Un outil IA dans votre processus RH sans documentation : une violation de la nLPD qui vous attend
Un logiciel qui trie les CV, un chatbot qui répond aux candidats, un module de paie qui détecte les anomalies de pointage : chacun de ces outils traite des données personnelles sensibles et déclenche des obligations documentaires précises sous la nouvelle loi fédérale sur la protection des données (nLPD). En 2026, l'IFPDT (Préposé fédéral) a affiché clairement ses priorités de contrôle : traitements automatisés, profilage, décisions à impact individuel. Les PME de 5 à 50 employés ne sont pas exemptées.
Ce que la nLPD change concrètement pour les RH
Champ d'application : données des employés et des candidats
La nLPD couvre toutes les données de personnes physiques identifiables. En RH, cela inclut — sans être exhaustif — les données de candidature (CV, lettres, résultats de tests), les dossiers du personnel (contrat, salaire, évaluations, absences), les données de santé (certificats médicaux, données d'incapacité de travail), les données biométriques (pointage par empreinte ou reconnaissance faciale) et les profils de comportement générés par des outils analytiques. Les données de santé et les données biométriques sont des données sensibles au sens de l'art. 5 let. c nLPD : leur traitement exige une base légale explicite ou un consentement éclairé, et toute faille est sanctionnable pénalement (amende jusqu'à CHF 250 000 pour la personne physique responsable).
Profilage et décisions automatisées : les deux points chauds IA
L'art. 19 nLPD impose une information renforcée lorsqu'une décision repose uniquement sur un traitement automatisé et produit un effet juridique ou une incidence significative sur la personne concernée. Concrètement : un algorithme qui classe les candidats et exclut automatiquement les profils inférieurs à un score seuil constitue une décision automatisée au sens de la loi. L'employeur doit alors informer la personne, lui permettre de demander un réexamen par un être humain, et documenter la logique du système. Le profilage à risque élevé (art. 5 let. f nLPD) — par exemple un scoring de fidélité ou de performance basé sur l'analyse comportementale — requiert une analyse d'impact sur la protection des données (AIPD) préalable.
Registre des activités de traitement : obligatoire dès 250 employés, recommandé en dessous
L'art. 12 nLPD oblige les entreprises de 250 employés ou plus à tenir un registre des activités de traitement. En dessous de ce seuil, l'obligation ne s'applique pas automatiquement — sauf si le traitement porte sur des données sensibles ou un profilage à risque élevé. Or presque toute PME RH remplit cette exception dès qu'elle traite des certificats médicaux ou utilise un outil IA de scoring. En pratique, tenir ce registre même en dessous de 250 employés est la seule posture défendable en cas de plainte d'un ex-employé ou d'un candidat refusé.
IA RH : cartographie des outils et des risques
Tri de CV et matching de compétences
Les outils de tri automatisé (intégrés à des ATS ou proposés en SaaS) analysent le texte des CV pour établir un score de pertinence. Risques nLPD identifiés : biais algorithmique documenté (l'employeur est responsable du résultat, pas seulement du fournisseur), absence d'information aux candidats sur l'existence du système, absence de possibilité de contestation humaine. À documenter dans le registre : nom de l'outil, fournisseur et localisation des serveurs (transfert hors Suisse → art. 16-17 nLPD), logique de scoring, critères d'exclusion automatique, durée de conservation des profils rejetés.
Chatbots RH et gestion des demandes employés
Un chatbot interne qui répond aux questions sur les congés, la paie ou la mutuelle traite en continu des données personnelles liées aux demandes. S'il conserve des logs de conversation nominatifs, ces données entrent dans le champ nLPD. La politique de confidentialité interne (information des employés au sens de l'art. 19 nLPD) doit mentionner explicitement l'existence du chatbot, la durée de conservation des échanges et la possibilité ou non pour un tiers d'y accéder.
Analyse prédictive et détection d'anomalies
Certains outils de paie ou de gestion du temps intègrent désormais des modules qui signalent automatiquement des patterns inhabituels (absences récurrentes le lundi, variations de productivité, anomalies de pointage). Ces modules réalisent un profilage comportemental : ils constituent une surveillance indirecte de l'employé. L'art. 26 OLT 3 interdit les systèmes de surveillance du comportement au sens de la LTr sans accord de la délégation du personnel. La nLPD s'y superpose avec l'obligation d'AIPD si le profilage est à risque élevé. Ces deux cadres doivent être satisfaits simultanément.
