CHATBOT CONFORME · nLPD & RGPD

Un chatbot conforme,
c'est savoir où vont tes données.

Où passent les conversations, sur quel serveur, combien de temps, avec quel contrat. Un chatbot hébergé en Suisse, conforme nLPD et RGPD, sans exfiltrer tes échanges vers un SaaS américain.

Chatbots pour PME romandes, hébergés en Suisse, conformes nLPD

Chatbot conforme
Où passent tes conversations
Conversation
Un visiteur écrit sur ton site
Traité en Suisse
Hébergé chez moi, jamais entraîné
Rétention maîtrisée
Durée limitée, droit d'accès
Hébergé en Suisse 🇨🇭

Qu'est-ce qu'un chatbot conforme nLPD ?

« Conforme » n'est pas un logo, c'est une chaîne de choix vérifiables. Un chatbot conforme nLPD, c'est un chatbot dont tu sais où passent les conversations, sur quel serveur elles sont stockées, combien de temps, et avec quel contrat de traitement. Information claire de la personne, base légale, hébergement maîtrisé, durée de conservation limitée, droit d'accès respecté. Si tu as des clients dans l'Union européenne, le RGPD s'ajoute à la nLPD.

Le vrai sujet n'est pas le logiciel, c'est le trajet des données. Un chatbot peut être excellent et pourtant exfiltrer chaque échange vers un serveur américain. La conformité se joue sur l'hébergement et le traitement de tes données.

Les trois questions qui décident si un chatbot est conforme

Avant de signer avec un fournisseur, ce sont les seules questions qui comptent vraiment. Si ton prestataire ne sait pas répondre, la conformité n'existe que sur la plaquette.

01

Où passent les conversations ? Chaque message tapé par un visiteur voyage jusqu'à un serveur. Savoir dans quel pays ce serveur se trouve, et sous quel encadrement, est le premier test.

02

Qui traite ces données, et sous quel contrat ? Un contrat de traitement (DPA) doit lier chaque prestataire qui touche aux données. Sans lui, la responsabilité reste floue et la nLPD n'est pas satisfaite.

03

Combien de temps, et pour quel usage ? Durée de conservation, entraînement éventuel des modèles sur tes échanges, droit d'accès et d'effacement : ce sont ces réglages qui rendent un chatbot vraiment propre.

SaaS américain qui exfiltre, ou chatbot hébergé en Suisse

Le chatbot SaaS grand public

Tu colles un script, tout part sur les serveurs de l'éditeur, souvent aux États-Unis. Tu ignores où les conversations sont stockées, combien de temps, si elles entraînent un modèle. Aucun contrat de traitement à ton nom, transfert hors de Suisse non encadré. Pratique à installer, opaque à assumer devant le préposé.

Le chatbot que je construis

L'orchestration tourne sur mon infrastructure en Suisse. Le modèle est souverain ou encadré par un contrat de traitement, sans entraînement sur tes échanges. Tu connais l'emplacement des données, la durée de rétention, et tu peux honorer un droit d'accès en quelques clics. Conforme nLPD, et RGPD si tu as des clients dans l'UE.

Le confort d'installation d'un SaaS ne se voit pas dans les conditions d'utilisation. La question à te poser n'est pas « est-ce que ça marche », mais « qu'est-ce que je réponds si un client me demande où sont ses données ».

Ce que « conforme » recouvre vraiment

Quatre piliers, pas un slogan. Ce sont les points que je verrouille sur chaque chatbot que je mets en ligne.

Hébergement maîtrisé

Les conversations passent par mon infrastructure en Suisse. Modèle souverain ou API encadrée, jamais un flux qui part sur un serveur inconnu.

Contrat de traitement (DPA)

Chaque prestataire qui touche aux données est lié par un contrat de traitement écrit. La responsabilité est claire, pas diluée dans des conditions générales.

Information & opt-in

La personne sait qu'elle parle à un chatbot et ce qu'il advient de ses messages. Information visible et, selon l'usage, consentement recueilli proprement.

Rétention & droit d'accès

Durée de conservation fixée avec toi, suppression ou anonymisation automatique ensuite, et demandes d'accès ou d'effacement simples à honorer.

Ce que « chatbot conforme » veut dire, en détail

« Conforme » se vérifie, ligne par ligne. Voici les points que je regarde avant de mettre un chatbot en ligne, et ce que la nLPD comme le RGPD attendent réellement.

