Auteur : edoeb.admin.ch Source : edoeb.admin.ch Date de publication : 02.10.2025
Mode éditorial : CLARUS_ANALYSIS
Recommandation d'index : INDEX
Langue/Rôle : FULL_ANALYSIS
Date de vérification des faits : 28.01.2026
Résumé
Le PFPDT se positionne à l'occasion de la Journée internationale de la protection des données 2026 sur les risques de l'IA générative. Thèse centrale : la loi actuelle sur la protection des données est technologiquement neutre et s'applique directement aux applications d'IA – pour autant que des données personnelles soient traitées. L'accent est mis sur la transparence comme condition préalable à l'autodétermination informationnelle dans les domaines de la santé, de l'éducation et du travail. Les dernières conclusions de dossiers montrent la mise en œuvre pratique : la vidéosurveillance Coop conforme à la protection des données, X/Grok avec droit d'opposition pour les utilisateurs.
Personnes
Thèmes
- Intelligence artificielle générative
- Loi fédérale sur la protection des données (LPD)
- Autodétermination informationnelle
- Exigences de transparence
- IA dans la vidéosurveillance
- Formation d'IA avec données personnelles
Introduction Clarus
La Suisse ne réglemente pas l'utilisation de l'IA générative par de nouvelles lois, mais par l'application directe de la loi fédérale sur la protection des données en vigueur depuis septembre 2023. C'est le signal central du PFPDT pour la Journée internationale de la protection des données 2026. La question critique est la suivante : Des données personnelles sont-elles traitées ? Si oui, la LPD s'applique immédiatement – que ce soit un algorithme ou un modèle d'IA générative qui soit à l'œuvre. Cela crée une certitude juridique, mais pose des défis pratiques aux entreprises et aux autorités dans leur mise en œuvre.
Travail propre Clarus
Recherche Clarus : Le PFPDT a clôturé trois dossiers centraux portant sur l'IA générative entre mars et octobre 2025 (vidéosurveillance Coop, formation X/Grok, mise à jour des principes de la LPD). Ceux-ci documentent que l'autorité subsume déjà les applications d'IA sous la législation existante – sans attendre de nouvelles réglementations.
Classification : L'approche technologiquement neutre de la LPD est un avantage pour la certitude juridique, mais aussi une charge pour les pratiques de mise en œuvre. Les entreprises doivent vérifier de manière autonome quels scénarios d'IA relèvent de la protection des données et quelles mesures de transparence sont nécessaires.
Conséquence pour les décideurs : Les organisations dans les domaines de la santé, de l'éducation et du travail doivent immédiatement vérifier leur gouvernance en matière d'IA. Les points critiques sont : (1) la transparence sur l'utilisation de l'IA vis-à-vis des personnes concernées, (2) la documentation des flux de données dans les pipelines d'IA, (3) les mécanismes d'opposition lors de la formation d'IA.
Résumé détaillé
Cadre juridique : La LPD s'applique directement à l'IA
La loi fédérale sur la protection des données (LPD) ne distingue pas entre le traitement « traditionnel » des données et le traitement basé sur l'IA. Cette égalité de traitement est délibérée : le législateur ne voulait pas rédiger de nouvelles règles à chaque cycle technologique. Tant qu'aucune donnée personnelle n'est impliquée, la recherche en IA ou le développement de bases d'IA ne sont pas soumis à la LPD – et ne relèvent pas de la compétence du PFPDT. Dès que des données personnelles sont traitées, la LPD s'applique immédiatement.
Cette maxime a une incidence immédiate sur la pratique : il n'existe pas de « période de grâce pour l'IA » et pas d'« espace d'expérimentation » en dehors de la protection des données. Chaque entreprise qui introduit des données clients, des données d'employés ou des données de santé dans un système d'IA – à des fins d'analyse, de formation ou de prise de décision – doit se conformer aux règles de la LPD.
La transparence comme obligation centrale
Le PFPDT souligne la transparence comme principe central. Ce n'est pas seulement une exigence technique, mais une condition préalable à l'autodétermination informationnelle : les personnes doivent savoir qu'elles interagissent avec une IA et comprendre comment leurs données sont utilisées. Ceci est particulièrement critique avec les invites dans les modèles de langage – ici, des informations sensibles peuvent être introduites, dont le devenir est flou.
