ChatGPT
Claude
Perplexity
Gemini
GrokPourquoi la conformité à la nLPD d'un chatbot est un critère d'achat non négociable
La Suisse n'est pas membre de l'Union européenne — et pourtant, les hautes écoles spécialisées (HES), les universités cantonales, l'EPFL et l'ETHZ font face à un double cadre réglementaire que beaucoup de responsables de formation sous-estiment. La nouvelle Loi fédérale sur la protection des données (nLPD), entrée en vigueur le 1er septembre 2023, s'applique à tout traitement de données personnelles en Suisse. Et parce que la Suisse dispose d'une décision d'adéquation de l'Union européenne, les établissements accueillant des étudiants de l'EEE se retrouvent aussi exposés au RGPD pour les traitements concernant ces personnes.
Ce double cadre change fondamentalement la façon d'évaluer un fournisseur de chatbot. Un outil « conforme RGPD » ne l'est pas automatiquement à la nLPD — et inversement. Le Préposé fédéral à la protection des données et à la transparence (PFPDT), basé à Berne, dispose de pouvoirs de recommandation et de signalement aux tribunaux cantonaux, et peut ouvrir des enquêtes de sa propre initiative. Les manquements peuvent entraîner des sanctions pénales allant jusqu'à 250 000 CHF pour les personnes physiques responsables.
L'enjeu opérationnel est concret. Un agent conversationnel répond en 3 secondes, 24h/24 et 7j/7, contre 47 heures en moyenne par courriel (Source : Audit mystery shopping Skolbot, 2025, 80 établissements FR). Pour une HES romande qui gère le recrutement d'étudiants internationaux, la conformité nLPD est la condition qui transforme cet avantage compétitif en atout durable — sans risque réglementaire.
Pour le cadre réglementaire complet de la nLPD appliqué aux établissements suisses, consultez notre guide de protection des données pour hautes écoles suisses.
Les 8 critères techniques nLPD à exiger de tout fournisseur de chatbot
Sous la nLPD, votre établissement est le responsable du traitement. Le fournisseur de chatbot est un sous-traitant (article 9 nLPD). Ses manquements peuvent engager votre responsabilité si vous n'avez pas pris les mesures contractuelles et techniques adéquates pour vous assurer de la conformité. Ces 8 critères constituent la liste minimale à vérifier avant signature.
1. Hébergement des données en Suisse ou dans un pays à protection adéquat
La nLPD encadre strictement les communications de données personnelles à l'étranger (article 16 nLPD). Les données ne peuvent être transférées que vers des pays reconnus par le Conseil fédéral comme offrant une protection adéquate. L'Union européenne figure sur cette liste — ce qui facilite les échanges avec des fournisseurs hébergés en Allemagne, en France ou aux Pays-Bas. Les États-Unis ne bénéficient pas d'une décision d'adéquation globale au sens de la nLPD : les transferts nécessitent des clauses contractuelles de protection des données ou d'autres garanties appropriées. Exigez contractuellement la localisation précise des serveurs de production et de sauvegarde.
2. Contrat de sous-traitance conforme à la nLPD
L'article 9 de la nLPD impose de régler la sous-traitance par contrat, en s'assurant que le sous-traitant ne traite les données qu'aux fins convenues et prend les mesures de sécurité nécessaires. Ce contrat doit couvrir : l'objet et la durée du traitement, la nature des données, les obligations de sécurité, les conditions de sous-traitance ultérieure, et les droits de contrôle du responsable du traitement. Un fournisseur sans modèle de contrat adapté à la nLPD (distinct du DPA RGPD européen) n'a pas fait de la conformité helvétique une priorité.
3. Chiffrement bout-en-bout
L'article 8 de la nLPD impose des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Pour un chatbot traitant des données personnelles de candidats à vos programmes de Bachelor, Master ou de formation continue, le chiffrement en transit (TLS 1.3) et au repos (AES-256) est le standard minimal attendu par le PFPDT en 2026. Demandez les certifications disponibles : ISO 27001 est reconnue par le PFPDT comme indicateur d'une politique de sécurité formalisée.
4. Gestion des consentements intégrée
La nLPD valorise le consentement volontaire, mais elle reconnaît d'autres bases légales : l'intérêt prépondérant ou une obligation légale peuvent justifier un traitement sans consentement explicite. Pour un chatbot de recrutement, la collecte du courriel ou du numéro de téléphone d'un candidat à l'EPFL ou à une HES d'ingénierie doit reposer sur un mécanisme de consentement actif ou sur une base contractuelle clairement documentée. Vérifiez que le fournisseur permet de configurer les bases légales par type de données et de conserver les preuves de consentement de façon horodatée.
