Conformité · LPD

IA et LPD : automatiser sans enfreindre la loi suisse

Conformité · ≈ 4 min de lecture

Une PME suisse peut automatiser avec l'IA sans enfreindre la LPD. Pour ça, il faut tenir compte de trois choses : vos données restent hébergées en Suisse ou en Europe. Les informations personnelles sont masquées avant le moindre appel à un modèle externe. Et vous gardez la propriété de ce qu'on construit pour vous.

Le reste, ce sont des détails d'exécution. Mais ces trois-là ne se négocient pas.

Ce que la LPD demande, en clair

La loi ne vous interdit pas d'utiliser l'IA. En revanche, elle vous demande de savoir où vont les données, pourquoi et qui peut les lire. C'est tout, et pourtant c'est déjà beaucoup quand on branche un outil américain sur sa boîte mail sans regarder ce qui sort.

Le piège habituel est l'outil grand public qu'on adopte trop facilement parce qu'il fait gagner du temps. Il fait gagner du temps oui mais il envoie aussi vos échanges clients sur des serveurs que vous ne contrôlez pas, pour entraîner des modèles que vous ne verrez jamais. Si le gain est réel, le risque l'est tout autant.

Les trois garde-fous

Premier garde-fou, l'hébergement. Vos données vivent en Suisse, ou en Europe quand c'est inévitable. Pas ailleurs. Chez moi c'est Infomaniak qui est suisse et promet que ça reste suisse.

Deuxième, le masquage. Avant qu'une information parte vers un modèle, ce qui identifie une personne est retiré. Le modèle travaille sur le contenu, pas sur le nom de votre client ni sur son IBAN par exemple.

Troisième, la propriété. Le système qu'on installe chez vous est à vous. Vos workflows, vos données, vos accès. POINT.

Les secteurs où l'erreur coûte cher

Une étude de notaire, une fiduciaire, un cabinet médical ne jouent pas dans la même cour qu'une agence web. Le secret professionnel, qu'il soit bancaire, médical ou autre, tient à un article du code pénal. Une donnée patient qui traîne dans un outil cloud mal choisi est une faute punissable par la loi.

Pour ces métiers-là, on va plus loin. On installe le système pour qu'il tourne directement chez vous, rien ne sort de votre réseau. On appelle ça EGIDE Local. Ça a un coût, c'est une organisation différente. Ce n'est donc pas pour tout le monde et c'est très bien comme ça.

Ce qu'il faut demander à un prestataire

À mon sens. 3 questions suffisent à trier. Où sont hébergées mes données. Qu'est-ce qui est masqué avant de partir vers un modèle. Et si je reste bien propriétaire de ce qui est construit.

Si les réponses sont floues, vous avez la vôtre.

Je ne promets pas une conformité parfaite et figée, ce serait présomptueux de ma part. Ceci dit, je promets un cadre clair, qui tient devant la LPD, et qu'on pose ensemble dès la première ligne.

C'est d'ailleurs ce qu'on regarde pendant l'Audit Express. Trente minutes, un rapport, et vous savez où vous en êtes.

← Tous les articles

Première étape

Avant qu'on touche à quoi que ce soit, on fait le point.

L'Audit Express vous donne le diagnostic chiffré de votre situation en 30 minutes.