La loi fédérale révisée sur la protection des données (LPD) est en vigueur depuis le 1er septembre 2023. Plus de deux ans après, la pratique le montre : de nombreuses entreprises suisses ont mis en place les fondamentaux, mais les détails posent problème. Les registres des activités de traitement sont incomplets, les analyses d’impact relatives à la protection des données font défaut, les contrats de sous-traitance sont obsolètes, et l’intégration de systèmes d’IA crée de nouvelles lacunes de conformité qui n’étaient pas prévisibles en 2023.
Cette checklist ne remplace pas un conseil juridique. C’est un outil pratique pour évaluer l’état actuel de votre conformité LPD et identifier les principaux domaines d’action.
Fondamentaux : ce qui doit être en place depuis septembre 2023
Les points suivants sont obligatoires depuis l’entrée en vigueur de la LPD révisée. Si vous avez des lacunes ici, une action immédiate s’impose.
Registre des activités de traitement (art. 12 LPD). Toute entreprise de plus de 250 collaborateurs ou traitant des données personnelles sensibles doit tenir un registre de l’ensemble des activités de traitement. Le registre doit documenter la finalité du traitement, les catégories de personnes concernées, les catégories de données personnelles traitées, les destinataires, la durée de conservation et les mesures techniques et organisationnelles. En pratique, un registre des activités de traitement est recommandé pour toutes les entreprises, quelle que soit leur taille.
Déclaration de protection des données (art. 19 LPD). Votre déclaration de protection des données doit présenter de manière transparente l’identité du responsable, la finalité du traitement, les destinataires, la communication à l’étranger et les droits des personnes concernées. Vérifiez si votre déclaration reflète la LPD révisée ou si elle est restée au stade de l’ancienne loi.
Devoir d’informer lors de la collecte (art. 19 LPD). Lors de toute collecte de données personnelles, les personnes concernées doivent être informées. Cela ne concerne pas uniquement les formulaires en ligne, mais aussi la collecte par téléphone, l’échange de cartes de visite, les processus de recrutement et toute autre forme de collecte de données.
Contrats de sous-traitance (art. 9 LPD). Si vous faites traiter des données personnelles par des tiers, vous avez besoin d’un contrat écrit régissant le traitement. Cela concerne les fournisseurs cloud, les prestataires informatiques, les bureaux de paie, les agences marketing et tout autre sous-traitant. Les contrats doivent garantir que le sous-traitant ne traite les données que conformément à vos instructions et assure une sécurité des données adéquate.
Analyse d’impact relative à la protection des données (art. 22 LPD). Lorsqu’un traitement de données est susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, vous devez réaliser une analyse d’impact relative à la protection des données (AIPD) avant le traitement. Cela s’applique notamment au profilage présentant un risque élevé, au traitement à grande échelle de données sensibles et à la surveillance systématique de zones publiques.
Obligation de notifier les violations de données (art. 24 LPD). Les violations de la sécurité des données susceptibles d’entraîner un risque élevé pour les personnes concernées doivent être notifiées au Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais. Disposez-vous d’un processus de détection, d’évaluation et de notification des violations de données ?
IA et protection des données : les nouveaux défis de 2026
Depuis 2023, le paysage de l’IA a fondamentalement changé. La plupart des entreprises utilisent aujourd’hui des outils d’IA, souvent sans avoir pleinement réfléchi aux implications en matière de protection des données. C’est là que résident les plus grands risques de conformité en 2026.
Traitement de données assisté par l’IA. Si vous déployez des systèmes d’IA qui traitent des données personnelles, les principes de la LPD s’appliquent sans restriction. La limitation de la finalité, la proportionnalité, la minimisation des données, l’exactitude et la transparence doivent être respectées même dans le cadre d’un traitement assisté par l’IA. Le fait qu’un algorithme traite les données plutôt qu’un être humain ne change rien aux obligations.
Décisions individuelles automatisées (art. 21 LPD). La LPD accorde aux personnes concernées le droit d’être informées des décisions individuelles exclusivement automatisées et de faire valoir leur point de vue. Si votre système d’IA prend des décisions ayant des effets significatifs sur des personnes (décisions de crédit, présélection de candidatures, calcul de primes d’assurance), vous devez garantir ce droit.
Communication de données à l’étranger (art. 16-17 LPD). L’utilisation d’outils d’IA basés sur le cloud implique souvent une communication de données à l’étranger. Si le serveur du fournisseur d’IA se trouve en dehors de la Suisse ou si les données sont transférées dans un pays tiers pour traitement, vous devez vérifier si le pays destinataire offre un niveau de protection des données adéquat. Pour les États-Unis, le Swiss-US Data Privacy Framework fournit une base, mais les conditions sont complexes et ne conviennent pas à tous les traitements.
Profilage (art. 5, let. f et g LPD). La LPD révisée distingue le profilage simple du profilage présentant un risque élevé. Les systèmes d’IA qui créent des profils de personnes, analysent des modèles de comportement ou établissent des prédictions concernant des personnes relèvent des dispositions sur le profilage. En cas de profilage présentant un risque élevé, des exigences renforcées s’appliquent, notamment l’obligation d’obtenir un consentement exprès pour les responsables privés.
