nLPD, RGPD et IA: Ce que votre PME doit savoir

Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la Protection des Données (nLPD) est entrée en vigueur en Suisse. Pour les PME qui utilisent l'intelligence artificielle, cette loi impose des obligations spécifiques qu'il est essentiel de comprendre.

Si votre entreprise traite des données de clients européens, vous êtes également soumis au RGPD (Règlement Général sur la Protection des Données). Les deux réglementations ont des exigences similaires mais pas identiques concernant l'utilisation de l'IA.

Les bases légales du traitement par IA

Toute utilisation de données personnelles par un système d'IA nécessite une base légale. Selon la nLPD et le RGPD, les bases légales les plus courantes sont:

1. Le consentement

Le consentement doit être libre, éclairé, spécifique et univoque. Pour l'IA, cela signifie que vous devez expliquer clairement:

• Quelles données seront traitées par l'IA
• Dans quel but
• Si les données seront utilisées pour entraîner des modèles
• Quelles décisions automatisées peuvent être prises

2. L'intérêt légitime

Vous pouvez invoquer l'intérêt légitime si le traitement est nécessaire à vos activités et ne porte pas atteinte de manière disproportionnée aux droits des personnes concernées. Attention: cette base légale nécessite une analyse de balance des intérêts documentée.

3. L'exécution d'un contrat

Si l'IA est nécessaire pour fournir un service contractuellement prévu, cette base légale peut s'appliquer. Par exemple, un chatbot de support client pour les clients existants.

Les obligations spécifiques pour l'IA

Transparence

Vous devez informer les personnes concernées lorsque des décisions sont prises avec l'aide de l'IA. Cette information doit être:

• Claire et compréhensible
• Facilement accessible
• Fournie au moment de la collecte des données

Minimisation des données

Ne collectez et ne traitez que les données strictement nécessaires. Si votre IA peut fonctionner avec des données anonymisées, privilégiez cette approche.

Limitation de la conservation

Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire. Définissez des durées de conservation claires et appliquez-les.

Sécurité

Les systèmes d'IA traitant des données personnelles doivent être sécurisés de manière appropriée. Cela inclut:

• Le chiffrement des données en transit et au repos
• Le contrôle des accès
• La journalisation des traitements
• Les tests de sécurité réguliers

Cas particulier: les outils IA tiers

Lorsque vous utilisez des outils IA externes (ChatGPT, Claude, Copilot, etc.), vous restez responsable de la conformité. Points d'attention:

Transferts hors Suisse/EU

Si les données sont transférées aux États-Unis ou dans d'autres pays tiers, des garanties supplémentaires sont nécessaires:

• Pour les USA: Le Swiss-US Data Privacy Framework permet les transferts vers les entreprises certifiées
• Pour les autres pays: Clauses contractuelles types ou consentement explicite

Les sanctions en cas de non-conformité

Les sanctions peuvent être significatives:

• nLPD: Amendes jusqu'à CHF 250'000 pour les personnes physiques responsables (pas l'entreprise directement)
• RGPD: Amendes jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial

Au-delà des amendes, une violation peut entraîner:

• Une atteinte à la réputation
• Une perte de confiance des clients
• Des actions civiles en dommages et intérêts

Plan d'action en 5 étapes

1. Audit: Identifiez tous les traitements de données personnelles par l'IA dans votre entreprise
2. Base légale: Documentez la base légale pour chaque traitement
3. Information: Mettez à jour vos politiques de confidentialité pour mentionner l'utilisation de l'IA
4. Contrats: Vérifiez les contrats avec vos fournisseurs d'IA
5. Formation: Sensibilisez vos équipes aux bonnes pratiques

"La conformité n'est pas un frein à l'innovation. C'est un cadre qui permet d'innover de manière responsable et durable."