ChatGPT et nLPD : ce que votre PME a le droit de faire

‍

ChatGPT et nLPD : la question que toute PME romande devrait se poser

Vos collaborateurs utilisent déjà ChatGPT. Pour rédiger un courrier client, résumer un contrat, préparer une offre, répondre à un e-mail délicat. La plupart du temps, personne ne leur a dit ce qu'ils avaient le droit d'y mettre, ni ce qui était interdit. Et c'est précisément là que se situe le risque.

Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (nLPD) encadre le traitement des données personnelles en Suisse. Saisir des données de clients, de collaborateurs ou de fournisseurs dans un outil d'IA grand public n'est pas un geste anodin : selon les cas, cela peut constituer une violation de la loi, avec des amendes pouvant atteindre 250 000 CHF, prononcées contre la personne physique responsable et non contre l'entreprise.

Ce guide explique, concrètement, ce qu'une PME de Suisse romande a le droit de faire avec ChatGPT, ce qui l'expose à un risque, et comment mettre en place un cadre simple pour utiliser l'IA sans renoncer à ses bénéfices.

Pourquoi interdire ChatGPT n'est pas la solution

Face au risque, le premier réflexe de nombreux dirigeants est l'interdiction pure et simple. C'est une stratégie perdante, pour deux raisons.

D'abord, l'interdiction ne fonctionne pas. Les outils d'IA sont accessibles depuis n'importe quel navigateur ou téléphone personnel. Interdire sans alternative pousse simplement les collaborateurs à les utiliser en cachette, hors de tout contrôle, ce qui aggrave le risque au lieu de le réduire.

Ensuite, l'interdiction prive l'entreprise d'un gain de productivité réel. Selon une étude AXA de 2025 sur le marché de l'emploi des PME, deux PME suisses sur trois expérimentent ou utilisent déjà l'IA, mais seule une sur trois a établi des règles claires sur son usage. Autrement dit : l'usage est déjà là, c'est le cadre qui manque.

La bonne approche n'est ni l'interdiction ni le laisser-faire, mais l'encadrement : définir ce qui est autorisé, avec quels outils, et pour quelles données.

Ce que dit la nLPD, en termes simples

La nLPD ne mentionne pas ChatGPT, mais ses principes s'appliquent directement à tout traitement de données personnelles par un outil d'IA. Quatre principes sont à retenir pour une PME.

La finalité. Les données collectées dans un but précis ne peuvent pas être réutilisées pour autre chose sans base légale. Verser un fichier client dans ChatGPT pour un usage non prévu pose problème.

La minimisation. Seules les données strictement nécessaires doivent être traitées. Coller un document entier alors que seul un extrait anonyme suffit est contraire à ce principe.

Le transfert à l'étranger. La plupart des outils d'IA grand public hébergent leurs serveurs hors de Suisse, principalement aux États-Unis. Le transfert n'est licite que si des garanties adéquates existent. Depuis le 15 septembre 2024, le Swiss-U.S. Data Privacy Framework autorise certains transferts vers des prestataires américains certifiés, mais cela ne couvre pas automatiquement tous les outils ni tous les usages.

‍La transparence et la sécurité. Les personnes concernées doivent être informées de l'usage de leurs données, et l'entreprise doit garantir un niveau de protection approprié, y compris la possibilité de signaler rapidement une violation au Préposé fédéral à la protection des données et à la transparence (PFPDT).

Le PFPDT a d'ailleurs rappelé dès 2023 que le droit suisse de la protection des données s'applique pleinement aux traitements recourant à l'IA, et invite les entreprises à un usage conscient de ces outils.

La règle simple : la ligne entre usage sûr et usage à risque

Pour une PME, l'essentiel tient en une distinction claire que chaque collaborateur peut comprendre et appliquer.

Usages sûrs (aucune donnée personnelle) :

• Rédiger ou reformuler un texte générique : communiqué, description de produit, article, publication
• Résumer un document public ou interne ne contenant pas de données personnelles
• Traduire un contenu marketing
• Brainstormer, structurer une présentation, corriger un texte
• Obtenir de l'aide sur du code, des formules Excel, des modèles de document

Usages à risque (données personnelles ou confidentielles) :

• Coller un dossier client complet (nom, adresse, situation, finances) pour le résumer
• Soumettre un CV, un dossier RH ou une évaluation de collaborateur
• Analyser un contrat nominatif ou un échange confidentiel avec un client
• Traiter des données sensibles : santé, opinions, données biométriques

La règle tient en une phrase : si vous ne mettriez pas l'information sur une carte postale, ne la mettez pas dans un outil d'IA grand public.

Trois exemples concrets dans une PME

✅ Rédiger une offre commerciale type. Un collaborateur demande à ChatGPT de structurer une offre à partir d'éléments génériques, sans nom de client ni montants confidentiels. Il personnalise ensuite manuellement. Gain de temps réel, aucun risque.

⛔ Résumer un échange client litigieux. Un collaborateur colle l'intégralité d'un échange e-mail avec un client mécontent, nom et coordonnées compris, pour obtenir un résumé. C'est un traitement de données personnelles sur un serveur étranger, sans base contractuelle : un risque nLPD. La solution : anonymiser l'échange, ou utiliser un outil hébergé en Suisse avec contrat de traitement.

