Utiliser l’IA en entreprise en garantissant la protection des données conseil d’expert pour les PME suisses

Les PME suisses se tournent de plus en plus vers l’intelligence artificielle (IA). Deux sur trois font des essais avec cette technologie ou l’utilisent déjà de manière productive. Mais la plupart d’entre elles n’ont pas encore établi de règles du jeu claires. C’est ce que révèle l’étude sur le marché de l’emploi des PME 2025 d’AXA (en allemand). Marco S. Meier, avocat et expert en droit de l’informatique et de la protection des données, explique comment utiliser l’IA en toute sécurité et réduire le risque de violation de la protection des données.

Pourquoi la protection des données est-elle essentielle quand on se sert de l’IA?

Comme la majorité des PME voient dans cette technologie des possibilités en termes d’efficience et de croissance, leurs craintes diminuent. Ce changement d’état d’esprit ne doit pas faire oublier l’enjeu crucial qu’est la garantie de la protection des données lors de la saisie et du traitement des données personnelles dans les outils d’IA.

La loi sur la protection des données (LPD) révisée en 2023 impose la sécurité des données et l’utilisation transparente de ces dernières. Et si l’IA n’est pas mentionnée explicitement dans la loi, les mêmes exigences s’appliquent pour elle, selon le Préposé fédéral à la protection des données et à la transparence (PFPDT). Toute infraction expose à de lourdes amendes et à des dommages de réputation.

Problème: comme le montre l’étude 2025 sur le marché de l’emploi des PME, seul un tiers des PME suisses ont établi des règles claires dans ce domaine. Dans la plupart des entreprises, les collaboratrices et les collaborateurs décident eux-mêmes des outils qu’ils utilisent et des données qu’ils y saisissent, sans avoir toujours conscience des conséquences possibles. 

Conseil d’expert en IA et droit de la protection des données

Dans un entretien, Marco S. Meier, avocat, MLaw, CIPP/E et informaticien CFC, nous explique quels sont les écueils du droit dans ce domaine, quelles sont les conséquences d’une violation de la protection des données et en quoi elle consiste et ce que les PME peuvent faire pour réduire les risques.

Quels sont les écueils du droit de la protection des données lorsque le personnel a recours à des services d’IA?

Dans la pratique, il y a plusieurs problématiques. Ainsi, le principal risque est que les collaborateurs et collaboratrices ne savent pas quelles données ils ont le droit de saisir dans quel outil d’IA. Pour prévenir les violations de la protection des données, il est essentiel que l’entreprise procède à un examen approfondi des outils d’IA avant de donner son feu vert. Elle peut alors élaborer des instructions claires pour une utilisation respectueuse de la protection des données et former leurs équipes en conséquence.

Il est important que les collaborateurs et collaboratrices sachent clairement quelles applications peuvent être utilisées, dans quelles conditions et surtout, quelles données peuvent y être saisies. La question suivante se pose par exemple: des données personnelles ou soumises au secret peuvent-elles être saisies dans l’IA?

Autre piège: l'utilisation au travail d'outils d’IA que les collaborateurs et les collaborateurs et collaboratrices emploient à titre privé. Ce sont souvent des versions gratuites que l’entreprise n’a ni vérifiées ni validées. La saisie de données personnelles peut rapidement entraîner des violations de la protection des données.

Pour éviter ces écueils, l’entreprise doit impérativement évaluer et analyser soigneusement les risques des outils d’IA, définir des directives claires quant à leur utilisation en interne et organiser des formations adéquates.

Qui est responsable lorsqu’un membre de l’entreprise enfreint le droit de la protection des données en utilisant l’IA?

Lorsqu’une entreprise recourt aux services d’IA d’un prestataire tiers, du point de vue du droit sur la protection des données, c’est elle qui est responsable du traitement. À ce titre, l’entreprise est tenue de garantir le respect de la loi sur la protection des données.

