Le guide, sans jargon juridique

IA et LPD/nLPD en Suisse : ce que ça implique

Un point clair sur ce que la nouvelle Loi sur la protection des données change pour vos projets IA, et comment on construit en respectant la résidence des données. Important : nous ne donnons pas de conseil juridique.

Hébergement européenOpen sourceTraçable

14'036+ sites créés ces 30 derniers jours

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Hébergement européen
Open source
Traçable

Depuis le 1er septembre 2023, la nouvelle loi sur la protection des données (nLPD) est en vigueur en Suisse. Elle ne cite pas l'intelligence artificielle nommément, et c'est voulu: la loi est formulée de façon technologiquement neutre. Conséquence directe: tout système IA qui traite des données personnelles de personnes physiques est soumis à la nLPD, point. Ce guide explique ce que cela signifie concrètement pour une entreprise suisse qui déploie ou envisage de déployer des outils IA, qu'il s'agisse d'un chatbot interne, d'un outil de recrutement automatisé, d'un moteur de recommandation ou d'une solution d'analyse de la clientèle.

14'036+
sites créés ces 30 derniers jours
16
langues
100%
hébergement UE
0
US cloud

Les points clés à connaître

L'essentiel, expliqué simplement.

Résidence des données

Où sont stockées et traitées vos données compte. On construit avec hébergement européen et modèles open source.

Minimisation

Ne traiter que les données nécessaires : un principe simple qui réduit le risque.

Transparence et traçabilité

Savoir ce que l'IA fait de vos données, avec des traitements journalisés et auditables.

Sous-traitants

Choisir des prestataires qui n'exposent pas vos données à des clouds tiers non maîtrisés.

La nLPD et l'IA: le principe de neutralité technologique

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a confirmé sa position en novembre 2023: la loi actuelle sur la protection des données est directement applicable à l'IA. La Suisse n'a pas de loi spécifique sur l'intelligence artificielle, contrairement à l'Union européenne et son AI Act. Le législateur suisse a sciemment choisi une approche fondée sur la neutralité technologique: les règles existantes (nLPD, Code des obligations, LRFP) s'appliquent à toute technologie, y compris l'IA. Cela signifie que votre fournisseur de CRM dopé à l'IA, votre outil d'analyse prédictive ou votre assistant conversationnel interne entrent tous dans le champ d'application de la nLPD dès l'instant où ils traitent des données se rapportant à une personne identifiable.

  • Aucune loi IA dédiée en Suisse à ce jour: la nLPD fait office de cadre principal
  • Neutralité technologique: le texte légal ne cite pas l'IA mais s'y applique intégralement
  • Le PFPDT a confirmé cette interprétation officiellement en novembre 2023
  • La Convention-cadre du Conseil de l'Europe sur l'IA (signée par la Suisse le 27 mars 2025) renforcera ce dispositif d'ici 2026-2027
  • L'AI Act européen peut s'appliquer indirectement aux entreprises suisses qui traitent des données de résidents UE

Les cinq obligations fondamentales pour toute utilisation de l'IA

Quelle que soit la nature du système IA déployé, cinq principes de la nLPD s'imposent à l'entreprise responsable du traitement.

  • Transparence: les personnes concernées doivent savoir qu'un système IA traite leurs données, à quelle fin et sur quelle base. L'opacité délibérée est une violation.
  • Finalité déterminée: les données collectées pour une finalité précise ne peuvent pas être réutilisées librement pour entraîner ou améliorer un modèle IA sans base légale distincte.
  • Minimisation: un système IA ne doit traiter que les données strictement nécessaires à l'objectif poursuivi. Agréger des données au cas où serait une violation de ce principe.
  • Exactitude: les données alimentant un système IA doivent être tenues à jour. Une décision automatisée basée sur des données obsolètes engage la responsabilité de l'entreprise.
  • Sécurité et traçabilité: les traitements IA doivent être journalisés et les accès contrôlés. En cas de violation de données, la nLPD impose une notification aux autorités sans délai injustifié (contre 72h pour le RGPD).

