Responsabilité personnelle par individu
Sous la LPD suisse, les sanctions visent la personne physique responsable — pas l'entreprise. Il s'agit d'une sanction pénale, pas d'une amende administrative.
Si vous utilisez un outil d'IA hébergé aux États-Unis pour rédiger des documents de mandats, vous êtes peut-être déjà en infraction — et pas seulement au regard du RGPD. Les cabinets suisses et allemands déployant des outils d'IA font face à des obligations documentaires croisées issues de deux régimes distincts. Comprendre lequel s'applique à votre cabinet, et ce que chacun exige, est le point de départ de toute posture de conformité défendable.
Deux régimes, pas un seul
Pour les cabinets suisses, la clarification la plus importante : la loi fédérale suisse sur la protection des données (LPD révisée, nLPD) n'est pas le RGPD. Les cabinets suisses exerçant en Suisse sont soumis à la LPD révisée, en vigueur depuis le 1er septembre 2023. Le RGPD ne s'applique en sus que si le cabinet traite des données de personnes résidant dans l'UE — ce qui est souvent le cas pour les cabinets des cantons frontaliers comme Bâle-Ville, Zurich ou Genève ayant des clients allemands ou français.
Les différences pratiques sont importantes :
- Sanctions LPD : Elles frappent la personne physique responsable, pas l'entreprise — jusqu'à CHF 250 000 par personne. Les amendes RGPD visent l'organisation.
- "Profilage à risque élevé" (LPD, art. 5 let. g) : Concept propre à la LPD sans équivalent direct dans le RGPD. Il couvre tout traitement automatisé permettant d'évaluer des aspects essentiels de la personnalité — pertinent pour tout outil d'IA effectuant des évaluations, notations ou catégorisations de clients ou d'employés.
- Seuil AIPD : La LPD exige une analyse d'impact relative à la protection des données lorsqu'un traitement IA présente un "risque élevé" pour les droits de la personnalité (art. 22 LPD). Le critère diffère du test RGPD.
Les cabinets allemands relèvent directement du RGPD et, une fois applicable, de la Loi IA de l'UE.
L'exemption PME qui ne s'applique probablement pas
L'article 30(5) RGPD dispense en principe les organisations de moins de 250 employés de tenir un registre complet des activités de traitement (RoPA). La plupart des cabinets de 5 à 30 avocats sont en dessous de ce seuil. L'exemption paraît utile. Elle ne s'applique presque jamais en pratique.
L'exemption ne joue pas lorsque le traitement est susceptible d'engendrer un risque pour les droits des personnes concernées, n'est pas occasionnel, ou porte sur des données sensibles (art. 9 RGPD). Les données de mandats sont par définition sensibles — elles peuvent inclure des données de santé, des informations familiales, des casiers judiciaires ou des données financières. Le traitement n'est pas occasionnel — c'est le coeur de métier du cabinet. Tout cabinet utilisant des outils d'IA pour des dossiers de mandats doit tenir un RoPA, quelle que soit sa taille.
Sous la LPD révisée, l'obligation est encore plus large : il n'existe pas d'exemption PME comparable pour les traitements de données sensibles.
Le registre des activités de traitement — Ce que doit contenir chaque entrée pour un outil d'IA
Pour un cabinet sans délégué à la protection des données (DPD), l'associé directeur est le responsable de facto de la protection des données et le propriétaire de cette documentation.
