Vous avez décidé d'intégrer l'intelligence artificielle dans votre cabinet, votre étude ou votre entreprise. Les gains sont réels, les cas d'usage concrets — et puis arrive la question qui freine : « Mais est-ce que c'est légal ? Est-ce qu'on risque quelque chose avec nos données clients ? » Cette interrogation sur les fondamentaux IA en entreprise est légitime. Elle mérite une réponse précise, pas une liste de mises en garde vagues qui paralysent sans éclairer.

En Suisse romande, deux cadres légaux gouvernent la façon dont vous pouvez utiliser l'IA avec des données : le RGPD européen, qui s'applique dès que vous traitez des données de résidents européens, et la LPD — la Loi fédérale sur la protection des données, révisée en septembre 2023. Comprendre leur articulation, c'est transformer une crainte diffuse en décision informée.

RGPD et LPD : deux textes distincts, une logique commune

La confusion la plus répandue chez les dirigeants romands est de traiter ces deux textes comme interchangeables. Ils ne le sont pas — mais leurs principes fondateurs convergent.

Le RGPD est un règlement européen. Il s'impose à toute organisation qui traite des données personnelles de personnes situées dans l'Union européenne, indépendamment de l'endroit où l'organisation est établie. Un avocat genevois qui gère des mandats pour des clients français ? Il est concerné. Une fiduciaire lausannoise qui tient la comptabilité d'une filiale à Lyon ? Également.

La LPD révisée, elle, régit le traitement des données en Suisse. Elle s'inspire largement du RGPD — à dessein, pour maintenir l'équivalence de protection reconnue par la Commission européenne — mais avec des particularités propres au droit suisse. Elle introduit notamment des exigences de documentation renforcées, une obligation de signaler les violations de données à l'autorité compétente (le PFPDT), et une responsabilité plus explicite des sous-traitants.

Ce que ces deux textes partagent : le principe de finalité (les données ne peuvent être utilisées qu'aux fins pour lesquelles elles ont été collectées), la minimisation des données (ne collecter que ce qui est nécessaire), et la transparence envers les personnes concernées.

Ce que l'IA change concrètement dans votre rapport aux données

L'intelligence artificielle ne crée pas de nouvelles obligations légales ex nihilo — elle amplifie celles qui existent déjà. Trois points méritent votre attention particulière.

La sous-traitance des données. Lorsque vous utilisez un instrument IA — qu'il rédige, analyse ou classe — vous confiez potentiellement des données personnelles à un tiers. Ce tiers doit être lié par un contrat de traitement des données conforme (appelé DPA dans l'usage courant, ou accord de sous-traitance). Vérifiez systématiquement que le prestataire propose un tel document. Les grandes plateformes le font ; les outils mal établis, parfois non.

La localisation des données. La LPD impose que les données ne soient transférées hors de Suisse que vers des pays offrant un niveau de protection adéquat. L'Union européenne y figure. Les États-Unis, sous certaines conditions (accord de confidentialité standard). Savoir où vos données sont hébergées et traitées n'est pas un détail technique — c'est une question de conformité.

Les décisions automatisées. Si un instrument IA produit une décision qui affecte directement une personne — refus de crédit, scoring, sélection de candidature — la LPD et le RGPD exigent que cette personne puisse demander un examen humain. Documentez vos processus en conséquence.

Le risque réel : ni dramatique, ni négligeable

Il serait malhonnête de vous dire que la non-conformité est sans conséquence. Le RGPD peut infliger des amendes jusqu'à 4 % du chiffre d'affaires mondial annuel. La LPD prévoit des sanctions pénales pouvant atteindre 250'000 CHF — et, chose nouvelle, elles visent les personnes physiques responsables, pas seulement l'entité.

Mais il serait tout aussi malhonnête de laisser ces chiffres engendrer une paralysie. Dans la pratique, les autorités ciblent en priorité les traitements massifs, les violations caractérisées et les manquements délibérés. Une PME romande qui fait l'effort documenté de comprendre ses flux de données, de signer les accords nécessaires et de limiter l'IA aux traitements proportionnés se place dans une position de bonne foi — qui compte.

L'IA bien encadrée n'est pas un risque juridique supplémentaire. C'est souvent l'occasion de formaliser enfin des pratiques qui étaient déjà floues bien avant l'arrivée de ces instruments.

Construire une utilisation conforme, pas une forteresse

La conformité n'est pas un état binaire. C'est un chemin. Voici les jalons qui structurent ce chemin pour une PME romande qui intègre l'IA dans ses opérations.

La conformité ne protège pas l'entreprise malgré l'IA — elle la protège grâce à la rigueur que l'IA exige enfin d'elle.

Ce que cela signifie pour votre démarche de transformation

Comprendre le cadre légal, c'est une condition préalable — mais ce n'est pas une stratégie. La vraie question n'est pas « avons-nous le droit ? » mais « comment intégrons-nous l'IA de façon réfléchie, durable et proportionnée à notre réalité ? ». C'est précisément ce que détaille le système Affinités, conçu pour ancrer la transformation dans la structure réelle de votre organisation, pas dans une adoption précipitée.

Les fondamentaux IA en entreprise ne se limitent pas à la technique ni au droit. Ils supposent une lecture lucide de votre situation : quelles données vous avez, quels processus vous automatisez, quels risques vous acceptez et lesquels vous gérez. Cette lecture, vous ne pouvez pas la déléguer à un consultant généraliste qui ne connaît pas votre secteur. Elle commence par vous.

Si vous souhaitez identifier précisément où en est votre entreprise — quels usages sont mûrs, quels risques restent à adresser, par où commencer sans vous exposer inutilement — c'est exactement ce que révèle le Scanner IA. Trente minutes d'échange structuré, offert, pour poser le diagnostic avant d'agir.