ChatGPT
Claude
Perplexity
Gemini
GrokDouble cadre réglementaire : nLPD pour les candidats suisses, AI Act pour les candidats UE
La Suisse n'est pas membre de l'Union européenne. Le Règlement (UE) 2024/1689 sur l'intelligence artificielle — l'AI Act — ne s'applique pas directement aux établissements helvétiques en vertu du droit suisse. Mais cette affirmation appelle deux nuances majeures.
Première nuance : la portée extraterritoriale de l'AI Act. L'article 2 du règlement prévoit qu'il s'applique à tout système d'IA dont les sorties sont utilisées dans l'UE, quel que soit le lieu d'établissement du fournisseur ou du déployeur. Une HES, une université cantonale ou une école privée romande qui utilise un outil de scoring pour traiter des candidatures de personnes résidant en France, en Belgagne ou en Allemagne est soumise à l'AI Act pour cet usage précis.
Deuxième nuance : la nLPD crée des obligations analogues sur le territoire suisse. La nouvelle Loi fédérale sur la protection des données (nLPD, RS 235.1), en vigueur depuis le 1er septembre 2023, encadre les traitements automatisés ayant des effets significatifs sur des personnes résidant en Suisse. L'autorité compétente est le PFPDT (Préposé fédéral à la protection des données et à la transparence), qui a identifié l'IA en contexte éducatif comme une thématique de vigilance prioritaire.
Le résultat pratique pour les établissements suisses : un double cadre à gérer, dont les obligations sont souvent convergentes mais pas identiques. Ce guide détaille les deux cadres et fournit la grille de classification applicable à vos outils IA.
La nLPD : les obligations qui s'appliquent à tous les établissements suisses
La nLPD représente une modernisation majeure du droit suisse de la protection des données, alignée sur le RGPD mais avec des spécificités helvétiques. Quatre dispositions sont directement pertinentes pour les usages IA dans l'enseignement supérieur.
Article 21 : décisions automatisées
L'article 21 de la nLPD impose une obligation d'information spécifique pour toute décision automatisée produisant un effet juridique ou significatif sur une personne. La personne concernée doit être informée de la décision, disposer d'un droit à demander un contrôle humain de la décision, et pouvoir exprimer son point de vue.
Dans un contexte d'admission, cela couvre tout système d'IA qui produit une décision ou un score utilisé dans le processus de sélection. Le non-respect de l'art. 21 nLPD est une infraction pénale pouvant exposer le responsable à une amende jusqu'à CHF 250 000 (art. 60 nLPD). Ce n'est pas une amende administrative : c'est une responsabilité personnelle des dirigeants et responsables concernés.
Article 22 : analyse d'impact (AIPRP)
Pour tout traitement de données susceptible d'engendrer un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, une analyse d'impact relative à la protection des données (AIPRP, équivalent suisse de l'AIPD) est obligatoire. Les systèmes d'IA traitant des données de candidats à l'admission déclenchent généralement cette obligation.
Article 6 : principes de minimisation et de transparence
Les données personnelles collectées par des systèmes d'IA doivent être adéquates et limitées à ce qui est nécessaire à la finalité déclarée. Toute collecte de données au-delà de cette finalité est illicite, y compris dans un contexte de personnalisation des parcours de recrutement.
Transferts de données hors de Suisse
La nLPD encadre strictement les transferts de données personnelles vers des pays tiers. Pour les établissements utilisant des outils d'IA hébergés aux États-Unis ou dans d'autres pays hors EEE, les mécanismes de transfert (clauses contractuelles types adaptées au droit suisse, décisions d'adéquation du PFPDT) doivent être en place. Ce point est particulièrement critique pour les outils SaaS de scoring ou de chatbot hébergés hors de Suisse.
L'AI Act : quand s'applique-t-il à un établissement suisse ?
Pour un établissement suisse, l'AI Act s'applique lorsque ses sorties affectent des personnes résidant dans l'UE. Voici les cas d'usage typiques qui déclenchent cette application.
Recrutement actif dans des pays de l'UE : une HES romande qui utilise un outil de scoring pour présélectionner des candidats résidant en France ou en Belgique est soumise à l'AI Act pour cet usage. L'EPFL ou l'ETHZ, qui recrutent massivement dans toute l'UE, ont des processus d'admission qui tombent dans le champ de l'AI Act pour leurs candidats européens.
Partenariats de formation avec des institutions UE : les programmes en double diplôme ou les parcours d'échange gérés via des plateformes d'IA peuvent impliquer des données de personnes résidant dans l'UE.
Outils fournis par des prestataires UE : si le fournisseur de l'outil est établi dans l'UE et que l'outil est à haut risque selon l'AI Act, les obligations du règlement s'appliquent dans la relation contractuelle, indépendamment du lieu de l'établissement utilisateur.
