Application de la LPD à l’intelligence artificielle en Suisse : cadre et enjeux
Le Conseil fédéral a indiqué qu’aucune loi suisse ne régissait explicitement l’intelligence artificielle, tandis que le PFPDT a rappelé que la LPD révisée, en vigueur depuis septembre 2023, s’appliquait aux systèmes d’IA en raison de sa neutralité technologique.
En bref Les organisations qui conçoivent ou déploient de l’IA restent tenues d’assurer transparence sur la finalité, le fonctionnement et les sources de données, d’organiser le droit d’opposition et le contrôle humain des décisions automatisées, de documenter les mesures techniques et organisationnelles et, en cas de risque élevé, de mener une analyse d’impact. Les pratiques assimilables à un crédit social et certaines formes de reconnaissance faciale généralisée restent présentées comme incompatibles avec la protection de la personnalité.
Application de la LPD à l’intelligence artificielle en Suisse
Dans une communication récente, le PFPDT a précisé les limites opérationnelles applicables aux fabricants, fournisseurs et utilisateurs d’IA. L’autorité a relié ces exigences à l’autodétermination informationnelle, attendue dès la phase de conception et de planification des traitements.
Le calendrier de futures règles sectorielles est resté politique. Le Conseil fédéral a décidé de transposer des conventions du Conseil de l’Europe sur l’IA, avec des premières propositions annoncées pour une consultation à la fin 2026, sans effet suspensif sur les obligations actuelles.
Transparence LPD et droit d’opposition face aux décisions automatisées
Le PFPDT a exigé une information compréhensible sur le but du traitement, les données mobilisées et le rôle de l’IA dans le résultat. Dans un cas typique, une PME romande a utilisé un agent conversationnel pour trier des demandes de support et a dû clarifier si les messages servaient aussi à l’entraînement, ainsi que la finalité exacte de conservation.
L’autorité a rattaché cette transparence au droit d’opposition et à la possibilité de demander qu’une décision individuelle automatisée soit vérifiée par une personne. Cette attente a concerné notamment les processus de sélection, de tarification ou de détection de fraude, quand le résultat produisait un effet juridique ou notable.
Le PFPDT a aussi indiqué que, lors d’une interaction directe avec un modèle, la personne devait pouvoir savoir si elle s’adressait à une machine. L’usage d’outils modifiant le visage, l’image ou la voix de personnes identifiables a dû être signalé, sous réserve d’autres interdictions relevant du droit pénal non détaillées dans cette communication.
Enjeux de conformité IA LPD et articulation avec le RGPD
Pour les traitements à risque élevé, le PFPDT a renvoyé à l’exigence d’une analyse d’impact relative à la protection des données et à la mise en place de garanties adaptées. Une banque utilisant un modèle externe pour évaluer l’octroi de crédit a typiquement dû cadrer la proportionnalité des variables et conserver la traçabilité des arbitrages internes, afin de pouvoir répondre aux demandes d’accès et de contestation.
Les organisations ont aussi dû sécuriser la sous-traitance et les transferts. Quand un fournisseur de modèle ou d’hébergement se situait dans l’UE, la gestion contractuelle a souvent dû combiner exigences LPD et clauses attendues côté RGPD, notamment sur instructions, sécurité, sous-traitants ultérieurs et assistance en cas de violation.
Pratiques d’IA présentées comme incompatibles avec la LPD
Le PFPDT a cité des usages visant à éroder la sphère privée et l’autodétermination informationnelle. La surveillance et l’évaluation systématiques du mode de vie, décrites comme un crédit social, ont été mentionnées parmi les pratiques non admissibles au regard de la protection des données.
L’autorité a également évoqué la reconnaissance faciale généralisée en temps réel comme exemple de traitement portant atteinte à la personnalité. Pour les responsables, l’enjeu a consisté à documenter l’objectif, limiter la collecte, encadrer l’accès et vérifier si l’usage restait défendable, faute de quoi l’arrêt du traitement s’est imposé comme mesure de réduction du risque.
Une organisation peut-elle déployer un chatbot sans règle spécifique IA en Suisse
Oui, sous réserve de respecter la LPD et les principes applicables au traitement, notamment la transparence sur la finalité et l’usage des données saisies, y compris si elles servent à l’amélioration d’un système auto-apprenant.
Que doit prévoir le dispositif quand l’IA rend une décision individuelle
Le PFPDT a rappelé le droit d’opposition et la possibilité de demander un contrôle par une personne lorsqu’une décision individuelle automatisée produit un effet juridique ou notable pour la personne concernée.
Quand une analyse d’impact devient-elle attendue
Lorsque le traitement par IA est qualifié de risque élevé, la communication du PFPDT a renvoyé à la réalisation d’une analyse d’impact relative à la protection des données et à la mise en place de garanties proportionnées.
Les deepfakes doivent-ils être signalés
Le PFPDT a indiqué que l’altération de visages, d’images ou de messages vocaux de personnes identifiables devait être clairement signalée, sous réserve d’éventuelles interdictions relevant du droit pénal non précisées dans cette communication.
Source: www.ictjournal.ch