5. Durées de conservation configurables
La nLPD reprend le principe de conservation limitée : les données personnelles doivent être supprimées ou anonymisées dès que les fins du traitement sont atteintes. Pour un agent conversationnel de recrutement, cela se traduit par des durées différenciées : logs de conversation anonymisés (maximum 12 mois), données de candidats identifiés (3 ans après le dernier contact), données de candidatures formelles (selon les obligations légales cantonales en matière d'archivage). La purge doit être automatisée et documentée dans votre registre des traitements.
6. Droit à l'effacement opérationnel
La nLPD reconnaît le droit à la suppression des données personnelles (article 32). Pour les universités cantonales et les HES romandes gérant plusieurs centaines de candidatures par semestre, la suppression sur demande doit être opérationnelle en cascade sur tous les systèmes : agent conversationnel, CRM, outil de courriel marketing, sauvegardes balisées. Demandez une procédure documentée avec délai de traitement garanti et liste exhaustive des systèmes concernés.
7. Transparence IA : déclaration automatique au candidat
La nLPD n'impose pas explicitement de déclarer la nature IA d'un agent conversationnel — mais le principe de transparence de l'article 19 nLPD (information lors de la collecte) et les recommandations du PFPDT vont dans ce sens. De plus, pour les HES et universités accueillant des étudiants de l'UE/EEE, l'IA Act européen (article 52) impose cette mention pour les personnes concernées résidant dans l'Union. Un message d'accueil mentionnant la nature IA de votre agent satisfait simultanément les deux cadres et renforce la confiance des candidats suisses et européens.
8. Journaux d'audit complets
En cas d'enquête du PFPDT ou de demande d'accès d'un candidat à ses données (article 25 nLPD), votre établissement doit pouvoir démontrer la conformité de chaque traitement. Les journaux d'audit doivent tracer : collectes de données avec horodatage et base légale, consentements obtenus, demandes d'exercice de droits et leurs traitements, communications de données à des tiers. Ces journaux doivent être exportables, intègres (non modifiables), et conservés au minimum 3 ans.
Tableau de comparaison : les critères à valider chez votre fournisseur
| Critère | Niveau requis | Questions à poser au fournisseur |
|---|---|---|
| Hébergement des données | Suisse ou pays à protection adéquate (liste Conseil fédéral), documenté contractuellement | « Où vos serveurs sont-ils localisés ? La Suisse figure-t-elle dans les options contractuelles ? » |
| Contrat de sous-traitance (nLPD) | Conforme article 9 nLPD, distinct du DPA RGPD européen si pertinent | « Disposez-vous d'un modèle de contrat adapté à la nLPD suisse ? » |
| Chiffrement en transit | TLS 1.3 minimum sur tous les endpoints | « Votre infrastructure est-elle certifiée ISO 27001 ou équivalent ? » |
| Chiffrement au repos | AES-256 sur bases de données et sauvegardes | « Vos sauvegardes sont-elles chiffrées ? Avec quel algorithme ? » |
| Consentement / bases légales | Configurable par type de données, horodaté, exportable | « Peut-on configurer différentes bases légales par catégorie de données ? » |
| Durées de conservation | Configurables, purge automatisée et documentée | « La destruction automatique est-elle native ? Comment est-elle journalisée ? » |
| Droit à l'effacement | Cascade complète sur tous systèmes, délai documenté | « Quels systèmes sont couverts ? Quel délai de traitement garantissez-vous ? » |
| Transparence IA | Mention automatique dans le message d'accueil | « La déclaration de nature IA est-elle automatique ou nécessite-t-elle une configuration ? » |
| Journaux d'audit | Horodatés, intègres, exportables, 3 ans de conservation | « Vos journaux sont-ils exportables ? Quelle est la durée de conservation ? » |
| Sous-traitants ultérieurs | Liste disponible, protection adéquate documentée | « Quels sous-traitants ultérieurs traitent les données ? Leurs pays figurent-ils sur la liste d'adéquation suisse ? » |
Ce que doit contenir votre contrat de sous-traitance : 5 clauses essentielles
En Suisse, le contrat de sous-traitance nLPD est l'instrument central de votre conformité. Ces 5 clauses sont non négociables pour les HES et universités cantonales.
