L'intelligence artificielle s'impose désormais dans presque tous les secteurs : outils de productivité, chatbots, analyse prédictive, recrutement automatisé, détection de fraude. Pourtant, la majorité des PME suisses qui adoptent ces technologies ignorent encore les obligations légales qui y sont attachées. En Suisse, ce n'est pas une loi spécifique à l'IA qui s'applique, mais bien la nouvelle Loi sur la Protection des Données (nLPD), en vigueur depuis le 1er septembre 2023.
Ce guide vous explique concrètement ce que la loi exige, comment l'approche suisse se distingue de celle de l'Union européenne, et quelles mesures pratiques votre PME doit prendre dès aujourd'hui.
La Suisse n'a pas (encore) de loi sur l'IA
Contrairement à l'Union européenne, qui a adopté l'AI Act en 2024, la Suisse ne dispose pas de législation spécifique encadrant l'intelligence artificielle. Le Conseil fédéral a publié en novembre 2023 sa position sur la gouvernance de l'IA, préférant une approche sectorielle et fondée sur les risques plutôt qu'une réglementation horizontale contraignante.
Cette position repose sur plusieurs piliers :
- Principe de neutralité technologique : les lois existantes s'appliquent à l'IA sans nécessiter de nouvelles normes spécifiques
- Adaptations sectorielles : les domaines à risque (santé, finance, droit) font l'objet d'ajustements ciblés dans leurs réglementations propres
- Participation internationale : la Suisse participe aux travaux du Conseil de l'Europe sur l'IA et à l'OCDE
En pratique, cela signifie que la nLPD est le principal instrument légal qui s'applique lorsqu'un système d'IA traite des données personnelles — ce qui est le cas de la grande majorité des outils IA utilisés en entreprise.
La position du PFPDT sur l'IA
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a pris des positions claires sur l'utilisation de l'IA en contexte professionnel.
Dans ses recommandations, le PFPDT insiste sur plusieurs points :
1. La transparence est non négociable. Les personnes dont les données sont utilisées par un système IA doivent en être informées. Il ne suffit pas de mentionner l'IA dans des conditions générales que personne ne lit.
2. La responsabilité humaine demeure. Les décisions automatisées ayant des conséquences significatives sur des individus doivent pouvoir faire l'objet d'une intervention humaine. Un algorithme de scoring crédit ou de sélection de candidats ne peut pas constituer la décision finale sans supervision humaine.
3. La minimisation des données s'applique pleinement. Utiliser des jeux de données massifs pour entraîner un modèle ne justifie pas de collecter plus de données que nécessaire. Le principe de proportionnalité s'applique même aux phases d'entraînement.
4. Les sous-traitants IA sont des mandataires au sens de la loi. Lorsque vous utilisez un outil IA tiers (ChatGPT, Copilot, Gemini), vous restez responsable du traitement. Un contrat de traitement des données est requis.
Les obligations de la nLPD applicables à l'IA
Transparence et information (Art. 19)
La nLPD impose une obligation d'information lors de la collecte de données personnelles. En contexte IA, cela implique :
- Indiquer dans votre politique de confidentialité si des outils IA analysent les données de vos utilisateurs
- Préciser quels types de décisions automatisées sont appliquées
- Mentionner les finalités spécifiques du traitement automatisé
L'article 19 alinéa 2 prévoit des exceptions à l'obligation d'information, notamment lorsque la communication serait disproportionnée. Mais cette exception doit être interprétée restrictivement en contexte IA.
Le profilage et le profilage à risque élevé (Art. 5 lit. f et g)
La nLPD introduit une définition précise du profilage : tout traitement automatisé de données personnelles consistant à utiliser ces données pour évaluer certains aspects personnels d'une personne physique.