Décisions automatisées et droit d'opposition: ce que vos utilisateurs peuvent exiger

La nLPD confère aux personnes concernées un droit d'opposition aux décisions prises uniquement sur la base d'un traitement automatisé, dès lors que ces décisions ont des effets juridiques ou des effets significatifs analogues sur elles. Concrètement: si votre outil IA refuse automatiquement une candidature, fixe un tarif d'assurance ou refuse un crédit sans intervention humaine, la personne concernée peut exiger qu'une personne physique réexamine la décision. Le PFPDT formule cela en termes de haute autodétermination numérique: les entreprises doivent donner aux personnes concernées les moyens de comprendre et, au besoin, de contester les décisions automatisées qui les affectent. Ce droit d'opposition n'est pas optionnel: il doit être opérationnel avant le déploiement du système, pas après.

  • Droit d'opposition aux décisions automatisées ayant des effets juridiques ou significatifs
  • Obligation de prévoir un mécanisme de réexamen humain sur demande
  • La transparence sur le fonctionnement de l'algorithme est une condition préalable à ce droit
  • Secteurs particulièrement exposés: RH (screening de candidatures), assurances (tarification), banques (scoring de crédit), e-commerce (personnalisation discriminante)

Quand une Analyse d'Impact sur la Protection des Données (AIPD) est-elle obligatoire?

La nLPD introduit l'obligation de réaliser une Analyse d'Impact sur la Protection des Données (AIPD, ou DPIA en anglais) avant tout traitement susceptible de présenter un risque élevé pour les droits et libertés fondamentaux des personnes concernées. Pour les systèmes IA, le seuil de risque élevé est rapidement atteint. Une AIPD est requise notamment lorsque: le traitement porte sur des données sensibles à grande échelle (santé, opinions politiques, données biométriques), le système effectue un profilage extensif des personnes, les décisions automatisées ont des effets légaux ou économiques significatifs, ou le traitement implique la surveillance systématique d'un espace accessible au public. L'AIPD doit être réalisée avant le lancement, documentée et mise à jour si le système évolue. Si l'analyse révèle un risque résiduel élevé non atténué, le PFPDT peut être consulté.

  • Traitement de données sensibles à grande échelle: AIPD obligatoire
  • Profilage extensif ou scoring automatisé: AIPD obligatoire
  • Décisions automatisées aux effets légaux ou économiques significatifs: AIPD obligatoire
  • Surveillance systématique d'espaces publics: AIPD obligatoire
  • L'AIPD doit être réalisée avant le déploiement, pas après un incident
  • Le PFPDT peut être consulté si un risque résiduel élevé subsiste

Pratiques IA interdites par la nLPD

Si la nLPD n'établit pas de liste exhaustive des usages IA prohibés, certaines pratiques sont clairement incompatibles avec les droits fondamentaux qu'elle protège, ainsi qu'avec les positions du PFPDT.

  • Reconnaissance faciale en temps réel à grande échelle dans les espaces publics: incompatible avec la nLPD et les droits fondamentaux
  • Systèmes de notation sociale (social scoring) évaluant systématiquement les individus sur l'ensemble de leur comportement: incompatibles avec l'autodétermination informationnelle protégée par la LPD
  • Collecte et traitement de données biométriques sans base légale solide et sans finalité légitime et documentée
  • Entraînement de modèles IA avec des données personnelles détournées de leur finalité initiale, sans base légale distincte
  • Traitements de données sensibles (santé, origine raciale, opinions politiques) sans consentement explicite ou sans autre base légale admise