Tableau comparatif : nLPD vs AI Act pour les établissements suisses
| Critère | nLPD (Suisse, en vigueur) | EU AI Act (UE, portée extraterritoriale) |
|---|---|---|
| Champ d'application | Traitements de données de personnes en Suisse | Systèmes d'IA dont les sorties affectent des personnes dans l'UE |
| Classification des risques IA | Pas de classification formelle — AIPRP pour traitements à risque élevé | 4 niveaux : inacceptable / haut / limité / minimal |
| Décision automatisée | Art. 21 : information + droit au contrôle humain, sanction pénale CHF 250 000 | Art. 29 : contrôle humain obligatoire pour systèmes haut risque |
| Analyse d'impact | AIPRP obligatoire (art. 22) si risque élevé | AIPD (art. 35 RGPD) + documentation haut risque (art. 9-13 AI Act) |
| Transparence IA | Principe général de transparence (art. 6) | Art. 50 : identification obligatoire pour chatbots |
| Sanctions | Amende pénale jusqu'à CHF 250 000 (responsabilité personnelle) | Jusqu'à 35 M€ ou 7 % du CA mondial (amende administrative) |
| Autorité de contrôle | PFPDT | Autorité nationale IA désignée dans chaque État membre UE |
| Rôle obligatoire | Conseiller à la protection des données (optionnel mais recommandé) | DPO pour déployeurs à haut risque (si RGPD applicable simultanément) |
Classification des outils IA : grille pratique pour un établissement suisse
| Outil IA | Obligations nLPD (candidats suisses) | Obligations AI Act (candidats UE) | Priorité d'action |
|---|---|---|---|
| Chatbot d'admissions / information | Transparence, minimisation des données | Identification IA (art. 50) | Immédiate — risque en vigueur |
| Scoring / présélection de candidatures | Art. 21 + AIPRP obligatoire | Haut risque — documentation complète, contrôle humain | Avant août 2026 pour candidats UE |
| Proctoring IA (examens à distance) | AIPRP + information des étudiants | Haut risque si candidats UE | Avant août 2026 |
| Détection de plagiat (impact sur notes) | Art. 21 si impact significatif | Haut risque si étudiants UE | Avant août 2026 |
| Recommandation de filière / programme | Art. 21 si décision significative | Haut risque si accès à programme UE | Selon usage |
| Génération de contenus pédagogiques | Minimisation des données | Identification si présentés comme humains | Vérification en cours |
| Profilage comportemental pour admission | AIPRP + art. 21 impératif | Interdit si candidats UE | Révision urgente |
Obligations pratiques par type d'outil
Chatbot d'admissions : ce que la nLPD impose
La nLPD n'impose pas d'obligation d'identification automatique au même titre que l'article 50 de l'AI Act. Cependant, le principe de transparence (art. 6 nLPD) et les recommandations du PFPDT convergent vers la même pratique : identifier clairement le caractère automatisé des interactions.
72 % des questions prospects sont automatisables par FAQ, 7 % seulement nécessitent une intervention humaine (Source : Classification automatique sur 12 000 conversations Skolbot, 2025). Cette distribution illustre l'intérêt de combiner un chatbot IA pour les questions courantes et une escalade humaine bien visible pour les situations complexes — ce qui est à la fois efficace et conforme aux principes de la nLPD.
Pour les candidats résidant dans l'UE, l'obligation d'identification de l'article 50 de l'AI Act s'applique. En pratique, la solution la plus simple est d'appliquer la même transparence à tous les utilisateurs, sans distinction de résidence.
Outils de scoring d'admission : les obligations les plus critiques
Pour les systèmes qui produisent un score ou une recommandation d'admission utilisée dans la décision finale :
Sous la nLPD : l'article 21 exige d'informer les candidats suisses de l'existence d'une décision automatisée les concernant, de leur fournir une explication des critères utilisés, et de leur permettre de demander un contrôle humain. Cette obligation s'applique avant la fin du processus d'admission, pas seulement en cas de contestation.
Sous l'AI Act (pour candidats UE) : les obligations du haut risque s'ajoutent — documentation technique, gestion des risques, journalisation, contrôle humain systématique et enregistrement dans la base de données européenne.
L'AAQ (Agence suisse d'accréditation et d'assurance qualité) exige dans ses standards d'accréditation institutionnelle des processus d'admission transparents et équitables. Un système d'admission automatisé produisant des résultats discriminatoires non documentés peut compromettre l'accréditation de l'établissement, indépendamment des sanctions réglementaires.