Le trajet d'un message, étape par étape

Quand un visiteur tape « avez-vous ce modèle en stock ? », son message ne reste pas sur ta page. Il part vers le service qui affiche la bulle de chat, puis vers le modèle de langage qui rédige la réponse, souvent hébergé ailleurs. À chaque saut, la donnée change de main et de juridiction. Un chatbot conforme, c'est un chatbot dont tu peux dessiner ce trajet en entier : qui reçoit quoi, où c'est stocké, sous quel contrat. Tant que ce schéma reste flou, aucune promesse de conformité ne tient. Ce n'est pas un détail théorique : selon l'étude Cisco 2025, près de la moitié des organisations reconnaissent que leurs collaborateurs saisissent des données personnelles ou non publiques dans des outils d'IA générative1. Un chatbot public, c'est exactement ce risque, à l'échelle de tous tes visiteurs.

nLPD et RGPD : deux cadres, un même esprit

La nLPD, en vigueur en Suisse depuis septembre 2023, et le RGPD européen visent la même chose : que la personne sache ce qu'on fait de ses données et garde des droits dessus. Si tes clients sont uniquement en Suisse, la nLPD s'applique. Dès que tu traites des données de personnes situées dans l'Union européenne, le RGPD s'ajoute. Les deux textes demandent une information transparente, une base légale pour le traitement, une collecte limitée au nécessaire, un contrat avec tes sous-traitants et une durée de conservation raisonnable. Je ne suis pas juriste et je ne te vends pas une obligation inventée : je construis le chatbot pour que ces exigences soient tenables des deux côtés, et je te renvoie à ton conseil juridique pour ce qui relève du droit.

Le contrat de traitement, la pièce qu'on oublie

Dès qu'un prestataire traite des données pour ton compte, un contrat de traitement (souvent appelé DPA, data processing agreement) doit encadrer ce qu'il a le droit d'en faire. C'est la pièce qui manque le plus souvent avec les chatbots SaaS grand public : tu acceptes des conditions générales rédigées pour l'éditeur, sans engagement clair à ton nom. Sur un chatbot que je construis, chaque maillon de la chaîne, hébergeur compris, est couvert par un contrat, et le transfert éventuel hors de Suisse ou de l'UE est encadré au lieu d'être subi. Ce n'est pas de la paperasse pour la forme : c'est ce qui te permet de répondre au préposé à la protection des données sans improviser.

Opt-in, rétention, droit d'accès : les réglages qui protègent

Trois réglages font la différence au quotidien. L'information et l'opt-in : la personne sait qu'elle parle à un chatbot et, selon les données collectées, donne son accord. La rétention : les conversations sont conservées le temps utile que tu fixes, puis supprimées ou anonymisées automatiquement, jamais gardées « au cas où ». Le droit d'accès et d'effacement : quand quelqu'un demande ce que tu sais de lui, tu peux le lui montrer et l'effacer sans chantier technique. Un chatbot bien construit rend ces trois gestes simples ; un SaaS opaque les rend impossibles à honorer. À l'échelle du continent, ce n'est pas anecdotique : le cabinet DLA Piper recense environ 363 notifications de violation de données par jour en Europe2.

« Héberger un chatbot en Suisse », concrètement

L'orchestration, la logique qui reçoit le message et compose la réponse, tourne sur mon infrastructure n8n hébergée en Suisse : c'est moi qui la maîtrise, pas un éditeur américain. Pour le modèle de langage, deux options selon ton secteur : un modèle souverain à poids ouverts hébergé en Suisse (Infomaniak) pour les activités réglementées, ou une API puissante dans un cadre européen maîtrisé, avec contrat de traitement et zéro entraînement sur tes échanges, quand le retour prime. L'IA souveraine hébergée en Suisse n'est pas un dogme : c'est une option qu'on choisit ensemble selon la sensibilité de tes données. Cette intuition est largement partagée, 90% des organisations estimant qu'un stockage local est intrinsèquement plus sûr1.

Du cadrage des données au chatbot en ligne

Un parcours court où la conformité est réglée avant la mise en ligne, pas rattrapée après. C'est moi qui construis et qui fais tourner le chatbot ensuite.

01

On cadre les données

On liste ce que le chatbot va lire et collecter, on choisit l'hébergement et le modèle selon la sensibilité, et on fixe la rétention.

02

Je construis le chatbot

Hébergé sur mon infrastructure en Suisse, avec l'information visible, l'opt-in, et les contrats de traitement en place.

03

On teste et on documente

On le rode sur tes vrais échanges, on ajuste les réponses, et on garde une trace claire du trajet des données.

04

Je l'exploite et je le maintiens

Le chatbot tourne, et c'est moi qui le surveille et le fais évoluer. Tu restes propriétaire de tes données ; tu n'as rien à gérer techniquement.

Des automatisations adaptées à ton terrain

Chaque entreprise a ses gestes répétitifs. Je pars de ton métier, de tes outils et de tes contraintes pour construire une automatisation utile, fiable et documentée.