Entraîner un modèle IA avec vos données internes: ce que dit la nLPD

L'un des cas les plus fréquents en entreprise: utiliser des données internes (emails, dossiers RH, historiques clients, contrats) pour entraîner ou affiner un modèle IA. La nLPD impose plusieurs garde-fous. D'abord, la finalité: les données collectées pour gérer des contrats clients ne peuvent pas être réutilisées pour entraîner un modèle IA sans base légale distincte. Ensuite, la localisation: si le modèle est hébergé par un fournisseur hors Suisse ou hors EEE, un transfert international de données a lieu, soumis aux garanties adéquates de la nLPD. Enfin, l'opacité des modèles: une fois entraîné, il est difficile de garantir qu'aucune donnée personnelle ne peut être extraite ou déduite. Une architecture souveraine, avec un modèle déployé sur une infrastructure européenne ou sur vos propres serveurs, est la réponse la plus robuste à ce problème.

  • Vérifier la base légale avant toute réutilisation de données internes pour l'IA
  • Documenter la finalité d'entraînement et s'assurer de sa compatibilité avec la collecte initiale
  • Identifier si un transfert international a lieu (fournisseur US, cloud hors EEE) et mettre en place les garanties adéquates
  • Classifier vos données (publiques, internes, confidentielles, sensibles) avant de décider lesquelles peuvent alimenter un modèle
  • Privilégier les modèles open source déployés sur infrastructure européenne pour éviter l'extraterritorialité
  • Documenter les décisions d'architecture dans un registre de traitement

Sanctions nLPD: responsabilité personnelle et montants

Un point souvent sous-estimé: contrairement au RGPD qui sanctionne l'entreprise, la nLPD sanctionne en premier lieu les personnes physiques. Ce sont les dirigeants, les responsables informatiques et certains collaborateurs qui peuvent être poursuivis et condamnés à des amendes personnelles. Le montant maximum est de 250'000 CHF par violation. Les violations les plus exposées concernent: le non-respect de l'obligation d'informer, le défaut de notification d'une violation de données à l'autorité compétente, ou la violation des obligations relatives aux décisions individuelles automatisées. La sanction n'est pas automatique: une plainte doit être déposée. Mais le risque réputationnel, en cas de procédure publique, peut être supérieur à l'amende elle-même.

  • Sanction max: 250'000 CHF par violation (amende personnelle, pas d'entreprise)
  • Personnes exposées: dirigeants, responsables IT, DPO, collaborateurs impliqués
  • Violations les plus fréquemment sanctionnées: défaut d'information, absence de notification de violation, violation des règles sur les décisions automatisées
  • Pas d'amende automatique: une plainte est nécessaire (contrairement au RGPD)
  • Risque réputationnel potentiellement plus élevé que l'amende elle-même

LPD vs RGPD: les différences clés pour les projets IA

De nombreuses entreprises suisses traitent également des données de résidents européens et sont donc soumises au RGPD en parallèle de la nLPD. Les deux cadres se ressemblent sur l'essentiel mais divergent sur plusieurs points importants. Ci-dessous les différences les plus significatives pour un projet IA.

  • Sanctions: RGPD cible les entreprises (jusqu'à 4% du CA mondial), nLPD cible les personnes physiques (max 250'000 CHF)
  • DPO: obligatoire dans certains cas sous RGPD, recommandé mais non obligatoire sous nLPD
  • Notification de violation: 72h pour le RGPD, sans délai injustifié pour la nLPD (plus flexible mais aussi plus vague)
  • Consentement: nLPD n'exige pas un consentement explicite comme base légale unique, contrairement au RGPD qui en fait un fondement central
  • Portée extraterritoriale: RGPD s'applique dès qu'un résident UE est concerné, même si l'entreprise est en Suisse
  • AI Act UE: ne s'applique pas directement en Suisse, mais une entreprise suisse qui commercialise en UE peut y être soumise

Perspectives réglementaires 2025-2027: ce qui arrive

Le cadre légal suisse sur l'IA est en mouvement. Plusieurs évolutions sont à anticiper pour les entreprises qui déploient des systèmes IA.

