En bref:
- La nLPD, nouvelle loi suisse depuis 2023, encadre le traitement des données personnelles par l'IA. Elle impose des obligations de transparence, d'intervention humaine, de registre, et prévoit des sanctions pour les violations intentionnelles. La conformité à cette réglementation est essentielle, surtout pour les entreprises actives en Europe et utilisant des outils hébergés à l'étranger.
La nLPD est la loi principale qui régit les données personnelles traitées par intelligence artificielle en Suisse depuis le 1er septembre 2023. Cette loi remplace le texte de 1992 et impose des obligations concrètes à toute entité qui collecte, analyse ou exploite des données personnelles via un système d'IA. Le cadre juridique suisse est transversal : il s'appuie sur la nLPD, le Code des obligations et des lois sectorielles. Comprendre ces règles protège votre organisation des sanctions pénales et renforce la confiance de vos clients.
Quelles sont les obligations légales sous la nLPD liées aux données personnelles et à l'IA ?
La nLPD impose quatre grandes catégories d'obligations aux entités qui traitent des données personnelles avec des systèmes d'IA.
Transparence et information
Les articles 19 à 21 de la nLPD exigent que toute personne concernée soit informée du traitement de ses données. Cela inclut l'identité du responsable du traitement, la finalité, et les destinataires éventuels. Lorsqu'un système d'IA prend des décisions automatisées, l'obligation d'information devient encore plus précise : la personne doit savoir qu'une machine a traité ses données.

Intervention humaine sur les décisions automatisées
L'article 21 nLPD garantit le droit de contester toute décision prise exclusivement par un algorithme. La personne concernée peut demander un réexamen par un être humain. Cette exigence dépasse une simple mention dans une politique de confidentialité : elle nécessite une procédure technique documentée permettant réellement cette intervention. Beaucoup d'entreprises l'ignorent et s'exposent ainsi à des risques réels.

Analyse d'impact relative à la protection des données (AIPD)
L'article 22 de la nLPD impose une AIPD pour les traitements susceptibles de présenter un risque élevé pour les droits fondamentaux. Les systèmes d'IA traitant des données sensibles, comme des profils comportementaux ou des données de santé, entrent typiquement dans cette catégorie. L'AIPD documente les risques identifiés et les mesures prises pour les atténuer.
Registre des activités de traitement
La tenue d'un registre est obligatoire pour les entreprises de plus de 250 employés ou celles qui traitent des données sensibles à grande échelle. Ce registre doit décrire chaque traitement IA : finalité, catégories de données, durée de conservation, mesures de sécurité. Les PME qui déploient des outils d'IA sur des données clients doivent vérifier si elles entrent dans ce périmètre.
Sanctions pénales ciblées
Les sanctions peuvent atteindre 250 000 CHF pour les personnes physiques responsables d'une violation intentionnelle. Ce n'est pas l'entreprise qui est visée en premier lieu, mais le dirigeant ou le responsable du traitement. Cette logique renforce la vigilance individuelle dans la gestion des projets IA.
Conseil de pro: Désignez un responsable interne nommément identifié pour chaque traitement IA. En cas de contrôle du Préposé fédéral à la protection des données (PFPDT), cette traçabilité démontre votre bonne foi et réduit le risque de sanction personnelle.
En quoi la réglementation suisse diffère-t-elle du RGPD pour l'IA ?
La Suisse ne dispose pas d'une loi spécifique à l'IA. Aucune loi fédérale dédiée n'existait à juin 2026. Le cadre repose entièrement sur la nLPD, le Code des obligations et des régulations sectorielles. L'Union européenne, elle, a adopté l'AI Act, un texte qui classe les systèmes d'IA par niveau de risque et impose des obligations spécifiques selon cette classification.
| Critère | Suisse (nLPD) | Union européenne (RGPD + AI Act) |
|---|---|---|
| Loi spécifique IA | Aucune à ce jour | AI Act en vigueur |
| Sanctions principales | Personnes physiques (jusqu'à 250 000 CHF) | Entreprises (jusqu'à 4% du CA mondial) |
| Intervention humaine | Droit de contestation (art. 21 nLPD) | Obligation plus stricte selon le niveau de risque IA |
| Champ d'application | Territoire suisse + effet extraterritorial limité | Large extraterritorialité |
| Notification de violation | Obligation sous nLPD, délai non fixé à 72h | 72 heures sous RGPD |
Les entreprises suisses actives dans l'UE doivent respecter à la fois la nLPD et l'AI Act européen. Cette double conformité représente une charge réelle, notamment pour les PME exportatrices ou les prestataires de services numériques transfrontaliers. L'effet extraterritorial de l'AI Act s'applique dès qu'un système d'IA produit des effets sur des utilisateurs établis en Europe.