Métiers réglementés · secret professionnel · nLPD

Commerces et services de proximité

Ton métier n'est pas dans la liste ? Les services généraux couvrent les autres secteurs →

Ce que disent les données sur la confidentialité

90%

des organisations estiment qu'un stockage local des données est intrinsèquement plus sûr (Cisco, 2025)1

≈50%

des organisations admettent que leurs employés saisissent des données personnelles ou non publiques dans des outils d'IA générative (Cisco, 2025)1

1,2 Mrd €

d'amendes RGPD prononcées en Europe sur la seule année 2024 (DLA Piper, 2025)2

363 / j

notifications de violation de données par jour en moyenne en Europe (DLA Piper, 2025)2

Tes données, tes choix

Selon ton secteur et ton ROI, on peut mixer API puissantes (Claude, ChatGPT avec accord DPA et zéro entraînement) et modèles souverains hébergés en Suisse. Pour les cabinets réglementés, une offre dédiée 🇨🇭 Souveraineté.

Hébergement au choix

Chez toi, chez moi en Suisse (Infomaniak, ISO 27001), ou un mix. On choisit ensemble ce qui fait sens.

IA selon le ROI

API puissantes avec accord DPA et zéro entraînement, ou modèles souverains. Le bon choix dépend de ton secteur et de ton usage.

Transparence totale

Tu sais exactement où vont tes données et pourquoi. Conformité nLPD, documentation complète, zéro rétention forcée.

Les questions avant de commencer

Les questions qui reviennent le plus souvent. Si la tienne n'y est pas, écris-moi.

Qu'est-ce qu'un chatbot conforme nLPD, concrètement ?

C'est un chatbot dont tu sais où passent les conversations, sur quel serveur elles sont stockées, combien de temps, et sur quelle base légale. Conforme nLPD veut dire : information claire de la personne, base juridique, hébergement maîtrisé, contrat de traitement avec chaque prestataire, durée de conservation limitée et droit d'accès respecté.

La conformité nLPD suffit-elle si j'ai des clients dans l'Union européenne ?

Non, si tu traites des données de personnes dans l'UE, le RGPD s'applique en plus de la nLPD suisse. Les deux textes sont proches dans l'esprit : information, base légale, minimisation, contrat de traitement, durée de conservation. Je conçois le chatbot pour couvrir les deux cadres d'emblée.

Un chatbot SaaS américain est-il forcément non conforme ?

Pas automatiquement, mais il faut vérifier où sont hébergées les conversations, si un contrat de traitement existe, si tes données servent à entraîner des modèles, et quel encadrement couvre le transfert hors de Suisse ou de l'UE. Beaucoup d'outils grand public envoient les échanges sur des serveurs américains sans ce cadre : là, le risque est réel.

Où sont hébergées les conversations d'un chatbot que tu construis ?

L'orchestration tourne sur mon infrastructure n8n hébergée en Suisse. Pour le modèle de langage, deux options : un modèle souverain hébergé en Suisse pour les activités réglementées, ou une API puissante dans un cadre européen maîtrisé, avec contrat de traitement et zéro entraînement sur tes données. On choisit selon la sensibilité de tes données.

Faut-il demander l'accord des utilisateurs avant qu'ils parlent au chatbot ?

Tu dois informer clairement la personne qu'elle parle à un chatbot et ce qu'il advient de ses données. Selon les données collectées et l'usage, une base légale ou un consentement peut être nécessaire. Je ne me substitue pas à ton conseil juridique : je mets en place l'information, l'opt-in et la traçabilité pour que ce soit propre.

Combien de temps les conversations sont-elles conservées ?

Le temps que tu décides, et pas plus. On fixe ensemble une durée de rétention adaptée à ton besoin, puis les conversations sont supprimées ou anonymisées automatiquement. Une personne peut aussi demander l'accès à ses données ou leur effacement : le chatbot est construit pour rendre ces demandes simples à honorer.

Sources

Les chiffres de cette page sont issus de sources primaires vérifiées, datées et liées ci-dessous.

  1. Cisco, « 2025 Data Privacy Benchmark Study », avril 2025. (90% des organisations estiment qu'un stockage local des données est intrinsèquement plus sûr ; près de la moitié admettent que leurs employés saisissent des données personnelles ou non publiques dans des outils d'IA générative.)
  2. DLA Piper, « GDPR Fines and Data Breach Survey », janvier 2025. (1,2 milliard d'euros d'amendes RGPD prononcées en Europe en 2024 ; environ 363 notifications de violation de données par jour en moyenne.)

Mes expertises

Les domaines sur lesquels j'interviens. Chacun mène à une page dédiée.

Un chatbot conforme, ça se construit avant la mise en ligne.

Pas de logo « conforme » collé après coup. On cadre où passent tes données, on héberge en Suisse, on règle l'information, la rétention et le droit d'accès, puis on met le chatbot en ligne l'esprit tranquille.

Accueil
Services
Tous les services Automatisation Coaching dirigeant Formation LIMITLESS
🇨🇭 Souveraineté
Tes données IA souveraine IA américaine & RGPD ? Avocats Fiduciaires Médecins Administrations
Use Cases
Tous les use cases Cybel'Art - OCR reçus Saisie factures fiduciaire Veille IA Audit IA LinkedIn Cockpit Assistant WhatsApp
À propos FAQ Blog Contact
Bilan IA gratuit
Bilan IA gratuit