La Suisse jouit d’une réputation internationale en matière de protection des données, de discrétion et d’État de droit. Cette réputation constitue un avantage concurrentiel pour les entreprises suisses, en particulier dans les secteurs réglementés comme les services financiers, le droit et la santé. Pourtant, cet avantage est menacé par la manière dont beaucoup d’entreprises utilisent leurs outils d’IA.
Qui transmet ses données à un fournisseur cloud américain pour utiliser des services d’IA compromet la souveraineté des données que ses mandants et clients attendent. Ce n’est pas un risque hypothétique. C’est une réalité juridique.
Ce que signifie la souveraineté des données
La souveraineté des données désigne le contrôle exercé sur l’endroit où les données sont stockées, sur les personnes qui y ont accès et sur le système juridique auquel elles sont soumises. Pour les entreprises suisses, cela signifie que les données traitées et stockées en Suisse sont soumises au droit suisse. Les données traitées par une entreprise américaine sont potentiellement soumises au droit américain, quel que soit l’emplacement du serveur.
Cette distinction n’est pas académique. Elle a des conséquences juridiques concrètes.
Le problème du CLOUD Act
Le US Clarifying Lawful Overseas Use of Data Act (CLOUD Act), adopté en 2018, confère aux autorités américaines le pouvoir d’exiger des entreprises américaines la remise de données, même lorsque celles-ci sont stockées en dehors des États-Unis.
Cela concerne directement les entreprises suisses qui utilisent les services de Microsoft, Google, Amazon ou d’autres fournisseurs technologiques américains. Même si les données se trouvent physiquement sur un serveur à Zurich : si le fournisseur est une entreprise américaine (ou possède une filiale américaine), le gouvernement américain peut théoriquement en exiger l’accès.
Pour les cabinets d’avocats suisses, c’est particulièrement problématique. Le secret professionnel selon l’art. 13 LLCA est absolu. La transmission de données de clients à des autorités étrangères constituerait une violation grave. Les banques et les gérants de fortune sont soumis à des obligations de confidentialité similaires. Pour les prestataires de santé, le secret médical protège les données.
La question n’est pas de savoir si les autorités américaines accèdent effectivement aux données suisses. La question est de savoir si la possibilité juridique existe. Et elle existe.
La loi fédérale sur la protection des données (LPD)
La LPD révisée, en vigueur depuis septembre 2023, renforce considérablement les exigences relatives au traitement des données personnelles.
Communication de données à l’étranger (art. 16-18 LPD). Les données personnelles ne peuvent être communiquées qu’à des pays qui assurent un niveau de protection adéquat. La liste des pays reconnus est établie par le Conseil fédéral. Pour les États-Unis, il n’existe pas de décision d’adéquation générale. Les transferts nécessitent des garanties supplémentaires telles que des clauses contractuelles types ou le consentement exprès de la personne concernée.
Obligations du responsable du traitement (art. 5-8 LPD). Celui qui traite des données personnelles doit prendre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. L’utilisation de services d’IA qui transmettent des données à des serveurs américains peut violer cette obligation si des mesures de protection suffisantes ne sont pas en place.
Dispositions pénales (art. 60-66 LPD). Les violations de la LPD peuvent désormais être sanctionnées par des amendes allant jusqu’à CHF 250 000. Contrairement au RGPD, les amendes visent les personnes physiques, et non les entreprises. Cela signifie que le directeur ou le responsable de la protection des données est personnellement responsable.
Pertinence du RGPD pour les entreprises suisses
Les entreprises suisses qui traitent des données de citoyens de l’UE ou qui offrent des biens et services dans l’espace européen sont en outre soumises au RGPD. Les exigences relatives aux transferts de données vers des pays tiers sont encore plus strictes sous le RGPD que sous la LPD.
Depuis l’arrêt Schrems II de la CJUE (2020), le EU-US Privacy Shield est invalide. Le EU-US Data Privacy Framework de 2023 offre un nouveau cadre, mais sa stabilité reste contestée. Les entreprises suisses qui se fondent sur ce cadre prennent un risque réglementaire.
Pourquoi c’est particulièrement pertinent pour l’IA
Les systèmes d’IA traitent de grands volumes de données. Un outil de recherche juridique assistée par l’IA lit les documents des clients. Un outil de conformité analyse les directives internes et les données financières. Un outil d’analyse documentaire traite des contrats contenant des informations commerciales confidentielles.
