Intelligence artificielle & protection des données en Suisse – LPD vs RGPD et AI-Act

Selon une étude de MISTREND (2023), 80% des Suisses et Suissesses sont d’avis que les gouvernements doivent légiférer pour encadrer l’utilisation de l’intelligence artificielle. Mais seulement 30% de la population pense que les États arriveront à encadrer l’utilisation de l’IA. La Suisse et l’Europe ont réagi aux inquiétudes de la population avec de nouvelles réglementations.

En 2018, le RGPD (Règlement général sur la protection des données) sort en Europe, et les entreprises suisses ayant des relations commerciales internationales doivent aussi s’y soumettre. Et en septembre 2023, la nouvelle loi sur la protection des données (nLPD) entre en vigueur en Suisse. L’Artificial Intelligence Act (AI-Act) a été adopté par le Parlement européen en mars 2024 et est maintenant progressivement mis en application : les principales dispositions s’appliqueront dès le printemps 2025. La mise en œuvre complète du règlement aura lieu d’ici 2026/2027.

Cette introduction par étape permet aux entreprises de se préparer petit à petit aux nouvelles exigences et d’adapter leurs systèmes d’IA et leurs processus. Ce sont en particulier les entreprises suisses qui font des affaires ou fournissent des services dans l’UE qui devront se familiariser rapidement avec les exigences de l’AI-Act afin d’être parfaitement préparées.

La nouvelle loi suisse sur la protection des données (nLPD)

La nLPD est en vigueur depuis le premier septembre 2023. Elle vise à protéger la personnalité et les droits fondamentaux des personnes physiques en Suisse dont les données sont traitées par des entreprises ou par l’État. Quelle est la différence entre la nLPD suisse et le RGPD européen ? Si la nLPD est dans l’ensemble orientée sur le RGPD, il existe toutefois quelques spécificités.

Selon Economiesuisse (septembre 2023), la nLPD oblige les entreprises à prendre les mesures suivantes :

• Garantir la protection des données grâce à des technologies et des paramètres par défaut favorables à la protection des données, afin que le moins de données possible soient traitées (art. 7 nLPD)
• Effacer ou anonymiser les données personnelles qui ne sont plus nécessaires (art. 6 al. 4 nLPD)
• Établir un registre des activités de traitement des données. Les entreprises de moins de 250 collaborateurs en sont exceptées (art. 24 nLPD)
• Notifier le préposé fédéral à la protection des données et à la transparence (PFPDT) et la personne concernée en cas de violation de la sécurité des données (art. 24 nLPD)
• Effectuer au préalable une analyse d’impact relative à la protection des données lorsqu’il existe un risque élevé pour la personnalité (art. 22 nLPD)
• Informer de la collecte des données personnelles et déclaration de protection des données (politique de confidentialité) simple et compréhensible (art. 19 ff nLPD)
• Informer en cas de décision individuelle automatisée (art. 21 nLPD)

L’Artificial Intelligence Act (AI-Act) européen

En mars 2024, le parlement européen a donné son feu vert à la nouvelle loi sur l’intelligence artificielle. Les entreprises suisses déjà soumises au RGPD doivent vérifier si de nouvelles obligations s’appliquent à leur cas.

L’AI-Act classe les systèmes d’IA en quatre catégories en fonction de leur potentiel de risque :  risque inacceptable, risque élevé, risque limité, risque minimal. Selon la catégorie dans laquelle le système d’IA utilisé par une entreprise se situe, des exigences spécifiques doivent être remplies.

Selon le parlement européen, l’AI-Act règle les points importants suivants :

• Pratiques d’IA interdites : les applications d’IA qui menacent les droits des personnes privées, par exemple l’analyse non ciblée d’images de visages issues d’internet pour créer des bases de données de reconnaissance faciale
• Entreprises : celles qui utilisent un système à risque élevé, par exemple dans le domaine de la santé ou des banques, doivent se soumettre à des exigences strictes en matière de journalisation
• Personnes privées : les individus ont le droit de déposer des plantes concernant les systèmes d’IA et d’obtenir des explications sur les décisions prises sur la base de l’IA qui affectent leurs droits
• Deep Fake : les contenus visuels, audios ou vidéos générés par intelligence artificielle doivent être clairement identifiés comme tels.

