Nouveau Audit de site web gratuit & automatisé
Conformité

nLPD & RGPD : héberger l'IA de votre PME en Suisse

Conformité · Lecture 7 min ·
Drapeau suisse illustré au trait

Note préalable : cet article est rédigé à titre informatif et ne constitue pas un conseil juridique. Pour toute question relative à votre situation spécifique, consultez un avocat spécialisé en protection des données.

Depuis le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) est en vigueur en Suisse. Elle modernise considérablement l'ancienne LPD de 1992 et rapproche le cadre suisse des exigences du RGPD européen. Pour les PME qui utilisent des outils d'IA, cette évolution soulève des questions pratiques : quelles données peut-on traiter avec l'IA ? Où doivent-elles être hébergées ? Quels sous-traitants peut-on utiliser ?

La nLPD en quelques points clés

La nLPD s'applique à toute entreprise établie en Suisse qui traite des données personnelles, mais aussi à toute entreprise étrangère dont les traitements ont des effets en Suisse. Les principales nouveautés par rapport à l'ancienne loi :

  • Obligation de transparence renforcée. Les personnes dont vous collectez les données doivent être informées de la finalité du traitement, de sa durée, et des éventuels transferts à des tiers — y compris des sous-traitants IA.
  • Privacy by design et privacy by default. La protection des données doit être intégrée dès la conception d'un système, et les paramètres par défaut doivent être les plus protecteurs possible.
  • Obligation de notifier les violations de données. En cas de fuite ou d'accès non autorisé, le Préposé fédéral à la protection des données (PFPDT) doit être notifié dans les meilleurs délais.
  • Sanctions renforcées. Des amendes jusqu'à 250 000 CHF peuvent être prononcées à l'encontre des personnes physiques responsables (dirigeants, délégués à la protection des données).

nLPD et RGPD : les différences qui comptent pour une PME

La nLPD et le RGPD partagent les mêmes principes fondamentaux (licéité, proportionnalité, transparence, droits des personnes), mais quelques différences pratiques méritent d'être connues.

Le consentement n'est pas la seule base légale

Sous la nLPD, le traitement de données personnelles est légal s'il repose sur un intérêt légitime ou sur un motif justificatif — pas nécessairement sur un consentement explicite. C'est une différence avec le RGPD, qui exige souvent un consentement clair pour les traitements sensibles. Cela dit, pour les données sensibles (santé, opinions politiques, données biométriques), le consentement exprès reste requis.

Les données des personnes morales ne sont pas protégées

La nLPD protège uniquement les données des personnes physiques. Si vous traitez uniquement des données d'entreprises (raison sociale, SIRET, etc.), sans données personnelles des dirigeants ou employés, la nLPD ne s'applique pas directement.

Le RGPD peut quand même s'appliquer

Si votre PME traite des données de résidents de l'UE — clients français, italiens, allemands — le RGPD s'applique également, indépendamment de votre localisation en Suisse. Dans ce cas, vous êtes soumis aux deux régimes. La bonne nouvelle : un système conforme à la nLPD est généralement très proche de la conformité RGPD.

Pourquoi l'hébergement en Suisse ou dans l'UE compte

Quand vous utilisez un outil d'IA — qu'il s'agisse d'un modèle de langage, d'un outil de reconnaissance d'images ou d'un système de traitement automatique de documents — les données que vous lui soumettez sont traitées sur les serveurs de l'éditeur. Si ces serveurs se trouvent aux États-Unis ou dans un pays tiers sans garanties équivalentes, vous effectuez un transfert de données vers l'étranger.

La nLPD encadre strictement ces transferts. Un transfert vers l'étranger n'est autorisé que si le pays destinataire offre un niveau de protection adéquat (la liste est publiée par le PFPDT), ou si des garanties appropriées sont mises en place (clauses contractuelles types, règles d'entreprise contraignantes).

En pratique, cela signifie que si vous transmettez des données clients à un service d'IA hébergé aux États-Unis, vous devez vérifier que l'éditeur dispose bien de clauses contractuelles types valides — et que vos clients en sont informés.

Héberger vos systèmes en Suisse ou dans l'UE supprime cette complexité pour les données de résidents suisses et européens. C'est une décision de confort opérationnel autant que de conformité.

Points de vigilance concrets quand on utilise l'IA

Les modèles de langage grand public ne sont pas adaptés aux données sensibles

Quand vous collez un e-mail client dans ChatGPT pour en faire un résumé, vous transmettez potentiellement des données personnelles à un service hébergé hors Suisse, dont les conditions de traitement incluent parfois l'utilisation des données pour l'entraînement des modèles. Pour des données peu sensibles (textes marketing, contenu public), le risque est faible. Pour des données médicales, financières ou juridiques, ce type d'usage pose des problèmes réels.

Vérifiez si votre sous-traitant IA agit comme responsable ou sous-traitant

Sous la nLPD, la relation avec un fournisseur d'IA doit être formalisée. Si le fournisseur traite des données personnelles pour votre compte, il agit comme sous-traitant et vous devez conclure un accord de traitement des données (Data Processing Agreement). Vérifiez que votre contrat le prévoit explicitement.

Informez vos clients si leurs données passent par un système IA

Si vous utilisez l'IA pour analyser les communications de vos clients, générer des réponses automatiques ou traiter leurs documents, cela doit être mentionné dans votre politique de confidentialité. Le principe de transparence s'applique aux traitements automatisés.

Prévoyez une revue humaine pour les décisions importantes

La nLPD, comme le RGPD, pose des limites aux décisions entièrement automatisées qui ont un effet significatif sur une personne. Si votre agent IA prend des décisions autonomes (acceptation ou refus d'une demande, tarification personnalisée), une possibilité de révision humaine doit être prévue.

Ce qu'on recommande en pratique

Pour les PME suisses qui démarrent avec l'IA, voici l'approche que l'on met en place avec nos clients :

  • Héberger les systèmes d'automatisation (n8n, bases de données, outils de stockage) en Suisse ou dans l'UE.
  • Utiliser des API de modèles de langage avec des conditions contractuelles explicites (pas de réentraînement sur les données clients) — des options existent chez plusieurs fournisseurs majeurs.
  • Mettre à jour la politique de confidentialité pour mentionner les sous-traitants IA utilisés.
  • Ne pas traiter de données sensibles (santé, finances personnelles, données biométriques) avec des outils grand public non sécurisés.

Ces mesures ne nécessitent pas un département juridique dédié. Elles demandent en revanche de la rigueur dans le choix des outils et dans leur configuration.

Si vous souhaitez aborder ces questions dans le cadre d'un projet IA concret, contactez-nous — on intègre les contraintes nLPD dès la phase de conception.

Mascotte NexaLab tenant un drapeau suisse
Passons à l'action

Prêt à voir ce que l'IA peut automatiser chez vous ?

En 30 minutes, on identifie vos opportunités d'automatisation les plus rentables — concrètement, sans jargon.

Réserver un audit gratuit c'est gratuit ! Voir nos réalisations
Gratuit & sans engagement Plan d'action concret Données hébergées en Suisse