โ† Tous les articles
Conformite ยท LPD ยท RGPD ยท Juridique

LPD 2023 et IA en Entreprise Suisse : Ce que Risquent les PME qui Utilisent ChatGPT

Depuis septembre 2023, la nouvelle Loi federale suisse sur la Protection des Donnees est en vigueur. Elle modifie profondement les regles pour les entreprises qui utilisent des outils IA cloud comme ChatGPT. Ce que vous risquez et comment vous proteger.

โœ๏ธ Arnaud Marendaz ๐Ÿ“… Janvier 2025 โฑ๏ธ Lecture : 10 min ๐Ÿท๏ธ LPD, RGPD, Conformite, IA Suisse

La LPD 2023 : une revolution pour la protection des donnees en Suisse

La revision totale de la Loi federale sur la Protection des Donnees (nLPD) est entree en vigueur le 1er septembre 2023. Elle aligne la Suisse sur les standards europeens du RGPD et renforce considerablement les droits des personnes concernees et les obligations des entreprises.

Pour les PME suisses qui utilisent des outils IA comme ChatGPT, Microsoft Copilot ou Google Gemini dans leur activite quotidienne, les implications sont importantes et souvent meconnues.

๐Ÿ“Œ A noter : Contrairement au RGPD europeen, la LPD suisse ne prevoit pas d'amendes automatiques pour toute violation. Cependant, les violations graves peuvent engager la responsabilite penale du responsable de l'entreprise (amende jusqu'a CHF 250'000 selon l'art. 60 nLPD).

Pourquoi ChatGPT pose-t-il un probleme juridique en Suisse ?

Lorsque vous ou vos employes utilisez ChatGPT, Gemini ou tout autre service IA cloud avec des donnees d'entreprise, plusieurs mecanismes de transfert de donnees se declenchent :

1. Le transfert international de donnees

OpenAI (ChatGPT) est une societe americaine. Ses serveurs sont principalement aux Etats-Unis. Selon l'art. 16 nLPD, toute communication de donnees personnelles a l'etranger est soumise a des conditions strictes. Les Etats-Unis ne figurent pas sur la liste des pays reconnus par la Suisse comme offrant une protection adequate equivalente.

2. L'utilisation a des fins d'entrainement

Par defaut (sans plan Enterprise), vos conversations peuvent etre utilisees par OpenAI pour ameliorer leurs modeles. Cela signifie que les donnees de vos clients, employes ou partenaires que vous collez dans ChatGPT peuvent potentiellement alimenter leurs systemes d'entrainement.

3. L'absence de consentement des tiers

Vos clients, employes et partenaires n'ont pas consenti au traitement de leurs donnees par OpenAI. Si vous partagez leurs informations via ChatGPT, vous traitez des donnees de tiers sans base legale claire.

๐Ÿšจ Cas concrets a risque : Analyser un contrat client, resumer les emails d'un employe, traiter des donnees RH, analyser des informations financieres ou copier des extraits d'un rapport confidentiel dans ChatGPT constituent des transferts de donnees potentiellement non conformes a la LPD.

Quelles donnees sont particulierement sensibles ?

La nLPD distingue les donnees personnelles ordinaires des donnees sensibles, qui beneficient d'une protection renforcee. L'utilisation de ces donnees dans des outils IA cloud est particulierement risquee :

  • Donnees de sante de vos employes ou clients
  • Opinions politiques, religieuses ou syndicales
  • Donnees biometriques et genetiques
  • Informations sur la situation financiere des personnes
  • Donnees relatives a des poursuites ou sanctions penales

Pour les PME, les cas les plus courants sont les donnees RH (salaires, evaluations, absences maladie) et les informations clients confidentielles.

Comparaison : ChatGPT Cloud vs IA Locale

โŒ ChatGPT / IA Cloud
  • Donnees traitees aux USA
  • Risque de conformite LPD
  • Utilisation possible pour entrainement
  • Dependance au fournisseur etranger
  • Abonnement mensuel par utilisateur
  • Accord de traitement DPA complexe
โœ… IA Locale (Ollama)
  • Donnees traitees en Suisse
  • Conforme LPD et RGPD
  • Aucun entrainement externe
  • Independence totale
  • Investissement unique
  • Souverainete complete des donnees

ChatGPT Enterprise : une solution partielle

OpenAI propose un plan Enterprise qui offre des garanties supplementaires : pas d'utilisation des conversations pour l'entrainement, accord de traitement des donnees (DPA) disponible. Cependant :

  • Le transfert de donnees vers les USA reste problematique selon la LPD
  • Le cout est d'environ USD 60 par utilisateur et par mois
  • Vous restez dependant d'un fournisseur etranger
  • La conformite reste partielle et necessite une analyse juridique

Comment se mettre en conformite rapidement ?

Option 1 : Adopter une politique d'utilisation stricte

Definir clairement quelles donnees peuvent et ne peuvent pas etre partagees avec des IA cloud. Former vos employes. Mettre en place des procedures de verification. Cette approche est possible mais difficile a maintenir dans la pratique.

Option 2 : Installer une IA locale (solution recommandee)

Deployer une solution IA entierement locale sur votre infrastructure suisse. Avec des outils comme Ollama et OpenWebUI, vos employes beneficient d'une experience similaire a ChatGPT, mais 100% privee et conforme.

โœ… Avantage cle : Avec une IA locale, vous pouvez traiter librement tous types de donnees sensibles, y compris les dossiers RH, contrats clients et informations financieres, sans risque juridique et sans cout d'abonnement mensuel.

Option 3 : Hebergement cloud suisse (compromis)

Certains fournisseurs proposent des LLM hiberges en Suisse (Microsoft Azure Suisse, etc.). C'est plus securise que les solutions standard mais reste plus couteux qu'une solution locale et maintient une dependance fournisseur.

Les obligations documentaires de la LPD

Independamment de votre choix technologique, la LPD impose des obligations documentaires aux entreprises :

  • Tenir un registre des activites de traitement (art. 12 nLPD)
  • Realiser une analyse d'impact pour les traitements a risque eleve
  • Informer les personnes concernees sur l'utilisation de leurs donnees
  • Mettre en place des mesures techniques et organisationnelles adequates
  • Notifier le PFPDT en cas de violation de donnees

Conclusion : agir maintenant plutot que subir

La LPD 2023 n'est pas seulement une contrainte : c'est une opportunite pour les PME suisses de se demarquer en matiere de respect de la vie privee. Les entreprises qui adoptent des solutions IA locales securisees gagnent la confiance de leurs clients et evitent des risques juridiques croissants.

La bonne nouvelle : les solutions IA locales sont aujourd'hui accessibles et abordables pour les PME de toute taille.

Rendre votre utilisation de l'IA conforme a la LPD

Only-Digital Automation installe et configure des solutions IA 100% locales et conformes pour les PME suisses. Consultation juridique et technique incluse. Base a Lausanne, intervention dans toute la Suisse Romande.

๐Ÿ”’ Audit de conformite gratuit

Articles connexes

Installation
Installer Ollama sur Windows en 15 minutes : Guide PME
Automatisation
n8n + Ollama : Automatisez vos emails avec l'IA locale