nLPD et IA : guide de conformité pour les PME suisses

La nLPD en bref

La nouvelle loi fédérale sur la protection des données (nLPD) est entrée en vigueur le 1er septembre 2023. Elle remplace la loi de 1992 et aligne la Suisse avec les standards européens (RGPD), tout en conservant des spécificités helvétiques.

Pour les PME qui déploient des solutions IA, cette loi impose des obligations concrètes en matière de transparence, de minimisation des données et de sécurité.

Ce que la nLPD change pour les projets IA

Principe de transparence

Toute personne dont les données sont traitées doit être informée de manière claire : quelles données sont collectées, pourquoi, et comment elles sont utilisées. Si votre IA traite des données clients (emails, factures, coordonnées), vous devez le documenter dans votre politique de confidentialité.

Minimisation des données

La nLPD impose de ne collecter que les données strictement nécessaires à la finalité déclarée. Un chatbot IA qui répond aux questions clients n'a pas besoin de stocker l'historique complet des conversations indéfiniment. Définissez des durées de conservation claires.

Privacy by Design

La protection des données doit être intégrée dès la conception du système, pas ajoutée en fin de projet. Concrètement, cela signifie :

• Chiffrement des données au repos et en transit
• Contrôle d'accès granulaire (qui peut voir quoi)
• Journalisation des accès aux données sensibles
• Pseudonymisation quand c'est possible

Checklist de conformité pour un projet IA

Avant de lancer un projet d'automatisation IA, vérifiez ces points :

• Inventaire des données : quelles données personnelles sont traitées par le système ?
• Base juridique : sur quelle base traitez-vous ces données ? (consentement, intérêt légitime, exécution d'un contrat)
• Information des personnes : votre politique de confidentialité mentionne-t-elle ce traitement ?
• Durée de conservation : combien de temps les données sont-elles conservées ?
• Sous-traitants : si vous utilisez des services cloud (OpenAI, Google Cloud, Azure), un contrat de sous-traitance est-il en place ?
• Transferts à l'étranger : les données quittent-elles la Suisse ? Si oui, vers un pays avec un niveau de protection adéquat ?
• Analyse d'impact : le traitement présente-t-il un risque élevé pour les personnes ? Si oui, une analyse d'impact (AIPD) est obligatoire.
• Droits des personnes : pouvez-vous répondre aux demandes d'accès, de rectification et de suppression ?

Les erreurs fréquentes à éviter

Utiliser des données réelles en phase de test

Beaucoup de PME testent leurs automatisations avec des données clients réelles. C'est un risque. Utilisez des données anonymisées ou synthétiques pour les phases de développement et de test.

Ignorer les transferts de données vers les États-Unis

Si votre solution IA utilise des API hébergées aux États-Unis (comme certains modèles de langage), vous devez vous assurer que les garanties appropriées sont en place. Le Conseil fédéral a reconnu certains pays comme offrant un niveau de protection adéquat, mais les États-Unis nécessitent des clauses contractuelles types.

Ne pas documenter les traitements

La nLPD impose aux entreprises de plus de 250 employés de tenir un registre des activités de traitement. Même si votre PME est en dessous de ce seuil, documenter vos traitements IA est une bonne pratique qui vous protège en cas de contrôle.

L'IA peut aussi aider à la conformité

Paradoxalement, l'IA peut faciliter la mise en conformité : classification automatique des données sensibles, détection d'anomalies dans les accès, génération de registres de traitement et alertes sur les durées de conservation dépassées.

La conformité n'est pas un frein à l'innovation — c'est un cadre qui, bien appliqué, renforce la confiance de vos clients et partenaires.

Pour voir comment la conformité s'applique en pratique, explorez nos cas d'usage concrets : IA pour fiduciaires, automatisation des cabinets juridiques ou automatisation de la facturation. Découvrez aussi nos solutions d'automation & IA pour les PME suisses.