La checklist : 15 points pour votre conformité LPD 2026
Passez en revue les points suivants et évaluez pour chacun s’il est entièrement mis en œuvre, partiellement mis en œuvre ou non mis en œuvre dans votre entreprise.
1. Registre des activités de traitement. Votre registre est-il complet et à jour ? Les systèmes d’IA et leurs traitements de données y figurent-ils ?
2. Déclaration de protection des données. Votre déclaration est-elle conforme à la LPD révisée ? Toutes les finalités de traitement sont-elles exposées de manière transparente, y compris les traitements assistés par l’IA ?
3. Devoir d’informer. Les personnes concernées sont-elles correctement informées lors de chaque collecte de données ? Également lors de contacts téléphoniques, de processus de recrutement et d’événements ?
4. Contrats de sous-traitance. Disposez-vous de contrats actualisés avec tous les sous-traitants (fournisseurs cloud, prestataires informatiques, fournisseurs d’IA) conformes aux exigences de la LPD ?
5. Analyses d’impact relatives à la protection des données. Avez-vous réalisé une AIPD pour tous les traitements présentant un risque élevé ? Notamment pour les systèmes d’IA traitant des données personnelles ou effectuant du profilage ?
6. Processus de notification des violations de données. Existe-t-il un processus documenté pour la détection, l’évaluation et la notification des violations au PFPDT ?
7. Droits des personnes concernées. Êtes-vous en mesure de répondre aux demandes d’accès (art. 25 LPD) dans un délai de 30 jours ? Existe-t-il un processus pour les demandes de rectification et d’effacement ?
8. Communication de données à l’étranger. Avez-vous assuré les garanties requises pour toutes les transmissions de données à l’étranger ? Les pays destinataires et les bases juridiques sont-ils documentés ?
9. Mesures techniques et organisationnelles. Vos mesures de sécurité sont-elles adaptées à l’état de la technique ? Chiffrement, contrôles d’accès, journalisation, concept de sauvegarde ?
10. Décisions individuelles automatisées. Si vous utilisez l’IA pour des décisions relatives à des personnes : les personnes concernées sont-elles informées ? Peuvent-elles faire valoir leur point de vue ?
11. Protection des données dès la conception et par défaut. Les exigences de protection des données sont-elles prises en compte dès le départ dans les nouveaux projets et systèmes ? Les paramètres par défaut sont-ils respectueux de la vie privée ?
12. Formation. Vos collaborateurs sont-ils formés au traitement des données personnelles ? Savent-ils comment détecter et signaler les violations de données ?
13. Effacement et conservation des données. Disposez-vous d’un concept d’effacement ? Les données sont-elles effectivement supprimées à l’expiration du délai de conservation ?
14. Inventaire IA. Avez-vous un aperçu de tous les systèmes d’IA de votre entreprise qui traitent des données personnelles ? Les flux de données sont-ils documentés ?
15. Responsabilités. Est-il clairement défini qui est responsable de la protection des données dans votre entreprise ? Y a-t-il un ou une conseillère à la protection des données (facultatif, mais recommandé) ?
Faiblesses courantes en pratique
L’expérience avec des entreprises suisses de tailles et de secteurs divers révèle des problèmes récurrents.
Registres des activités de traitement incomplets. La plupart des registres ont été créés en 2023 et n’ont pas été mis à jour depuis. Les nouveaux outils d’IA, services cloud et flux de données manquent.
Absence d’AIPD pour les systèmes d’IA. De nombreuses entreprises ont introduit des outils d’IA sans réaliser d’analyse d’impact. C’est particulièrement critique pour les systèmes qui utilisent des données personnelles pour le profilage, le scoring ou les décisions automatisées.
Contrats de sous-traitance obsolètes. Les contrats avec les fournisseurs cloud et les prestataires informatiques ont souvent été conclus avant l’introduction de fonctions d’IA. Les nouveaux flux de données ne sont pas couverts.
Flux de données opaques liés à l’IA. De nombreuses entreprises ne savent pas exactement où vont les données lorsque les collaborateurs utilisent des outils d’IA. Les données d’entrée sont-elles utilisées pour l’entraînement du modèle ? Où les données sont-elles stockées ? Qui y a accès ?
Manque de transparence envers les personnes concernées. Les clients et les collaborateurs sont rarement informés du fait que leurs données sont traitées par des systèmes d’IA.
Concilier protection des données et IA
La conformité LPD et l’utilisation de l’IA ne s’excluent pas mutuellement. Mais elles exigent la bonne infrastructure. Lorsque les données sont traitées et stockées en Suisse, lorsque les flux de données sont transparents et documentés, lorsque chaque résultat est traçable et lorsque les personnes concernées peuvent exercer leurs droits, l’IA peut être utilisée en conformité avec la protection des données.
Enclava a été développé en tant que plateforme d’IA suisse pour les secteurs réglementés, avec un accent total sur la souveraineté des données, la transparence et la traçabilité. Toutes les données sont traitées et stockées en Suisse. Chaque résultat est attribué à sa source et traçable. L’architecture est conçue dès le départ pour la conformité.
Si vous souhaitez mettre votre conformité LPD à jour tout en utilisant l’IA, vous trouverez plus d’informations sur enclava.ch ou écrivez-nous à [email protected].