LPD et IA générative : quelles obligations pour les entreprises suisses ?
La nouvelle loi fédérale sur la protection des données s’applique pleinement aux outils d’IA générative. Tour d’horizon des obligations concrètes pour les PME qui déploient ChatGPT ou un équivalent.
Depuis l’entrée en vigueur de la nouvelle loi fédérale sur la protection des données (nLPD) le 1er septembre 2023, toute entreprise suisse qui traite des données personnelles est soumise à des obligations renforcées : transparence, sécurité, minimisation et responsabilité. L’arrivée massive des outils d’IA générative dans les flux de travail quotidiens place ces obligations sous une lumière nouvelle, car chaque prompt envoyé à un assistant IA peut contenir des données personnelles de clients, de collaborateurs ou de partenaires.
Le premier point d’attention concerne le transfert de données à l’étranger. L’article 16 LPD interdit la communication de données personnelles vers un pays n’offrant pas un niveau de protection adéquat sans garanties appropriées. Or, la plupart des services d’IA grand public traitent les requêtes sur des serveurs situés aux États-Unis. Une fiduciaire qui copie un extrait de comptabilité client dans un chatbot public procède donc, juridiquement, à un transfert international de données, souvent sans base contractuelle solide.
Le second point porte sur le devoir d’information. Les personnes concernées doivent savoir que leurs données sont traitées par un système d’IA, dans quel but et par quel sous-traitant. Cela suppose de mettre à jour la déclaration de confidentialité de l’entreprise et, dans certains cas, les contrats avec les clients. Une PME qui utilise l’IA pour pré-rédiger des réponses à des dossiers clients sans en informer ces derniers s’expose à des reproches fondés.
Troisième exigence : la sécurité des traitements. L’article 8 LPD impose des mesures techniques et organisationnelles adaptées au risque. Concrètement, cela signifie chiffrement des données au repos et en transit, contrôle des accès, journalisation et capacité à effacer les données sur demande. Avec un service d’IA mutualisé grand public, l’entreprise n’a aucune maîtrise réelle de ces paramètres ; avec une instance dédiée hébergée en Suisse, elle peut documenter précisément chaque mesure.
Enfin, la LPD consacre les droits des personnes concernées : accès, rectification, effacement, opposition. Si les conversations de vos collaborateurs sont stockées chez un fournisseur étranger qui les utilise potentiellement pour entraîner ses modèles, honorer une demande d’effacement devient pratiquement impossible. La maîtrise du cycle de vie des données est donc un prérequis, pas une option.
En pratique, trois mesures permettent de déployer l’IA générative en restant conforme : choisir une solution dont les données restent en Suisse chez un sous-traitant identifié, encadrer l’usage par une directive interne claire (quelles données peuvent ou non être soumises à l’IA), et tenir un registre des traitements à jour incluant le nouvel outil. Une instance IA privée comme Walterdesk répond structurellement au premier point et facilite grandement les deux autres grâce à l’administration centralisée et aux journaux d’audit.