L'IA traite massivement des données : emails clients, factures, conversations, documents internes. La nouvelle LPD suisse (en vigueur depuis septembre 2023) impose des règles strictes sur ces traitements.
Cet article décrit les obligations LPD spécifiques à l'usage d'IA, et les bonnes pratiques pour rester conforme. Notre holding déploie des IA depuis 2022 en respectant ces principes.
Ce que la LPD impose pour l'usage IA
Au-delà des principes généraux
Obligations spécifiques IA
- Information transparente : indiquer aux personnes que leurs données passent par une IA
- Base légale claire : consentement, contrat, intérêt légitime
- Minimisation : envoyer à l'IA uniquement les données strictement nécessaires
- DPA avec fournisseur IA : Anthropic, OpenAI fournissent des Data Processing Agreements
- Région adéquate : EU, Suisse, ou pays avec décision d'adéquation
- Décision automatisée : informer si une décision est prise par IA sans intervention humaine significative
Choisir le bon fournisseur IA
Région et garanties
Claude (Anthropic)
Région UE disponible (AWS Frankfurt). DPA officiel. Engagement de non-utilisation des données pour entraînement. Bon choix LPD.
OpenAI GPT
EU Datazone disponible. DPA officiel. Engagement de non-utilisation des données API. Bon choix LPD également.
LLM self-hosted (Llama, Mistral)
Sur votre infrastructure. Souveraineté totale. Pas de DPA externe nécessaire (vous êtes responsable). Plus complexe à déployer.
À éviter sans précaution
API IA hébergées uniquement aux US sans EU region, services gratuits sans DPA explicite, modèles dont la politique de données n'est pas claire.
Les bonnes pratiques d'anonymisation
Avant d'envoyer au LLM
Une règle d'or : ne pas envoyer plus de données personnelles que strictement nécessaire au prompt LLM. Beaucoup de cas d'usage peuvent être anonymisés à peu de frais.
Techniques d'anonymisation
- -Pseudonymisation : remplacer noms et emails par des IDs avant envoi (CLIENT_42, EMAIL_3)
- -Rédaction : supprimer les champs non nécessaires (date de naissance, téléphone si pas utile)
- -Hashing : pour les identifiants qu'il faut quand même tracer
- -Agrégation : envoyer des statistiques plutôt que des cas individuels quand possible
Notre approche opérationnelle
Ce qu'on fait dans la holding
Notre stack LPD-friendly
- Claude API région EU pour le LLM principal
- DPA signé avec Anthropic
- N8N self-hosted en Suisse pour l'orchestration
- Anonymisation systématique avant prompts pour les données personnelles non strictement nécessaires
- Politique de confidentialité à jour mentionnant l'usage IA
- Registre LPD listant les traitements IA
Questions frequentes
L'API OpenAI avec EU Datazone et DPA signé est conforme LPD. La version grand public ChatGPT.com sans DPA n'est pas adaptée pour les données clients en contexte business.
Dans la politique de confidentialité, oui. Une mention générale sur l'usage d'outils d'IA pour traitement est suffisante. Pour les décisions automatisées importantes, information spécifique requise.
Comme toute violation LPD : évaluer le risque, notifier le PFPDT dans les 72h si risque élevé, informer les personnes concernées. Documenter l'incident et les mesures correctives.
Avec DPA approprié, Claude et OpenAI s'engagent à ne pas utiliser les données API pour l'entraînement. Les conversations ne sont pas mémorisées au-delà de la session sauf options spécifiques activées.
Si vous avez déjà une LPD à jour : 5'000 à 15'000 CHF pour ajouter le volet IA (politique, registre, DPAs, formation). Si vous démarrez sans base LPD : 20'000-50'000 CHF pour l'ensemble.
Utiliser l'IA en conformité LPD est tout à fait possible et même simple si on s'y prend correctement dès le départ. Région EU, DPA, anonymisation, registre : 4 piliers à respecter. Notre conviction : la LPD n'est pas un frein à l'IA, c'est un cadre qui force à bien faire. Et bien faire avec l'IA, c'est aussi gagner en qualité et en confiance.
Quelques termes liés à cet article, expliqués en clair dans notre dictionnaire digital pour PME suisses.
Vous voulez déployer l'IA en conformité LPD ?
Décrivez votre situation via le formulaire : cas d'usage IA envisagés, types de données, état actuel de la conformité. Notre équipe analyse votre contexte et vous recontacte avec un plan et une fourchette budgétaire, gratuitement, sans engagement.