Protection des donnees et IA en Suisse : ce que dit la nLPD pour les entreprises

Que dit la nouvelle loi suisse sur la protection des donnees (nLPD) ?

La nouvelle loi federale sur la protection des donnees (nLPD), entree en vigueur le 1er septembre 2023, a profondement remanie le cadre juridique suisse en matiere de protection des donnees personnelles. Inspiree du RGPD europeen mais avec des specificites helvetiques, la nLPD vise a renforcer la protection des individus face a l'explosion du traitement numerique des donnees — et l'intelligence artificielle est au coeur de cette problematique.

Les principaux changements apportes par la nLPD sont les suivants. Le champ d'application est desormais limite aux donnees des personnes physiques (les donnees des personnes morales ne sont plus couvertes). Le devoir d'informer est renforce : toute collecte de donnees personnelles doit faire l'objet d'une information claire et transparente, y compris lorsque les donnees sont traitees par des systemes d'IA. Les analyses d'impact relatives a la protection des donnees (AIPD) sont obligatoires lorsqu'un traitement presente un risque eleve pour les droits des personnes concernees — ce qui inclut la plupart des traitements bases sur l'IA. Le droit a la portabilite des donnees est introduit, permettant aux individus de recuperer leurs donnees dans un format structure. Enfin, les sanctions sont considerablement renforcees : jusqu'a CHF 250'000 d'amende pour les personnes physiques responsables (dirigeants, responsables de traitement).

Un point crucial pour les entreprises suisses : contrairement au RGPD qui sanctionne les entreprises (jusqu'a 4% du chiffre d'affaires mondial), la nLPD sanctionne les personnes physiques responsables au sein de l'entreprise. Cela signifie que le directeur general, le responsable IT ou le DPO d'une PME suisse peut etre personnellement condamne a une amende en cas de violation. Cette responsabilite individuelle est un puissant incitatif a la conformite.

L'IA est-elle compatible avec la nLPD ?

L'utilisation de l'intelligence artificielle en entreprise souleve des questions specifiques au regard de la nLPD. La reponse courte est : oui, l'IA est compatible avec la nLPD, mais a condition de respecter un certain nombre de principes et de precautions.

Le principe de transparence : La nLPD exige que les personnes concernees soient informees lorsque leurs donnees sont traitees, y compris par un systeme d'IA. Si votre PME utilise un chatbot IA pour le service client, les utilisateurs doivent savoir qu'ils interagissent avec une machine. Si vous utilisez ChatGPT pour analyser des emails clients, votre declaration de confidentialite doit le mentionner. En pratique, cela implique de mettre a jour votre politique de confidentialite pour decrire les traitements IA effectues.

Le principe de minimisation des donnees : Vous ne devez traiter que les donnees strictement necessaires a la finalite poursuivie. Par exemple, si vous utilisez ChatGPT pour generer une reponse a une reclamation client, vous devez anonymiser les donnees personnelles avant de les soumettre au modele (remplacer le nom par « Client X », supprimer l'adresse, etc.).

Le principe de finalite : Les donnees collectees pour un usage specifique ne peuvent pas etre reutilisees a d'autres fins sans consentement. Les donnees clients utilisees pour le service apres-vente ne peuvent pas etre injectees dans un modele d'IA marketing sans information prealable.

Le transfert international de donnees : C'est le point le plus sensible pour les outils d'IA americains (OpenAI, Google, Microsoft). La nLPD autorise le transfert de donnees vers des pays offrant un niveau de protection adequat (liste etablie par le Conseil federal). Les Etats-Unis figurent sur cette liste depuis mars 2024, sous reserve que l'importateur de donnees soit certifie au Swiss-U.S. Data Privacy Framework. OpenAI, Microsoft et Google ont obtenu cette certification, ce qui facilite l'utilisation de ChatGPT, Copilot et Gemini en conformite avec la nLPD.

Comment Tesla gere-t-il les donnees en Suisse ?