IA générative dans les communications RH
L'usage d'un LLM (modèle de langage) pour rédiger des descriptions de poste, des évaluations de performance ou des lettres de référence ne déclenche pas d'obligation nLPD tant que aucune donnée personnelle nominative n'est transmise au modèle. Dès qu'un responsable RH copie-colle le nom, le poste et les évaluations de Monsieur Favre dans un prompt ChatGPT hébergé aux États-Unis, il effectue un transfert de données à l'étranger soumis aux art. 16-17 nLPD. Sans garanties adéquates (clauses contractuelles types, décision d'adéquation), ce transfert est illicite.
L'analyse d'impact (AIPD) : quand et comment la conduire
Déclencheurs obligatoires en contexte RH
Une AIPD est requise lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés. En RH, les déclencheurs typiques incluent : tout traitement automatisé de données biométriques (pointage facial), tout scoring ou ranking de candidats ou d'employés par algorithme, la surveillance systématique d'employés via des outils numériques, et le traitement à grande échelle de données de santé (même dans une PME de 20 personnes si l'ensemble du dossier médical est numérisé et croisé avec des données de performance).
Structure minimale d'une AIPD acceptable
L'Office fédéral de la justice n'a pas publié de template officiel obligatoire, mais les recommandations de l'IFPDT convergent avec le standard ISO 29134 et le cadre RGPD Art. 35 (applicable par analogie). Une AIPD minimale comprend : (1) description du traitement et de sa finalité, (2) évaluation de la nécessité et de la proportionnalité, (3) identification des risques pour les personnes concernées, (4) mesures techniques et organisationnelles pour atténuer ces risques, (5) conclusion sur l'acceptabilité résiduelle. En PME, un document de 3 à 5 pages suffit si chaque section est documentée factuellement. L'IFPDT peut demander à consulter ce document sans préavis.
Obligations vis-à-vis des employés et des candidats
Information préalable (privacy notice)
Chaque personne dont les données sont traitées doit être informée au moment de la collecte (art. 19 nLPD). Pour les employés : le règlement interne ou le contrat de travail doit lister les outils IA utilisés, leur finalité, la durée de conservation et les éventuels transferts hors Suisse. Pour les candidats : la page de dépôt de candidature ou le mail de confirmation doit contenir cette information. Une phrase générique du type «vos données sont traitées conformément à la loi» ne suffit plus.
Droit d'accès et droit de rectification
Un employé ou candidat peut demander à tout moment l'accès à ses données (art. 25 nLPD). Le délai de réponse est de 30 jours (prorogeable une fois à 90 jours avec information motivée). Si un outil IA a produit un score ou une recommandation le concernant, ce score fait partie des données accessibles. L'employeur doit être en mesure de l'extraire et de l'expliquer — ce qui suppose que le fournisseur de l'outil offre cette traçabilité. À vérifier contractuellement avant tout déploiement.
Sous-traitants et contrats de traitement des données
Tout fournisseur SaaS RH qui traite des données pour le compte de l'employeur est un sous-traitant au sens de la nLPD. Un contrat de traitement des données (data processing agreement) est obligatoire. Il doit préciser : finalité du traitement, mesures de sécurité, sous-sous-traitants éventuels, procédure en cas de violation, restitution ou destruction des données en fin de contrat. Sans ce contrat, la responsabilité de toute violation incombe intégralement à l'employeur.
Cas pratique : Fiduciaire Meylan SA, Lausanne, 18 employés
Fiduciaire Meylan SA (Lausanne, 18 collaborateurs) utilise depuis janvier 2025 un ATS avec scoring IA pour ses recrutements internes et ceux de 4 clients PME qu'elle gère en externalisation RH. En mars 2026, une candidate — Madame Cécile Rochat — reçoit un refus automatique après avoir soumis sa candidature pour un poste de collaboratrice comptable. Elle constate que sa candidature a été traitée en moins de 3 minutes et demande l'accès à ses données ainsi qu'une explication du refus.
Situation documentaire initiale de Meylan SA : aucun registre des traitements, aucun contrat signé avec l'éditeur de l'ATS, aucune mention de l'outil IA dans la page de candidature, aucune AIPD. Le responsable administratif, M. Patrick Meylan, reçoit la demande d'accès le 04.03.2026.
