nLPD et IA : obligations des PME suisses en 2026

La nouvelle loi fédérale sur la protection des données (nLPD), entrée en vigueur le 1er septembre 2023, a profondément modifié le cadre juridique dans lequel les entreprises suisses exploitent les technologies d'intelligence artificielle. Pour les PME romandes, cette réglementation représente à la fois un défi de conformité et une opportunité de se différencier par des pratiques éthiques et transparentes.

Alors que l'adoption de l'IA s'accélère dans le tissu économique suisse, il est impératif de comprendre les implications concrètes de la nLPD sur vos projets d'intelligence artificielle. Cet article détaille les obligations légales, les risques encourus et les mesures pratiques à mettre en place.

Rappel : qu'est-ce que la nLPD ?

La nouvelle loi sur la protection des données (nLPD) remplace la loi fédérale de 1992, désormais obsolète face aux enjeux numériques contemporains. Inspirée du RGPD européen tout en conservant des spécificités helvétiques, elle renforce considérablement les droits des personnes concernées et les obligations des responsables de traitement.

Les principes fondamentaux applicables à l'IA

La nLPD repose sur plusieurs principes directement pertinents pour les systèmes d'IA :

Transparence : toute personne dont les données sont traitées doit en être informée
Finalité : les données ne peuvent être utilisées que dans le but annoncé lors de leur collecte
Proportionnalité : seules les données strictement nécessaires doivent être traitées
Exactitude : les données doivent être correctes et mises à jour
Sécurité : des mesures techniques et organisationnelles adéquates doivent protéger les données

Ces principes s'appliquent intégralement aux systèmes d'IA, qu'il s'agisse d'un chatbot, d'un outil de scoring client ou d'un algorithme de recrutement.

Les obligations spécifiques des PME utilisant l'IA

1. Le devoir d'information renforcé

Lorsqu'une PME déploie un système d'IA traitant des données personnelles, elle doit informer les personnes concernées de manière claire et compréhensible. Cette information doit préciser :

L'identité du responsable du traitement
La finalité du traitement automatisé
Les catégories de données traitées
Les éventuels destinataires des données
Le cas échéant, le transfert de données à l'étranger

Exemple concret : si votre PME utilise un CRM doté d'IA pour analyser le comportement de vos clients, vous devez les informer que leurs interactions sont analysées par un algorithme, dans quel but, et quelles données sont utilisées.

2. L'analyse d'impact relative à la protection des données (AIPD)

L'article 22 de la nLPD impose la réalisation d'une analyse d'impact lorsqu'un traitement présente un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. Les systèmes d'IA présentent fréquemment ce niveau de risque, notamment lorsqu'ils :

Établissent des profils de personnalité
Traitent des données sensibles à grande échelle
Surveillent systématiquement des espaces accessibles au public
Prennent des décisions automatisées produisant des effets juridiques

Coût estimé : une AIPD complète pour un projet IA coûte entre 3'000 et 15'000 CHF selon la complexité, un investissement raisonnable au regard des sanctions possibles.

3. La tenue du registre des activités de traitement

Toute entreprise de plus de 250 collaborateurs doit tenir un registre des activités de traitement. En dessous de ce seuil, l'obligation s'applique néanmoins si le traitement présente un risque élevé — ce qui est souvent le cas avec l'IA.

Ce registre doit documenter :

Chaque système d'IA utilisé et les données qu'il traite
La base juridique du traitement
Les mesures de sécurité en place
Les éventuels sous-traitants impliqués
La durée de conservation des données

4. Le droit à une décision humaine

Point crucial pour les PME utilisant l'IA dans leurs processus décisionnels : l'article 21 de la nLPD accorde aux personnes concernées le droit d'exiger qu'une décision automatisée produisant des effets juridiques soit réexaminée par un être humain.

Concrètement, si votre système d'IA rejette automatiquement une candidature, refuse un crédit ou détermine un tarif, la personne concernée peut demander une révision manuelle de cette décision.

Les sanctions en cas de non-conformité

La nLPD prévoit des sanctions pénales pouvant atteindre 250'000 CHF pour les personnes physiques responsables. Contrairement au RGPD, ce ne sont pas les entreprises mais les individus (dirigeants, responsables IT) qui sont visés personnellement.

Les infractions les plus fréquentes concernant l'IA incluent :

| Infraction | Amende maximale | |---|---| | Défaut d'information | 250'000 CHF | | Violation du devoir de diligence avec les sous-traitants | 250'000 CHF | | Violation des exigences minimales de sécurité | 250'000 CHF | | Non-respect du devoir de signalement des violations | 250'000 CHF |

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) dispose par ailleurs de pouvoirs d'investigation étendus et peut ordonner la modification ou la cessation d'un traitement non conforme.

