Protection des données · IA

IA et conformité LPD : le guide pour entreprises suisses

Publié le 30 juin 2026 · Lecture 8 min · i-fixit.ch

La conformité LPD RGPD d'une IA en entreprise suisse n'est pas un obstacle : c'est un cadre de confiance. Voici les principes à respecter, les pièges à éviter et les étapes concrètes pour utiliser l'intelligence artificielle sans mettre en danger les données de vos clients.

L'intelligence artificielle s'invite partout dans les PME suisses : service client, comptabilité, ressources humaines, marketing. Mais chaque fois qu'un système d'IA traite des données personnelles — noms, e-mails, historiques d'achat, données de santé — la loi sur la protection des données entre en jeu. La conformité LPD RGPD IA entreprise suisse n'est pas une option pour les grandes sociétés uniquement : c'est une obligation qui concerne toute organisation qui traite des données de personnes physiques. Ce guide vous donne les clés pour rester du bon côté de la ligne, en 2026.

Qu'est-ce que la LPD ?

La Loi fédérale sur la protection des données (LPD, ou DSG en allemand) est le cadre légal suisse qui régit le traitement des données personnelles. Entrée en vigueur en 1993, elle a fait l'objet d'une révision majeure entrée en vigueur le 1er septembre 2023, qui rapproche la Suisse du Règlement général européen sur la protection des données (RGPD).

Concrètement, la LPD s'applique à toute personne (physique ou morale) qui traite des données personnelles de personnes physiques en Suisse. Une donnée personnelle, c'est toute information qui se rapporte à une personne identifiée ou identifiable : nom, adresse, numéro de téléphone, adresse IP, données de localisation, identifiants en ligne, etc.

Les données sensibles bénéficient d'une protection renforcée : il s'agit des données sur la santé, les opinions politiques, les croyances religieuses, l'origine raciale, la vie sexuelle, les mesures biométriques et génétiques, ou encore les poursuites et faillites. Pour traiter ce type de données par IA, des garanties supplémentaires sont exigées.

À retenir : la LPD ne s'intéresse pas à la technologie, mais aux données. Un tableur, un CRM ou un modèle d'IA générative : dès qu'il y a des données personnelles, la loi s'applique.

Pourquoi l'IA pose des questions de conformité

L'IA n'est pas une technologie neutre du point de vue de la protection des données. Elle introduit des risques spécifiques que les outils traditionnels ne présentaient pas, ou dans une moindre mesure :

Ces caractéristiques rendent la conformité LPD RGPD d'une IA en entreprise suisse plus complexe que pour un simple fichier Excel — mais pas insurmontable. La clé est de comprendre les principes et de les appliquer à chaque cas d'usage.

Les 7 principes clés de la conformité IA

Voici les sept principes qui structurent une approche conforme de l'IA en Suisse. Ils s'inspirent de la LPD révisée et des bonnes pratiques du RGPD européen.

1. Finalité (proportionnalité)

Toute donnée personnelle ne peut être traitée que pour une finalité déterminée et identifiable. On ne peut pas collecter des données « au cas où » ni réutiliser un jeu de données d'IA pour un autre but sans base légale.

2. Transparence

Les personnes concernées doivent savoir que leurs données sont traitées, par qui, pourquoi et pendant combien de temps. Quand l'IA est impliquée, il faut l'indiquer clairement — surtout en cas de décision automatisée.

3. Minimisation des données

Ne collecter et ne traiter que les données strictement nécessaires à la finalité. Pour l'IA, cela implique de limiter les jeux d'entraînement aux champs utiles, d'anonymiser ou de pseudonymiser quand c'est possible.

4. Sécurité technique et organisationnelle

Mesures de protection adaptées au risque : chiffrement, contrôle d'accès, journalisation, cloisonnement des données sensibles. Pour un système d'IA, cela couvre aussi le modèle, les prompts et les résultats générés.

5. Droits des personnes concernées

Les personnes ont un droit d'accès, de rectification, d'effacement et d'opposition. En cas d'IA, il faut être en mesure de retrouver quelles données ont été utilisées et de répondre à une demande dans un délai raisonnable.

6. Responsabilité du détenteur

Le détenteur de données (l'entreprise) reste responsable, même s'il sous-traite le traitement à un tiers (API d'IA, cloud). Il doit conclure un contrat de sous-traitement et s'assurer que le tiers respecte la LPD.

7. Évaluation des risques et documentation

Tenir un registre des activités de traitement et, pour les projets IA à risque élevé, mener une analyse d'impact sur la protection des données (AIPD). La documentation fait foi en cas de contrôle du Préposé fédéral.

En pratique : ces sept principes se traduisent en questions concrètes à chaque projet d'IA. Quelles données ? Pour quoi faire ? Qui y a accès ? Combien de temps ? Comment les personnes sont-elles informées ? Comment les droits sont-ils garantis ?

Comment rester conforme : les étapes concrètes

Passer des principes à la pratique demande une méthode. Voici une approche en six étapes, applicable à toute PME suisse qui déploie de l'IA.

Étape 1 — Cartographier les usages d'IA

Recenser tous les outils d'IA utilisés dans l'entreprise : assistants de rédaction, chatbots clients, analyse de données, automatisations. Pour chaque usage, identifier quelles données personnelles sont impliquées et à quel niveau de sensibilité.

