Les entreprises suisses ont été plus lentes que leurs homologues européennes à déployer des agents IA sur les données clients — et la raison n’est généralement ni le budget ni l’ambition. C’est la crainte silencieuse que le fait de toucher à des données personnelles avec un système automatisé place l’entreprise du mauvais côté de la Loi fédérale sur la protection des données révisée (nLPD).
Cette crainte est compréhensible, mais largement surévaluée. La nLPD n’interdit pas l’automatisation par IA. Elle exige une conception délibérée : savoir quelles données personnelles votre agent traite, où elles vont, qui les traite et quelle est votre base légale. Faites cela, et vous pourrez déployer des agents IA sur des données clients en toute confiance — avec une posture de conformité que la plupart des fournisseurs SaaS offshore ne peuvent structurellement pas égaler.
Cet article couvre les trois obligations nLPD les plus importantes lors du déploiement d’agents IA conformes à la nLPD : restrictions de résidence et de transfert des données, le déclencheur de l’analyse d’impact relative à la protection des données (AIPD) et les exigences en matière de contrats de sous-traitance.
Pourquoi les Plateformes IA Standard Créent une Lacune de Conformité en Suisse
La plupart des plateformes commerciales d’agents IA font transiter les données par une infrastructure aux États-Unis ou dans l’UE. Cela crée un problème de transfert en vertu de l’art. 16 nLPD : les données personnelles ne peuvent être transférées à l’étranger que si le pays de destination garantit une protection adéquate, ou si des garanties appropriées sont en place (clauses contractuelles types, règles d’entreprise contraignantes ou consentement explicite).
La décision d’adéquation de l’UE pour la Suisse — confirmée le 15 janvier 2024 et couvrant explicitement la nLPD révisée — signifie que les transferts vers des sous-traitants établis dans l’UE sont généralement admissibles. Les transferts vers des entreprises américaines certifiées dans le cadre du Swiss-US Data Privacy Framework (Swiss-US DPF) sont devenus admissibles sans garanties supplémentaires à partir du 15 septembre 2024, date à laquelle la reconnaissance d’adéquation suisse pour les destinataires certifiés DPF est entrée en vigueur. Les transferts vers des entreprises américaines non certifiées nécessitent toujours des clauses contractuelles types ou une autre garantie reconnue.
En pratique, si votre agent IA envoie des noms de clients, des adresses e-mail ou d’autres données personnelles à une API de modèle de langage hébergée aux États-Unis, vous avez besoin d’une base légale documentée et d’un mécanisme de transfert valide. De nombreuses entreprises déployant des outils IA standards ne peuvent pas produire cette documentation sur demande. Les autorités de surveillance suisses — le Préposé fédéral à la protection des données et à la transparence (PFPDT) — ont signalé leur intérêt pour exactement cette lacune.
La solution n’est pas d’éviter l’IA. C’est de la concevoir de sorte que les flux de données soient courts, documentés et défendables.
Trois Obligations nLPD à Intégrer dès la Conception
1. Résidence et Transfert des Données : Maintenir le Périmètre Visible
L’art. 16 nLPD exige une base légale de transfert pour les données personnelles quittant la Suisse. Mais le défi pratique est plus subtil : la plupart des pipelines d’agents IA touchent des données personnelles en plusieurs étapes. Une demande client arrive par e-mail, l’agent la lit, appelle une API LLM pour générer une réponse, enregistre l’interaction dans un CRM et archive la conversation.
Chaque étape est un transfert potentiel. L’appel LLM est typiquement le plus exposé : s’il inclut du contenu identifiant le client et est acheminé vers un centre de données américain, vous avez besoin d’une couverture contractuelle.
Choix de conception qui réduisent le risque de transfert :
- Minimisez ce que le modèle voit. Supprimez ou pseudonymisez les identifiants personnels avant l’appel à l’API LLM. L’agent peut résoudre les noms depuis votre propre système après réception de la réponse du modèle. Cela limite ce qui quitte la Suisse.
- Utilisez des modèles hébergés dans l’UE lorsque c’est possible. Plusieurs fournisseurs LLM capables proposent des points d’accès en région UE ; certains offrent un hébergement en région suisse. La différence de performance est négligeable pour la plupart des tâches métier.