Guide pratique : 7 étapes pour assurer la conformité nLPD de vos projets IA

Étape 1 : Cartographier vos traitements IA existants

Avant toute chose, dressez l'inventaire exhaustif de tous les outils d'IA utilisés dans votre PME. Cela inclut les solutions SaaS intégrant de l'IA, même lorsque cette composante n'est pas mise en avant par l'éditeur.

Étape 2 : Évaluer les risques de chaque traitement

Pour chaque système d'IA identifié, déterminez le niveau de risque en fonction des données traitées, du volume, de la finalité et des conséquences potentielles pour les personnes concernées.

Étape 3 : Mettre à jour vos déclarations de confidentialité

Vos mentions légales et politiques de confidentialité doivent mentionner explicitement l'utilisation de l'IA, les données traitées et les droits des personnes concernées.

Étape 4 : Vérifier vos contrats avec les fournisseurs d'IA

Chaque fournisseur de solution IA constitue un sous-traitant au sens de la nLPD. Un contrat conforme à l'article 9 doit régir la relation, précisant notamment les mesures de sécurité, les obligations de confidentialité et les modalités de restitution ou destruction des données.

Étape 5 : Sécuriser les flux de données transfrontaliers

De nombreux outils d'IA (ChatGPT, Google Cloud AI, AWS) hébergent leurs données aux États-Unis. La nLPD impose des garanties spécifiques pour ces transferts : clauses contractuelles types, certification ou consentement explicite.

Conseil : privilégiez les solutions hébergées en Suisse ou dans l'UE lorsque c'est possible. Des alternatives locales existent pour de nombreux cas d'usage.

Étape 6 : Documenter vos processus décisionnels automatisés

Pour chaque décision automatisée par l'IA ayant un impact significatif sur les personnes, documentez le fonctionnement de l'algorithme, les critères utilisés et le mécanisme de révision humaine.

Étape 7 : Former vos équipes

La conformité nLPD n'est pas uniquement l'affaire du département juridique. Chaque collaborateur utilisant des outils d'IA doit comprendre les principes de base de la protection des données et les bonnes pratiques à respecter.

Le cas particulier de l'IA générative

L'utilisation d'outils d'IA générative (ChatGPT, Claude, Midjourney) par les collaborateurs d'une PME pose des défis spécifiques :

Risque de divulgation involontaire : les données saisies dans un outil d'IA générative peuvent être utilisées pour entraîner le modèle. Il convient d'interdire formellement la saisie de données personnelles ou confidentielles.
Hébergement hors Suisse : la majorité de ces outils sont hébergés aux États-Unis, nécessitant des garanties supplémentaires.
Absence de contrôle sur les résultats : les contenus générés peuvent contenir des informations erronées ou biaisées, engageant potentiellement la responsabilité de l'entreprise.

Une charte d'utilisation de l'IA générative, validée par la direction et communiquée à l'ensemble des collaborateurs, constitue un minimum indispensable.

L'articulation avec le règlement européen sur l'IA (AI Act)

Bien que la Suisse ne soit pas directement soumise à l'AI Act européen entré en vigueur progressivement depuis 2024, les PME suisses exportant vers l'UE ou servant des clients européens doivent en tenir compte. Les exigences de l'AI Act en matière de transparence, de gestion des risques et de supervision humaine complètent utilement le cadre de la nLPD.

Par ailleurs, le Conseil fédéral a annoncé travailler sur un cadre réglementaire spécifique à l'IA, susceptible de s'inspirer de l'approche européenne. Se conformer dès maintenant aux bonnes pratiques constitue un investissement préventif judicieux.

Budget conformité nLPD pour un projet IA

| Poste | Coût estimé (CHF) | |---|---| | Audit initial de conformité | 2'000 – 5'000 | | Analyse d'impact (AIPD) | 3'000 – 15'000 | | Mise à jour des documents juridiques | 1'500 – 4'000 | | Formation des équipes | 1'000 – 3'000 | | Accompagnement annuel | 2'000 – 8'000 | | Total première année | 9'500 – 35'000 |

Ces montants, bien que significatifs, restent très inférieurs aux sanctions potentielles et constituent un investissement dans la confiance de vos clients et partenaires.

Conclusion

La conformité nLPD dans le cadre de projets IA n'est pas une option pour les PME suisses : c'est une obligation légale assortie de sanctions personnelles significatives. Au-delà de l'aspect réglementaire, une approche responsable de l'IA constitue un véritable avantage concurrentiel dans un marché suisse où la confiance est une valeur cardinale.

L'essentiel est de ne pas attendre un incident pour agir. Une démarche proactive, structurée et proportionnée à la taille de votre entreprise vous permettra de tirer pleinement parti de l'IA tout en respectant les droits de vos clients, collaborateurs et partenaires.

Vous souhaitez évaluer la conformité nLPD de vos projets IA ? Demandez votre audit gratuit et bénéficiez d'un diagnostic personnalisé en 48 heures.

Ressource externe

Préposé fédéral à la protection des données (PFPDT) — Guide nLPD