  • Convention du Conseil de l'Europe sur l'IA (CETS 225): la Suisse a signé le 27 mars 2025. Sa ratification créera des obligations supplémentaires, notamment en matière de systèmes IA à risque élevé et de supervision par les autorités
  • AI Act UE en vigueur progressivement jusqu'en 2026: les entreprises suisses qui opèrent sur le marché UE peuvent être concernées, notamment pour les systèmes IA à haut risque (RH, crédit, santé, infrastructure critique)
  • Révision potentielle de la nLPD: le Conseil fédéral suit l'évolution européenne et une adaptation est envisageable à l'horizon 2026-2027
  • Ordonnance fédérale sur l'utilisation de l'IA dans l'administration: en consultation, pourrait inspirer des normes sectorielles privées
  • Montée en puissance du PFPDT: davantage de prises de position sectorielles sur des usages IA spécifiques (chatbots, profilage, IA générative)

Checklist: dix actions concrètes pour une IA conforme à la nLPD

Voici un point de départ opérationnel pour les entreprises qui déploient ou envisagent de déployer des outils IA. Cette liste n'est pas un avis juridique: consultez un juriste spécialisé pour votre situation spécifique.

  • 1. Cartographier: dresser la liste de tous les outils IA utilisés dans votre organisation et identifier lesquels traitent des données personnelles
  • 2. Classifier les données: distinguer données publiques, internes, confidentielles et sensibles avant de décider lesquelles peuvent alimenter un modèle
  • 3. Documenter la finalité: pour chaque traitement IA, documenter la finalité précise dans votre registre des activités de traitement
  • 4. Évaluer le risque: déterminer si un traitement nécessite une AIPD (données sensibles, profilage, décisions automatisées impactantes)
  • 5. Informer: s'assurer que les mentions d'information (politique de confidentialité, avis de traitement) couvrent explicitement les usages IA
  • 6. Prévoir l'opposition: mettre en place un mécanisme opérationnel de recours humain pour toute décision automatisée significative
  • 7. Contrôler les sous-traitants: vérifier les garanties offertes par vos fournisseurs IA (localisation, transferts, certifications)
  • 8. Former les équipes: sensibiliser les collaborateurs aux obligations nLPD dans le contexte IA, notamment les équipes RH, marketing et IT
  • 9. Tester et auditer: prévoir des audits réguliers des systèmes IA pour vérifier la conformité et l'absence de biais discriminatoires
  • 10. Tenir un registre vivant: mettre à jour la documentation à chaque évolution du système IA ou de la réglementation

nLPD vs RGPD: les différences essentielles pour vos projets IA

La plupart des entreprises suisses doivent jongler avec les deux cadres. Voici les différences les plus importantes à connaître pour structurer vos projets IA.

CritèrenLPD (Suisse)RGPD (UE)
Entrée en vigueur1er septembre 202325 mai 2018
SanctionsMax 250'000 CHF, amende personnelleJusqu'à 4% du CA mondial, amende sur l'entreprise
DPO (délégué à la protection des données)Recommandé, non obligatoire pour PMEObligatoire dans certains cas
Délai de notification de violationSans délai injustifié (plus souple)72 heures maximum
Consentement comme base légaleUne base parmi plusieurs (plus flexible)Centrale mais encadrée
AIPD obligatoireOui, pour traitements à risque élevéOui, pour traitements à risque élevé
Portée extraterritorialeS'applique si l'entreprise traite des données de personnes en SuisseS'applique dès qu'un résident UE est concerné
Loi IA spécifiqueAucune (neutralité technologique)AI Act en vigueur progressivement jusqu'en 2026

Notre rôle

On construit en respectant vos données

On ne fait pas de droit, mais on construit l'IA de façon à respecter la résidence et la confidentialité de vos données.

Hébergement européen

Infrastructure en Europe (Hetzner), pas de cloud US.

Open source

Modèles open source sur notre infrastructure, vos données ne servent pas à entraîner de modèle.