Une entrée complète pour un outil d'IA juridique doit contenir :
- Activité de traitement et nom de l'outil — ex. : "Analyse et révision de contrats via la plateforme IA [Fournisseur]"
- Finalité — spécifique. "Services juridiques" ne suffit pas. Documenter : rédaction de contrats, révision de documents contentieux, accueil des mandants, planification du personnel
- Base juridique — sous le RGPD art. 6, généralement exécution d'un contrat (art. 6(1)(b)) ou intérêts légitimes (art. 6(1)(f)) ; pour les données sensibles, une base supplémentaire au titre de l'art. 9 RGPD ou de l'art. 31 LPD est requise
- Catégories de personnes concernées et de données — types, pas chaque champ : mandants, parties adverses, témoins, employés
- Destinataires — le fournisseur d'IA et ses sous-traitants ultérieurs doivent y figurer
- Transferts vers des pays tiers — localisation des données et mécanisme de transfert (Clauses Contractuelles Types, décision d'adéquation)
- Durée de conservation — ou critères utilisés pour la déterminer
Tenez ce registre dans un tableau simple. L'objectif n'est pas un instrument juridique parfait — c'est une trace documentée et systématique que vous pouvez produire si une autorité de contrôle vous le demande.
La clause qui compte le plus
Lorsqu'un fournisseur d'IA traite des données personnelles pour le compte du cabinet, le cabinet est le responsable du traitement et le fournisseur est le sous-traitant. Un contrat de traitement des données (DPA) est obligatoire au titre du RGPD art. 28 et de la LPD art. 9.
Pour les cabinets sans responsable de la conformité, la priorité est une seule clause : l'interdiction explicite d'utiliser les données des mandats pour entraîner le modèle. Les conditions générales standard de nombreux fournisseurs d'IA sont ambiguës sur ce point, voire se réservent le droit d'utiliser les entrées pour améliorer leurs modèles. Si un fournisseur refuse d'inclure une interdiction explicite, ne déployez pas l'outil. C'est également une exigence absolue au titre de l'art. 321 CP (secret professionnel) : les données des mandants ne peuvent être utilisées à des fins étrangères au mandat.
Autres clauses à examiner attentivement :
- Chaînes de sous-traitants : Obtenir la liste complète et exiger un préavis pour tout changement (RGPD art. 28(2)).
- Résidence des données : Pour les données de mandats particulièrement sensibles, exiger contractuellement un hébergement en UE ou en Suisse.
- Délais de notification : Le DPA doit obliger le fournisseur à notifier le cabinet dans les 24 à 48 heures après la découverte d'une violation — pour permettre au cabinet de respecter le délai de 72 heures du RGPD.
- Suppression en fin de contrat : Suppression complète de toutes les données personnelles, y compris les sauvegardes, à la résiliation du contrat.
Processus pratique pour un cabinet sans DPD
La plupart des cabinets de moins de 250 employés n'ont pas l'obligation légale de désigner un délégué à la protection des données au titre du RGPD art. 37. La LPD révisée ne prévoit pas d'obligation de désignation pour les entreprises privées. Mais quelqu'un doit assumer la protection des données. Pour la plupart des petits cabinets, c'est l'associé directeur.
Un processus minimal et défendable :
- Tenir le RoPA — une entrée par outil d'IA, mise à jour lors de tout changement.
- Examiner les DPA fournisseurs — vérifier la clause d'interdiction d'entraînement avant tout onboarding.
- Réaliser une AIPD pour tout outil effectuant du profilage ou traitant des données sensibles — deux pages structurées suffisent pour un petit cabinet : quelles données, quel risque, quelles mesures.
- Enregistrer les nouvelles demandes d'outils — deux questions de contrôle : (a) Le DPA interdit-il explicitement l'entraînement sur les données des mandats ? (b) L'hébergement est-il en UE ou en Suisse, ou existe-t-il un mécanisme de transfert adéquat ? Si une réponse est insatisfaisante, ne pas déployer.
Le principe de responsabilité n'exige pas la perfection. Il exige un effort systématique et démontrable. Les autorités de contrôle enquêtant sur un incident demanderont d'abord la documentation. Un cabinet capable de produire un RoPA à jour, ses DPA fournisseurs et une AIPD pour son outil le plus risqué est dans une position fondamentalement différente de celui qui ne le peut pas.
Besoin d'aide pour construire la documentation de protection des données de votre cabinet pour les outils d'IA ? Prenez contact pour un examen structuré.
Votre traitement de données IA est-il conforme au RGPD ?
0 questions