/ Technologie et numérique / Comment déployer l’IA générative dans vos services sans violer la nouvelle LPD suisse ?
Publié le 10 mai 2024

L’intégration de l’IA générative en Suisse ne se résume pas à interdire ChatGPT, mais à bâtir un écosystème de contrôle documenté pour prouver votre diligence.

  • La nLPD ne sanctionne pas l’outil, mais le traitement illicite de données personnelles qu’il peut engendrer, avec une responsabilité pénale engageant personnellement les dirigeants.
  • La clé réside dans une approche triple : une architecture technique souveraine, une directive d’usage claire et un processus de validation humaine systématique.

Recommandation : Avant tout déploiement, la première étape est de réaliser un audit de vos flux de données actuels pour identifier les traitements à haut risque nécessitant une Analyse d’Impact (AIPD).

L’arrivée de l’intelligence artificielle générative dans le paysage entrepreneurial suisse suscite un enthousiasme palpable, mais sème également l’inquiétude au sein des directions et des départements juridiques. Face à des outils comme ChatGPT, la première réaction est souvent binaire : soit une adoption hâtive et non maîtrisée, soit une interdiction de principe, privant l’entreprise d’un levier de productivité majeur. Ces deux extrêmes représentent un échec stratégique.

Nombre de discussions se limitent à des avertissements génériques sur les dangers de copier-coller des informations sensibles. Or, cette précaution de bon sens ne constitue en rien une stratégie de conformité. La véritable question pour un Data Protection Officer (DPO) ou un dirigeant n’est pas « faut-il interdire l’IA ? », mais « comment construire un cadre de gouvernance qui nous permette de l’exploiter en toute sécurité juridique ? ».

La réponse ne se trouve pas dans une simple interdiction, mais dans la mise en place délibérée d’un écosystème de contrôle. Si la clé n’était pas de freiner l’innovation, mais plutôt de l’encadrer avec la rigueur et la précision helvétiques ? Cet article ne se contentera pas de lister les interdits. Il vous fournira une feuille de route pragmatique pour articuler la puissance de l’IA avec les exigences strictes de la nouvelle Loi sur la Protection des Données (nLPD).

Nous examinerons les fondements juridiques, les choix architecturaux, la création de directives internes et la nécessité d’une supervision humaine. L’objectif est de vous donner les moyens de transformer le risque juridique en un avantage concurrentiel, basé sur la confiance et la maîtrise de vos données.

Sommaire : Votre feuille de route pour une IA conforme à la LPD en Suisse

Pourquoi copier-coller des données clients dans une IA publique est une faute grave selon la LPD ?

Le fait de soumettre des données clients à une intelligence artificielle publique comme ChatGPT n’est pas une simple imprudence, c’est une violation directe des principes fondamentaux de la nouvelle Loi sur la Protection des Données (nLPD). Il ne s’agit pas d’un risque théorique, mais d’une faute qui peut engager la responsabilité pénale personnelle des dirigeants. En effet, la nLPD prévoit des peines pouvant atteindre 250’000 francs suisses, non pas contre l’entreprise, mais contre la personne physique responsable.

Cet acte constitue un traitement illicite de données personnelles. En envoyant des informations sur les serveurs d’un fournisseur tiers, souvent situés hors de Suisse dans un pays sans niveau de protection adéquat, l’entreprise réalise une communication de données à l’étranger (Art. 8 LPD) sans les garanties requises. De plus, elle perd totalement le contrôle sur le cycle de vie de ces données, violant ainsi les principes de finalité et de proportionnalité (Art. 6 LPD). Les données peuvent être utilisées pour entraîner de futurs modèles, conservées indéfiniment et exposées à des fuites.

Imaginons le cas d’une fiduciaire suisse qui utiliserait une IA publique pour résumer les états financiers d’un client. Comme le précise une analyse du secteur, une telle pratique pourrait être sanctionnée pour violation de multiples articles de la loi. Le responsable du traitement, voire certains collaborateurs, pourraient être tenus pour personnellement responsables. Le risque n’est donc pas seulement financier, mais également réputationnel et pénal.

Ce traitement est considéré comme à risque élevé, ce qui aurait dû imposer la réalisation d’une Analyse d’Impact sur la Protection des Données (AIPD) préalable (Art. 22 LPD), une étape systématiquement omise dans ce scénario. L’absence de cette analyse est en soi une non-conformité majeure, démontrant un manque de diligence de la part de l’entreprise.

