« Conforme » n'est pas un logo, c'est une chaîne de choix vérifiables. Un chatbot conforme nLPD, c'est un chatbot dont tu sais où passent les conversations, sur quel serveur elles sont stockées, combien de temps, et avec quel contrat de traitement. Information claire de la personne, base légale, hébergement maîtrisé, durée de conservation limitée, droit d'accès respecté. Si tu as des clients dans l'Union européenne, le RGPD s'ajoute à la nLPD.
Le vrai sujet n'est pas le logiciel, c'est le trajet des données. Un chatbot peut être excellent et pourtant exfiltrer chaque échange vers un serveur américain. La conformité se joue sur l'hébergement et le traitement de tes données.
Avant de signer avec un fournisseur, ce sont les seules questions qui comptent vraiment. Si ton prestataire ne sait pas répondre, la conformité n'existe que sur la plaquette.
Où passent les conversations ? Chaque message tapé par un visiteur voyage jusqu'à un serveur. Savoir dans quel pays ce serveur se trouve, et sous quel encadrement, est le premier test.
Qui traite ces données, et sous quel contrat ? Un contrat de traitement (DPA) doit lier chaque prestataire qui touche aux données. Sans lui, la responsabilité reste floue et la nLPD n'est pas satisfaite.
Combien de temps, et pour quel usage ? Durée de conservation, entraînement éventuel des modèles sur tes échanges, droit d'accès et d'effacement : ce sont ces réglages qui rendent un chatbot vraiment propre.
Tu colles un script, tout part sur les serveurs de l'éditeur, souvent aux États-Unis. Tu ignores où les conversations sont stockées, combien de temps, si elles entraînent un modèle. Aucun contrat de traitement à ton nom, transfert hors de Suisse non encadré. Pratique à installer, opaque à assumer devant le préposé.
L'orchestration tourne sur mon infrastructure en Suisse. Le modèle est souverain ou encadré par un contrat de traitement, sans entraînement sur tes échanges. Tu connais l'emplacement des données, la durée de rétention, et tu peux honorer un droit d'accès en quelques clics. Conforme nLPD, et RGPD si tu as des clients dans l'UE.
Le confort d'installation d'un SaaS ne se voit pas dans les conditions d'utilisation. La question à te poser n'est pas « est-ce que ça marche », mais « qu'est-ce que je réponds si un client me demande où sont ses données ».
Quatre piliers, pas un slogan. Ce sont les points que je verrouille sur chaque chatbot que je mets en ligne.
Les conversations passent par mon infrastructure en Suisse. Modèle souverain ou API encadrée, jamais un flux qui part sur un serveur inconnu.
Chaque prestataire qui touche aux données est lié par un contrat de traitement écrit. La responsabilité est claire, pas diluée dans des conditions générales.
La personne sait qu'elle parle à un chatbot et ce qu'il advient de ses messages. Information visible et, selon l'usage, consentement recueilli proprement.
Durée de conservation fixée avec toi, suppression ou anonymisation automatique ensuite, et demandes d'accès ou d'effacement simples à honorer.
« Conforme » se vérifie, ligne par ligne. Voici les points que je regarde avant de mettre un chatbot en ligne, et ce que la nLPD comme le RGPD attendent réellement.
Quand un visiteur tape « avez-vous ce modèle en stock ? », son message ne reste pas sur ta page. Il part vers le service qui affiche la bulle de chat, puis vers le modèle de langage qui rédige la réponse, souvent hébergé ailleurs. À chaque saut, la donnée change de main et de juridiction. Un chatbot conforme, c'est un chatbot dont tu peux dessiner ce trajet en entier : qui reçoit quoi, où c'est stocké, sous quel contrat. Tant que ce schéma reste flou, aucune promesse de conformité ne tient. Ce n'est pas un détail théorique : selon l'étude Cisco 2025, près de la moitié des organisations reconnaissent que leurs collaborateurs saisissent des données personnelles ou non publiques dans des outils d'IA générative1. Un chatbot public, c'est exactement ce risque, à l'échelle de tous tes visiteurs.