‍✅ Préparer une réponse à un appel d'offres. Un collaborateur fait reformuler des sections techniques génériques de sa réponse. Tant qu'aucune donnée personnelle ou information confidentielle de tiers n'est saisie, l'usage est approprié.

Comment mettre votre PME en conformité, en pratique

Rendre l'usage de l'IA conforme ne nécessite pas un projet informatique lourd. Quatre étapes suffisent pour une PME.

1. Faire l'état des lieux des usages réels

Avant de poser des règles, il faut savoir ce qui se passe. Un court questionnaire interne permet d'identifier quels outils sont utilisés, par qui, pour quelles tâches, et avec quelles données. Cet audit révèle presque toujours des usages que la direction ignorait.

2. Rédiger une charte d'utilisation de l'IA

Une charte d'une à deux pages, claire et concrète, suffit à protéger l'entreprise. Elle définit les outils autorisés, les types de données interdits, et les réflexes à adopter. C'est aussi un élément que le PFPDT considère favorablement en cas de contrôle : il démontre une démarche de diligence.

3. Choisir des outils conformes pour les usages sensibles

Pour tout ce qui touche aux données personnelles, mieux vaut s'appuyer sur des solutions offrant des garanties : versions entreprise avec contrat de traitement (DPA), ou outils hébergés en Suisse. Un chatbot interne hébergé en Suisse, connecté à vos propres documents, permet par exemple d'exploiter l'IA sur vos données sans qu'elles quittent le territoire.

4. Former les collaborateurs

La conformité passe avant tout par la sensibilisation. Une formation courte et concrète, axée sur les cas réels de votre métier, ancre les bons réflexes bien plus efficacement qu'un règlement que personne ne lit. C'est le levier le plus rentable : il transforme chaque collaborateur en première ligne de défense.

Les solutions conformes pour exploiter l'IA en toute sérénité

Utiliser l'IA en respectant la nLPD est non seulement possible, mais peut devenir un avantage concurrentiel : vos clients et partenaires vous font davantage confiance lorsque vous démontrez une gestion sérieuse de leurs données.

Chez Innovatim, nous accompagnons les PME et collectivités de Suisse romande sur trois leviers complémentaires :

• Des formations ChatGPT et IA sur site, adaptées à vos métiers, pour que vos équipes utilisent l'IA efficacement et sans risque
• Un audit IA pour cartographier vos usages, identifier les risques et définir une feuille de route conforme
• Botzilla, un chatbot IA hébergé en Suisse, conforme nLPD, connecté à vos propres documents, pour exploiter l'IA sur vos données sensibles sans qu'elles quittent le pays

Nous avons déjà formé plus de 1 500 professionnels et accompagné plus de 250 organisations en Suisse romande.

FAQ — ChatGPT et nLPD dans les PME

Avons-nous le droit de saisir des données clients dans ChatGPT ?

‍En principe non, pas dans la version grand public. Saisir des données personnelles identifiables dans un outil hébergé à l'étranger sans contrat de traitement adéquat constitue un risque de violation de la nLPD. Il faut soit anonymiser les données, soit utiliser une solution entreprise avec garanties contractuelles ou un outil hébergé en Suisse.

La version payante de ChatGPT est-elle conforme ?

‍Les offres entreprise (ChatGPT Enterprise, par exemple) offrent davantage de garanties : pas d'entraînement sur vos données, options contractuelles. Elles réduisent le risque, mais la conformité dépend toujours de l'usage que vous en faites et des données que vous y saisissez. Une charte interne reste indispensable.

Qui est responsable en cas de problème : l'entreprise ou le collaborateur ?

‍La nLPD prévoit que les amendes peuvent viser la personne physique responsable. Dans la pratique, c'est souvent le dirigeant ou le responsable du traitement qui est exposé. D'où l'importance d'un cadre clair et documenté qui répartit les responsabilités.

Faut-il un registre des traitements pour une petite entreprise ?

‍Les entreprises de moins de 250 collaborateurs dont les traitements présentent un risque limité sont en principe dispensées du registre. Mais cette dispense ne couvre pas les traitements à risque élevé, et tenir un registre simple reste une bonne pratique, notamment dès que l'IA traite des données personnelles.

Par où commencer concrètement ?

‍Par l'état des lieux des usages, suivi d'une charte simple et d'une formation des équipes. C'est rapide à mettre en place et cela couvre l'essentiel du risque pour une PME.

En résumé

ChatGPT et les outils d'IA ne sont pas l'ennemi de la conformité. Le vrai risque n'est pas l'IA elle-même, mais son usage non encadré. Une PME qui définit des règles claires, choisit les bons outils pour ses données sensibles et forme ses équipes peut exploiter pleinement l'IA tout en respectant la nLPD.

Mieux : la conformité devient un argument de confiance vis-à-vis de vos clients et partenaires.

Vous souhaitez encadrer l'usage de l'IA dans votre entreprise ? Contactez-nous pour une séance d'information gratuite. Nous vous aidons à mettre en place un cadre conforme et à former vos équipes.

👉 Prendre contact avec Innovatim

‍