Si ce traitement a lieu sur l’infrastructure d’une entreprise américaine, toutes ces données sont potentiellement soumises au CLOUD Act. Cela vaut même si le fournisseur promet de ne pas lire les données ou de les stocker uniquement en Europe. La possibilité juridique d’accès existe indépendamment des engagements contractuels.
S’y ajoute un risque technique : de nombreux fournisseurs d’IA utilisent les données des utilisateurs pour entraîner leurs modèles. Même si un fournisseur déclare ne pas le faire, les limites techniques sont souvent floues. La solution la plus sûre est de ne pas envoyer de données à des fournisseurs dont les pratiques de traitement ne sont pas entièrement contrôlables.
Ce que les entreprises suisses peuvent faire concrètement
La souveraineté des données n’est pas un objectif abstrait. Il existe des mesures concrètes que les entreprises peuvent prendre.
Vérifier le lieu d’hébergement et l’exploitant
Où les données sont-elles traitées ? Qui exploite l’infrastructure ? Un centre de données suisse exploité par une entreprise américaine n’offre aucune protection contre le CLOUD Act. Ce qui compte n’est pas l’emplacement du serveur, mais la juridiction de l’exploitant.
Ne pas considérer les clauses contractuelles comme suffisantes
Les clauses contractuelles types et les accords de protection des données fournissent un cadre juridique. Mais ils ne peuvent pas neutraliser le CLOUD Act. Une entreprise américaine qui reçoit une ordonnance de communication de la part des autorités doit s’y conformer, indépendamment des contrats conclus avec des clients suisses.
Choisir des fournisseurs d’IA sous juridiction suisse
La mesure la plus efficace consiste à utiliser des outils d’IA de fournisseurs qui ne sont soumis à aucune juridiction américaine. Les entreprises suisses qui exploitent leur infrastructure en Suisse et n’ont pas de société mère américaine ne sont pas soumises au CLOUD Act. Les données sont exclusivement soumises au droit suisse.
Introduire une classification des données
Toutes les données n’ont pas le même niveau de sensibilité. Une classification des données aide à déterminer le niveau de protection approprié. Les données juridiques publiques peuvent éventuellement être traitées par des services internationaux. Les données confidentielles des clients, les secrets d’affaires ou les données de santé exigent la souveraineté suisse.
Évaluer l’architecture technique
Comment le système d’IA traite-t-il les données ? Sont-elles envoyées à des API externes ? Sont-elles utilisées pour l’entraînement des modèles ? Sont-elles supprimées après le traitement ? Demandez la documentation technique, pas seulement des promesses marketing.
L’avantage concurrentiel de la souveraineté des données
La souveraineté des données n’est pas seulement une obligation de conformité. C’est un avantage concurrentiel. Les entreprises suisses qui peuvent démontrer que leurs données sont exclusivement soumises au droit suisse se différencient de leurs concurrents internationaux.
Pour les cabinets d’avocats, cela signifie que les clients ont confiance dans la protection de leurs données. Pour les prestataires de services financiers, les clients savent que leurs données patrimoniales ne sont pas potentiellement accessibles aux autorités américaines. Pour les entreprises en général, les partenaires et clients dans l’UE apprécient les standards suisses de protection des données comme alternative aux services dominés par les États-Unis.
Dans un monde où les outils d’IA deviennent la norme, la question ne sera pas de savoir si une entreprise utilise l’IA. La question sera de savoir si elle utilise l’IA sans renoncer au contrôle de ses données.
L’IA souveraine comme réponse suisse
La Suisse réunit toutes les conditions pour proposer une infrastructure d’IA souveraine : stabilité politique, lois solides en matière de protection des données, infrastructure technique excellente et un cadre juridique qui protège la confidentialité.
Ce qui manquait jusqu’ici, c’étaient des outils d’IA exploitant ces atouts. Cela change.
La plateforme Enclava de Mont Virtua est entièrement hébergée en Suisse et exploitée par une entreprise suisse. Pas de dépendance envers des entreprises américaines, pas de risque CLOUD Act, pas de transfert de données à l’étranger. Toutes les données sont exclusivement soumises au droit suisse.
Si la souveraineté des données est pertinente pour votre entreprise, parlons-en. Contactez-nous à [email protected] ou visitez notre page de contact.