intoCHAT LogointoCHAT
Retour au blog
Conformité · Suisse 2026-05-23 9 min de lecture

nLPD et chatbots : la checklist de conformité 2026

intoCHAT Team
intoCHAT Team
9 min de lecture
Conformité nLPD et chatbots — checklist de protection des données

Si votre entreprise opère en Suisse et exploite un chatbot — sur votre site, sur WhatsApp, sur Messenger — vous traitez des données personnelles sous la Loi fédérale révisée sur la protection des données (nLPD). En vigueur depuis le 1er septembre 2023, elle aligne largement la Suisse sur le RGPD, avec quelques spécificités suisses. Cet article est une checklist pratique — pas un conseil juridique, mais le cadre de due diligence qu'utilisent les équipes achats et juridiques suisses.

Ce qui a changé avec la nLPD

  • Définition élargie des données personnelles — y compris transcriptions de chat avec identifiants, adresses IP, modèles de comportement identifiables.
  • Privacy by design et by default — paramètres protecteurs livrés par défaut par les fournisseurs.
  • Registre obligatoire des traitements — chaque activité, y compris les conversations chatbot, documentée.
  • Règles plus strictes pour les transferts transfrontaliers — garanties supplémentaires pour les pays sans niveau "adéquat".
  • Sanctions plus élevées — amendes jusqu'à CHF 250 000 pour les personnes physiques.

Données personnelles dans les conversations chatbot

Une conversation chatbot contient presque toujours des données personnelles — même sans nom ni e-mail. Les IP sont des données personnelles. Les empreintes navigateur aussi. Les messages en texte libre révélant des informations médicales, financières ou juridiques relèvent souvent de la catégorie "sensible".

Chaque déploiement chatbot nécessite : une base légale documentée, une politique de rétention avec calendrier de suppression, un moyen pour les utilisateurs d'exercer leurs droits, et une mention du chatbot dans la notice de confidentialité.

Résidence des données — où peuvent vivre les conversations ?

La nLPD n'exige pas de stockage en Suisse. Elle exige que les transferts vers des pays sans protection "adéquate" (selon le Conseil fédéral) incluent des garanties supplémentaires — clauses contractuelles types, mesures complémentaires, ou règles d'entreprise contraignantes.

En pratique, la plupart des entreprises suisses choisissent l'hébergement UE (reconnu adéquat) ou Suisse pour les déploiements Enterprise. L'hébergement US demande plus de paperasse. Demandez aux fournisseurs où les données sont stockées au repos.

Accord de traitement des données (DPA)

Si un fournisseur traite des données personnelles pour vous — et un fournisseur de chatbot le fait presque toujours — vous avez besoin d'un DPA. Il doit spécifier : catégories de données, finalités, durée, sous-traitants, mesures de sécurité, processus de notification de violation, droits des personnes concernées. Un fournisseur sans DPA signé est un risque de conformité.

Journaux d'audit et fenêtres de rétention

Pour les industries réglementées (banque, assurance, santé, juridique, pharma — courantes en Suisse), le journal d'audit de chaque conversation et chaque action système devient une attente standard. Questions à poser : les journaux sont-ils exportables, infalsifiables, et quelle est la rétention ?

Transferts transfrontaliers et fournisseurs de modèles IA

Les chatbots IA utilisent typiquement des grands modèles hébergés par des fournisseurs globaux (OpenAI, Anthropic, Google, Mistral). Question conformité : les données sont-elles envoyées sous forme identifiable, quels contrôles existent (chiffrement, minimisation, opt-out de l'entraînement), et la chaîne contractuelle est-elle documentée ?

Pour les déploiements sensibles — banque privée, santé, juridique — de nombreuses firmes suisses exigent des endpoints de modèle hébergés en UE.

La checklist pratique

  • DPA signé en dossier.
  • Données de conversation en région UE ou Suisse — documenté contractuellement.
  • Politique de rétention par catégorie, avec suppression automatique.
  • Notice de confidentialité mise à jour — chatbot, données collectées, base légale.
  • Droits des personnes (accès, suppression, rectification) opérationnels.
  • Journal d'audit activé, exportable, conservé selon les exigences réglementaires.
  • Usage transfrontalier des modèles IA compris et documenté; déploiements sensibles avec endpoints UE.
  • Posture sécurité du fournisseur revue — chiffrement au repos et en transit, SSO admin, RBAC.
  • Processus de réponse aux incidents et notification de violation accordés.

Pour les entreprises suisses prêtes à démarrer

intoCHAT est conçu pour l'environnement de conformité suisse — traitement aligné nLPD, hébergement UE par défaut avec Suisse en Enterprise, DPA signé au contrat, journal d'audit dans chaque plan. Voir la page chatbot IA pour la Suisse pour l'aperçu, ou agent IA pour la Suisse pour les contrôles Enterprise (SSO, RBAC, portes d'approbation par action).

Cet article est informatif et ne constitue pas un conseil juridique. Pour une interprétation contraignante de la nLPD pour votre entreprise, consultez un avocat suisse en protection des données.