Le profilage à risque élevé — notion spécifique à la loi suisse — est défini comme un profilage qui entraîne un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
Concrètement, les applications IA suivantes constituent du profilage à risque élevé :
- Scoring de solvabilité
- Analyse comportementale à des fins de recrutement
- Segmentation clientèle influençant l'accès à des services
- Systèmes de surveillance des employés
Pour ce type de traitement, la nLPD exige un consentement explicite ou une justification légale spécifique. Le simple intérêt légitime ne suffit généralement pas.
L'analyse d'impact relative à la protection des données (Art. 22 — AIPD)
L'article 22 de la nLPD instaure l'obligation de réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) lorsqu'un traitement est susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées.
L'AIPD est obligatoire dans les cas suivants liés à l'IA :
| Scénario IA | AIPD requise ? |
|---|---|
| Profilage à risque élevé | Oui |
| Décisions automatisées avec effets juridiques | Oui |
| Traitement à grande échelle de données sensibles | Oui |
| Surveillance systématique via IA | Oui |
| Chatbot RH collectant des données candidats | À évaluer |
| Outil de productivité sans données sensibles | Non |
Si l'AIPD révèle un risque résiduel élevé malgré les mesures prises, vous devez consulter le PFPDT avant de lancer le traitement.
Décisions individuelles automatisées (Art. 21)
L'article 21 de la nLPD encadre les décisions automatisées, c'est-à-dire les décisions fondées exclusivement sur un traitement automatisé et qui ont des effets juridiques ou affectent significativement une personne.
Les droits garantis sont :
- Droit à l'information : la personne doit être informée de la décision automatisée
- Droit de demander un réexamen par une personne physique
- Droit d'exprimer son point de vue
Ces droits s'appliquent même si le consentement initial a été donné. Une clause d'acceptation générale des traitements automatisés dans un formulaire d'inscription ne suffit pas.
Transferts de données vers des fournisseurs IA américains
L'un des défis les plus concrets pour les PME suisses concerne les transferts de données vers des fournisseurs américains comme OpenAI, Microsoft, Google ou Anthropic.
La nLPD autorise les transferts de données vers des pays tiers sous certaines conditions :
1. Pays reconnus par le Conseil fédéral. La liste des pays offrant une protection adéquate est publiée par le PFPDT. Les États-Unis ne figurent pas sur cette liste de manière globale.
2. Garanties appropriées. En l'absence de reconnaissance, les entreprises peuvent utiliser :
- Des clauses contractuelles types approuvées par le PFPDT
- Des règles d'entreprise contraignantes (BCR)
- Le consentement explicite de la personne concernée
3. Exceptions limitées. L'exécution d'un contrat ou la protection d'intérêts vitaux peuvent justifier un transfert, mais ces exceptions sont interprétées strictement.
Ce que cela signifie en pratique :
Avant d'utiliser un outil IA américain, vérifiez :
- Si le fournisseur propose un accord de traitement des données (DPA) conforme à la nLPD
- Si les données sont traitées en Europe (ex. Azure EU Data Boundary, OpenAI Enterprise)
- Si le fournisseur utilise vos données d'entrée pour entraîner ses modèles (et si vous pouvez l'interdire)
OpenAI Enterprise et Microsoft Azure OpenAI Service proposent des contrats avec des engagements de résidence des données en Europe. Vérifiez systématiquement ces options avant de déployer.
L'EU AI Act : impact sur les entreprises suisses
Bien que la Suisse ne soit pas membre de l'UE, l'AI Act européen (Règlement UE 2024/1689) a un impact direct sur les entreprises suisses qui :
- Vendent des produits ou services à des clients dans l'UE
- Utilisent des systèmes IA dont les résultats sont utilisés dans l'UE
Classification des risques selon l'AI Act
| Catégorie | Exemples | Obligations |
|---|---|---|
| Risque inacceptable (interdit) | Notation sociale, reconnaissance faciale en temps réel dans l'espace public | Interdiction totale |
| Risque élevé | Recrutement IA, scoring crédit, biométrie, systèmes médicaux | Conformité avant mise sur marché, transparence, supervision humaine |
| Risque limité | Chatbots, deepfakes | Information des utilisateurs |
| Risque minimal | Filtres anti-spam, recommandations | Aucune obligation spécifique |
Pour les PME suisses exportant vers l'UE, si votre produit intègre un système IA à risque élevé, vous devrez vous conformer à l'AI Act avant de le commercialiser dans l'Union. Les sanctions peuvent atteindre 30 millions d'euros ou 6% du chiffre d'affaires mondial.
