Intro
Un responsable RH génère en trente secondes un rapport d'évaluation de performance au format PDF grâce à un outil IA — et le transmet par e-mail au conseil d'administration. Deux mois plus tard, un collaborateur exerce son droit d'accès au titre de la nouvelle loi sur la protection des données (nLPD) et demande à voir toutes les données le concernant. Ce que l'entreprise n'a pas anticipé : le rapport généré par IA constitue une donnée personnelle traitée de manière automatisée, et sa production doit satisfaire à des exigences précises de licéité, de transparence et de proportionnalité.
Ce que la nLPD change concrètement pour les documents RH automatisés
Entrée en vigueur le 01.09.2023, la nLPD aligne le droit suisse sur les standards du RGPD européen, sans en copier l'architecture à l'identique. Pour les RH, trois changements sont déterminants.
Données personnelles sensibles élargies
L'art. 5 let. c nLPD élargit la notion de données sensibles. Les données sur la santé, les mesures d'aide sociale, les données biométriques et génétiques y figurent explicitement. En pratique, un rapport RH IA qui mentionne le taux d'absentéisme d'un collaborateur, un congé maladie répété ou une adaptation de poste pour raisons médicales touche à des données sensibles. Leur traitement requiert une base légale explicite (consentement, contrat de travail ou intérêt prépondérant justifié) et une protection renforcée (chiffrement, accès restreint, traçabilité).
Décisions automatisées : l'art. 21 nLPD
L'art. 21 nLPD introduit un droit à l'information et à la révision humaine pour toute décision fondée exclusivement sur un traitement automatisé et produisant des effets juridiques ou affectant significativement la personne concernée. Un rapport IA utilisé comme seule base pour un non-renouvellement de contrat ou un refus de promotion entre dans ce périmètre. L'employeur doit alors : informer le collaborateur que la décision repose sur un traitement automatisé, lui indiquer la logique sous-jacente dans les grandes lignes, et lui permettre de demander une révision par une personne physique. Un simple mention dans le règlement du personnel ne suffit pas — il faut une information active, au moment de la décision.
Registre des activités de traitement
Les entreprises de moins de 250 collaborateurs sont en principe exemptées de tenir un registre complet, sauf si leurs traitements comportent des risques élevés pour les personnes concernées. Or, l'utilisation d'un outil IA tiers (SaaS américain ou européen) pour traiter des données de performance ou de santé constitue précisément un traitement à risque élevé. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) considère que de tels traitements doivent être documentés, même en dessous du seuil des 250 EPT. Une PME de 20 employés qui utilise un outil IA pour générer des rapports d'évaluation doit donc tenir à jour une fiche de traitement minimale : finalité, données concernées, durée de conservation, accès tiers, transfert hors Suisse.
Analyse de risque : les quatre points qu'un auditeur examine
1. La base légale du traitement
En droit du travail suisse, l'art. 328b du Code des obligations (CO) limite le traitement des données du travailleur aux seules données nécessaires à l'exécution du contrat ou à l'évaluation de l'aptitude à remplir l'emploi. Un rapport IA qui agglomère des données de présence, des échanges e-mail internes, des scores de satisfaction client et des notes d'entretiens annuels sur trois ans dépasse souvent ce cadre. L'auditeur vérifiera que chaque catégorie de données incluse dans le rapport est directement nécessaire à la finalité déclarée — pas simplement disponible dans le système.
2. La transparence envers le collaborateur
L'art. 19 nLPD impose d'informer les personnes concernées lors de la collecte de leurs données. Si l'outil IA traite des données collectées avant le 01.09.2023 sans que les employés aient été informés de cet usage spécifique, l'employeur est en situation de défaut d'information. La correction passe par une mise à jour du contrat de travail ou du règlement du personnel, ou par une note d'information individuelle traçable (accusé de réception daté).
3. Le transfert de données à l'étranger
La majorité des outils IA grand public (OpenAI, Google Gemini, Microsoft Copilot en configuration par défaut) traitent les données sur des serveurs hors Suisse. La nLPD autorise les transferts vers les États reconnus par le Conseil fédéral comme offrant un niveau de protection adéquat. Les États-Unis ne figurent pas sur cette liste de manière générale — un accord de traitement des données (DPA) conforme aux clauses contractuelles types du PFPDT est nécessaire. Un audit contrôlera l'existence de ce contrat, sa date de signature et sa compatibilité avec les exigences suisses.
