Comment la LPD s'applique-t-elle à l'IA en Suisse?
En Suisse, les autorités laissent pour l'instant l'IA largement non réglementée. Les développeurs d'applications d'IA doivent toutefois respecter les lois en vigueur. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) rappelle ce qui est autorisé et interdit en matière de protection des données.
En Suisse, il n'existe aucune loi régissant explicitement l'utilisation de l'intelligence artificielle (IA). Le Conseil fédéral a certes décidé de transposer les conventions du Conseil de l'Europe sur l'IA dans le droit suisse, mais il ne prévoit de mettre en consultation les premières propositions de mise en œuvre qu'à la fin de 2026. Cela ne signifie toutefois pas que les acteurs de l’IA peuvent concevoir et déployer leurs applications sans cadre. Ils restent soumis aux lois en vigueur, même si celles-ci ne ciblent pas spécifiquement l’IA.
Dans une récente communication, le Préposé fédéral à la protection des données et à la transparence PFPDT précise quelles sont les limites à respecter dans le domaine de la protection des données. Il souligne que la loi suisse sur la protection des données (LPD), révisée et en vigueur depuis septembre 2023, a été formulée de manière technologiquement neutre. Les obligations qu’elle contient s’appliquent donc également aux traitements de données impliquant l’IA, indépendamment de futures régulations spécifiques.
Transparence et droit d’opposition
Les fabricants, fournisseurs et utilisateurs de produits basés sur l’IA ont ainsi l’obligation légale de garantir, dès la phase de développement et de planification de l’utilisation des technologies, que les personnes concernées disposent d’un niveau maximal d’autodétermination numérique, écrit le PFPDT. En vertu de ces exigences, ils doivent fournir des informations transparentes sur le but, le fonctionnement et les sources de données des traitements reposant sur l’IA.
Cette exigence de transparence est étroitement liée au droit d’opposition. Les personnes concernées peuvent s’opposer à un traitement automatisé des données ou demander qu’une décision individuelle automatisée soit contrôlée par une personne humaine. Ce droit est explicitement prévu par la LPD, rappelle le PFPDT.
Dans les cas où un utilisateur interagit directement avec un modèle d’IA, l’autorité indique que les personnes concernées ont le droit de savoir si elles s’adressent à une machine, et si les données qu’elles saisissent sont utilisées pour améliorer les systèmes auto-apprenants ou à d’autres fins. Par ailleurs, l’usage de logiciels permettant d’altérer les visages, les images ou les messages vocaux de personnes identifiables doit toujours être clairement signalé. A moins que ce type d’utilisation ne soit déjà considéré comme illégal au regard du droit pénal, précise encore le PFPDT.
Le «crédit social» est interdit
Selon la LPD, les traitements de données par IA présentant des risques élevés peuvent être autorisés, mais uniquement à condition que des mesures de protection appropriées soient mises en place pour les personnes concernées. Dans ce cas, la loi impose la réalisation d’une «analyse d’impact relative à la protection de données», explique le PFPDT.
Enfin, certaines pratiques sont explicitement interdites au regard de la protection des données. Il s’agit d’applications visant à éroder la sphère privée et l’autodétermination informationnelle garanties par la LPD. Cela inclut notamment la reconnaissance faciale généralisée en temps réel, ou la surveillance et l’évaluation systématiques du mode de vie, autrement dit le «crédit social». De telles pratiques, rappelle le PFPDT, sont observées dans certains pays sous régime autoritaire.
