Q&A
Q&A
Le RGPD (Règlement Général sur la Protection des Données) est la réglementation européenne qui encadre la collecte, l’utilisation et la protection des données personnelles. Il s’applique à toute organisation traitant des données de résidents de l’UE, même si elle est située hors UE.
Oui. La LPD (Loi fédérale sur la protection des données) s’applique à toute entreprise opérant en Suisse ou traitant des données de personnes situées en Suisse.
Le RGPD peut également s’appliquer si l’entreprise cible des résidents de l’UE (services, marketing, suivi comportemental).
Le RGPD peut également s’appliquer si l’entreprise cible des résidents de l’UE (services, marketing, suivi comportemental).
Toute information permettant d’identifier directement ou indirectement une personne :
nom, email, adresse IP, numéro client, données de localisation, données de santé, etc.
nom, email, adresse IP, numéro client, données de localisation, données de santé, etc.
Toute opération réalisée sur des données personnelles : collecte, stockage, modification, transmission, suppression, analyse, etc.
Le DPO est obligatoire si :
l’entreprise traite des données sensibles à grande échelle,
surveille des personnes de manière systématique,
ou est une autorité publique.
Même lorsqu’il n’est pas obligatoire, il est fortement recommandé pour structurer la conformité.
l’entreprise traite des données sensibles à grande échelle,
surveille des personnes de manière systématique,
ou est une autorité publique.
Même lorsqu’il n’est pas obligatoire, il est fortement recommandé pour structurer la conformité.
Conseiller l’entreprise sur ses obligations légales
Contrôler la conformité RGPD/LPD
Former les collaborateurs
Réaliser des analyses d’impact (DPIA)
Être le point de contact avec les autorités (ex. PFPDT en Suisse)
Gérer les violations de données
Contrôler la conformité RGPD/LPD
Former les collaborateurs
Réaliser des analyses d’impact (DPIA)
Être le point de contact avec les autorités (ex. PFPDT en Suisse)
Gérer les violations de données
Toute destruction, perte, altération, divulgation ou accès non autorisé à des données personnelles.
Exemples : cyberattaque, email envoyé au mauvais destinataire, perte d’un ordinateur portable.
Exemples : cyberattaque, email envoyé au mauvais destinataire, perte d’un ordinateur portable.
Identifier et contenir l’incident
Évaluer les risques pour les personnes concernées
Documenter l’incident
Notifier l’autorité compétente (RGPD : 72h) si nécessaire
Informer les personnes concernées si le risque est élevé
Mettre en place des mesures correctives
Évaluer les risques pour les personnes concernées
Documenter l’incident
Notifier l’autorité compétente (RGPD : 72h) si nécessaire
Informer les personnes concernées si le risque est élevé
Mettre en place des mesures correctives
Une DPIA évalue les risques d’un traitement sur les droits et libertés des personnes.
Elle est obligatoire pour les traitements à haut risque (profilage, surveillance, données sensibles, etc.).
Elle est obligatoire pour les traitements à haut risque (profilage, surveillance, données sensibles, etc.).
Droit d’accès
Droit de rectification
Droit d’effacement
Droit d’opposition
Droit à la portabilité
Droit à la limitation du traitement
Droit de retirer son consentement
Droit de rectification
Droit d’effacement
Droit d’opposition
Droit à la portabilité
Droit à la limitation du traitement
Droit de retirer son consentement
Ne collecter que les données strictement nécessaires à l’objectif poursuivi.
Pas plus, pas moins.
Pas plus, pas moins.
Intégrer la protection des données dès la conception d’un produit, service ou processus, et non après coup.
RGPD : jusqu’à 20 millions € ou 4 % du CA mondial
LPD : amendes jusqu’à 250'000 CHF (responsabilité personnelle possible)
LPD : amendes jusqu’à 250'000 CHF (responsabilité personnelle possible)
Cartographier les traitements
Mettre à jour les politiques internes
Mettre en place un registre RGPD/LPD
Sécuriser les systèmes
Former les équipes
Nommer un DPO ou un conseiller externe
Réaliser des audits réguliers
Mettre à jour les politiques internes
Mettre en place un registre RGPD/LPD
Sécuriser les systèmes
Former les équipes
Nommer un DPO ou un conseiller externe
Réaliser des audits réguliers
L’AI Act est la première réglementation européenne dédiée aux systèmes d’intelligence artificielle.
