il vous fournir un registre des sous-traitants, un DPA, des garanties de sécurité documentées?). Les modèles open source déployés sur votre infrastructure ou sur une infrastructure européenne offrent généralement la meilleure réponse à ces trois critères.
La nLPD s'applique-t-elle aux modèles IA open source déployés en interne?
Oui. La nLPD s'applique au responsable du traitement, c'est-à-dire à votre entreprise, quelle que soit la nature du modèle (open source ou propriétaire, hébergé en interne ou chez un tiers). Si votre modèle open source traite des données personnelles, toutes les obligations de la nLPD s'appliquent: information, minimisation, sécurité, AIPD si risque élevé, etc. L'avantage de l'open source déployé en interne est précisément de vous donner le contrôle total sur les données et d'éliminer le risque de transfert non voulu à un tiers.