Tesla est l'un des constructeurs automobiles qui collecte le plus de donnees sur ses vehicules et ses conducteurs. Cameras, capteurs, GPS, donnees de conduite, habitudes de recharge, parametres de climatisation — la quantite d'informations recueillie est considerable. En Suisse, cette collecte massive souleve des questions legitimes au regard de la nLPD.

Tesla a progressivement adapte ses pratiques pour se conformer au cadre reglementaire europeen et suisse. Depuis 2024, les conducteurs suisses peuvent acceder a un tableau de bord de confidentialite dans l'application Tesla, qui detaille les categories de donnees collectees et permet de desactiver certains partages (donnees de video de securite, donnees d'Autopilot anonymisees). Les cameras embarquees ne transmettent plus automatiquement les images a Tesla — elles sont traitees localement par la puce IA du vehicule, et seules les metadonnees anonymisees (type de scenario routier, conditions meteo, comportement du systeme) sont transmises pour l'amelioration de l'IA.

Pour les proprietaires Tesla suisses, les recommandations sont les suivantes : consultez les parametres de confidentialite dans l'application Tesla (onglet « Securite et confidentialite ») et ajustez-les selon vos preferences ; sachez que le mode Sentinelle (surveillance du vehicule a l'arret) enregistre les alentours et que ces images sont stockees localement sur une cle USB (pas transmises a Tesla) ; et exercez vos droits si necessaire : vous pouvez demander a Tesla une copie de toutes les donnees vous concernant via le formulaire en ligne du Tesla Privacy Center.

Le cas Tesla illustre un enjeu plus large : les vehicules connectes sont de veritables capteurs de donnees roulants, et la frontiere entre donnees du vehicule et donnees personnelles est de plus en plus floue. La nLPD s'applique des lors que les donnees peuvent etre rattachees a une personne identifiable — ce qui est le cas de la quasi-totalite des donnees d'un vehicule associe a un compte proprietaire.

Quelles precautions pour les PME utilisant ChatGPT ?

L'utilisation de ChatGPT en entreprise implique inevitablement le traitement de donnees — qu'il s'agisse de donnees clients, de donnees commerciales confidentielles ou de donnees internes. Voici les precautions essentielles pour rester conforme a la nLPD :

• Utilisez ChatGPT Team ou Enterprise : Les versions professionnelles garantissent contractuellement que les donnees ne sont pas utilisees pour entrainer les modeles d'OpenAI. La version gratuite et la version Plus n'offrent pas cette garantie par defaut.
• Anonymisez les donnees avant saisie : Remplacez systematiquement les noms, adresses, numeros de telephone, numeros AVS et autres identifiants personnels par des codes generiques avant de soumettre un texte a ChatGPT. Etablissez une procedure ecrite et formez vos equipes.
• Mettez a jour votre declaration de confidentialite : Informez vos clients que des outils d'IA tiers peuvent etre utilises dans le traitement de leurs demandes. Precisez le nom du fournisseur (OpenAI), la finalite du traitement et les mesures de protection mises en place.
• Realisez une analyse d'impact (AIPD) : Si vous utilisez ChatGPT pour des traitements a grande echelle ou impliquant des donnees sensibles, une AIPD est obligatoire sous la nLPD. Ce document formalise les risques et les mesures d'attenuation.
• Tenez un registre des traitements : La nLPD impose aux entreprises de plus de 250 employes (et a celles dont les traitements presentent un risque eleve) de tenir un registre detaille des activites de traitement. Incluez-y vos usages de ChatGPT et autres outils IA.
• Formez vos equipes : La premiere cause de violation de donnees est l'erreur humaine. Un employe qui copie-colle un email client entier (avec nom, adresse, numero de compte) dans ChatGPT sans anonymisation prealable cree un risque de non-conformite. La formation est votre meilleure protection.

Comment se mettre en conformite ?