En somme, l’utilisation d’IA publiques pour des données d’entreprise revient à briser le secret professionnel à l’ère numérique, avec des conséquences juridiques bien réelles et personnelles pour les décideurs.

Comment créer une directive d’usage de l’IA qui protège l’entreprise sans brider la créativité ?

Une interdiction totale de l’IA générative est une solution de facilité qui handicape l’entreprise. La bonne approche consiste à élaborer une directive d’usage claire et pragmatique. Son objectif n’est pas de brider, mais de canaliser l’innovation vers des zones sécurisées. Le pilier d’une telle directive est une classification des données et des usages basée sur les risques, qui doit être comprise par tous les collaborateurs, du stagiaire au dirigeant.

Une méthode efficace est de créer un système à trois niveaux, simple à interpréter. Le niveau « Vert » concerne les usages à faible risque, comme la reformulation de textes publics, qui peuvent être autorisés librement. Le niveau « Orange » couvre les cas à risque moyen, comme l’analyse de données internes anonymisées, qui sont permis sous supervision et après validation du DPO. Enfin, le niveau « Rouge » identifie les actions formellement interdites, telles que la soumission de données personnelles ou confidentielles, passibles de sanctions internes.

Cette classification permet aux équipes d’expérimenter en toute sécurité. Pour encourager l’innovation, l’entreprise peut mettre en place un environnement de test contrôlé, une « sandbox », où les collaborateurs peuvent utiliser des outils d’IA avec des données fictives. Cela leur permet de développer leurs compétences sans mettre en péril les informations de l’entreprise.

Espace de travail numérique sécurisé montrant un environnement sandbox pour tests IA avec données fictives

Le tableau suivant, inspiré des meilleures pratiques, propose un modèle pour structurer cette directive et guider les collaborateurs dans leurs décisions quotidiennes. Chaque niveau de risque est associé à des exemples concrets et aux mesures de contrôle requises, offrant un cadre opérationnel directement applicable.

Modèle de classification des risques IA à 3 niveaux
Niveau de risque Usage autorisé Exemple concret Mesures requises
Vert – Risque faible Autorisé sans restriction Reformulation de textes publics sans données internes Formation de base obligatoire
Orange – Risque moyen Autorisé avec supervision Analyse de chiffres de vente anonymisés sur IA souveraine Validation par le DPO + pseudonymisation
Rouge – Risque élevé Interdiction formelle Soumission de données de santé de collaborateurs Blocage technique + sanctions disciplinaires

Une telle directive, loin d’être un document bureaucratique, devient un véritable guide pour l’innovation responsable. Elle démontre la diligence de l’entreprise et transforme une potentielle menace juridique en un processus maîtrisé et créateur de valeur.

Solution « On-Premise » ou Cloud souverain : quelle architecture IA choisir pour des données sensibles ?

La directive d’usage ne peut être efficace sans une architecture technique qui la soutient. Pour traiter des données sensibles ou des informations stratégiques, l’utilisation d’IA publiques est exclue. Le choix se porte alors sur deux options principales : une solution hébergée en interne (« On-Premise ») ou le recours à un Cloud souverain suisse. Si la première offre un contrôle total, elle implique des coûts d’investissement et de maintenance considérables.

Pour la majorité des PME et même des grandes entreprises suisses, le Cloud souverain représente le compromis le plus pragmatique. Il s’agit d’une infrastructure cloud dont les centres de données sont physiquement localisés en Suisse et opérée par une entité juridique suisse, garantissant que les données ne quittent pas le territoire national et restent sous juridiction helvétique. Cette garantie est fondamentale pour respecter la LPD, notamment en ce qui concerne les communications de données à l’étranger.

Le choix d’un fournisseur de Cloud souverain ne doit cependant pas se faire à la légère. Il convient de vérifier une liste de critères stricts pour s’assurer une conformité réelle. Selon les recommandations d’experts et du Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT), plusieurs points sont à auditer :

  • Localisation des datacenters : Une garantie contractuelle qu’ils sont exclusivement sur le sol suisse.
  • Certifications : La présence de certifications reconnues comme ISO 27001 est un minimum. Pour le secteur financier, la conformité FINMA est indispensable.
  • Garanties LPD : Le contrat doit explicitement garantir la conformité à la LPD et interdire tout transfert de données hors de Suisse.
  • Réversibilité : Des clauses claires doivent permettre la récupération des données et des modèles d’IA développés, pour éviter toute dépendance excessive.
  • Support local : Une équipe de support basée en Suisse et maîtrisant les langues nationales est un gage de réactivité et de compréhension du contexte local.

