HeyPapaya
HeyPapaya
La nLPD n'est pas une raison de renoncer à l'IA, c'est un cadre à poser dès la conception. Voici, en clair et sans jargon juridique, les cinq points qui comptent vraiment : où héberger les données, comment masquer le sensible, ce qu'est un DPA, et qui est responsable de quoi.
La nouvelle loi suisse sur la protection des données (nLPD), entrée en vigueur en septembre 2023, encadre le traitement des données personnelles. Beaucoup de dirigeants la perçoivent comme un obstacle à l'IA. En réalité, c'est surtout une question de séquence : si la protection des données est pensée dès la conception de l'agent, elle est parfaitement gérable pour une PME. Si elle est traitée après coup, il faut souvent tout reconstruire. Voici les cinq leviers concrets.
La première question que se posent vos clients, et l'autorité, est : où vont les données ? La réponse saine pour une PME suisse est d'héberger par défaut en Suisse ou dans l'Union européenne, des juridictions à protection adéquate. En pratique, cela passe par des fournisseurs comme Infomaniak à Genève pour l'infrastructure, et par le choix de régions UE pour les services tiers. On évite ainsi les transferts vers des pays sans niveau de protection reconnu, ou on les encadre strictement quand ils sont inévitables. C'est un choix d'architecture, à faire au départ.
Tout ce qui transite par un modèle de langage n'a pas besoin de contenir des données personnelles en clair. Le principe de minimisation veut qu'on n'envoie que le strict nécessaire. Concrètement, on masque ou pseudonymise les informations sensibles, nom, numéro AVS, coordonnées, données de santé, avant qu'elles ne quittent votre environnement. L'agent travaille sur des données réduites au minimum, et l'identité réelle reste de votre côté. Cela limite l'exposition et simplifie considérablement la conformité.
Dès qu'un prestataire traite des données personnelles pour votre compte, un contrat de sous-traitance des données (DPA) doit encadrer la relation. Il précise la finalité du traitement, les catégories de données, les mesures de sécurité, les sous-traitants ultérieurs autorisés, et les obligations en cas d'incident. Ce n'est pas une formalité décorative : c'est la pièce qui documente que chacun sait ce qu'il fait des données. Un déploiement IA sérieux s'accompagne toujours d'un DPA signé.
Conserver des données indéfiniment est à la fois un risque et une non-conformité. La nLPD impose de définir des durées de conservation proportionnées à la finalité, puis de supprimer ou d'anonymiser. Pour un agent IA, cela veut dire des fenêtres de rétention claires sur les conversations, les transcriptions et les journaux : on garde ce qui sert à la qualité et au support, on purge le reste selon un calendrier défini. À poser dès la mise en place.
C'est la distinction la plus mal comprise, et pourtant la plus structurante. Le responsable du traitement est celui qui décide pourquoi et comment les données sont traitées : c'est vous, la PME. Le sous-traitant est celui qui exécute le traitement pour votre compte, selon vos instructions : c'est votre prestataire IA. Cette répartition détermine les responsabilités. Chez HeyPapaya, le modèle est explicite : vous restez responsable du traitement, nous sommes sous-traitant, et le DPA acte cette relation.
Aucun de ces points ne nécessite une armée de juristes. Ils nécessitent d'être posés dès la conception, par un partenaire qui les intègre par défaut plutôt que de les bricoler à la fin. C'est notre approche : hébergement Suisse/UE, masquage, DPA et rétention font partie du standard, pas d'une option. La stratégie de conformité s'inscrit dans une démarche plus large d'adoption, voir notre service Stratégie & adoption IA et notre guide de l'IA pour les PME suisses.
Avertissement. Cet article a une vocation informative et ne constitue pas un conseil juridique. La conformité dépend de votre situation concrète. Pour une analyse adaptée à votre cas, consultez un conseiller juridique qualifié ou un spécialiste de la protection des données.
Réservez un appel de 30 minutes. Nous regardons vos flux et votre cadre de données ensemble, et vous repartez avec trois idées d'agents concrètes, conformes nLPD.