La mise en conformite nLPD pour une PME utilisant l'IA n'est pas un projet pharaonique, mais elle necessite une approche structuree. Voici les etapes recommandees :

Etape 1 — Etat des lieux (1-2 semaines) : Identifiez tous les outils d'IA utilises dans votre entreprise (y compris les usages « sauvages » par des employes individuels — ils sont souvent plus nombreux qu'on ne le pense). Pour chaque outil, documentez les donnees traitees, la finalite, le fournisseur et le lieu de stockage des donnees.

Etape 2 — Analyse des risques (1-2 semaines) : Pour chaque traitement identifie, evaluez le niveau de risque pour les personnes concernees (donnees sensibles ? volume important ? profiling ?). Les traitements a haut risque necessitent une AIPD formelle.

Etape 3 — Mise en oeuvre (2-4 semaines) : Mettez a jour votre declaration de confidentialite, etablissez des DPA avec vos fournisseurs IA, definissez une politique d'usage interne de l'IA, et formez vos equipes. Designez un responsable de la protection des donnees (DPO) si vous n'en avez pas — pour les PME, cette fonction peut etre externalisee.

Etape 4 — Suivi continu : La conformite n'est pas un projet ponctuel mais un processus continu. Revoyez votre dispositif a chaque nouveau deploiement d'outil IA, et effectuez un audit annuel de vos pratiques.

Les PME qui manquent de ressources internes pour cette demarche peuvent faire appel a des specialistes. IAPME Suisse accompagne les PME romandes dans la mise en conformite nLPD specifiquement pour les usages d'IA, avec un accompagnement qui couvre l'audit initial, la redaction des documents obligatoires et la formation des equipes. Cette approche integree — conformite + formation IA — permet aux PME d'adopter l'IA en toute securite juridique.

Les sanctions en cas de non-conformite

Les sanctions prevues par la nLPD sont un sujet que les PME suisses ne doivent pas prendre a la legere. Le regime de sanctions est le suivant :

Amendes penales : Jusqu'a CHF 250'000 pour les personnes physiques responsables (en cas de violation intentionnelle). Les infractions concernees incluent : le defaut d'information, la violation du devoir de secret, le non-respect des exigences minimales de securite des donnees, et le transfert non autorise de donnees a l'etranger. Important : ces amendes visent les individus (dirigeants, responsables IT, DPO), pas l'entreprise en tant que personne morale.

Amendes pour les entreprises : L'entreprise peut etre condamnee a une amende jusqu'a CHF 50'000 si l'identification de la personne physique responsable necessiterait des efforts disproportionnes pour une infraction passible d'une amende maximale de CHF 50'000.

Mesures administratives du PFPDT : Le Prepose federal a la protection des donnees et a la transparence (PFPDT) peut ordonner la modification ou la cessation d'un traitement, l'effacement de donnees, ou la suspension d'un transfert de donnees a l'etranger. Ces mesures administratives, bien qu'elles n'impliquent pas d'amende directe, peuvent avoir un impact operationnel considerable sur une PME.

En pratique, les premieres annees d'application de la nLPD (2023-2025) ont ete marquees par une approche pedagogique du PFPDT, avec davantage de recommandations que de sanctions. Cependant, le regulateur a clairement indique que la phase de tolerance touchait a sa fin et que les controles se renforceraient en 2026. Les entreprises utilisant massivement l'IA sont identifiees comme un secteur prioritaire de controle.

Le risque le plus sous-estime n'est pas l'amende mais le risque reputationnel. Dans un marche suisse ou la confiance est un actif fondamental, une violation de donnees rendue publique peut avoir des consequences commerciales bien superieures a une amende de CHF 250'000. Investir dans la conformite n'est pas un cout — c'est une assurance contre un risque dont l'impact potentiel est bien plus eleve.

« La nLPD n'est pas un frein a l'innovation — c'est un cadre qui permet aux entreprises suisses d'utiliser l'IA de maniere responsable et de se differencier par la confiance. Les PME qui integrent la protection des donnees des le depart de leur projet IA seront mieux positionnees que celles qui devront corriger le tir apres coup. » — Marc Durand, Tesla-Mag.ch