Traçable

Traitements journalisés et auditables.

swissIa.lpdNlpdSuisse.localContextTitle

La Suisse dispose d'une autorité indépendante dédiée: le Préposé fédéral à la protection des données et à la transparence (PFPDT), basé à Berne, qui émet des recommandations et peut ouvrir des enquêtes préliminaires.
Les cantons de Vaud, Genève, Fribourg et Neuchâtel ont leurs propres législations cantonales sur la protection des données, applicables aux entités publiques cantonales. Pour les entreprises privées, c'est la nLPD fédérale qui prime.
La Suisse romande compte plusieurs acteurs spécialisés en conformité nLPD et IA: cabinets d'avocats spécialisés (notamment à Genève et Lausanne), consultants en protection des données et prestataires technologiques qui intègrent la conformité dès la conception.
Le secteur financier suisse (banques, assurances, gestion de fortune) est particulièrement exposé aux obligations nLPD dans le contexte IA, compte tenu de la nature sensible des données traitées et des décisions automatisées fréquentes (scoring, détection de fraude, conseil automatisé).
La Convention-cadre du Conseil de l'Europe sur l'IA (signée par la Suisse le 27 mars 2025) est le premier traité international juridiquement contraignant sur l'IA. Sa ratification par le Parlement suisse créera des obligations formelles supplémentaires.

Questions fréquentes

La LPD s'applique-t-elle aux outils IA comme ChatGPT ou Copilot utilisés en entreprise?

Oui. Dès lors que ces outils traitent des données personnelles de personnes physiques identifiables (noms, emails, informations sur des employés ou clients), la nLPD s'applique. L'entreprise qui utilise ces outils est responsable du traitement. Elle doit s'assurer que la finalité est documentée, que les personnes sont informées et que les données ne sont pas réutilisées à des fins non prévues par le fournisseur. Une vérification des conditions contractuelles du fournisseur est indispensable, notamment sur la localisation des données et la réutilisation pour l'entraînement de modèles.

Mon entreprise doit-elle nommer un délégué à la protection des données (DPO) pour utiliser l'IA?

La nLPD ne rend pas le DPO obligatoire dans les mêmes conditions que le RGPD. Cependant, nommer ou mandater un responsable de la protection des données est fortement recommandé dès lors que votre entreprise déploie des systèmes IA traitant des données personnelles à grande échelle ou des données sensibles. Ce responsable peut être interne ou externe (conseiller juridique, consultant spécialisé). Son rôle: superviser la conformité, réaliser les AIPD, gérer les demandes des personnes concernées et assurer la liaison avec le PFPDT si nécessaire.

Qu'est-ce qu'une AIPD et dans quels cas est-elle obligatoire pour un projet IA?

Une Analyse d'Impact sur la Protection des Données (AIPD) est une évaluation documentée des risques qu'un traitement de données fait peser sur les droits et libertés des personnes concernées. Elle est obligatoire sous la nLPD lorsque le traitement est susceptible de présenter un risque élevé: traitement de données sensibles à grande échelle, profilage extensif, décisions automatisées aux effets significatifs, ou surveillance systématique. Pour la plupart des projets IA ambitieux en entreprise (IA RH, scoring client, analyse comportementale), une AIPD est nécessaire. Elle doit être réalisée avant le déploiement.

Peut-on entraîner un modèle IA avec les données clients ou employés de l'entreprise?

Oui, sous conditions. Il faut d'abord disposer d'une base légale valide pour ce nouveau traitement (la collecte initiale des données ne suffit pas si la finalité était différente). Les personnes concernées doivent être informées de cette utilisation. Si les données sont sensibles, le consentement explicite ou une autre base légale forte est requis. La localisation du modèle est déterminante: un modèle hébergé sur des serveurs hors Suisse ou hors EEE implique un transfert international de données, soumis à des garanties supplémentaires. Documenter ces décisions dans votre registre de traitement est indispensable.

Quelles pratiques IA sont interdites par la nLPD?