Il établit un cadre basé sur le risque pour garantir une IA sûre, transparente et respectueuse des droits fondamentaux.
Il établit un cadre basé sur le risque pour garantir une IA sûre, transparente et respectueuse des droits fondamentaux.
À tous les acteurs qui développent, mettent sur le marché, intègrent ou utilisent des systèmes d’IA dans l’UE — y compris les entreprises suisses qui ciblent le marché européen.
Oui. Les systèmes d’IA considérés comme présentant un risque inacceptable sont interdits (ex. : manipulation cognitive, scoring social, reconnaissance biométrique en temps réel dans l’espace public).
Oui. Les modèles dits GPAI (General Purpose AI) doivent respecter des obligations spécifiques : transparence, documentation, droits d’auteur, sécurité, etc.
En quatre catégories :
Risque inacceptable → interdit
Haut risque → obligations strictes
Risque limité → obligations de transparence
Risque minimal → usage libre
Risque inacceptable → interdit
Haut risque → obligations strictes
Risque limité → obligations de transparence
Risque minimal → usage libre
Ce sont des IA utilisées dans des domaines sensibles : santé, éducation, recrutement, infrastructures critiques, justice, services publics, etc.
Elles doivent respecter des exigences strictes : gestion des risques, qualité des données, documentation, supervision humaine, cybersécurité.
Elles doivent respecter des exigences strictes : gestion des risques, qualité des données, documentation, supervision humaine, cybersécurité.
Elles doivent notamment :
évaluer les risques,
assurer la supervision humaine,
documenter l’usage,
surveiller les performances,
signaler les incidents graves.
évaluer les risques,
assurer la supervision humaine,
documenter l’usage,
surveiller les performances,
signaler les incidents graves.
Non.
Les deux textes sont complémentaires :
le RGPD protège les données personnelles,
l’AI Act encadre les systèmes d’IA.
Un traitement IA peut donc être soumis aux deux.
Les deux textes sont complémentaires :
le RGPD protège les données personnelles,
l’AI Act encadre les systèmes d’IA.
Un traitement IA peut donc être soumis aux deux.
Il faut appliquer double conformité :
obligations AI Act (classification, documentation, supervision),
obligations RGPD/LPD (base légale, minimisation, DPIA, sécurité).
Une DPIA est souvent nécessaire pour les systèmes à haut risque.
obligations AI Act (classification, documentation, supervision),
obligations RGPD/LPD (base légale, minimisation, DPIA, sécurité).
Une DPIA est souvent nécessaire pour les systèmes à haut risque.
Les fournisseurs doivent :
documenter les capacités et limites du modèle,
publier un résumé des données d’entraînement,
mettre en place des mesures de cybersécurité,
respecter le droit d’auteur,
surveiller les risques systémiques pour les modèles les plus puissants.
documenter les capacités et limites du modèle,
publier un résumé des données d’entraînement,
mettre en place des mesures de cybersécurité,
respecter le droit d’auteur,
surveiller les risques systémiques pour les modèles les plus puissants.
C’est une base publique dans laquelle les fournisseurs doivent enregistrer les systèmes d’IA à haut risque avant leur mise sur le marché.
Les déployeurs doivent ensuite déclarer leur utilisation.
Les déployeurs doivent ensuite déclarer leur utilisation.
Les amendes peuvent atteindre :
35 millions € ou 7 % du CA mondial pour les violations les plus graves,
15 millions € ou 3 % du CA pour les obligations de conformité,
7,5 millions € ou 1 % du CA pour les obligations de transparence.
35 millions € ou 7 % du CA mondial pour les violations les plus graves,
15 millions € ou 3 % du CA pour les obligations de conformité,
7,5 millions € ou 1 % du CA pour les obligations de transparence.
En particulier si elle :
fournit des solutions IA à des clients européens,
utilise des IA dans des processus RH, santé, finance, éducation, etc.
Elle doit mettre en place :
un registre IA,
un processus de classification,
une gouvernance IA,
une documentation technique,
une supervision humaine.
fournit des solutions IA à des clients européens,
utilise des IA dans des processus RH, santé, finance, éducation, etc.
Elle doit mettre en place :
un registre IA,
un processus de classification,
une gouvernance IA,
une documentation technique,
une supervision humaine.