Un point souvent sous-estimé : les sanctions suisses ciblent les individus, pas les entités juridiques. Un directeur informatique qui déploie un outil d'IA sans AIPD peut être personnellement poursuivi. Cette logique est très différente de celle du RGPD, qui frappe d'abord l'organisation.
Comment gérer les droits d'accès et la contestation des décisions automatisées ?
Les droits d'accès et de portabilité sous la nLPD donnent à chaque personne concernée le droit d'obtenir une copie de ses données personnelles. Ce droit s'applique aussi aux données traitées par des systèmes d'IA, qu'il s'agisse de scores de crédit, de profils comportementaux ou de recommandations automatisées.
La mise en œuvre concrète de ces droits exige plusieurs précautions :
- Filtrer les données avant export. Une remise brute non filtrée d'une base de données IA expose des informations sur des tiers et des secrets d'affaires. C'est l'erreur la plus fréquente observée lors des demandes d'accès.
- Protéger les données de tiers. Si le système d'IA a traité des données relatives à d'autres personnes, ces informations ne doivent pas figurer dans la réponse transmise au demandeur.
- Documenter la procédure de contestation. Toute décision automatisée contestable doit faire l'objet d'une procédure claire : qui examine la demande, dans quel délai, avec quels critères.
- Prévoir un interlocuteur humain identifié. La nLPD exige que la contestation aboutisse à un réexamen réel par une personne compétente, pas à une réponse automatique.
- Conserver une trace des demandes traitées. Ce registre des demandes d'accès constitue une preuve de conformité en cas de contrôle.
Pour les PME, le risque principal réside dans l'absence de procédure formalisée. Un avocat ou un consultant spécialisé en droits nLPD des employés peut aider à structurer ces processus avant qu'une demande ne survienne.
Conseil de pro: Testez votre propre procédure d'accès en simulant une demande interne. Si vous ne pouvez pas répondre en moins de 30 jours avec des données filtrées et lisibles, votre processus n'est pas conforme à la nLPD.
Quelles sont les implications pratiques pour les professionnels suisses utilisant l'IA ?
La conformité à la nLPD dans un contexte d'IA ne se résume pas à une politique de confidentialité mise à jour. Elle exige une gouvernance active et documentée. Voici les étapes prioritaires pour tout professionnel suisse déployant un système d'IA sur des données personnelles.
-
Cartographier les traitements IA. Identifiez chaque système d'IA qui traite des données personnelles dans votre organisation. Documentez la finalité, les données utilisées, les destinataires et les mesures de sécurité. Cette cartographie est le socle de toute conformité nLPD.
-
Réaliser une AIPD pour les traitements à risque. Tout traitement IA susceptible d'affecter les droits fondamentaux nécessite une analyse d'impact. Les systèmes de recrutement automatisé, de notation de crédit ou de surveillance comportementale entrent dans cette catégorie.
-
Former les collaborateurs. La gouvernance IA sous la nLPD repose sur la traçabilité, la transparence et la capacité d'intervention humaine. Ces principes doivent être compris par les équipes qui utilisent ou supervisent les outils d'IA au quotidien.
-
Vérifier les contrats avec les sous-traitants. Si vous confiez le traitement de données à un prestataire IA externe, le contrat doit inclure des clauses de protection des données conformes à la nLPD. Les prestataires hébergeant des données hors de Suisse doivent justifier d'un niveau de protection équivalent, via des contrats-types ou d'autres garanties reconnues.
-
Préparer les contrôles du PFPDT. Le Préposé fédéral à la protection des données et à la transparence peut demander des justificatifs à tout moment. Avoir un registre des traitements, des AIPD documentées et des procédures de contestation formalisées réduit considérablement le risque de sanction.
Conseil de pro: Avant de déployer un nouvel outil d'IA, posez trois questions : Où les données sont-elles hébergées ? Qui y a accès ? Existe-t-il une procédure pour contester les décisions automatisées ? Si vous ne pouvez pas répondre immédiatement, le déploiement doit attendre.
