Corpcore — Guide Conformité

LPD et IA pour PME suisses

Guide pratique 2026 : obligations LPD, check-list conformité et ce que chaque PME suisse doit faire avant de déployer un agent IA.

LPD 2026 Conformité PME Suisse RGPD

La nouvelle Loi sur la Protection des Données (nLPD) est en vigueur en Suisse depuis septembre 2023. Elle impose aux PME qui utilisent des outils d'IA des obligations claires : transparence sur l'utilisation des données, limitation des finalités, et protection des droits des personnes concernées.

Avant de déployer un agent IA, toute PME suisse doit comprendre ce que la LPD implique concrètement : quelles données l'agent peut traiter, où elles sont stockées, qui y a accès, et comment les documenter.

La nLPD en bref : ce qui a changé pour les PME

La nouvelle LPD (en vigueur depuis le 1er septembre 2023) s'aligne sur le RGPD européen, mais avec des spécificités suisses. Elle s'applique à toute organisation qui traite des données personnelles de personnes physiques en Suisse, quelle que soit sa taille.

Pour une PME qui déploie un agent IA, les principaux changements concernent : l'obligation de tenir un registre des activités de traitement, l'information des personnes concernées, et le principe de minimisation des données.

  • Registre des activités de traitement obligatoire (simplifié pour PME < 250 employés)
  • Droit d'accès, de rectification et d'effacement des données personnelles
  • Principe de minimisation : ne traiter que les données nécessaires
  • Notification obligatoire en cas de violation de données (dans les meilleurs délais)

Ce que l'IA change du point de vue LPD

Un agent IA traite souvent des données personnelles : emails de clients, historiques d'achat, données comptables, photos sur les réseaux sociaux. Chaque traitement doit avoir une base légale (contrat, intérêt légitime, ou consentement) et une finalité documentée.

La LPD impose également une obligation de transparence : les personnes concernées doivent être informées que leurs données sont traitées par un système automatisé.

  • Chaque traitement doit avoir une base légale documentée
  • Les personnes concernées doivent être informées du traitement automatisé
  • Les décisions automatisées importantes nécessitent une information renforcée
  • Le sous-traitant IA (Corpcore) doit signer un contrat de traitement de données

Les obligations concrètes pour une PME suisse

En pratique, une PME qui déploie un agent IA doit réaliser plusieurs démarches avant le lancement. Ce n'est pas insurmontable — la LPD est conçue pour être proportionnée à la taille de l'organisation.

Corpcore accompagne ses clients dans ces démarches et fournit les documents contractuels nécessaires en standard avec chaque déploiement.

  • Documenter la finalité du traitement et sa base légale
  • Mettre à jour la politique de confidentialité si des données clients sont traitées
  • Signer un contrat de sous-traitance avec le prestataire IA
  • Vérifier la localisation des données (Suisse ou pays avec niveau de protection adéquat)

Check-list LPD avant de déployer un agent IA

Avant de mettre en production un agent IA, vérifiez ces 8 points. Si vous répondez 'non' ou 'je ne sais pas' à l'un d'eux, réglez-le avant le lancement.

Cette check-list est volontairement simplifiée. Pour des traitements sensibles (données de santé, données financières, données RH), consultez un spécialiste LPD.

  • Les données traitées sont-elles hébergées en Suisse ou en Europe ?
  • Le contrat de sous-traitance avec le prestataire IA est-il signé ?
  • La politique de confidentialité mentionne-t-elle ce traitement ?
  • Les accès sont-ils limités aux personnes qui en ont besoin ?
  • Les logs d'actions de l'agent sont-ils conservés pendant 12 mois minimum ?
  • Les personnes concernées ont-elles été informées du traitement ?
  • Un responsable interne a-t-il été désigné pour la protection des données ?
  • Savez-vous comment réagir en cas de violation de données ?

Sanctions et risques en cas de non-conformité

La nLPD prévoit des sanctions pénales. Les violations intentionnelles peuvent entraîner des amendes allant jusqu'à 250 000 CHF — et ces amendes visent les personnes physiques responsables, pas uniquement l'organisation.

Au-delà des sanctions, le risque réputationnel est significatif en Suisse. Une PME qui perd des données clients ou qui utilise l'IA sans transparence peut perdre la confiance de ses clients.

  • Amende pénale jusqu'à 250 000 CHF pour les responsables
  • Amendes visent les personnes physiques (dirigeants), pas seulement l'entreprise
  • Risque de plainte déposée par les personnes concernées au PFPDT
  • Risque réputationnel en cas de violation rendue publique

Questions fréquentes

La LPD suisse s'applique-t-elle aux PME de moins de 10 employés ?
Oui. La LPD s'applique à toute organisation qui traite des données personnelles en Suisse, quelle que soit sa taille. Les PME de moins de 250 employés bénéficient d'une simplification pour le registre des activités de traitement, mais les obligations de base s'appliquent à toutes.
Les agents IA Corpcore sont-ils conformes à la LPD suisse ?
Oui. Corpcore héberge les données en Suisse ou en Europe, signe un contrat de sous-traitance conforme à la LPD avec chaque client, limite les accès au strict nécessaire, et documente toutes les actions des agents. Un document de conformité LPD est fourni à chaque déploiement.
Faut-il informer ses clients qu'un agent IA traite leurs données ?
En principe oui. Si l'agent IA traite des données personnelles de vos clients (emails, comportements, historiques), vous devez l'indiquer dans votre politique de confidentialité. Si l'agent prend des décisions automatisées importantes, une information spécifique est requise.

Déployez votre agent IA en conformité LPD

Corpcore gère la conformité LPD dans chaque déploiement : contrat de sous-traitance, hébergement suisse et documentation inclus.

Démarrer en conformité → Voir nos agents