Clause 1 — Finalités strictement définies et exclusivité d'usage. Le contrat doit énumérer les traitements autorisés et interdire explicitement toute utilisation des données par le fournisseur à ses propres fins — notamment pour l'entraînement de modèles d'IA. Dans un contexte académique suisse sensible à la souveraineté des données (voir les discussions au niveau de swissuniversities), cette clause est aussi un signal de professionnalisme vis-à-vis de vos organes de gouvernance.
Clause 2 — Localisation contractuellement garantie avec notification préalable. Le contrat doit nommer précisément les pays et datacenters où les données sont traitées et stockées, et imposer une notification préalable de 30 jours minimum avant tout changement. Pour les transferts vers des pays non reconnus par le Conseil fédéral comme adéquats, la clause doit inclure les mesures contractuelles de protection des données (équivalentes aux CCT européennes).
Clause 3 — Notification d'incident dans les 72 heures. La nLPD impose de notifier le PFPDT sans délai injustifié en cas de violation de la sécurité des données susceptible d'entraîner un risque élevé pour les droits des personnes. Pour respecter ce délai, votre fournisseur doit s'engager à vous alerter dans les 24 heures suivant sa propre découverte. La clause doit définir ce qui constitue un incident, les canaux de communication, et le contenu minimal du rapport d'incident.
Clause 4 — Droit d'audit et de contrôle. Vous devez pouvoir vérifier que votre fournisseur respecte ses obligations contractuelles, soit par un audit direct, soit par la production de certifications à jour. Le PFPDT s'attend à ce que les responsables de traitement exercent un contrôle effectif — pas uniquement formel — sur leurs sous-traitants.
Clause 5 — Restitution et destruction des données à la résiliation. À la fin du contrat, restitution de toutes les données dans un format interopérable (CSV, JSON) et destruction certifiée par écrit de toutes les copies du fournisseur — production comprise et sauvegardes — dans un délai de 30 jours. Pour les HES membres de swissuniversities qui gèrent des données sensibles de candidats internationaux, cette clause protège aussi contre le risque de fuite de données vers un concurrent ou un successeur du fournisseur.
Rappelons que 72 % des questions posées aux chatbots de hautes écoles sont automatisables (Source : Classification automatique sur 12 000 conversations Skolbot, 2025). À ce volume, la conformité nLPD doit être architecturale — intégrée dans les systèmes du fournisseur — et non une couche administrative ajoutée en post-déploiement.
Pour la checklist complète de conformité applicable à votre établissement, consultez notre audit de conformité données pour hautes écoles.
Signaux d'alerte : 5 red flags chez un fournisseur de chatbot
Ces signaux doivent vous alerter avant de vous engager avec un fournisseur.
-
Pas de contrat de sous-traitance adapté à la nLPD suisse. Un fournisseur qui ne connaît pas la nLPD ou qui propose uniquement un « DPA RGPD européen » sans tenir compte des spécificités suisses (article 16 nLPD sur les transferts, article 9 sur la sous-traitance) ne maîtrise pas le cadre juridique applicable à vos candidats résidant en Suisse.
-
Hébergement aux États-Unis sans garanties documentées. Les États-Unis ne figurent pas sur la liste des pays reconnus adéquats par le Conseil fédéral pour la nLPD. Un fournisseur qui affirme que son hébergement américain est « conforme par défaut » vous expose à un transfert non conforme à l'article 16 nLPD pour chaque conversation de chatbot.
-
Modèle de langage hébergé hors pays adéquats sans mesures contractuelles. De nombreux agents conversationnels utilisent des API OpenAI, Anthropic ou Google (serveurs aux États-Unis). Sans clauses contractuelles de protection des données équivalentes aux CCT européennes, chaque appel à ces API pour traiter des données de candidats suisses est potentiellement non conforme à la nLPD.
-
Double conformité RGPD/nLPD non gérée. Pour les HES romandes et universités cantonales accueillant des étudiants de l'UE (France, Allemagne, Italie), les données de ces étudiants sont soumises au RGPD en plus de la nLPD. Un fournisseur qui ne propose qu'un seul cadre de conformité vous laisse gérer seul l'articulation des deux réglementations — et leurs points de divergence.
