Vendredi 6 mars 2026, j’ai eu le plaisir d’organiser avec Prof Aurelia Tamò-Larrieux la demi-journée CEDIDAC de droit de la protection des données consacrée à l’intelligence artificielle, dont voici un bref résumé en attendant la publication cet été du livre L’IA et la protection des données personnelles.
Le cadre légal applicable à l’IA
Jonas Zaugg nous d’abord présenté le Règlement sur l’IA de l’Union européenne. Il a souligné l’approche fondée sur les risques, les allégements prévus par le Règlement omnibus numérique et la complexité du Règlement sur l’IA et de sa mise en œuvre (que l’on retrouve dans le décalage des entrées en vigueur prévues). Il s’est ensuite intéressé à la Convention du Conseil de l’Europe sur l’IA, qui n’a pas d’application directe et laisse une large marge de manœuvre aux États.
En Suisse, il faut d’abord rappeler que le droit actuel est pleinement applicable dans le domaine de l’IA. Le Conseil fédéral a choisi il y a un an de mettre en œuvre la Convention du Conseil de l’Europe, mais sans faire un règlement des produits très détaillé, comme dans le Règlement sur l’IA. C’est une approche prudente, pragmatique et mesurée.
Plusieurs filières de mise en œuvre, dont un avant-projet de loi pour les mesures contraignantes, avec un accent sur le secteur public, mais aussi le secteur privé lorsque les droits fondamentaux doivent être protégés, et un plan de mise en œuvre de mesures juridiques non contraignantes.
Finalement, il a rappelé que la LPD s’applique bien aux systèmes d’IA mais que la LPD ne suffit pas à mettre en œuvre la Convention du Conseil de l’Europe, soit qu’il n’y a pas de traitement de données personnelles, soit que d’autres droits fondamentaux que la personnalité sont atteints (notamment la démocratie).
Les contrôles d’antécédents et les tests prédictifs
Dr Aurélien Pasquier a présenté les contrôles d’antécédents, qu’il s’agisse de vérifications du passé d’un candidat (à l’embauche) ou d’un employé à la demande d’un client (lorsque les employés travaillent avec les données du client ou dans ces locaux), ainsi que les tests prédictifs pour anticiper les perspectives d’un candidat ou d’un employé.
L’art. 328b CO exige que les données concernent l’aptitude à remplir son emploi, ce qui permet de justifier les tests prédictifs (pour autant qu’ils soient adaptés), ainsi que la vérification d’antécédents par l’employeur. Ce n’est en revanche que dans des situations très particulières que l’on peut retenir que de telles vérifications sont liées à l’aptitude à remplir son emploi quand les demandes proviennent de clients. La doctrine est (encore) partagée quant à savoir si les motifs justificatifs (notamment l’intérêt prépondérant ou le consentement) de la LPD permettent de justifier un traitement qui ne serait pas permis par l’art. 328b CO alors que le Tribunal fédéral semble l’avoir admis.
Il a insisté sur l’importance du respect des principes, en particulier la finalité, la proportionnalité et l’exactitude, puis a présenté les exigences particulières liées à la décision individuelle automatisée (information, droit de s’exprimer et faire revoir la décision par une personne physique).
La conservation des données est un élément important en pratique. En ce qui concerne la vérification des antécédents, les résultats doivent être supprimés rapidement. Au contraire, les tests prédictifs peuvent être conservés seulement s’ils sont encore pertinents. Quant aux vérifications en réponse aux demandes de clients, elles ne doivent pas être conservées plus longtemps que nécessaire.
Les aspects contractuels
Dr Sandra Marmy-Brändli a couvert les aspects contractuels lors du recours à l’IA, en soulignant l’importance des éléments à prendre en compte déjà avant la conclusion du contrat (comprendre le traitement concret, les parties impliquées et vérifier la fiabilité du fournisseur). Elle a mis en évidence les risques liés aux conditions générales et aux modifications unilatérales par le fournisseur.
Souvent, le fournisseur est un sous-traitant. Il faut donc que le contrat permette au responsable du traitement de respecter ses obligations légales (notamment le respect des droits des personnes concernées, l’information, les transferts à l’étranger, la sécurité et l’annonce de la violation de la sécurité des données).
Les contrats doivent aussi prévoir des mesures techniques pour garantir la sécurité des données et le respect du contrat. Elle a encore rappelé l’obligation de limiter de manière appropriée le nombre de sous-traitants ultérieurs ayant accès aux données, en particulier lorsque des données soumises au secret professionnel sont concernées.
L’analyse d’impact
Henrike Mössner a montré quand une analyse d’impact relative à la protection des données (AIPD) est nécessaire préalablement à l’utilisation d’outils IA et comment la réaliser. Le but de l’analyse d’impact est de prendre le temps de comprendre les risques (c’est-à-dire les conséquences pratiques et concrètes pour la personnalité des personnes concernées) et la manière de les gérer.
Elle a expliqué qu’il est plus facile de se faire comprendre par les autorités de protection des données si on utilise des modèles standard plutôt que son propre document. Elle a présenté deux exemples concrets, un compagnon pour les vidéoconférences et l’utilisation de données personnelles pour l’entraînement d’un modèle d’IA. Avec l’IA, les projets vont extrêmement vite et il faut être proactif et s’inquiéter des projets le plus tôt possible. Il ne faut pas oublier de mettre à jour l’AIPD lorsque le traitement évolue.
En conclusion
La réglementation de l’IA, c’est presque aussi compliqué que le processus d’élaboration d’une loi, mais la bonne nouvelle c’est que même si l’affirmation que la LPD s’applique à l’IA est banale, on voit que l’on revient très souvent aux principes généraux et aux règles de base.