L’entreprise doit se conformer aux obligations suivantes:

• la garantie de la transparence par la mise à disposition d’informations (devoir d’information);
• la conclusion d’un contrat de sous-traitance en cas de recours à des fournisseurs tiers
• la garantie d’un niveau de protection adéquat lors de la transmission de données à l’étranger
• le cas échéant, la réalisation d’une analyse d’impact relative à la protection des données
• la garantie de la sécurité des données

Ces obligations, à l’exception de l’analyse d’impact relative à la protection des données, sont assortie de sanctions pénales en cas de non-respect. Cependant, contrairement au droit européen, la sanction ne vise pas l’entreprise, mais le responsable au sein de l’entreprise. 

Quelles sont les conséquences d’une violation du droit de la protection des données?

Toute personne responsable de la violation de la loi sur la protection des données dans l’entreprise est passible d’une amende pouvant aller jusqu’à 250 000 francs. Exceptionnellement, l’entreprise peut se voir infliger l’amende, notamment lorsque le travail dû à l’identification des personnes responsables serait disproportionné. Dans ce cas, l’entreprise encourt une amende pouvant aller jusqu’à 50 000 francs. 

Jusqu’à présent, je n’ai connaissance d’aucune amende dont le montant a atteint le plafond prévu. Sans compter que les violations de la protection des données donnant lieu à des sanctions sont rares à l’heure actuelle. 

En plus des amendes prévues, les compétences du Préposé fédéral à la protection des données et à la transparence (PFPDT) ont été élargies depuis la révision de la loi. Il est autorisé à ouvrir des enquêtes et à ordonner l’adaptation, l’interruption ou la suppression de certains processus de traitement des données, p. ex. le recours à des services d’IA. En règle générale, avant toute procédure d’enquête formelle, le PFPDT intervient de façon informelle en attirant l’attention des responsables du traitement sur une violation de la protection des données et en recommandant des adaptations. Ces mesures visent à sensibiliser l’entreprise et les personnes responsables et à réduire les risques éventuels.

Comment prévenir les violations du droit de la protection des données? 

Garantir une utilisation des outils d’IA conforme à la protection des données dans les PME commence par la sensibilisation. Pour se prémunir contre les violations de la protection des données, les PME doivent former leur personnel et l’informer des risques en lien avec les données personnelles et l’IA. Le travail de sensibilisation vise d’une part à garantir que le thème de la protection des données soit intégré suffisamment tôt dans les nouveaux projets, par exemple l’introduction d’un service d’IA. D’autre part, il doit contribuer à ce que chacune et chacun ait à l’esprit les risques qu’implique le traitement de données personnelles au moyen de l’IA.

Par ailleurs, , il est utile de mettre en place une directive spécifique sur l’IA permettant d’encadrer son utilisation. Cette directive sur l’IA définira par exemple quels services d’IA peuvent être utilisés, quelles données  (p. ex. données personnelles, données sensibles, données protégées par le secret) peuvent y être saisie et comment il faut gérer les résultats générés l’IA. Elle doit également fixer les principes éthiques de l’entreprise (p. ex. sur la transparence, l’équité, la non-discrimination ou le contrôle humain).

Quels conseils donneriez-vous pour garantir une utilisation des outils d’IA dans le respect de la protection des données?

Afin de garantir une utilisation conforme à la protection des données, il convient de procéder à des clarifications centralisées en amont.

• Une analyse complète des risques prenant également en compte les aspects de Compliance, par exemple sur la base d’une analyse d’impact approfondie.
• Un examen minutieux du prestataire d’IA et une élaboration rigoureuse du contrat, même si la négociation des clauses paraît difficile.
• Une pesée des risques contractuels et, le cas échéant, des mesures de prévention à l’aide de directives internes ou de moyens et de restrictions techniques.

Outre les risques juridiques, il est recommandé de prendre en compte les aspects techniques afin d’identifier les dangers potentiels et d’éviter toute violation de la protection des données.