La nLPD, en vigueur en Suisse depuis septembre 2023, et le RGPD européen visent la même chose : que la personne sache ce qu'on fait de ses données et garde des droits dessus. Si tes clients sont uniquement en Suisse, la nLPD s'applique. Dès que tu traites des données de personnes situées dans l'Union européenne, le RGPD s'ajoute. Les deux textes demandent une information transparente, une base légale pour le traitement, une collecte limitée au nécessaire, un contrat avec tes sous-traitants et une durée de conservation raisonnable. Je ne suis pas juriste et je ne te vends pas une obligation inventée : je construis le chatbot pour que ces exigences soient tenables des deux côtés, et je te renvoie à ton conseil juridique pour ce qui relève du droit.
Dès qu'un prestataire traite des données pour ton compte, un contrat de traitement (souvent appelé DPA, data processing agreement) doit encadrer ce qu'il a le droit d'en faire. C'est la pièce qui manque le plus souvent avec les chatbots SaaS grand public : tu acceptes des conditions générales rédigées pour l'éditeur, sans engagement clair à ton nom. Sur un chatbot que je construis, chaque maillon de la chaîne, hébergeur compris, est couvert par un contrat, et le transfert éventuel hors de Suisse ou de l'UE est encadré au lieu d'être subi. Ce n'est pas de la paperasse pour la forme : c'est ce qui te permet de répondre au préposé à la protection des données sans improviser.
Trois réglages font la différence au quotidien. L'information et l'opt-in : la personne sait qu'elle parle à un chatbot et, selon les données collectées, donne son accord. La rétention : les conversations sont conservées le temps utile que tu fixes, puis supprimées ou anonymisées automatiquement, jamais gardées « au cas où ». Le droit d'accès et d'effacement : quand quelqu'un demande ce que tu sais de lui, tu peux le lui montrer et l'effacer sans chantier technique. Un chatbot bien construit rend ces trois gestes simples ; un SaaS opaque les rend impossibles à honorer. À l'échelle du continent, ce n'est pas anecdotique : le cabinet DLA Piper recense environ 363 notifications de violation de données par jour en Europe2.
L'orchestration, la logique qui reçoit le message et compose la réponse, tourne sur mon infrastructure n8n hébergée en Suisse : c'est moi qui la maîtrise, pas un éditeur américain. Pour le modèle de langage, deux options selon ton secteur : un modèle souverain à poids ouverts hébergé en Suisse (Infomaniak) pour les activités réglementées, ou une API puissante dans un cadre européen maîtrisé, avec contrat de traitement et zéro entraînement sur tes échanges, quand le retour prime. L'IA souveraine hébergée en Suisse n'est pas un dogme : c'est une option qu'on choisit ensemble selon la sensibilité de tes données. Cette intuition est largement partagée, 90% des organisations estimant qu'un stockage local est intrinsèquement plus sûr1.
Un parcours court où la conformité est réglée avant la mise en ligne, pas rattrapée après. C'est moi qui construis et qui fais tourner le chatbot ensuite.
On liste ce que le chatbot va lire et collecter, on choisit l'hébergement et le modèle selon la sensibilité, et on fixe la rétention.
Hébergé sur mon infrastructure en Suisse, avec l'information visible, l'opt-in, et les contrats de traitement en place.
On le rode sur tes vrais échanges, on ajuste les réponses, et on garde une trace claire du trajet des données.
Le chatbot tourne, et c'est moi qui le surveille et le fais évoluer. Tu restes propriétaire de tes données ; tu n'as rien à gérer techniquement.
Chaque entreprise a ses gestes répétitifs. Je pars de ton métier, de tes outils et de tes contraintes pour construire une automatisation utile, fiable et documentée.
Bexio, Abacus, Winbiz, Odoo, saisie, rapprochement, reporting client.
Voir le serviceRecherche, synthèse de dossiers, rédaction, secret professionnel, hébergement suisse.
Voir le serviceComptes-rendus, courriers, rappels patients, données sensibles hébergées selon ton besoin.
Voir le servicePV de séances, courriers citoyens, gestion et suivi des demandes.
Voir le serviceAnnonces, relances acquéreurs, fiches biens, suivi mandats.
Voir le servicePosts LinkedIn, newsletters, relances prospects, suivi clients.
