La protection des données en Suisse n'est pas le RGPD (mais lui ressemble)
La Suisse a sa propre loi : la révision de la Loi fédérale sur la protection des données — nLPD en français, revDSG en allemand — est en vigueur depuis le 1er septembre 2023. Ce n'est pas le RGPD européen, mais elle lui ressemble beaucoup.
Les principes sont familiers : licéité et transparence du traitement, minimisation des données, sécurité, et une forte responsabilisation de celui qui traite les données. Les entreprises doivent tenir un registre des activités de traitement, notifier les violations au Préposé fédéral à la protection des données et à la transparence (PFPDT) et, dans plusieurs cas, mener une analyse d'impact.
La différence pratique pour qui adopte l'IA ne tient pas aux principes, mais à une sensibilité culturelle : en Suisse, la résidence des données et la confidentialité pèsent plus qu'ailleurs. Une banque ou un groupe pharmaceutique suisse, avant d'envoyer le moindre document à un modèle d'IA, veut savoir exactement où finissent ces données et qui peut les voir.
Le vrai enjeu avec l'IA : où finissent les données
Quand on utilise un modèle de langage, la question qui compte est unique : mes données servent-elles à entraîner le modèle, et où sont-elles traitées ?
C'est là que beaucoup d'entreprises suisses se bloquent. La crainte — souvent légitime pour les outils grand public gratuits — est que les données confidentielles finissent dans l'entraînement du modèle ou sur des serveurs dont on ne connaît pas la juridiction. Pour une entreprise soumise au secret bancaire ou professionnel, c'est un risque qu'on ne peut pas courir.
La bonne nouvelle, c'est que cette préoccupation, avec les bons outils d'entreprise, se règle au niveau contractuel et architectural. Ce n'est pas une question de confiance aveugle : c'est une question de garanties écrites et de choix de déploiement.
Claude et la conformité : ce qu'Anthropic offre concrètement
Avec Claude, les leviers de conformité existent, et ils sont concrets.
Aucun entraînement sur les données d'entreprise : sur les plans Claude for Work (Team et Enterprise) et via l'API, Anthropic n'utilise pas le contenu des conversations ou des appels API pour entraîner ses modèles. C'est une garantie contractuelle, pas une simple case à cocher.
Data Processing Agreement et rétention configurable : Anthropic met à disposition un DPA et, sur les plans enterprise et API, des options de conservation réduite ou nulle pour qui en a besoin.
Choix de la région de traitement : en utilisant Claude via Amazon Bedrock ou Google Vertex AI, vous pouvez contraindre l'inférence à des régions européennes spécifiques, en maintenant le traitement dans l'espace UE/EEE — reconnu adéquat par la Suisse.
Contrôles enterprise : SSO, journaux d'audit, gestion des rôles et politiques d'utilisation, qui correspondent directement aux exigences de responsabilisation de la nLPD. Pour le cadre européen plus large, voir notre guide sur la souveraineté des données et l'IA en Europe et celui sur Claude et le RGPD.
Vous voulez utiliser Claude en Suisse, en règle avec la nLPD ?
30 minutes pour discuter de votre cas spécifique.
Secret bancaire, secret professionnel et données de santé
Les trois secteurs suisses les plus sensibles méritent une attention particulière.
Banques et gestion de fortune : le secret bancaire (art. 47 de la Loi sur les banques) et la surveillance de la FINMA imposent de fortes précautions. Envoyer des données de clients identifiables à un service externe exige une minimisation (pseudonymisation ou suppression des identifiants), des garanties de non-entraînement et, idéalement, un traitement dans une région contrôlée. Avec ces précautions, l'analyse de documents, la synthèse de recherche et la préparation de rapports deviennent réalisables.
Pharma et sciences de la vie : les données de pharmacovigilance, les essais cliniques et les données de santé sont des données sensibles dignes d'une protection particulière. Les mêmes principes s'appliquent : minimisation, DPA, déploiement contrôlé. Nous approfondissons le sujet dans Claude pour la pharmacovigilance.
Cabinets d'avocats : le secret professionnel de l'avocat est quasi absolu. La voie est la même que pour les cabinets d'avocats : aucune donnée identifiable dans les prompts sans les bonnes garanties, et une architecture qui garde le contrôle des données.
Une architecture privacy-by-design pour la Suisse
La conformité ne s'achète pas : elle se conçoit. Un déploiement de Claude pensé pour le contexte suisse part de quatre choix.
Résidence des données : choisir le canal d'accès (API directe, Bedrock, Vertex) et la région en fonction de l'endroit où les données peuvent rester.
Minimisation en amont : filtrer et pseudonymiser les données avant qu'elles n'atteignent le modèle, de sorte que la donnée sensible ne sorte jamais du périmètre.
Contrats et documentation : DPA signé, registre des traitements à jour et, là où c'est nécessaire, une analyse d'impact relative à la protection des données.
Contrôle et traçabilité : journaux d'audit, gestion des accès et politiques d'utilisation internes. Sur ces piliers se construit un système qu'un auditeur — ou la FINMA — peut vérifier. C'est la même approche que celle avec laquelle nous abordons le RGPD pour les entreprises : privacy-by-design, et non un tampon a posteriori.
Comment démarrer, sans risques
Le parcours pratique est simple et prudent.
On part d'un assessment : quels processus ont le plus de valeur, quelles données ils touchent, quel niveau de sensibilité. Puis un pilote sur un cas d'usage à faible risque — documentation interne, recherche, synthèse — avec les bonnes données et les bonnes garanties. On mesure, on valide la conformité, et ce n'est qu'alors qu'on étend.
Maverick AI accompagne les entreprises suisses — au Tessin, en Suisse romande et en Suisse alémanique — dans ce parcours : du choix de l'architecture conforme à la nLPD jusqu'à l'implémentation et à la formation des équipes. Si vous évaluez Claude pour votre organisation, parlons-en.