Même si les sanctions de la LPD peuvent paraître moins dissuasives que celles du RGPD ou de l’AI Act européen, le risque réputationnel lié à une fuite de données hébergées sur une infrastructure non conforme est immense. L’architecture technique est la fondation de votre « écosystème de contrôle ».

Opter pour une architecture maîtrisée est un investissement dans la confiance de vos clients et la pérennité de votre entreprise, bien au-delà de la simple conformité légale.

L’erreur de vérification qui a coûté sa réputation à une firme de conseil

La mise en place d’une directive et d’une architecture sécurisée ne suffit pas. Le plus grand risque provient souvent de l’étape finale : la confiance aveugle dans les résultats produits par l’IA. Une étude récente révèle que selon une étude Bitkom de 2023, 67% des entreprises considèrent les erreurs d’utilisation par les collaborateurs comme un risque élevé. Ce risque se matérialise lorsque le résultat de l’IA, qu’il s’agisse d’un texte, d’une analyse ou d’un code, est utilisé sans validation humaine.

L’anecdote tristement célèbre d’un cabinet d’avocats américain ayant soumis un dossier citant des jurisprudences entièrement inventées par une IA est une illustration parfaite de ce danger. En Suisse, un tel manquement ne serait pas seulement une source d’embarras, mais une faute professionnelle grave. Il est donc impératif d’intégrer un processus de « Human-in-the-Loop » (validation humaine) systématique, particulièrement pour tout contenu destiné à l’externe ou servant de base à une décision stratégique.

Cette vérification doit être méticuleuse et documentée, s’apparentant au travail d’un horloger suisse qui contrôle chaque composant avant l’assemblage final. Le collaborateur doit valider non seulement l’exactitude des faits, mais aussi la pertinence du ton et l’absence de biais.

Expert suisse vérifiant minutieusement des données avec loupe symbolisant le contrôle humain de l'IA

Pour un DPO, il est crucial de formaliser ce processus. La simple consigne « veuillez vérifier » est insuffisante. Une checklist de validation doit être fournie aux équipes, assurant une traçabilité légale en cas de litige.

Votre plan d’action pour un contrôle humain efficace

  1. Conformité juridique : Vérifier que le contenu généré ne viole aucune loi suisse (LPD, Droit d’auteur, etc.) et est aligné avec les contrats clients.
  2. Validation factuelle : Croiser toutes les données chiffrées, dates et citations avec des sources primaires fiables (ex: Office fédéral de la statistique, publications officielles).
  3. Pertinence contextuelle : S’assurer que le langage, les exemples et les références sont adaptés au public cible et au contexte culturel et linguistique suisse (par canton si nécessaire).
  4. Contrôle des biais : Examiner le texte pour détecter et corriger tout biais discriminatoire potentiel, en se référant à l’Art. 8 de la Constitution fédérale.
  5. Documentation de la révision : Consigner qui a validé le contenu, quand, et quelles modifications ont été apportées. Cet enregistrement est votre preuve de diligence.

En fin de compte, l’IA est un assistant extraordinairement puissant, mais la responsabilité finale incombe, et incombera toujours, à l’expert humain qui appose sa signature.

Quand lancer le programme de formation IA : l’agenda idéal pour une adoption réussie

L’implémentation d’un écosystème de contrôle de l’IA ne peut réussir sans l’adhésion et la compétence des collaborateurs. La formation ne doit pas être un événement unique, mais un processus continu et phasé, commençant bien avant que le premier employé n’utilise un outil d’IA. Un déploiement réussi suit un calendrier stratégique, qui segmente les publics et les contenus pour une efficacité maximale.

Le processus doit débuter par le sommet de la pyramide. La phase 1 est dédiée au management et au DPO, et se concentre sur le cadre légal, les responsabilités et les sanctions pénales prévues par la nLPD. Cette étape est cruciale pour obtenir le soutien de la direction et allouer les ressources nécessaires. S’ensuit une phase 2 de sensibilisation pour l’ensemble des collaborateurs, visant à expliquer les risques fondamentaux et les comportements à adopter avec des exemples simples, comme le « test du Post-it » : « Écririez-vous cette information sur un Post-it collé dans un lieu public ? Si non, ne la mettez pas dans une IA publique. »

C’est seulement après ces prérequis que la phase 3, la formation métier, peut commencer. Elle doit être personnalisée pour chaque département, en se concentrant sur des cas d’usage concrets et des techniques de « prompting » sécurisé. Enfin, une phase 4 de certification interne peut être mise en place pour valoriser les compétences acquises et assurer une mise à jour continue des connaissances.