Approche suisse vs approche européenne
| Critère | Suisse (nLPD) | UE (AI Act + RGPD) |
|---|---|---|
| Loi spécifique IA | Non | Oui (AI Act) |
| Approche | Sectorielle, fondée sur les risques | Horizontale, catégorielle |
| Sanctions | Jusqu'à CHF 250 000 (nLPD) | Jusqu'à 30M€ ou 6% CA (AI Act) |
| AIPD/DPIA | Obligatoire si risque élevé | Obligatoire si risque élevé (RGPD) |
| Décisions automatisées | Art. 21 nLPD | Art. 22 RGPD |
| Profilage à risque élevé | Consentement requis | Consentement ou autre base légale |
| Transferts vers USA | Garanties appropriées requises | Garanties appropriées requises |
Checklist pratique pour les PME suisses
Avant de déployer ou de continuer à utiliser des outils IA dans votre entreprise, passez en revue cette liste :
Inventaire et gouvernance
- Avez-vous listé tous les outils IA utilisés dans votre entreprise ?
- Pour chaque outil, avez-vous identifié quelles données personnelles sont traitées ?
- Avez-vous un contrat de traitement des données signé avec chaque fournisseur IA ?
Transparence
- Votre politique de confidentialité mentionne-t-elle l'utilisation de l'IA ?
- Les personnes concernées sont-elles informées des décisions automatisées les concernant ?
- Avez-vous un processus pour répondre aux demandes de réexamen humain ?
Profilage et AIPD
- Vos outils IA font-ils du profilage ? Si oui, à risque élevé ?
- Avez-vous réalisé une AIPD pour les traitements à risque élevé ?
- Si l'AIPD révèle un risque résiduel, avez-vous consulté le PFPDT ?
Transferts internationaux
- Vos fournisseurs IA traitent-ils des données hors de Suisse ou d'Europe ?
- Avez-vous des garanties appropriées pour ces transferts ?
- Vos fournisseurs s'engagent-ils à ne pas utiliser vos données pour entraîner leurs modèles ?
Gestion des droits
- Vos employés ou clients peuvent-ils exercer leurs droits (accès, rectification, opposition) même lorsque leurs données sont traitées par IA ?
- Avez-vous un registre des activités de traitement incluant les traitements IA ?
Ce qui s'en vient en Suisse
Le PFPDT a annoncé des lignes directrices spécifiques à l'IA pour 2025-2026. Le Conseil fédéral évalue également l'opportunité d'adhérer à la Convention-cadre du Conseil de l'Europe sur l'IA (CETS 225), ouverte à la signature depuis mai 2024. Cette convention, contraignante, établirait des obligations en matière de droits fondamentaux, de démocratie et d'état de droit dans le contexte de l'IA.
Par ailleurs, la Stratégie suisse pour l'intelligence artificielle adoptée en 2019 est en cours de révision pour tenir compte des développements récents en matière d'IA générative.
Pour les PME, la recommandation est claire : ne pas attendre une réglementation IA spécifique pour mettre de l'ordre dans vos pratiques. La nLPD s'applique dès aujourd'hui, et le PFPDT dispose de pouvoirs d'enquête et de recommandation qu'il utilise activement.
Vous utilisez des outils IA dans votre entreprise et vous n'êtes pas certain d'être conforme à la nLPD ? Commencez par analyser votre site web avec PrivaScan — notre outil gratuit détecte en quelques secondes les traceurs et cookies qui pourraient poser problème, et vous donne un premier état des lieux de votre conformité numérique.