Tu es responsable de ce que tes prestataires font de tes données
La plupart des dirigeants que je croise pensent que la conformité LPD, c'est l'affaire du prestataire. Si l'outil est sur le marché, il doit bien être conforme, non? Cette logique est fausse. Et elle peut coûter cher.
Depuis le 1er septembre 2023, la Loi fédérale sur la protection des données révisée (nLPD) te rend responsable du traitement des données personnelles que tu confies à des tiers. Le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) est clair là-dessus. Si ton prestataire IA traite des données clients, des fiches employés ou des informations de facturation sans respecter la loi, c'est ton entreprise qui porte le risque. L'article 60 de la LPD prévoit des amendes allant jusqu'à CHF 250'000 pour les personnes physiques responsables en cas de violation intentionnelle. Mais soyons francs, l'amende n'est pas le pire. La perte de confiance de tes clients et partenaires, elle, ne se répare pas avec un virement.
Stratégiquement, repousser cet audit revient à accumuler une dette invisible. Chaque mois où tu utilises un outil IA sans avoir vérifié où vont les données, comment elles sont stockées, qui y accède, tu augmentes ton exposition. Et plus tu attends, plus le volume de données concernées grossit, plus le rattrapage sera lourd. La question n'est pas de savoir si tu dois auditer tes prestataires IA. C'est de comprendre que chaque semaine de retard aggrave ta position.
Les quatre vérifications qui comptent vraiment
Oublie les checklists de 40 points qu'on trouve dans les guides de cabinets d'avocats. Tu n'as ni le temps ni le besoin de devenir un spécialiste de la gouvernance IA. Ce qu'il te faut, c'est un filtre rapide qui sépare les prestataires sérieux des autres. Quatre points suffisent pour ça.
- Localisation du traitement des données. Où sont physiquement les serveurs? Si la réponse est floue ou pointe vers les États-Unis sans garanties contractuelles spécifiques, c'est un signal d'alerte. La question de l'hébergement des données en Suisse n'est pas un détail technique, c'est un choix stratégique.
- Sous-traitance en cascade. Ton prestataire utilise-t-il lui-même des sous-traitants pour le traitement? Si oui, lesquels, et sous quelle juridiction? Tu dois le savoir.
- Politique de rétention et suppression. Que devient la donnée une fois traitée? Est-elle conservée pour entraîner un modèle? Peut-elle être supprimée sur demande? Si le prestataire ne sait pas répondre clairement, passe ton chemin.
- Mesures de sécurité documentées. Pas besoin de lire un rapport de 80 pages. Demande un résumé des mesures techniques et organisationnelles. Un prestataire qui ne peut pas fournir ça en 48 heures n'a probablement rien formalisé.
Ces quatre points ne remplacent pas un avis juridique complet. Mais ils te permettent d'éliminer 80% des risques en une heure de travail. Et si un prestataire refuse de répondre ou botte en touche, tu as ta réponse.
Ce que ton contrat doit dire, sans négociation possible
Vérifier, c'est bien. Contractualiser, c'est ce qui te protège le jour où ça tourne mal. Trop de dirigeants signent des conditions générales sans les lire, ou acceptent un contrat standard qui ne mentionne même pas le traitement des données personnelles par l'IA. Ma recommandation est simple. Ne signe rien tant que trois éléments ne figurent pas noir sur blanc dans le contrat.
Premier point. Une clause qui définit précisément la finalité du traitement. Ton prestataire doit écrire ce qu'il fait avec les données, pas ce qu'il pourrait faire un jour. Deuxième point. Une obligation de notification en cas de violation de données, avec un délai précis. La nLPD impose de notifier le PFPDT "dans les meilleurs délais". Ton contrat doit traduire ça en jours, pas en bonnes intentions. Troisième point. Un droit d'audit. Tu dois pouvoir vérifier, toi ou un tiers mandaté, que le prestataire respecte ses engagements. Si cette clause fait peur à ton fournisseur, c'est un très bon indicateur de sa maturité réelle en matière de protection des données.
Fais le calcul sur ta propre situation. Combien de prestataires utilisent ou accèdent à des données personnelles dans ton entreprise? Multiplie ce nombre par le temps qu'il te faudrait pour renégocier chaque contrat. C'est le volume de travail qui t'attend. Plus tu as de fournisseurs non audités, plus l'effort sera concentré. Raison de plus pour commencer maintenant, prestataire par prestataire, en priorisant ceux qui manipulent les données les plus sensibles.
Intègre l'audit IA dans ta gouvernance, pas dans ta to-do
L'erreur classique serait de traiter cet audit comme un projet ponctuel. Tu vérifies une fois, tu coches la case, tu passes à autre chose. Sauf que tes prestataires changent leurs conditions, mettent à jour leurs modèles, modifient leurs sous-traitants. Un audit figé dans le temps ne vaut rien six mois plus tard.
Ce que je recommande, c'est d'inscrire une revue annuelle de tes prestataires IA dans ton calendrier de gouvernance. Pas un exercice bureaucratique. Un rendez-vous d'une demi-journée, une fois par an, où tu reprends les quatre vérifications de la section précédente pour chaque fournisseur. Si tu as quelqu'un en interne qui gère l'IT ou les achats, délègue-lui la collecte des réponses. Toi, tu arbitres. C'est un rôle de direction, pas un rôle technique. D'ailleurs, la question de qui porte la responsabilité IA dans l'entreprise mérite d'être posée franchement, surtout dans une structure de 10 à 50 personnes où personne n'a ce titre.
Sur le long terme, les entreprises qui auront structuré leur relation avec les fournisseurs IA seront celles qui pourront adopter de nouveaux outils rapidement, sans repartir de zéro à chaque fois sur la conformité. C'est un avantage compétitif discret mais réel. Pendant que d'autres perdront des semaines à rattraper leur retard réglementaire, toi tu auras un cadre en place. Et tu pourras te concentrer sur ce qui te rapporte vraiment. Si tu ne sais pas par où commencer, un regard sur les enjeux éthiques de l'IA en RH peut t'aider à calibrer ta sensibilité au sujet avant de lancer ton premier audit fournisseur.
