Nectos logo
Retour aux ressources
Compliance

La nLPD suisse et l'IA : ce que chaque organisation doit savoir

La loi fédérale sur la protection des données est entrée en vigueur en septembre 2023. Comment s'applique-t-elle aux assistants IA, et que doivent faire les organisations suisses pour se conformer ?

Adopt-AI SA 2026-02-15 8 min

La nLPD en bref

Entrée en vigueur le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) représente la refonte la plus importante du cadre de protection des données en Suisse depuis 1992. Elle aligne la Suisse sur les standards européens du RGPD tout en conservant les spécificités du droit suisse.

Pour les organisations suisses utilisant des outils d'intelligence artificielle, elle crée des obligations nouvelles et concrètes.

Les 6 obligations clés de la nLPD applicables à l'IA

1. Le principe de privacy by design

L'article 7 nLPD impose que la protection des données soit intégrée dès la conception des systèmes et processus. Si vous déployez un assistant IA pour votre organisation, vous devez pouvoir démontrer que la protection des données a été considérée avant le déploiement — pas après.

Questions à se poser : Où les données sont-elles traitées ? Qui y a accès ? Quelle est la durée de conservation ? Peuvent-elles être utilisées pour entraîner un modèle IA ?

2. La minimisation des données

Seules les données strictement nécessaires aux finalités définies peuvent être traitées. Dans un contexte IA, cela signifie que vous devez évaluer si les informations que vos collaborateurs transmettent à l'assistant sont proportionnées à la finalité.

Un assistant IA ne devrait pas recevoir des numéros de clients, des données médicales ou des informations confidentielles si ce n'est pas nécessaire à la tâche.

3. La limitation des finalités

Les données collectées ne peuvent être utilisées qu'aux fins pour lesquelles elles ont été collectées. C'est ici que la question de l'entraînement IA devient critique : si un fournisseur utilise vos données pour améliorer ses modèles, il traite vos données pour une finalité que vous n'avez pas autorisée.

La nLPD exige une base légale explicite pour tout traitement. "Améliorer nos services" dans des CGU enterrées n'est pas une base légale suffisante au sens de la nLPD.

4. Le registre des activités de traitement

Les organisations traitant des données personnelles à grande échelle doivent tenir un registre des activités de traitement (art. 12 nLPD). Ce registre doit inclure les traitements effectués via des outils IA.

Si vous utilisez un assistant IA pour traiter des données clients, employés ou tiers, ce traitement doit figurer dans votre registre avec : finalité, catégories de données, destinataires, transferts éventuels à l'étranger, délais de conservation.

5. L'analyse d'impact (AIPD)

Pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées, une analyse d'impact sur la protection des données (AIPD) est obligatoire. L'utilisation d'IA pour traiter des données sensibles — médicales, juridiques, financières — entre typiquement dans cette catégorie.

6. Les transferts internationaux de données

L'article 16 nLPD régit les transferts à l'étranger. Pour être licite, un transfert doit être vers un pays reconnu comme offrant une protection adéquate, ou accompagné de garanties appropriées (clauses contractuelles types, règles d'entreprise contraignantes).

La Suisse reconnaît l'UE/EEE comme offrant une protection adéquate. Les États-Unis ne bénéficient pas d'une reconnaissance générale — chaque transfert doit être individuellement justifié.

Ce que cela signifie en pratique

Si vous utilisez actuellement ChatGPT, Microsoft Copilot, ou tout autre assistant IA grand public pour traiter des données de clients, d'employés ou de tiers suisses, vous devez vérifier :

1. Avez-vous un DPA avec le fournisseur ?

Un accord de traitement des données formalisé est obligatoire dès que vous confiez des données personnelles à un sous-traitant. Beaucoup d'organisations sautent cette étape avec les outils IA.

2. Ce DPA couvre-t-il l'interdiction d'entraînement ?

La plupart des DPA grand public prévoient des exceptions permettant l'utilisation des données pour "améliorer les services". Vérifiez si votre DPA inclut une clause explicite d'interdiction d'entraînement sur vos données.

3. Avez-vous documenté les transferts transfrontaliers ?

Si le fournisseur traite vos données hors de Suisse, ce transfert doit être documenté et justifié dans votre registre des traitements.

4. Vos collaborateurs sont-ils formés ?

La nLPD impose une obligation de sensibilisation. Vos employés doivent savoir quelles données peuvent être transmises à un outil IA et lesquelles ne le peuvent pas.

Nectos : conçu pour la conformité nLPD

Nectos répond à chacune de ces exigences par construction :

  • Privacy by design : traitement exclusivement en Suisse, anonymisation optionnelle des prompts
  • Minimisation : aucune donnée collectée au-delà de ce qui est nécessaire au service
  • Limitation des finalités : engagement contractuel de non-entraînement, inscrit dans les CGU et le DPA
  • Registre : logs d'audit complets exportables pour votre propre registre de traitement
  • Transferts : aucun transfert hors Suisse — la question ne se pose pas
  • DPA : disponible pour toutes les organisations, signé, conforme nLPD et RGPD

La conformité à la nLPD ne devrait pas être un obstacle à l'adoption de l'IA. Elle devrait être une condition de base — que votre fournisseur IA satisfait ou ne satisfait pas.

Articles connexes

Sovereignty

Pourquoi votre assistant IA ne devrait jamais quitter la Suisse

Lire
Finance

IA et secret bancaire : naviguer dans la tension

Lire
Comparison

Souveraineté IA suisse vs. ChatGPT : la vraie différence

Lire

Prêt à essayer Nectos ?

L'espace IA souverain conçu pour la Suisse.

Choisir votre plan