Blog
RK

Ryless Kechit

Fondateur, Vizionaire15 mars 202610 min

IA et conformité nLPD : ce que chaque entreprise suisse doit savoir

Guide pratique sur la conformité nLPD pour les projets d'intelligence artificielle en Suisse. Obligations légales, bonnes pratiques et checklist pour les entreprises.

Depuis l'entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD) en septembre 2023, les entreprises suisses qui déploient des solutions IA doivent respecter un cadre réglementaire précis. Ce guide fait le point sur les obligations et les bonnes pratiques.

La nLPD en résumé

La nLPD (aussi appelée FADP en anglais, DSG en allemand) aligne la Suisse sur les standards européens du RGPD. Elle s'applique à toute entreprise qui traite des données personnelles en Suisse.

Principes fondamentaux

  1. Privacy by design : La protection des données doit être intégrée dès la conception
  2. Minimisation : Ne collecter que les données strictement nécessaires
  3. Transparence : Informer les personnes concernées du traitement de leurs données
  4. Sécurité : Mettre en place des mesures techniques et organisationnelles appropriées
  5. Limitation de la finalité : Utiliser les données uniquement pour l'objectif annoncé

Impact spécifique sur les projets IA

Données d'entraînement

Si votre agent IA est entraîné ou fine-tuné sur des données clients, vous devez vous assurer que :

  • Les données sont anonymisées ou pseudonymisées
  • Le consentement a été obtenu si nécessaire
  • Les données sont stockées en Suisse ou dans un pays offrant un niveau de protection adéquat

Prise de décision automatisée

La nLPD impose des obligations spécifiques lorsqu'une décision automatisée a un impact significatif sur une personne. Votre agent IA doit :

  • Informer la personne qu'une décision automatisée est prise
  • Permettre à la personne de demander une révision humaine
  • Documenter la logique de décision

Hébergement des données

Pour les entreprises suisses soucieuses de souveraineté, l'hébergement en Suisse est recommandé. Des fournisseurs comme Infomaniak et Exoscale offrent des solutions cloud conformes.

Checklist conformité IA + nLPD

  • Cartographie des données personnelles traitées par l'IA
  • Analyse d'impact relative à la protection des données (AIPD)
  • Politique de confidentialité mise à jour mentionnant l'utilisation de l'IA
  • Mécanisme de consentement si nécessaire
  • Hébergement des données en Suisse ou pays adéquat
  • Mesures de sécurité techniques (chiffrement, contrôle d'accès)
  • Processus d'escalade humaine pour les décisions automatisées
  • Documentation du traitement des données
  • Formation des collaborateurs sur la protection des données

RGPD : quand s'applique-t-il en plus de la nLPD ?

Le RGPD s'applique dès que votre entreprise suisse traite des données de résidents de l'Union européenne. Concrètement, si vos clients, fournisseurs ou partenaires sont basés dans l'UE, vous devez respecter les deux réglementations.

Convention du Conseil de l'Europe sur l'IA

La Suisse a signé en mars 2025 la Convention du Conseil de l'Europe sur l'intelligence artificielle, qui ajoute des principes éthiques : transparence, équité et supervision humaine.

Conclusion

La conformité n'est pas un obstacle à l'adoption de l'IA — c'est un avantage concurrentiel. Les entreprises suisses qui intègrent la protection des données dès la conception de leurs solutions IA construisent la confiance avec leurs clients et partenaires.

Pour aller plus loin

Audit de conformité nLPD pour vos projets IAGuide automatisation IA pour PME suissesDiscuter de la conformité de votre projet
Consultation gratuite