Normes suisses de protection des données à l'ère de l'IA

Le 1^er septembre 2023, la révision de la loi fédérale suisse sur la protection des données (nLPD / nDSG) est entrée en vigueur, remplaçant un cadre largement inchangé depuis 1992. La nouvelle loi rapproche la protection des données en Suisse du RGPD européen tout en conservant des spécificités helvétiques. Pour les entreprises qui développent des produits alimentés par l'IA, qu'elles soient basées en Suisse ou qu'elles servent des clients suisses, la nLPD crée à la fois des obligations et des opportunités.

En tant qu'entreprise logicielle basée à Zoug qui conçoit des produits augmentés par l'IA pour des clients dans toute l'Europe, nous avons intégré ces exigences dès le premier jour. Cet article synthétise ce que nous avons appris en conseils pratiques pour les équipes produit.

Ce que la nLPD exige réellement

La nLPD est parfois qualifiée de « RGPD allégé », mais cette formulation prête à confusion. Si elle partage des principes fondamentaux avec le RGPD, des différences importantes influencent la conception des systèmes d'IA.

Principes clés pertinents pour l'IA

• Finalité : Les données personnelles ne peuvent être traitées que pour la finalité communiquée au moment de la collecte. Si vous collectez des données pour un chatbot d'assistance, vous ne pouvez pas les utiliser ensuite pour entraîner un modèle de recommandation sans consentement supplémentaire ou une finalité compatible.
• Proportionnalité : Le traitement des données doit être proportionné à la finalité déclarée. Cela a des implications directes pour la collecte des données d'entraînement : collecter « tout, au cas où » n'est pas conforme.
• Transparence : Les personnes concernées doivent être informées des processus de décision automatisée. Si un système d'IA prend ou influence de manière substantielle des décisions concernant des personnes, elles ont le droit de le savoir.
• Minimisation des données : Seules les données nécessaires à la finalité déclarée peuvent être traitées. Pour les systèmes d'IA, cela implique d'examiner attentivement quelles données sont vraiment nécessaires et d'éviter la tentation d'inclure toutes les données disponibles.
• Restrictions aux transferts transfrontaliers : Les données personnelles ne peuvent être transférées que vers des pays offrant un niveau de protection adéquat, ou avec des garanties appropriées. Cela affecte directement quels fournisseurs de LLM et quelles régions cloud vous pouvez utiliser.

Où la nLPD diffère du RGPD

Pas de délégué à la protection des données obligatoire. Contrairement au RGPD, la nLPD n'impose pas la désignation d'un DPD, bien qu'elle le recommande. Toutefois, disposer d'une gouvernance claire en matière de protection des données est pratiquement indispensable pour les organisations fortement utilisatrices d'IA.

Champ plus large pour l'intérêt légitime. La nLPD autorise un traitement fondé sur l'intérêt légitime sans exiger l'analyse de proportionnalité que prévoit l'article 6(1)(f) du RGPD. Cela donne aux entreprises suisses une légère marge de manœuvre, sans supprimer le besoin d'une analyse réfléchie.

Sanctions pénales pour les personnes physiques. Contrairement aux amendes administratives du RGPD à l'encontre des entreprises, la nLPD prévoit des sanctions pénales, avec des amendes pouvant aller jusqu'à 250 000 CHF, pour les responsables. Cela concentre la responsabilité et fait de la protection des données un enjeu de direction.

« La disposition sur la responsabilité individuelle de la nLPD change la donne. La protection des données n'est plus seulement un coût d'exploitation. C'est une responsabilité personnelle pour les décideurs. »

Implications pratiques pour les produits IA

Gouvernance des données d'entraînement

Si vos modèles d'IA sont entraînés ou affinés sur des données incluant des informations personnelles de résidents suisses, vous devez disposer d'une base juridique claire pour ce traitement. Pour la plupart des applications commerciales, cela signifie soit un consentement explicite, soit une analyse d'intérêt légitime bien documentée.

Nous recommandons de tenir un registre des données d'entraînement qui documente, pour chaque jeu de données : sa source, la base juridique du traitement, quelles données personnelles il contient, comment il a été anonymisé ou pseudonymisé, et la date de dernière révision. Ce n'est pas qu'un exercice de conformité ; c'est essentiel pour la reproductibilité et l'auditabilité.

