Tous les articles
Conformité10 min2026-03-09

nLPD et IA : guide de conformité 2026 pour PME suisses

Checklist, erreurs fréquentes et bonnes pratiques pour déployer des projets IA conformes à la nLPD dans votre PME suisse, sans bloquer l'innovation.

Partager

La nLPD en bref

Une amende de CHF 250'000 pour le responsable. Voilà ce que prévoit la nLPD en cas de manquement grave. Et pourtant, beaucoup de PME suisses lancent des projets IA sans avoir vérifié les bases de la conformité. Ce guide vous donne la checklist concrète pour avancer sereinement, sans bloquer vos projets ni multiplier les risques.

La nouvelle loi fédérale sur la protection des données (nLPD) est entrée en vigueur le 1er septembre 2023. Elle remplace le texte de 1992 et aligne la Suisse avec les standards européens (RGPD), tout en conservant des spécificités helvétiques, notamment en matière de responsabilité pénale individuelle.

Pour les PME qui déploient des solutions IA, la loi impose trois obligations concrètes : transparence envers les personnes concernées, minimisation des données collectées, et sécurité proportionnée aux risques.

Ce que la nLPD change concrètement pour vos projets IA

Transparence : vos clients doivent savoir ce que vous faites

Toute personne dont les données sont traitées doit être informée clairement : quelles données sont collectées, dans quel but, et comment elles sont utilisées. Si votre IA traite des données clients (emails, factures, coordonnées, enregistrements de conversations), vous devez le documenter dans votre politique de confidentialité. Une phrase vague type "nous pouvons utiliser des outils d'intelligence artificielle" n'est plus suffisante, il faut dire lesquels et pourquoi.

Minimisation : collecter moins pour risquer moins

La nLPD impose de ne collecter que les données strictement nécessaires à la finalité déclarée. Un chatbot IA qui répond aux questions clients n'a pas besoin de garder l'historique complet des conversations indéfiniment. La bonne pratique : définir explicitement une durée de conservation par type de donnée (par exemple, 90 jours pour les logs de chatbot, 10 ans pour les factures comme l'exige le droit commercial), et automatiser la purge.

Privacy by Design : penser la sécurité dès la conception

La protection des données doit être intégrée dès le début du projet, pas ajoutée à la fin comme un pansement. Concrètement, cela veut dire :

  • Chiffrement des données au repos et pendant leur transit
  • Contrôle d'accès granulaire qui définit qui peut voir quoi
  • Journalisation des accès aux données sensibles
  • Pseudonymisation dès que c'est techniquement possible

Coût d'ajout de ces mesures au début d'un projet : quelques heures de conception. Coût de les rajouter après un incident : plusieurs semaines et une réputation à reconstruire.

Checklist de conformité pour un projet IA

Avant de lancer un projet d'automatisation IA, vérifiez ces points :

  • Inventaire des données : quelles données personnelles sont traitées par le système ?
  • Base juridique : sur quelle base traitez-vous ces données ? (consentement, intérêt légitime, exécution d'un contrat)
  • Information des personnes : votre politique de confidentialité mentionne-t-elle ce traitement ?
  • Durée de conservation : combien de temps les données sont-elles conservées ?
  • Sous-traitants : si vous utilisez des services cloud (OpenAI, Google Cloud, Azure), un contrat de sous-traitance est-il en place ?
  • Transferts à l'étranger : les données quittent-elles la Suisse ? Si oui, vers un pays avec un niveau de protection adéquat ?
  • Analyse d'impact : le traitement présente-t-il un risque élevé pour les personnes ? Si oui, une analyse d'impact (AIPD) est obligatoire.
  • Droits des personnes : pouvez-vous répondre aux demandes d'accès, de rectification et de suppression ?

Les 3 erreurs de conformité les plus fréquentes

Tester avec les vraies données clients

Beaucoup de PME développent et testent leurs automatisations directement avec des données clients réelles, "parce que c'est plus simple". C'est le bon moyen de transformer un bug en incident de sécurité. Utilisez des données anonymisées ou des jeux de données synthétiques pour toutes les phases de développement et de test. Vous ne basculerez sur les données réelles qu'en production, avec les contrôles d'accès en place.

Laisser filer les transferts vers les États-Unis

Si votre solution IA utilise des API hébergées aux États-Unis (typiquement certains modèles de langage), vous devez vous assurer que les garanties appropriées sont en place. Le Conseil fédéral a reconnu certains pays comme offrant un niveau de protection adéquat, mais les États-Unis restent un cas particulier qui nécessite des clauses contractuelles types. Alternative à envisager quand c'est possible : utiliser des modèles IA open source hébergés en Suisse, par exemple via AI Tools d'Infomaniak.

Oublier de documenter les traitements

La nLPD impose aux entreprises de plus de 250 employés de tenir un registre des activités de traitement. Même si votre PME est en dessous de ce seuil, documenter vos traitements IA est une bonne pratique qui vous protège en cas de contrôle ou d'incident. Un simple tableau par traitement (nom, finalité, données, durée, sous-traitants) suffit pour démarrer.

L'IA peut même vous aider à être conforme

Paradoxalement, l'IA peut faciliter la mise en conformité de bout en bout :

  • Classification automatique des données sensibles dans vos systèmes existants
  • Détection d'anomalies dans les accès ou les exports de données
  • Génération et mise à jour automatique des registres de traitement
  • Alertes quand une donnée dépasse sa durée de conservation prévue

Bref, la conformité n'est pas un frein à l'innovation. Bien appliquée, c'est un cadre qui renforce la confiance de vos clients et partenaires, et qui devient un argument commercial dans les appels d'offres B2B.

Pour voir comment la conformité s'applique en pratique, explorez nos cas d'usage concrets : IA pour fiduciaires, automatisation des cabinets juridiques ou automatisation de la facturation.

Envie d'avancer sur ce sujet ? Réservez un audit gratuit de 30 min, on identifie ensemble les points de conformité critiques de votre projet IA grâce à nos solutions d'automation & IA.

À lire ensuite

Pour aller plus loin

Guide pratique

Prix automatisation PME Suisse 2026 : fourchettes et ROI réel

Combien coûte vraiment l'automatisation d'une PME suisse ? Fourchettes CHF, facteurs de coût et retour sur investissement, sans promesses creuses.

7 minLire l'article
Guide pratique

Automatiser sa PME suisse : méthode en 3 étapes (cas Akia Events)

De 45 minutes à 2 minutes par devis : la méthode concrète en 3 étapes pour automatiser votre PME suisse, illustrée par le cas Akia Events.

7 minLire l'article
Guide pratique

Automatiser la facturation d'une PME suisse : guide 2026

Création, envoi QR-facture, relances, réconciliation bancaire : automatisez le cycle de facturation de votre PME suisse et récupérez 10h par semaine.

8 minLire l'article

Parlons de votre projet

30 minutes pour cadrer vos priorités. Vous repartez avec un plan d’action concret et 3 quick wins identifiés sur votre business.

Réserver mon audit gratuitVoir nos réalisations

Sans engagement · Réponse sous 24h · Pas de vente pushy