- Conservez les journaux en Suisse. Les journaux de conversation contenant des données personnelles doivent résider dans une infrastructure que vous contrôlez, et non sur une plateforme de journalisation basée aux États-Unis.
Rien de tout cela ne nécessite de sacrifier les capacités IA. Cela exige un schéma des flux de données dessiné avant d’écrire la première ligne de code — quelque chose qui devrait se faire indépendamment des exigences de conformité.
2. Le Déclencheur AIPD : Quand une Évaluation Formelle est Nécessaire
En vertu de l’art. 22 nLPD, une Analyse d’Impact relative à la Protection des Données est obligatoire lorsque le traitement est “susceptible d’entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées”. En pratique, cela se déclenche lorsque vous combinez : un traitement à grande échelle, une prise de décision automatisée avec des effets significatifs sur les personnes, ou un profilage systématique.
Un agent IA qui répond aux FAQ du service client et achemine les tickets ? Probablement en dessous du seuil AIPD. Un agent IA qui évalue automatiquement la solvabilité, prend des décisions de présélection lors de recrutements, ou calcule un score de risque d’attrition client et déclenche une prise de contact ? C’est presque certainement au-dessus.
Pour être honnête : le seuil n’est pas défini précisément. Bien que le PFPDT ait publié des lignes directrices IA dédiées en mai 2025 (mises à jour en septembre 2025) confirmant que la nLPD s’applique directement au traitement assisté par IA et précisant les obligations de transparence, d’AIPD et de prise de décision automatisée, il n’a pas fixé de seuils AIPD précis pour des cas d’usage IA spécifiques. Cela préserve une marge d’interprétation, mais opter pour une AIPD en cas de doute est la bonne décision — une AIPD complétée est une preuve de bonne foi ; une AIPD manquante est un risque lors d’un audit.
Une AIPD pour un déploiement d’agents IA n’a pas à être un document de 60 pages. Elle doit au minimum couvrir : quelles données personnelles l’agent traite et pourquoi, la base légale de ce traitement, quelles décisions automatisées (le cas échéant) l’agent prend, les risques pour les personnes concernées et les mesures d’atténuation, et qui a été consulté. Une équipe disciplinée peut produire une AIPD défendable pour un déploiement bien délimité en un ou deux jours. Le travail le plus difficile est de définir le périmètre décisionnel de l’agent avec suffisamment de clarté pour l’évaluer — ce qui est utile indépendamment de la conformité.
3. Contrats de Sous-traitance : Chaque Fournisseur dans la Chaîne
L’art. 9 nLPD exige un contrat écrit avec chaque sous-traitant — tout tiers qui traite des données personnelles en votre nom. Pour les agents IA, la liste des sous-traitants est plus longue que la plupart des entreprises ne l’anticipent.
Les plus évidents : votre fournisseur d’API LLM, votre fournisseur d’hébergement cloud. Les moins évidents : la base de données vectorielle stockant les embeddings des conversations clients, la plateforme d’observabilité journalisant les traces de l’agent, le service d’envoi d’e-mails que l’agent utilise pour envoyer ses réponses, le CRM connecté via API.
Chaque contrat doit préciser : les catégories de données traitées, la finalité et la durée, les mesures de sécurité, les instructions limitant le sous-traitant à vos directives, les dispositions de suppression ou de restitution, et les obligations de notification pour les sous-sous-traitants.
La plupart des grands fournisseurs cloud proposent des accords de traitement des données par défaut, mais vous devez les signer et vérifier qu’ils couvrent votre cas d’usage spécifique. Certains fournisseurs spécialisés IA — notamment les jeunes startups — ne disposent pas d’accords de traitement des données matures. Si un fournisseur ne peut pas en produire un, c’est un signal de sélection, pas seulement un problème administratif.
Ce que Signifie Concrètement une Architecture “Swiss-First”
L’enjeu de conformité décrit ci-dessus pourrait sembler une contrainte. C’est aussi un avantage concurrentiel.
Une entreprise suisse travaillant avec un partenaire IA suisse peut offrir à ses clients quelque chose que les fournisseurs offshore ne peuvent structurellement pas proposer : des données personnelles qui ne quittent jamais la juridiction suisse ou UE, une logique d’agent dans une infrastructure que vous contrôlez, et des pistes d’audit à portée de votre équipe juridique.