Hébergement des modèles et résidence des données

Les règles de transfert transfrontalier de la nLPD ont des implications architecturales directes. Si vous utilisez des fournisseurs externes de LLM, vous devez vérifier :

• Où se trouvent les serveurs d'inférence
• Si les données d'entrée sont enregistrées ou conservées par le fournisseur
• Si les données peuvent être utilisées par le fournisseur pour l'entraînement des modèles
• Si le pays de destination figure sur la liste d'adéquation de la Suisse

Pour les applications sensibles, nous déployons de plus en plus les modèles dans des centres de données suisses ou européens. La charge opérationnelle est réelle, mais elle élimine entièrement les préoccupations de transfert transfrontalier et rassure les clients sur le fait que leurs données ne quittent jamais une juridiction maîtrisée.

Transparence de la décision automatisée

Lorsqu'un système d'IA prend ou contribue de manière significative à des décisions qui affectent des personnes (scoring de crédit, tarification d'assurance, présélection de candidats), la nLPD exige la transparence. Concrètement, cela implique :

• Des mécanismes d'explicabilité capables d'expliquer pourquoi une décision a été prise, à un niveau compréhensible pour un non-technicien.
• Des voies de révision humaine permettant aux personnes concernées de demander qu'un humain reconsidère une décision automatisée.
• Une documentation de la finalité du modèle, de la méthodologie d'entraînement, des limites connues et des métriques de précision.

Nous intégrons ces exigences dans l'architecture dès le départ : journalisation des entrées et sorties des décisions, explications par importance des variables, et conception des flux d'escalade humaine comme composants de premier ordre du système, et non en après-pensée.

Le règlement européen sur l'IA : ce que les entreprises suisses doivent savoir

Alors que la nLPD régit la protection des données, les entreprises suisses qui servent des clients dans l'UE doivent aussi composer avec le règlement européen sur l'IA, qui réglemente les systèmes d'IA selon leur niveau de risque. Les systèmes d'IA à haut risque, notamment dans l'emploi, le crédit, l'éducation et les infrastructures critiques, sont soumis à des obligations importantes en matière de documentation, de tests, de supervision humaine et d'évaluation de conformité.

La Suisse n'est pas directement soumise au règlement européen sur l'IA, mais l'impératif d'accès au marché rend la conformité pratiquement obligatoire pour toute entreprise suisse ayant des clients dans l'UE. Nous conseillons à nos clients de concevoir dès le départ pour la conformité au règlement européen sur l'IA, car il représente l'ensemble d'exigences le plus strict auquel ils seront probablement confrontés.

Un cadre de conformité dès la conception

Sur la base de notre expérience de projets, nous recommandons un cadre en cinq couches pour construire des produits IA conformes :

1. Couche données : Registre des données d'entraînement, documentation des finalités, gestion du consentement, pipelines d'anonymisation et politiques de conservation des données.
2. Couche modèle : Fiches de modèle documentant les données d'entraînement, la méthodologie, les limites et les évaluations de biais. Contrôle de version des modèles avec pistes d'audit.
3. Couche inférence : Journalisation des entrées/sorties, détection et masquage des données personnelles, filtres de sécurité des contenus et respect de la résidence des données.
4. Couche décision : Mécanismes d'explicabilité, seuils de confiance, voies d'escalade humaine et surveillance de l'équité.
5. Couche gouvernance : Audits périodiques, procédures de gestion des incidents, veille réglementaire et modèles de communication avec les parties prenantes.

Aucun outil unique ne couvre les cinq couches. La conformité est une propriété architecturale qui découle de choix de conception délibérés à chaque niveau du système.

La confidentialité comme avantage concurrentiel

Il est tentant de considérer la conformité en matière de protection des données comme un centre de coûts, une taxe sur l'innovation. Nous voyons les choses autrement. Sur un marché de plus en plus soucieux de la sécurité de l'IA et de la gouvernance des données, les normes suisses de protection des données constituent un différenciateur.

Les clients des secteurs réglementés, de la banque à la santé, recherchent activement des partenaires capables de démontrer des pratiques rigoureuses de protection des données. « Fabriqué en Suisse » a du poids non seulement pour les montres et le chocolat, mais aussi pour les logiciels qui traitent les données sensibles de manière responsable.

Les entreprises qui traitent la conformité comme un investissement stratégique plutôt que comme une charge réglementaire constateront que leur architecture axée sur la confidentialité devient un argument de vente, un signal de confiance et une base pour une croissance durable à l'ère de l'IA.