L'IA traite massivement des données : emails clients, factures, conversations, documents internes. La nouvelle LPD suisse (en vigueur depuis septembre 2023) impose des règles strictes sur ces traitements.
Cet article décrit les obligations LPD spécifiques à l'usage d'IA, et les bonnes pratiques pour rester conforme. Notre holding deploie des IA depuis 2022 en respectant ces principes.
Ce que la LPD impose pour l'usage IA
Au-delà des principes generaux
Obligations spécifiques IA
- Information transparente : indiquer aux personnes que leurs données passent par un IA
- Base légale claire : consentement, contrat, intérêt legitime
- Minimisation : envoyer à l'IA uniquement les données strictement nécessaires
- DPA avec fournisseur IA : Anthropic, OpenAI fournissent des Data Processing Agreements
- Region adéquate : EU, Suisse, ou pays avec décision d'adéquation
- Décision automatisee : informer si une décision est prise par IA sans intervention humaine significative
Choisir le bon fournisseur IA
Region et garanties
Claude (Anthropic)
Region UE disponible (AWS Frankfurt). DPA officiel. Engagement de non-utilisation des données pour entrainement. Bon choix LPD.
OpenAI GPT
EU Datazone disponible. DPA officiel. Engagement de non-utilisation des données API. Bon choix LPD egalement.
LLM self-hosted (Llama, Mistral)
Sur votre infrastructure. Souverainete totale. Pas de DPA externe nécessaire (vous êtes responsable). Plus complexe à déployer.
A éviter sans precaution
API IA hébergées uniquement aux US sans EU region, services gratuits sans DPA explicite, modèles dont la politique de données n'est pas claire.
Les bonnes pratiques d'anonymisation
Avant d'envoyer au LLM
Une règle d'or : ne pas envoyer plus de données personnelles que strictement nécessaire au prompt LLM. Beaucoup de cas d'usage peuvent être anonymises a peu de frais.
Techniques d'anonymisation
- -Pseudonymisation : remplacer noms et emails par des IDs avant envoi (CLIENT_42, EMAIL_3)
- -Rédaction : supprimer les champs non nécessaires (date de naissance, téléphone si pas utile)
- -Hashing : pour les identifiants qu'il faut quand même tracer
- -Aggregation : envoyer des statistiques plutot que des cas individuels quand possible
Notre approche opérationnelle
Ce qu'on fait dans la holding
Notre stack LPD-friendly
- Claude API region EU pour le LLM principal
- DPA signe avec Anthropic
- N8N self-hosted en Suisse pour l'orchestration
- Anonymisation systematique avant prompts pour les données personnelles non strictement nécessaires
- Politique de confidentialite a jour mentionnant l'usage IA
- Registre LPD listant les traitements IA
Questions frequentes
L'API OpenAI avec EU Datazone et DPA signe est conforme LPD. La version grand public ChatGPT.com sans DPA n'est pas adaptée pour les données clients en contexte business.
Dans la politique de confidentialite, oui. Une mention générale sur l'usage d'outils d'IA pour traitement est suffisante. Pour les décisions automatisees importantes, information spécifique requise.
Comme toute violation LPD : evaluer le risque, notifier le PFPDT dans les 72h si risque élevé, informer les personnes concernées. Documenter l'incident et les mesures correctives.
Avec DPA approprie, Claude et OpenAI s'engagent a ne pas utiliser les données API pour l'entrainement. Les conversations ne sont pas memorisees au-delà de la session sauf options spécifiques activees.
Si vous avez déjà une LPD a jour : 5'000 à 15'000 CHF pour ajouter le volet IA (politique, registre, DPAs, formation). Si vous demarrez sans base LPD : 20'000-50'000 CHF pour l'ensemble.
Utiliser l'IA en conformité LPD est tout a fait possible et même simple si on s'y prend correctement des le départ. Region EU, DPA, anonymisation, registre : 4 piliers a respecter. Notre conviction : la LPD n'est pas un frein à l'IA, c'est un cadre qui force a bien faire. Et bien faire avec l'IA, c'est aussi gagner en qualite et en confiance.
Vous voulez déployer l'IA en conformité LPD ?
Décrivez votre situation via le formulaire : cas d'usage IA envisages, types de données, état actuel de la conformité. Notre équipe analyse votre contexte et vous recontacte avec un plan et une fourchette budgétaire, gratuitement, sans engagement.