Le calendrier suivant détaille cette approche en quatre phases, offrant une feuille de route claire pour le déploiement de votre programme de formation.

Calendrier de déploiement de la formation IA en 4 phases
Phase Durée Public cible Contenu principal
Phase 1 – Préparation 1 mois DPO et management Cadre légal LPD, responsabilités, sanctions
Phase 2 – Sensibilisation 2 semaines Tous collaborateurs Risques LPD, données sensibles, test du Post-it
Phase 3 – Formation métier 3 mois Par département Prompting sécurisé adapté au métier
Phase 4 – Certification Continu Volontaires Passeport IA interne, mise à jour continue

De plus, des institutions comme les Hautes Écoles Spécialisées (HES) et l’EPFL proposent désormais des cursus certifiants sur l’IA et la conformité LPD, offrant une opportunité de formation continue de haut niveau pour les collaborateurs clés, renforçant ainsi l’expertise interne de l’entreprise.

Pourquoi ne pas déclarer l’Ayant Droit Économique (ADE) peut entraîner des sanctions pénales ?

À première vue, la question de l’Ayant Droit Économique (ADE) semble éloignée de l’IA générative. Pourtant, elle illustre un principe juridique fondamental qui s’applique parfaitement à la gouvernance des données en Suisse : le principe de transparence et de diligence. Tout comme la loi sur le blanchiment d’argent (LBA) exige des intermédiaires financiers qu’ils identifient avec certitude la personne physique derrière une structure juridique, la nLPD exige des entreprises qu’elles sachent et maîtrisent qui accède aux données personnelles et dans quel but.

L’analogie est directe. Le fait de ne pas déclarer un ADE ou de ne pas prendre les mesures raisonnables pour l’identifier est une faute pénale, car elle crée une opacité qui peut masquer des activités illicites. De la même manière, utiliser une IA publique avec des données d’entreprise sans savoir où elles sont stockées, par qui elles sont traitées, et à quelles fins elles seront réutilisées, crée une opacité de traitement. Cette opacité constitue une violation du devoir de diligence de l’entreprise en tant que maître du traitement.

La sanction pénale, dans les deux cas, ne punit pas l’acte final (le blanchiment ou la fuite de données), mais bien le manque de diligence en amont qui a rendu cet acte possible. Le législateur suisse considère que l’incapacité à documenter et à justifier un flux (financier ou de données) est une faute en soi. Pour un DPO, cet état d’esprit est crucial : la conformité LPD ne consiste pas seulement à éviter les fuites, mais à être capable de prouver, à tout instant, que toutes les mesures raisonnables ont été prises pour les prévenir.

L’utilisation non maîtrisée de l’IA générative revient à créer une « société écran » pour vos données : vous en perdez la traçabilité et le contrôle, vous exposant à des risques juridiques similaires à ceux d’un non-respect des obligations de déclaration de l’ADE. La responsabilité de l’entreprise est de connaître et de documenter le « bénéficiaire effectif » de chaque traitement de données.

Ainsi, la question n’est plus « que fait l’IA avec mes données ? », mais plutôt « suis-je capable de documenter et de justifier chaque étape du traitement de données que j’ai confié à l’IA ? ».

Bruit médiatique ou vraie tendance : quel critère utiliser pour filtrer l’information pertinente ?

Le domaine de l’intelligence artificielle est saturé d’informations, d’annonces spectaculaires et d’avertissements apocalyptiques. Pour un DPO ou un dirigeant, la difficulté est de distinguer le « bruit médiatique » des véritables signaux juridiques et stratégiques qui requièrent une action. Appliquer un filtre rigoureux est essentiel pour ne pas gaspiller des ressources à réagir à de fausses urgences tout en manquant les risques réels.

Le premier critère de filtre est la source de l’information. En matière de conformité LPD, une seule source fait foi : le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT). Ses prises de position, ses guides pratiques et ses décisions constituent la seule interprétation officielle de la loi. Une publication du PFPDT est un signal fort, tandis qu’un article de blog d’un fournisseur de technologie américain, même s’il est informatif, reste du bruit du point de vue de la conformité suisse. Les avis d’experts juridiques suisses spécialisés en droit du numérique constituent un deuxième cercle de confiance.

Le second critère est la qualification du risque. Le bruit médiatique se concentre souvent sur des risques futurs ou hypothétiques (« l’IA va remplacer tous les emplois »). Un DPO doit se concentrer sur les risques actuels et avérés, qualifiés par la loi. Par exemple, le risque de sanction pénale pour communication illicite de données à l’étranger (Art. 8 LPD) est un risque avéré qui nécessite une action immédiate. Le risque que l’IA développe une conscience est, à ce jour, du bruit.