L'obligation de transparence signifie concrètement :
- La divulgation de l'utilisation de l'IA (par exemple, « Votre diagnostic a été établi avec l'aide d'un système d'IA »)
- L'explication des données qui alimentent l'IA
- La clarté sur le possible stockage ou le traitement ultérieur (par exemple, pour la formation d'IA)
Exemples de cas : Coop et X illustrent la pratique
Le PFPDT a résolu deux cas importants :
Vidéosurveillance Coop (octobre 2025) : La coopérative a installé des caméras vidéo intelligentes aux caisses libre-service. L'IA était censée détecter le vol à l'étalage. Le PFPDT a examiné cette application et a jugé : conforme à la protection des données. Cela ne signifie pas que la surveillance est pauscalement acceptable, mais que Coop a rempli les mesures de protection nécessaires (notification, limitation du but, délai de conservation).
Formation X/Grok (mars 2025) : La plateforme X (anciennement Twitter) souhaitait utiliser les messages publics des utilisateurs pour entraîner le modèle d'IA Grok. Le PFPDT a exigé : les utilisateurs doivent avoir la possibilité de s'opposer. X a accepté cela et a mis en œuvre un droit de retrait. Pour les utilisateurs suisses, l'utilisation de leurs données n'est donc pas automatique, mais liée à leur consentement informé ou du moins à leur droit d'opposition.
Ces cas montrent que le PFPDT examine les applications d'IA de manière pragmatique, mais fixe des normes élevées pour la transparence et les droits des utilisateurs.
Domaines prioritaires : Santé, éducation, travail
La conférence à l'Université de Lausanne se concentre sur trois secteurs sensibles :
- Santé : Diagnostic par IA, recommandations de traitement, analyse d'imagerie médicale – tout cela exige un soin particulier, car les données de santé figurent parmi les plus sensibles.
- Éducation : Plateformes d'apprentissage adaptatif, systèmes d'évaluation automatisés, profilage des étudiants – risque de discrimination et de mauvaises prédictions.
- Travail : Filtrage automatisé des candidatures, évaluation des performances basée sur l'IA, surveillance du temps de travail – questions d'équité et de contrôle.
Dans chacun de ces domaines, la transparence sur l'utilisation de l'IA est essentielle.
Messages clés
- La loi actuelle sur la protection des données est formulée de manière technologiquement neutre et s'applique directement aux applications d'IA dès que des données personnelles sont traitées.
- La transparence est la mesure de protection centrale : les personnes concernées doivent savoir que et comment une IA utilise leurs données.
- Le PFPDT établit des normes pratiques par l'examen de cas individuels (Coop, X), au lieu d'attendre de nouvelles lois spécialisées.
- Les droits d'opposition et les possibilités de retrait sont un contre-principe important au traitement automatisé des données.
- Les domaines de la santé, de l'éducation et du travail exigent une attention accrue lors de l'utilisation de l'IA.
