LPDIAConformité
18 novembre 20257 min

IA et protection des données en Suisse : ce que la LPD impose aux entreprises

Utiliser l'IA en entreprise = traiter des données. La LPD s'applique. Voici ce qu'il faut respecter concrètement.

L'IA traite massivement des données : emails clients, factures, conversations, documents internes. La nouvelle LPD suisse (en vigueur depuis septembre 2023) impose des règles strictes sur ces traitements.

Cet article décrit les obligations LPD spécifiques à l'usage d'IA, et les bonnes pratiques pour rester conforme. Notre holding déploie des IA depuis 2022 en respectant ces principes.

[01]

Ce que la LPD impose pour l'usage IA

Au-delà des principes généraux

Obligations spécifiques IA

  • Information transparente : indiquer aux personnes que leurs données passent par une IA
  • Base légale claire : consentement, contrat, intérêt légitime
  • Minimisation : envoyer à l'IA uniquement les données strictement nécessaires
  • DPA avec fournisseur IA : Anthropic, OpenAI fournissent des Data Processing Agreements
  • Région adéquate : EU, Suisse, ou pays avec décision d'adéquation
  • Décision automatisée : informer si une décision est prise par IA sans intervention humaine significative
[02]

Choisir le bon fournisseur IA

Région et garanties

01

Claude (Anthropic)

Région UE disponible (AWS Frankfurt). DPA officiel. Engagement de non-utilisation des données pour entraînement. Bon choix LPD.

02

OpenAI GPT

EU Datazone disponible. DPA officiel. Engagement de non-utilisation des données API. Bon choix LPD également.

03

LLM self-hosted (Llama, Mistral)

Sur votre infrastructure. Souveraineté totale. Pas de DPA externe nécessaire (vous êtes responsable). Plus complexe à déployer.

04

À éviter sans précaution

API IA hébergées uniquement aux US sans EU region, services gratuits sans DPA explicite, modèles dont la politique de données n'est pas claire.

[03]

Les bonnes pratiques d'anonymisation

Avant d'envoyer au LLM

Une règle d'or : ne pas envoyer plus de données personnelles que strictement nécessaire au prompt LLM. Beaucoup de cas d'usage peuvent être anonymisés à peu de frais.

Techniques d'anonymisation

  • -Pseudonymisation : remplacer noms et emails par des IDs avant envoi (CLIENT_42, EMAIL_3)
  • -Rédaction : supprimer les champs non nécessaires (date de naissance, téléphone si pas utile)
  • -Hashing : pour les identifiants qu'il faut quand même tracer
  • -Agrégation : envoyer des statistiques plutôt que des cas individuels quand possible
[04]

Notre approche opérationnelle

Ce qu'on fait dans la holding

Notre stack LPD-friendly

  • Claude API région EU pour le LLM principal
  • DPA signé avec Anthropic
  • N8N self-hosted en Suisse pour l'orchestration
  • Anonymisation systématique avant prompts pour les données personnelles non strictement nécessaires
  • Politique de confidentialité à jour mentionnant l'usage IA
  • Registre LPD listant les traitements IA
FAQ

Questions frequentes

L'API OpenAI avec EU Datazone et DPA signé est conforme LPD. La version grand public ChatGPT.com sans DPA n'est pas adaptée pour les données clients en contexte business.

Dans la politique de confidentialité, oui. Une mention générale sur l'usage d'outils d'IA pour traitement est suffisante. Pour les décisions automatisées importantes, information spécifique requise.

Comme toute violation LPD : évaluer le risque, notifier le PFPDT dans les 72h si risque élevé, informer les personnes concernées. Documenter l'incident et les mesures correctives.

Avec DPA approprié, Claude et OpenAI s'engagent à ne pas utiliser les données API pour l'entraînement. Les conversations ne sont pas mémorisées au-delà de la session sauf options spécifiques activées.

Si vous avez déjà une LPD à jour : 5'000 à 15'000 CHF pour ajouter le volet IA (politique, registre, DPAs, formation). Si vous démarrez sans base LPD : 20'000-50'000 CHF pour l'ensemble.

Conclusion

Utiliser l'IA en conformité LPD est tout à fait possible et même simple si on s'y prend correctement dès le départ. Région EU, DPA, anonymisation, registre : 4 piliers à respecter. Notre conviction : la LPD n'est pas un frein à l'IA, c'est un cadre qui force à bien faire. Et bien faire avec l'IA, c'est aussi gagner en qualité et en confiance.

Vocabulaire du dictionnaire

Quelques termes liés à cet article, expliqués en clair dans notre dictionnaire digital pour PME suisses.

Vous voulez déployer l'IA en conformité LPD ?

Décrivez votre situation via le formulaire : cas d'usage IA envisagés, types de données, état actuel de la conformité. Notre équipe analyse votre contexte et vous recontacte avec un plan et une fourchette budgétaire, gratuitement, sans engagement.