-
Aucune mention du PFPDT dans la documentation de conformité. Un fournisseur sérieux pour le marché suisse connaît le rôle du PFPDT, ses recommandations publiées, et les différences entre nLPD et RGPD. L'absence totale de référence au PFPDT dans la documentation de conformité signale généralement un copier-coller de documentation RGPD sans adaptation au droit suisse.
Pour comparer les solutions disponibles pour les établissements d'enseignement supérieur suisses romands, consultez notre comparatif chatbots IA pour écoles.
FAQ
Un chatbot hébergé en France ou en Allemagne est-il conforme à la nLPD en Suisse ?
Oui. L'Union européenne figure sur la liste du Conseil fédéral des pays reconnus comme offrant une protection adéquate des données. Un fournisseur hébergeant ses données en France, en Allemagne, aux Pays-Bas ou en Irlande est donc en conformité avec l'article 16 nLPD sur les transferts à l'étranger — à condition que le contrat de sous-traitance soit conforme à l'article 9 nLPD. C'est d'ailleurs la raison pour laquelle plusieurs fournisseurs suisses et européens privilégient des datacenters en Allemagne ou aux Pays-Bas pour servir simultanément les marchés suisse et européen.
Que doit mentionner l'analyse d'impact (équivalent AIPD) pour un chatbot de recrutement en Suisse ?
La nLPD prévoit l'analyse d'impact relative à la protection des données (article 22 nLPD) pour les traitements susceptibles d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes. Pour un chatbot de recrutement, cette analyse doit documenter : la description technique du traitement (architecture, données collectées, modèle IA utilisé), l'évaluation de la nécessité et de la proportionnalité, les risques identifiés (profilage, transfert hors pays adéquats), et les mesures d'atténuation. Si un risque résiduel élevé subsiste, le PFPDT doit être consulté préalablement. Notre article sur la collecte de données par chatbot détaille les critères déclencheurs dans le contexte suisse.
Le chatbot doit-il afficher un avis de confidentialité dès l'ouverture en Suisse ?
Oui. L'article 19 de la nLPD impose d'informer les personnes concernées lors de la collecte de données personnelles : identité et coordonnées du responsable du traitement, finalités du traitement, et destinataires éventuels. Pour un agent conversationnel, ce message d'accueil doit s'afficher automatiquement avant la première interaction. Pour les établissements accueillant des étudiants de l'UE, ajoutez la mention de nature IA (IA Act européen, article 52) : un seul message peut couvrir les deux obligations simultanément.
Quelle est la durée de conservation recommandée des transcripts en Suisse ?
La nLPD impose de supprimer ou anonymiser les données dès que les fins du traitement sont atteintes. Pour un chatbot de recrutement, les pratiques alignées avec les recommandations du PFPDT sont : logs de conversation anonymisés — jusqu'à 12 mois pour l'amélioration du service ; données de candidats identifiés — 3 ans après le dernier contact actif ; données de candidatures formelles — selon les exigences légales cantonales en matière d'archivage (variables selon les cantons). Pour les universités cantonales soumises à des lois cantonales sur l'archivage, vérifiez les durées minimales légales de conservation des dossiers d'admission.
En cas de violation de données, quel est le délai de notification au PFPDT ?
La nLPD (article 24) impose une notification au PFPDT « dans les meilleurs délais » dès qu'une violation de la sécurité des données est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux des personnes. Le PFPDT considère que « dans les meilleurs délais » correspond en pratique à 72 heures — aligné sur la norme RGPD européenne. Si le risque pour les personnes concernées est élevé, celles-ci doivent également être notifiées. Un contrat de sous-traitance bien rédigé doit imposer à votre fournisseur de vous alerter dans les 24 heures, pour vous laisser le temps d'évaluer le risque et de préparer votre notification au PFPDT.
La conformité à la nLPD est pour les hautes écoles et universités suisses un enjeu de gouvernance institutionnelle autant que de conformité juridique. Dans un pays où la confiance dans la protection des données est une valeur culturelle forte, un incident de sécurité mal géré peut fragiliser durablement l'image d'un établissement auprès de ses futurs étudiants, de ses partenaires académiques internationaux, et des organismes d'accréditation comme l'AAQ ou swissuniversities. Les +62 % de leads qualifiés et les -38 % de coût par lead mesurés sur les établissements déployant Skolbot (Source : Résultats médians sur 18 écoles, période 2024-2025) se construisent sur cette confiance — technique, juridique, et institutionnelle.
Demandez une démo personnalisée