Points clés
La nLPD constitue le cadre légal central pour les données personnelles traitées par IA en Suisse, avec des sanctions pénales personnelles pouvant atteindre 250 000 CHF et une obligation d'intervention humaine sur les décisions automatisées.
| Point | Détails |
|---|---|
| nLPD en vigueur depuis 2023 | La loi s'applique à tout traitement de données personnelles par IA sur le territoire suisse. |
| Sanctions personnelles élevées | Les dirigeants responsables risquent jusqu'à 250 000 CHF en cas de violation intentionnelle. |
| Intervention humaine obligatoire | Toute décision automatisée doit pouvoir être contestée et réexaminée par un humain. |
| Double conformité pour l'UE | Les entreprises suisses actives en Europe doivent respecter à la fois la nLPD et l'AI Act. |
| Export de données à filtrer | Fournir un export brut de données IA constitue une violation fréquente et évitable. |
Ce que la législation suisse sur l'IA révèle vraiment
L'absence d'une loi spécifique à l'IA en Suisse est souvent présentée comme un retard. Je pense que c'est une lecture trop rapide. La nLPD, bien appliquée, couvre l'essentiel des risques concrets que posent les systèmes d'IA actuels : opacité des décisions, collecte excessive de données, absence de recours. Le problème n'est pas le texte de loi. Le problème est que la majorité des organisations ne l'appliquent pas sérieusement aux outils d'IA qu'elles déploient.
Ce qui me préoccupe davantage, c'est l'effet extraterritorial de l'AI Act européen. Les entreprises suisses qui vendent des services numériques en Europe vont devoir absorber une double charge réglementaire sans avoir participé à l'élaboration du texte européen. Cette asymétrie crée une pression réelle sur les PME, qui n'ont ni les ressources juridiques ni les équipes techniques pour gérer deux cadres simultanément.
La convention du Conseil de l'Europe sur l'IA, que la Suisse a vocation à ratifier, pourrait offrir un ancrage international utile. Mais à court terme, la priorité reste la même : appliquer rigoureusement la nLPD, documenter les traitements IA, et choisir des outils qui maintiennent les données en Suisse. La souveraineté des données n'est pas un argument de vente. C'est une condition de conformité légale.
— Nectos
Nectos : une IA conforme à la nLPD, hébergée en Suisse
Les professionnels suisses qui utilisent des outils d'IA hébergés à l'étranger prennent un risque légal concret. Dès que des données personnelles transitent vers des serveurs américains ou européens, les obligations de la nLPD sur les transferts transfrontaliers s'activent, et la conformité devient difficile à garantir.
Nectos est un espace de travail IA dont les données ne quittent jamais la Suisse. Les modèles d'IA sont hébergés localement, sur des serveurs suisses, sans transfert vers des tiers étrangers. La plateforme intègre l'analyse de documents confidentiels, la transcription de réunions et des assistants IA adaptés aux contextes professionnels suisses, le tout dans un cadre conforme à la nLPD. Pour les PME comme pour les grandes organisations, Nectos offre une conformité nLPD intégrée sans compromis sur la souveraineté des données.
Questions fréquentes
La nLPD s'applique-t-elle aux outils d'IA utilisés en Suisse ?
Oui. La nLPD s'applique à tout traitement de données personnelles effectué en Suisse, y compris via des systèmes d'IA, depuis le 1er septembre 2023.
Quelles sanctions risque-t-on en cas de violation de la nLPD liée à l'IA ?
Les personnes physiques responsables d'une violation intentionnelle risquent une amende pénale pouvant atteindre 250 000 CHF. Les sanctions visent les individus, pas uniquement l'entreprise.
Faut-il respecter l'AI Act européen si mon entreprise est basée en Suisse ?
Oui, si votre entreprise propose des services ou des produits à des utilisateurs établis dans l'Union européenne. L'effet extraterritorial de l'AI Act s'applique indépendamment du siège social.
Puis-je utiliser un outil d'IA hébergé aux États-Unis pour traiter des données personnelles suisses ?
Ce type de transfert transfrontalier est soumis à des conditions strictes sous la nLPD. Des garanties contractuelles équivalentes au niveau de protection suisse doivent être en place, ce qui est difficile à assurer avec des prestataires soumis au CLOUD Act américain.
Qu'est-ce qu'une AIPD et quand est-elle obligatoire pour l'IA ?
Une AIPD (analyse d'impact relative à la protection des données) est une évaluation documentée des risques d'un traitement. Elle est obligatoire sous l'article 22 de la nLPD pour tout traitement IA susceptible de présenter un risque élevé pour les droits fondamentaux des personnes concernées.