Sanctions et peines dans la nLPD et l’AI-Act

Qui dit nouvelles lois, dit aussi nouvelles sanctions. Ces dernières sont cependant très différentes. Alors que la nLPD prévoit des peines allant jusqu’à 250’000 francs suisses, une violation de l’AI-Act peut coûter jusqu’à 40 millions d’euros.

Autre nouveauté : dans la nLPD, les personnes physiques peuvent également être tenues pour responsables. Si le RGPD vise uniquement les entreprises, la nLPD peut sanctionner la direction, le conseil d’administration et même certains collaborateurs pour un comportement intentionnel.

Faire face aux risques de l’intelligence artificielle

Selon une étude de Bitkom (2023), 70% des entreprises interrogées qui utilisent un système d’IA craignent de possibles violations des règles de protection des données. Cependant, ce n’est pas seulement l’IA elle-même qui est un risque, mais aussi l’utilisation que l’homme en fait. 67% des entreprises considèrent que les erreurs d’utilisation commises par les collaborateurs représentent un risque élevé. Nous vous proposons un aperçu des risques dans notre article de blog : Intelligence artificielle et protection des données : les 6 principaux risques.

Comment utiliser l’IA de manière responsable ? Nous énumérons ci-dessous huit points fondamentaux que les entreprises devraient respecter. Cette liste n’est à prendre qu’à titre d’information et de sensibilisation, elle ne remplace pas un conseil juridique. Digicomp n’assume aucune responsabilité pour les actes ou omissions liés à la consultation de cette liste.

• Privacy by design : Selon la nLPD, la protection des données doit être assurée dès la conception technique (privacy by design). Les entreprises doivent, au moment de la planification d’un système, déjà prendre des mesures pour protéger les données sensibles. Avant même son utilisation, une application doit être conçue conformément à la protection des données.
• Privacy by default : D’après la nLPD, la protection des données doit être garantie par des paramètres par défaut (Privacy by default). Un système doit être configuré de telle manière à ce que seules les données personnelles strictement nécessaires seront traitées. Il doit protéger les utilisatrices et utilisateurs sans intervention de leur part.
• Analyse d’impact relative à la protection des données personnelles (AIPD) : L’AIPD est un processus qui permet d’analyser les possibles impacts d’un traitement planifié des données sur la sphère privée des personnes et d’identifier des mesures de protection pour protéger leurs données. Ainsi, non seulement les entreprises minimisent les risques, mais elles protègent également leurs collaboratrices et collaborateurs contre les violations involontaires de la protection des données.
• Transparence : Les entreprises doivent rendre transparents la façon et les buts du traitement des données. Les utilisatrices et utilisateurs doivent être informés de manière claire et compréhensible de l’utilisation de leurs données et de la façon dont les décisions prises par l’IA sont générées.
• Consentement : Même si la nLPD est moins stricte que le RGPD, les entreprises doivent enquérir le consentement de leurs clients si elles entendent traiter leurs données avec l’IA.
• Sécurité : Des mesures techniques et organisationnelles doivent être mises en place afin de protéger les données personnelles des vols et des accès non autorisés. Il s’agit par exemple du cryptage, des contrôles d’accès et des audits de sécurité réguliers.
• Actualisation : Les systèmes d’IA doivent être régulièrement contrôlés et actualisés afin d’assurer qu’ils respectent les exigences légales et qu’ils ne prennent pas de décisions discriminatoires ou indésirables.
• Formation : Le personnel qui travaille avec des systèmes d’IA doit être formé afin de développer une prise de conscience des risques liés à la protection des données.

L’avenir de la protection des données : l’intelligence artificielle dans les entreprises suisses

Les données sont au cœur de l’intelligence artificielle. Leur protection est de plus en plus renforcée dans le monde entier. Les entreprises suisses doivent, en plus du respect de la nLPD, s’orienter sur les directives européennes et se préparer à l’AI-Act de 2026. Les stratégies de données, la gouvernance des données et la souveraineté des données vont jouer un rôle de plus en plus important. Digicomp vous propose de nombreuses formations sur le thème de la sécurité de l’information et de la protection des données.