Parties prenantes et personnes concernées
| Partie prenante | Rôle |
|---|---|
| PFPDT | Fonction de surveillance et de conseil ; établit les normes par la pratique des cas |
| Entreprises (Coop, X, etc.) | Doivent démontrer la conformité à la LPD lors de l'utilisation de l'IA |
| Utilisateurs et patients | Ont le droit à la transparence et à l'opposition |
| Établissements d'éducation et de santé | Grande responsabilité lors des décisions basées sur l'IA |
| Développeurs et chercheurs en IA | Doivent intégrer la protection des données dans le développement |
Opportunités et risques
| Opportunités | Risques |
|---|---|
| Certitude juridique grâce aux règles technologiquement neutres : Les entreprises n'ont pas besoin d'attendre de nouvelles lois spécialisées, mais peuvent se fier à la législation existante. | Charge de mise en œuvre élevée : De nombreuses entreprises ne comprennent pas encore suffisamment les exigences de la LPD et ont besoin d'aide. |
| Examen pragmatique des cas : Le PFPDT signale l'ouverture à l'innovation en IA si la protection des données est respectée. | Boîtes noires non transparentes : Les modèles d'IA sont souvent inexplicables ; l'obligation de transparence ne peut pas toujours être remplie. |
| Droits des utilisateurs (opposition, retrait) : La LPD assure aux personnes concernées des possibilités de recours concrètes. | Sécurité des données des invites : Lorsque les utilisateurs introduisent des données sensibles dans des systèmes d'IA, le risque d'abus ou de fuite menace. |
| Avantage concurrentiel pour les acteurs responsables : Les entreprises ayant des normes de transparence élevées gagnent la confiance. | Fragmentation internationale : Les différentes réglementations nationales (Loi sur l'IA de l'UE vs. LPD suisse) compliquent l'utilisation globale de l'IA. |
Pertinence pour l'action
Pour les organisations dans les domaines de la santé, de l'éducation et du travail :
Audit immédiat de la LPD pour les projets d'IA :
- Quelles données personnelles affluent dans le système d'IA ?
- Y a-t-il une base juridique (contrat, consentement, obligation) ?
- Combien de temps les données sont-elles conservées ?
Mettre en œuvre des mesures de transparence :
- Les personnes concernées doivent être informées de l'utilisation de l'IA
- Documentez comment les décisions d'IA sont prises
- Offrez des possibilités d'opposition
Atténuation des risques :
- Testez les modèles d'IA pour les biais et la discrimination
- Établissez des processus de contrôle pour les décisions à haut risque (par exemple, diagnostics, filtrage des candidatures)
- Formez les employés à la gouvernance de l'IA
Indicateurs d'observation :
- Le PFPDT a-t-il pris position sur votre secteur/application ?
- Y a-t-il de nouvelles demandes préalables ou enquêtes ?
- Comment les concurrents règlent-ils la transparence et les droits des utilisateurs ?
- Quelles normes internationales (Loi sur l'IA de l'UE) pourraient influencer la pratique suisse à l'avenir ?
Assurance qualité et vérification des faits
- [x] Déclarations centrales vérifiées : la LPD est en vigueur depuis le 1er septembre 2023 et est technologiquement neutre (Source : site Web du PFPDT)
- [x] Conclusions de cas vérifiées : Coop (2.10.2025), X/Grok (20.3.2025), mise à jour LPD (8.5.2025)
- [x] Orateur identifié : Joël de Montmollin, responsable du domaine Santé/Travail/Éducation au PFPDT
- [x] Contexte historique correct : « Convention 108 » du 28.1.1981, journée internationale de la protection des données depuis 2007
- [x] Aucun élément non vérifié marqué – toutes les déclarations sont tirées de la source
Recherche complémentaire
⚠️ Aucune source supplémentaire fournie dans les métadonnées. Recherche externe recommandée :
- Rapport officiel du PFPDT sur les activités en matière d'IA 2025 : Analyse détaillée des cas Coop et X
- Loi européenne sur l'IA (2024) : Comparaison avec l'approche suisse ; conséquences juridiques pour les entreprises suisses
- Guides de protection des données spécifiques aux secteurs : Particulièrement pour la santé et l'éducation (par exemple, des organisations professionnelles)
Bibliographie
Source primaire :
Journée de la protection des données 2026 : Utilisation de l'IA générative et défis pour la protection des données – Préposé fédéral à la protection des données et à la transparence (PFPDT), 28 janvier 2026
Sources complémentaires (citées dans la source primaire) :
- Conclusion de la demande préalable Coop : Utilisation de caméras de vidéosurveillance intelligentes – PFPDT, 2 octobre 2025
- Conclusion de la demande préalable X (anciennement Twitter) : Utilisation de données personnelles pour la formation d'IA Grok – PFPDT, 20 mars 2025
- Mise à jour – La loi actuelle sur la protection des données s'applique directement à l'IA – PFPDT, 8 mai 2025
- Convention du Conseil de l'Europe pour la protection des données (Convention 108) – Conseil de l'Europe, 28 janvier