Procédure à suivre dans les 30 jours (délai : 03.04.2026) :
- Accusé de réception sous 5 jours (09.03.2026) : informer Mme Rochat par écrit que la demande est enregistrée, communiquer le délai de réponse.
- Extraction des données : demander à l'éditeur ATS l'export complet du profil de Mme Rochat — CV stocké, score attribué (ex. : 42/100), critères de scoring activés, logs de traitement, date de suppression prévue.
- Vérification du score : si le score résulte d'une décision automatisée exclusive (aucun humain n'a validé le refus), l'art. 19 al. 4 nLPD oblige à informer Mme Rochat de ce fait et de lui proposer un réexamen humain.
- Réponse écrite à Mme Rochat avant le 03.04.2026 : communiquer toutes les données, expliquer la logique du score, proposer la rectification si des données sont inexactes, indiquer les voies de recours (plainte à l'IFPDT).
- Actions correctives parallèles : signer le DPA avec l'éditeur ATS, créer le registre des traitements (entrée pour l'ATS : finalité = recrutement, base légale = intérêt légitime, données sensibles = non, durée = 6 mois post-refus, transfert = Irlande, garanties = clauses contractuelles types UE), rédiger une AIPD sommaire pour le scoring automatisé, mettre à jour la page de candidature avec une information nLPD claire.
Coût d'une non-conformité persistante : si Mme Rochat dépose plainte à l'IFPDT et que celui-ci constate l'absence de DPA, l'absence d'information préalable et le traitement automatisé non documenté, M. Meylan (personne physique responsable) encourt une amende pouvant aller jusqu'à CHF 250 000. La réputation de la fiduciaire vis-à-vis de ses clients PME est également exposée.
Récapitulatif opérationnel
- Cartographier tous les outils IA RH en usage (ATS, chatbot, analyse de pointage, outils de paie avec modules prédictifs) et les faire figurer dans le registre des activités de traitement — même si vous avez moins de 250 employés, dès qu'il y a des données sensibles ou du profilage.
- Signer un DPA (contrat de traitement des données) avec chaque fournisseur SaaS avant tout déploiement ou renouvellement de contrat. Vérifier la localisation des serveurs et les garanties pour les transferts hors Suisse.
- Mettre à jour les privacy notices : page de candidature, règlement interne ou annexe au contrat de travail — mentionner explicitement chaque outil IA, sa finalité, les droits des personnes concernées.
- Conduire une AIPD pour tout scoring automatisé de candidats ou d'employés, toute biométrie, tout profilage comportemental. Conserver le document et le mettre à jour à chaque évolution du système.
- Instaurer une procédure de réponse aux demandes d'accès : désigner un responsable, s'assurer que chaque outil permet l'extraction des données d'une personne physique en moins de 15 jours ouvrables, respecter le délai légal de 30 jours.
- Vérifier que tout score ou recommandation IA peut faire l'objet d'un réexamen humain avant de produire un effet juridique (refus, licenciement, non-renouvellement). Si ce n'est pas le cas techniquement, revoir le processus.
- Former les responsables RH et les dirigeants sur les deux déclencheurs clés : données sensibles et profilage à risque élevé. Une demi-journée par an suffit à maintenir la vigilance.
- Auditer les contrats existants avec les prestataires RH (fiduciaire externalisée, éditeurs logiciels) pour y intégrer les clauses nLPD manquantes avant le 31.12.2026.
Un outil comme SynHR peut centraliser la documentation des traitements RH et faciliter la traçabilité exigée par la nLPD — à condition que la gouvernance documentaire reste pilotée par l'employeur, pas uniquement par l'outil.
Sources
- Loi fédérale sur la protection des données (nLPD) — fedlex.admin.ch — texte consolidé de la LPD révisée en vigueur depuis le 01.09.2023, avec l'ensemble des articles cités (art. 5, 12, 16-19, 25).
- Office fédéral de la justice (OFJ) — publications et recommandations sur la mise en œuvre de la nLPD, dont les fiches pratiques sur les AIPD et les registres des traitements.
- Secrétariat d'État à l'économie (SECO) — informations sur les conditions de travail, OLT 3 art. 26 (surveillance des employés), et intersection avec les outils numériques RH.
- Office fédéral de la statistique (OFS) — statistiques sur la numérisation des PME suisses et l'adoption des outils RH automatisés, utiles pour contextualiser les risques sectoriels.