Une bonne pratique consiste à établir une veille structurée. Plutôt que de suivre le flux incessant des actualités technologiques, concentrez-vous sur la surveillance des publications du PFPDT, des décisions de justice pertinentes et des analyses de cabinets juridiques suisses reconnus. Cela permet de construire une compréhension solide et stable du cadre légal, imperméable aux modes et aux paniques passagères.

En résumé, la stratégie de conformité doit être guidée par la loi et son interprète officiel, et non par les cycles d’enthousiasme et de peur des médias technologiques. C’est en se concentrant sur les obligations légales concrètes que l’on bâtit une stratégie de gouvernance de l’IA robuste et pérenne.

L’essentiel à retenir

  • La conformité de l’IA à la nLPD repose sur la mise en place d’un écosystème de contrôle documenté, pas sur une simple interdiction.
  • La responsabilité en cas de manquement est pénale et peut viser personnellement les dirigeants, avec des amendes jusqu’à 250’000 CHF.
  • La solution réside dans l’articulation de trois piliers : une architecture technique souveraine, une directive d’usage interne claire, et un processus de validation humaine systématique.

Comment créer une directive d’usage de l’IA qui protège l’entreprise sans brider la créativité ?

Une fois la directive d’usage de l’IA structurée autour des niveaux de risque, son succès ne dépend plus de sa rédaction, mais de son déploiement et de son adoption par les équipes. Un document, même parfait, qui reste dans un tiroir est inutile. La véritable tâche consiste à faire vivre cette directive au quotidien et à l’intégrer dans la culture de l’entreprise. Il ne s’agit plus d’un projet juridique, mais d’une initiative de conduite du changement.

La première étape du déploiement est une communication claire et massive. Il ne suffit pas d’envoyer un email. Il faut organiser des sessions de présentation, créer des supports visuels simples (comme l’infographie des niveaux de risque) et, surtout, expliquer le « pourquoi » derrière les règles. Les collaborateurs sont plus enclins à suivre une directive s’ils en comprennent la logique et le fait qu’elle vise à les protéger, eux et l’entreprise, plutôt qu’à les contraindre.

La deuxième étape est de nommer des « ambassadeurs IA » au sein des différents départements. Ces collaborateurs, souvent les plus enthousiastes ou les plus compétents sur le sujet, peuvent servir de relais d’information, répondre aux questions de premier niveau de leurs collègues et faire remonter les cas d’usage non prévus par la directive. Ils sont un lien essentiel entre le terrain et l’équipe de gouvernance (DPO, juridique, IT).

Enfin, une directive n’est pas gravée dans le marbre. Le domaine de l’IA évolue si rapidement que le cadre doit être agile. Il est crucial de mettre en place une boucle de feedback permettant aux collaborateurs de proposer de nouveaux usages, de signaler des ambiguïtés dans la directive ou de suggérer des améliorations. Organiser une revue trimestrielle de la directive avec les ambassadeurs IA permet de la maintenir pertinente et adaptée aux réalités du métier.

L’étape finale pour transformer la contrainte en opportunité est donc de lancer un audit de vos pratiques actuelles. Évaluez vos flux de données, identifiez les usages non contrôlés de l’IA et définissez les premières actions à mettre en œuvre pour construire votre propre écosystème de contrôle conforme à la nLPD.

Rédigé par Sarah Rochat, Consultante en stratégie industrielle et experte en transformation numérique pour les PME. Spécialisée dans l'Industrie 4.0 et la conformité LPD, elle accompagne les sous-traitants horlogers et les usines suisses depuis 12 ans.
Dernières publications
Comment décrocher un chèque d’innovation Innosuisse pour financer votre R&D ?
Comment choisir la bonne forme juridique entre SA et SARL pour votre projet en Suisse ?
Comment décrypter le langage diplomatique pour comprendre les vrais enjeux d’une conférence internationale ?
Comment l’écosystème de la Genève internationale influence-t-il le marché immobilier local ?
Palais des Nations : le guide d’initié pour une visite au-delà des apparences
Articles similaires
Comment dimensionner une batterie domestique pour une maison de 150m² sans surpayer l’installation ?
Comment les algorithmes prédictifs permettent-ils de surperformer le SMI de 4% en moyenne ?
Comment la robotique collaborative peut-elle réduire de 30% les rebuts dans l’horlogerie de luxe ?