Prendre RDV
← Retour au blog
Juridique & Conformité8 min

IA, RGPD et nouvelle LPD suisse : comment rester conforme en entreprise

ÉF
Équipe FUUZ · Publié le 10 février 2025

Depuis l'entrée en vigueur de la nouvelle LPD (Loi sur la Protection des Données) en Suisse en septembre 2023, les entreprises ont des obligations claires concernant le traitement de données personnelles par des outils tiers — incluant les IA comme ChatGPT.

Le double défi : Poids de la Loi et Fuite de l'Information (Shadow AI)

L'une des crises majeures rencontrées par les PME romandes ces deux dernières années est la montée en puissance du "Shadow AI" : les employés, frustrés par les interdictions informatiques, utilisent des comptes ChatGPT personnels non-sécurisés sur leurs navigateurs (ou téléphones) pour faire leur travail plus vite. Ce faisant, ils exposent l'entreprise à des risques légaux, comme l'ont rappelé plusieurs commissaires à la protection des données (PFPDT) en Suisse.

Les fondamentaux de la nouvelle LPD et les Modèles d'IA

La LPD révisée stipule que la collecte, le traitement et le transfert de données à l'étranger (serveurs OpenAI aux USA ou en Irlande) font l'objet d'accords draconiens.

  • Anonymisation obligatoire : Aucune donnée personnelle claire (nom de client, numéro fiscal, historique médical) ne doit entrer dans l'interface ChatGPT publique standard. Les clauses (Terms of Services) de OpenAI stipulent que les données d'abonnements simples sont exploitées pour le ré-entraînement du modèle.
  • Principe de Transparence : Si vous tirez des conclusions automatisées (notamment au RH, comme un filtrage aveugle de CV sans intervention ou réflexion humaine validante), le candidat peut exiger d'en être prévenu. Ce principe "Human-in-the-Loop" est l'axe autour duquel la juridiction s'articule aujourd'hui.

Les Solutions Sécurisées pour les Entreprises Suisses

Heureusement, se conformer ne signifie pas bloquer l'usage. La sécurité nécessite deux grands leviers :

Levier 1 : La sécurité "By-Design"

Il est impératif pour les organisations de basculer sur les statuts Entreprises officiels (ChatGPT Team/Enterprise, Microsoft Copilot Pro) où les accords de confidentialité (DPA ou "Zero Retention Policies") sont clairs et contraignants juridiquement. La donnée entre dans le serveur de manière chiffrée, est analysée en moins d'une seconde, puis est détruite. Elle ne retourne jamais dans le "cerveau global".

Levier 2 : Le cadrage (Guideline Interne)

Un document de 2 pages à signer par tous les collaborateurs doit détailler :

  • Les données catégoriquement interdites (Contrats avec identités, finances non publiées, codes sources internes ultra-stratégiques).
  • L'obligation de relecture et de responsabilité : un collaborateur reste légalement l'auteur d'un document généré par IA qu'il décide d'envoyer pour le compte de l'entreprise.

En Conclusion

Dans nos modules de formation, ce pan légal est traité avec un consultant spécialisé. Bloquer ChatGPT est impossible (et destructeur pour la compétitivité), l'encadrer est obligatoire pour préserver le secret d'affaire en 2025.

Questions Fréquentes

Puis-je analyser les salaires de mes collaborateurs avec ChatGPT Plus ?

Non, c'est formellement déconseillé selon la LPD car il s'agit du transfert de données personnelles sensibles à une entité tierce sans garantie contractuelle de suppression.

Existe-t-il une version sécurisée de l'Intelligence Artificielle de OpenAI ?

Oui. Le forfait Enterprise ou l'utilisation de l'API via Microsoft Azure assure que vos données de prompts ne sont pas utilisées pour l'apprentissage et sont sécurisées nativement.

#IA RGPD Suisse#ChatGPT données confidentielles#LPD intelligence artificielle entreprise Suisse#RGPD PME Romande#sécurité données IA

Envie d'aller plus loin ?

Découvrez comment nos formations peuvent vous aider à appliquer ces concepts précisément dans votre quotidien.