La nLPD n'établit pas une liste exhaustive mais le PFPDT a précisé que certaines applications sont incompatibles avec les droits fondamentaux qu'elle protège: la reconnaissance faciale généralisée en temps réel dans les espaces publics, les systèmes de notation sociale (social scoring) qui évaluent systématiquement les comportements des individus, et toute collecte ou traitement de données biométriques ou sensibles sans base légale solide. L'AI Act de l'UE, qui interdit explicitement certaines de ces pratiques, peut s'appliquer indirectement aux entreprises suisses qui traitent des données de résidents UE.

Quelles sont les sanctions en cas de violation de la nLPD dans le contexte IA?

La nLPD sanctionne les personnes physiques, pas directement l'entreprise. Les amendes peuvent atteindre 250'000 CHF par violation. Les dirigeants, responsables informatiques et collaborateurs impliqués sont personnellement exposés. Les violations les plus sanctionnables: ne pas informer les personnes concernées, ne pas notifier une violation de données, ou violer les règles sur les décisions individuelles automatisées. Une plainte doit être déposée pour déclencher une procédure. Le risque réputationnel est souvent plus préoccupant que l'amende elle-même.

La nLPD et le RGPD s'appliquent-ils simultanément à mon entreprise suisse?

Cela dépend de votre activité. Si vous traitez des données de résidents de l'UE (clients, partenaires, prospects), le RGPD s'applique à ces traitements, que votre entreprise soit en Suisse ou non. La nLPD s'applique à tous les traitements de données de personnes en Suisse. En pratique, beaucoup d'entreprises suisses doivent respecter les deux cadres. Bonne nouvelle: les deux sont largement alignés et une politique de conformité bien construite couvre les deux, à condition de tenir compte des quelques différences (sanctions, DPO, délais de notification).

L'AI Act européen concerne-t-il les entreprises basées en Suisse?

L'AI Act de l'UE ne s'applique pas directement en Suisse, qui n'est pas membre de l'UE. Cependant, si votre entreprise met sur le marché européen des systèmes IA, ou si vos systèmes produisent des effets sur des personnes dans l'UE, les règles de l'AI Act peuvent vous concerner. Par ailleurs, la Suisse a signé la Convention du Conseil de l'Europe sur l'IA (mars 2025), dont la ratification introduira des obligations complémentaires, en particulier pour les systèmes IA à risque élevé.

Comment choisir un fournisseur IA conforme à la nLPD?

Trois critères principaux: la localisation des données (préférer des serveurs en Suisse ou en UE/EEE pour éviter les transferts internationaux non encadrés), la politique de réutilisation des données (le fournisseur utilise-t-il vos données pour entraîner ses modèles? Si oui, avec quelle base légale?), et la transparence contractuelle (le fournisseur peut-il vous fournir un registre des sous-traitants, un DPA, des garanties de sécurité documentées?). Les modèles open source déployés sur votre infrastructure ou sur une infrastructure européenne offrent généralement la meilleure réponse à ces trois critères.

La nLPD s'applique-t-elle aux modèles IA open source déployés en interne?

Oui. La nLPD s'applique au responsable du traitement, c'est-à-dire à votre entreprise, quelle que soit la nature du modèle (open source ou propriétaire, hébergé en interne ou chez un tiers). Si votre modèle open source traite des données personnelles, toutes les obligations de la nLPD s'appliquent: information, minimisation, sécurité, AIPD si risque élevé, etc. L'avantage de l'open source déployé en interne est précisément de vous donner le contrôle total sur les données et d'éliminer le risque de transfert non voulu à un tiers.

Un projet IA qui respecte vos données ?

Parlons de votre cas. On construit dans le respect de la résidence des données.

Demander une démo personnalisée

Parlez-nous de votre équipe et on vous recontacte sous 24h.

Nous ne partageons jamais vos informations. Réponse sous 24h.

IA et LPD/nLPD en Suisse | Ce que ça implique (guide)