Update - La loi actuelle sur la protection des données est directement applicable à l’IA

En mars 2025, la Suisse a signé la convention du Conseil de l'Europe sur l'intelligence artificielle (IA) et les droits de l'homme, la démocratie et l'État de droit. Comme annoncé par le Conseil fédéral, les adaptations nécessaires dans le droit suisse seront effectuées afin que la Suisse puisse ratifier la convention du Conseil de l'Europe. L'approche réglementaire suisse en matière d'IA repose sur trois objectifs : renforcer la place de la Suisse en tant que pôle d'innovation, garantir la protection des droits fondamentaux, y compris la liberté économique, et renforcer la confiance de la population dans l'IA.

Au vu de l’augmentation rapide du nombre de traitements de données basés sur l’IA, le PFPDT souligne qu'indépendamment des futures réglementations, les dispositions en matière de protection de données déjà en vigueur doivent être respectées. La loi fédérale sur la protection des données (LPD), formulée de manière neutre du point de vue technologique, est donc directement applicable à l’utilisation de traitements de données basés sur l’IA. De ce fait, le PFPDT rappelle aux fabricants, fournisseurs et exploitants d’applications de ce type l’obligation légale de s’assurer, dès le développement de nouvelles technologies et la planification de leur utilisation, que les personnes concernées disposent d’un degré d’autodétermination numérique aussi élevé que possible.

Compte-tenu des exigences de la LPD, les fabricants, fournisseurs et exploitants de systèmes d’IA doivent rendre transparent la finalité, le fonctionnement et la source de données traités par l’intelligence artificielle. Le droit à la transparence est étroitement lié au droit des personnes concernées de s’opposer à un traitement automatisé de données ou d’exiger que des décisions individuelles automatisées soient contrôlées par un être humain - tel que prévu expressément par la LPD. Dans le cas d’un modèle intelligent de langage qui communiquerait directement avec un utilisateur, ce dernier a le droit de savoir s’il parle ou écrit à une machine et si les données qu’il a entré dans le système sont traitées ultérieurement pour améliorer les programmes d’auto-apprentissage de la machine ou à d’autres fins. De même, l’utilisation de programmes permettant la falsification de visages, d’images ou de messages vocaux de personnes identifiables doit être clairement reconnaissable et identifiable – pour autant que, dans le cas concret, cette utilisation ne s’avère pas totalement illicite en raison d’interdictions pénales.

Les traitements de données basés sur l'IA comportant des risques élevés sont, sur le principe, autorisés, mais nécessitent des mesures appropriées pour protéger les personnes potentiellement concernées. Pour cette raison, la loi exige une analyse d’impact relative à la protection de données en cas de risques élevés.  En revanche, les applications visant l’érosion de la sphère privée et de l’autodétermination informationnelle, telles que protégées par la LPD, sont interdites du point de vue de la protection des données. C’est par exemple le cas de traitements de données basées sur l’IA tels qu’ils sont effectués dans certains pays sous régime autoritaire, comme l’utilisation la reconnaissance faciale à grande échelle en temps réel ou la surveillance globale et l’évaluation du mode de vie des individus, autrement dit le « crédit social ».