Étape 2 — Évaluer la base légale

Chaque traitement doit reposer sur une base légale : consentement, exécution d'un contrat, intérêt légitime de l'entreprise, ou obligation légale. Pour les données sensibles traitées par IA, le consentement explicite est souvent requis.

Étape 3 — Choisir un hébergement adapté

Décider où les données sont stockées et traitées. Pour les données sensibles, un hébergement en Suisse simplifie la conformité (voir section suivante). Vérifier les clauses des prestataires d'IA : leurs conditions générales autorisent-elles l'usage professionnel ? Où sont les serveurs ? Les données servent-elles à entraîner des modèles ?

Étape 4 — Sécuriser le traitement

Mettre en place les mesures techniques et organisationnelles : chiffrement des données au repos et en transit, restriction des accès au principe du moindre privilège, journalisation des requêtes, limitation de la rétention, tests de robustesse du modèle.

Étape 5 — Documenter et informer

Mettre à jour le registre des activités de traitement et la politique de confidentialité. Informer les personnes concernées par une mention claire sur l'utilisation de l'IA. Si une décision est automatisée, l'indiquer explicitement et prévoir un recours humain.

Étape 6 — Réviser régulièrement

Les usages d'IA évoluent vite. Prévoir une revue annuelle des traitements, des contrats avec les prestataires et des mesures de sécurité. Adapter l'analyse d'impact en cas de modification significative.

Cette démarche peut paraître lourde, mais elle est proportionnée. Pour une PME qui intègre l'IA dans ses processus, quelques heures de cadrage suffisent au démarrage. Le coût d'une non-conformité, lui, peut être bien plus élevé.

Hébergement des données en Suisse : un atout de conformité

La question de l'hébergement est centrale dans la conformité LPD RGPD d'une IA en entreprise suisse. La LPD n'impose pas strictement un hébergement sur le territoire suisse, mais elle exige que les données personnelles soient protégées de manière adéquate, y compris lorsqu'elles sont transférées à l'étranger.

En pratique, l'hébergement en Suisse offre plusieurs avantages :

CritèreHébergement en SuisseHébergement à l'étranger
Transfert transfrontalierAucunOui — garanties requises
Contrôle du Préposé fédéralDirectIndirect
Complexité contractuelleFaibleÉlevée (CCT, BCR)
Risque juridiqueMinimalÀ évaluer selon le pays
Argument commercialFortFaible

Si l'hébergement à l'étranger est inévitable — par exemple pour utiliser un modèle d'IA propriétaire non disponible en Suisse —, des mesures compensatoires s'imposent : clauses contractuelles types de la Commission européenne, références sur le site du Préposé fédéral, chiffrement de bout en bout, ou pseudonymisation des données avant envoi.

Pour les entreprises qui mettent en place un copilote IA d'entreprise sur leurs données internes, l'hébergement suisse est souvent le choix par défaut. Il combine conformité, performance et tranquillité d'esprit.

Bon à savoir : depuis la révision de 2023, le Préposé fédéral peut infliger des amendes administratives jusqu'à 50 000 CHF pour certaines infractions. La responsabilité civile du détenteur de données reste, elle, illimitée.

Questions fréquentes

L'IA est-elle soumise à la LPD en Suisse ?

Oui. Dès qu'un système d'IA traite des données personnelles de personnes physiques identifiées ou identifiables, la LPD s'applique. L'IA n'est pas exclue du champ d'application : c'est la nature des données traitées qui compte, pas la technologie utilisée.

Faut-il un hébergement en Suisse pour la conformité LPD ?

La LPD n'impose pas strictement un hébergement en Suisse, mais elle exige que les données personnelles soient protégées de manière adéquate. L'hébergement suisse simplifie grandement la conformité, en particulier pour les données sensibles. En cas de transfert à l'étranger, des garanties contractuelles doivent être mises en place.

Quelle est la différence entre LPD et RGPD ?

La LPD est la loi suisse sur la protection des données, le RGPD est son équivalent européen. Les deux poursuivent les mêmes objectifs, mais le RGPD est plus détaillé et contraignant. Une entreprise suisse active à l'international doit souvent respecter les deux. La révision de la LPD entrée en vigueur en 2023 rapproche la Suisse du RGPD.

Quelles sanctions en cas de non-conformité LPD ?

Depuis la révision de 2023, le Préposé fédéral à la protection des données peut infliger des amendes jusqu'à 50 000 CHF pour certaines infractions. La responsabilité civile du détenteur de données reste en outre illimitée. Un cas de non-conformité peut aussi entraîner des dommages réputationnels importants.

Comment auditer la conformité IA de son entreprise ?

On commence par cartographier les usages d'IA et les données traitées, puis on évalue les risques pour les droits de la personne. On documente les mesures de protection, on vérifie l'hébergement et les contrats avec les prestataires, et on informe les personnes concernées. Un suivi régulier est nécessaire car les usages d'IA évoluent rapidement.

Un audit conformité IA pour votre entreprise ?

Cartographie des usages d'IA · Analyse LPD/RGPD · Recommandations concrètes · Hébergement suisse

Demander un audit →

Ou contactez-nous directement : +41 79 ... 7229 · mathias@i-fixit.ch