Pour les secteurs à forte sensibilité des données — services financiers, santé, juridique, RH — les clients régulés demandent de plus en plus où tourne votre IA et qui peut accéder aux données. “Tout est en Suisse, voici notre accord de traitement” est un véritable différenciateur commercial. Les agents IA développés sur mesure facilitent cela car vous contrôlez les choix d’infrastructure dès le premier jour. Découvrez notre approche sur notre page Développement d’Agents IA.
Ce que la nLPD n’Exige Pas (Clarifier les Idées Reçues)
Le consentement n’est pas toujours requis. L’intérêt légitime (art. 31 nLPD) est une base légale valide pour le traitement de données personnelles avec des agents IA dans de nombreux contextes B2B et de service client, à condition de réaliser un test d’équilibre des intérêts. Vous n’avez pas automatiquement besoin de demander à chaque client un consentement spécifique à l’IA.
La nLPD n’est pas le RGPD. Substantiellement similaire mais pas identique. Les entreprises déjà conformes au RGPD ne repartent pas de zéro, mais ne doivent pas supposer une équivalence terme à terme — les différences incluent les critères de périmètre de l’AIPD, les règles sur les catégories de données sensibles et le standard de notification des violations (l’art. 24 nLPD exige une notification “dans les meilleurs délais” sans délai fixe, contrairement à la fenêtre de 72 heures du RGPD).
Les petites entreprises ne sont pas exemptées. La nLPD s’applique à toute organisation traitant des données personnelles de résidents suisses, quelle que soit sa taille. Un agent IA gérant des données clients à tout volume significatif ne bénéficie pas d’une exemption pour les micro-structures.
Une Checklist Pratique avant la Mise en Production
Avant de déployer un agent IA sur des données personnelles :
- Cartographie des flux de données : chaque étape dispose d’une base légale documentée ; les étapes transfrontalières disposent d’un mécanisme de transfert valide
- AIPD : si l’agent éclaire des décisions ayant des effets significatifs sur les personnes, réalisez l’évaluation avant le lancement
- Contrats de sous-traitance : accord de traitement des données signé avec chaque fournisseur dans la stack
- Conservation : combien de temps l’agent conserve-t-il les données personnelles, et la suppression est-elle automatisée ?
- Contrôles d’accès : qui peut interroger les journaux et l’historique des conversations, et cet accès est-il lui-même journalisé ?
- Notice de confidentialité : décrit-elle avec précision le traitement basé sur l’IA ?
- Réponse aux incidents : le workflow de notification au PFPDT est-il documenté ? (l’art. 24 nLPD exige une notification “dans les meilleurs délais” — pas de délai fixe de 72 heures, contrairement à l’art. 33 RGPD)
Il s’agit d’un point de départ, pas d’un avis juridique. Pour les catégories de données sensibles, les décisions automatisées individuelles ou les secteurs réglementés, faites appel à votre conseil juridique.
L’Avantage de la Conformité Appartient à Ceux qui la Conçoivent dès le Départ
Conformité à la protection des données suisse et déploiement d’agents IA ne sont pas en tension — ils exigent simplement la même chose : une architecture intentionnelle. Les entreprises qui auront l’avantage IA le plus durable sur le marché suisse sont celles qui conçoivent les flux de données délibérément dès le début, plutôt que d’adapter la conformité à des systèmes conçus pour la vitesse.
Lectures connexes : pour la dimension UE, consultez notre article sur les Agents IA et RGPD, et pour le tableau réglementaire plus large incluant l’EU AI Act, lisez L’EU AI Act et les Agents IA : Ce que les Entreprises Doivent Savoir. Si vous évaluez votre préparation globale, Gouvernance des Agents IA : un Guide Pratique pour les PME couvre le volet opérationnel.
Si vous planifiez un déploiement d’agents IA et souhaitez avoir une vision claire de ce que la conformité nLPD exige pour votre cas d’usage spécifique — flux de données, contrats de sous-traitance, nécessité d’une AIPD — nous proposons un appel de 30 minutes pour cartographier le terrain et identifier où vous devez agir avant de construire. Sans pression, sans présentation commerciale.