Voir le serviceRéservations, rappels rendez-vous, posts Instagram, fidélisation client.
Voir le serviceRéservations, avis Google, newsletters, réputation, temps administratif réduit.
Voir le serviceTon métier n'est pas dans la liste ? Les services généraux couvrent les autres secteurs →
des organisations estiment qu'un stockage local des données est intrinsèquement plus sûr (Cisco, 2025)1
des organisations admettent que leurs employés saisissent des données personnelles ou non publiques dans des outils d'IA générative (Cisco, 2025)1
d'amendes RGPD prononcées en Europe sur la seule année 2024 (DLA Piper, 2025)2
notifications de violation de données par jour en moyenne en Europe (DLA Piper, 2025)2
Selon ton secteur et ton ROI, on peut mixer API puissantes (Claude, ChatGPT avec accord DPA et zéro entraînement) et modèles souverains hébergés en Suisse. Pour les cabinets réglementés, une offre dédiée 🇨🇭 Souveraineté.
Chez toi, chez moi en Suisse (Infomaniak, ISO 27001), ou un mix. On choisit ensemble ce qui fait sens.
API puissantes avec accord DPA et zéro entraînement, ou modèles souverains. Le bon choix dépend de ton secteur et de ton usage.
Tu sais exactement où vont tes données et pourquoi. Conformité nLPD, documentation complète, zéro rétention forcée.
Les questions qui reviennent le plus souvent. Si la tienne n'y est pas, écris-moi.
C'est un chatbot dont tu sais où passent les conversations, sur quel serveur elles sont stockées, combien de temps, et sur quelle base légale. Conforme nLPD veut dire : information claire de la personne, base juridique, hébergement maîtrisé, contrat de traitement avec chaque prestataire, durée de conservation limitée et droit d'accès respecté.
Non, si tu traites des données de personnes dans l'UE, le RGPD s'applique en plus de la nLPD suisse. Les deux textes sont proches dans l'esprit : information, base légale, minimisation, contrat de traitement, durée de conservation. Je conçois le chatbot pour couvrir les deux cadres d'emblée.
Pas automatiquement, mais il faut vérifier où sont hébergées les conversations, si un contrat de traitement existe, si tes données servent à entraîner des modèles, et quel encadrement couvre le transfert hors de Suisse ou de l'UE. Beaucoup d'outils grand public envoient les échanges sur des serveurs américains sans ce cadre : là, le risque est réel.
L'orchestration tourne sur mon infrastructure n8n hébergée en Suisse. Pour le modèle de langage, deux options : un modèle souverain hébergé en Suisse pour les activités réglementées, ou une API puissante dans un cadre européen maîtrisé, avec contrat de traitement et zéro entraînement sur tes données. On choisit selon la sensibilité de tes données.
Tu dois informer clairement la personne qu'elle parle à un chatbot et ce qu'il advient de ses données. Selon les données collectées et l'usage, une base légale ou un consentement peut être nécessaire. Je ne me substitue pas à ton conseil juridique : je mets en place l'information, l'opt-in et la traçabilité pour que ce soit propre.
Le temps que tu décides, et pas plus. On fixe ensemble une durée de rétention adaptée à ton besoin, puis les conversations sont supprimées ou anonymisées automatiquement. Une personne peut aussi demander l'accès à ses données ou leur effacement : le chatbot est construit pour rendre ces demandes simples à honorer.
Les chiffres de cette page sont issus de sources primaires vérifiées, datées et liées ci-dessous.
Les domaines sur lesquels j'interviens. Chacun mène à une page dédiée.
Répondre à tes clients 24/7, conforme nLPD.
Découvrir →Tes tâches répétitives transformées en workflows fiables avec n8n.
Découvrir →Par où commencer, quoi automatiser, quel retour attendre.
Découvrir →Monter en compétence, ton équipe et toi.
Découvrir →Des automatisations pensées pour ton secteur.
Découvrir →Pas de logo « conforme » collé après coup. On cadre où passent tes données, on héberge en Suisse, on règle l'information, la rétention et le droit d'accès, puis on met le chatbot en ligne l'esprit tranquille.