Roadmap de conformité pour un établissement suisse : 10 semaines
Semaines 1-2 : cartographie et classification Inventoriez tous les outils IA. Pour chaque outil, identifiez : traite-t-il des données de candidats ou étudiants suisses (nLPD) ? Des candidats UE (AI Act potentiel) ? Quelle décision influence-t-il ?
Semaines 3-4 : AIPRP pour les outils à risque élevé Pour chaque outil traitant des données à risque élevé — scoring d'admission, proctoring, détection de plagiat — lancez l'AIPRP si elle n'a pas été réalisée. Consultez le guide méthodologique du PFPDT.
Semaines 5-6 : conformité article 21 nLPD Pour chaque outil produisant des décisions automatisées, vérifiez que le processus d'information des candidats est en place. Documentez les critères utilisés par chaque algorithme pour pouvoir les expliquer en cas de demande.
Semaines 7-8 : conformité AI Act pour les candidats UE Si votre établissement recrute activement dans l'UE via des outils d'IA, évaluez si les obligations du haut risque s'appliquent. Exigez de vos fournisseurs d'outils une déclaration de conformité AI Act et la documentation technique associée.
Semaines 9-10 : transparence chatbot et documentation Ajoutez l'identification IA dans l'interface du chatbot. Formez les équipes admissions sur leurs obligations nLPD et, le cas échéant, AI Act. Documentez l'ensemble dans un registre de traitements mis à jour.
Pour approfondir les biais dans les outils IA de sélection — une préoccupation centrale de l'art. 21 nLPD et du haut risque AI Act — consultez notre article sur les biais IA dans le recrutement étudiant. Sur le droit d'effacement applicable aux prospects, notre article sur le droit d'effacement RGPD offre un parallèle pertinent avec les droits prévus par la nLPD. Le cadre général de la protection des données étudiantes est traité dans notre guide RGPD dédié.
FAQ
La nLPD suisse est-elle équivalente au RGPD ?
La nLPD s'inspire largement du RGPD et vise à maintenir l'adéquation de la Suisse avec les standards européens (décision d'adéquation de la Commission européenne, maintenue après la révision de 2023). Les principes clés sont similaires — transparence, minimisation, droits des personnes — mais les mécanismes diffèrent. Les sanctions sont pénales (et non administratives comme dans le RGPD), l'obligation d'AIPRP est plus restreinte, et il n'existe pas d'obligation de désigner un DPO au sens strict. Une conformité RGPD facilitera la conformité nLPD, mais ne la garantit pas.
swissuniversities a-t-elle publié des recommandations sur l'AI Act ?
À la date de mai 2026, swissuniversities n'a pas publié de recommandations spécifiques sur l'application de l'AI Act aux universités suisses. Le groupe de travail « Droit et données » de swissuniversities travaille sur des lignes directrices relatives à l'IA dans l'enseignement supérieur, mais sans calendrier public annoncé. Les établissements ne doivent pas attendre ces recommandations pour auditer leurs outils IA.
Un outil de proctoring utilisé pour des examens à distance doit-il faire l'objet d'une AIPRP ?
Oui. Un système de surveillance par IA analysant le comportement, les mouvements oculaires ou l'environnement d'un étudiant pour détecter une triche potentielle constitue un traitement à risque élevé au sens de la nLPD — il traite des données biométriques de facto et produit un résultat pouvant avoir un impact significatif sur la personne. L'AIPRP est obligatoire avant le déploiement. Pour les étudiants UE, le système est à haut risque au sens de l'AI Act et les obligations correspondantes s'ajoutent.
Notre école utilise ChatGPT pour générer des descriptions de formations. Est-ce encadré par la nLPD ?
Uniquement si des données personnelles sont intégrées dans les prompts ou les sorties. La génération de descriptions génériques de formations sans données personnelles n'est pas encadrée par la nLPD. Si des données de candidats (profils, historiques de conversation) sont utilisées pour personnaliser les contenus, les principes de minimisation et de transparence de la nLPD s'appliquent. Dans ce dernier cas, une AIPRP simplifiée et une mise à jour de la politique de confidentialité sont recommandées.
Une HES privée romande est-elle soumise aux mêmes obligations qu'une université cantonale ?
Les obligations nLPD s'appliquent à toutes les organisations traitant des données personnelles en Suisse, qu'elles soient privées ou publiques cantonales. Les universités cantonales et les HES publiques peuvent être soumises à des lois cantonales de protection des données en complément de la nLPD — les cantons ont leur propre législation pour les organes publics cantonaux. Pour les HES privées, la nLPD est le cadre exclusif.
Cet article a une visée informative générale. Il ne constitue pas un avis juridique. Pour toute décision relative à vos obligations spécifiques au titre de la nLPD ou de l'AI Act, consultez un juriste spécialisé ou le PFPDT.
Testez Skolbot sur votre école en 30 secondes