4. La durée de conservation et la destruction
Un PDF généré par IA est un document comme un autre : il entre dans le régime de conservation applicable aux dossiers du personnel. Le droit suisse ne fixe pas de durée légale unique pour les données RH, mais plusieurs délais s'appliquent en parallèle : 5 ans pour les créances découlant du contrat de travail (art. 128 CO), 10 ans pour les documents comptables (art. 958f CO), et les délais propres aux assurances sociales. L'auditeur cherchera une politique de destruction documentée — pas un dossier partagé qui s'accumule depuis 2019.
Sanctions et compétences de contrôle
Contrairement au RGPD, la nLPD ne prévoit pas d'amendes administratives directes à l'encontre des entreprises. Les sanctions pénales visent les personnes physiques responsables : jusqu'à CHF 250'000 d'amende pour violation intentionnelle des obligations d'information, de sécurité ou de diligence (art. 60-63 nLPD). Le PFPDT dispose d'un pouvoir d'enquête et peut ordonner des mesures contraignantes, dont l'interdiction de traitement. Pour une PME, le risque réputationnel et opérationnel d'un tel blocage dépasse souvent le montant de l'amende.
Les cantons ne disposent pas d'autorité de contrôle propre pour les données RH privées — c'est le PFPDT qui est compétent. En revanche, les inspections cantonales du travail (par ex. SECO pour la surveillance fédérale, offices cantonaux pour l'application de la LTr) peuvent, lors d'un contrôle d'entreprise, constater et signaler des anomalies en matière de gestion des données personnelles au PFPDT.
Ce que l'IA peut et ne peut pas faire dans un workflow RH conforme
L'IA reste un outil de traitement de texte et d'analyse statistique — pas un décideur. Elle peut légitimement :
- Synthétiser des données agrégées anonymisées (taux de turnover, répartition des congés par département) dans un rapport de tableau de bord sans identifier de personnes.
- Rédiger une trame de rapport d'entretien annuel à partir d'une grille standardisée remplie par le manager, à condition que les données saisies soient proportionnées.
- Générer des lettres de référence ou des certificats de travail sur la base d'informations fournies et validées par un responsable humain.
Elle ne peut pas, sans mesures supplémentaires :
- Agréger automatiquement des données de sources multiples (SIRH, messagerie, badgeuse) pour produire un profil comportemental individuel.
- Produire une recommandation de licenciement ou de promotion sans intervention et validation humaine documentée.
- Stocker ou transmettre des données médicales ou disciplinaires à un service tiers d'IA sans base légale explicite et DPA.
Cas pratique
Situation : Fiduciaire Rochat & Associés SA, Lausanne, 18 employés. La responsable RH, Nathalie Fontaine, utilise depuis janvier 2024 un outil IA (SaaS, serveurs UE) pour générer des rapports d'évaluation annuels en PDF. Chaque rapport compile : notes d'entretien saisies par les managers, taux de présence issu du logiciel de pointage, et une synthèse narrative générée automatiquement.
Problème identifié : En mars 2025, Fabien Carrupt, comptable senior, exerce son droit d'accès. Il demande toutes les données le concernant. Nathalie réalise que :
- Le rapport 2024 mentionne deux absences pour raisons médicales (données sensibles) sans que Fabien ait été informé de ce traitement spécifique.
- L'outil IA transfère les données vers des serveurs en Irlande — aucun DPA n'a été conclu avec le fournisseur.
- Les rapports des trois dernières années sont stockés dans un dossier partagé sans politique de destruction.
Procédure de mise en conformité :
- Réponse au droit d'accès (délai légal : 30 jours, art. 25 nLPD) : Nathalie compile l'ensemble des données détenues sur Fabien — rapport PDF 2024, notes brutes, données de présence — et les lui transmet avec une explication de la logique de traitement automatisé. Coût temps estimé : 3-4 heures.
- Correction du défaut d'information : Envoi d'une note individuelle à l'ensemble des 18 collaborateurs décrivant l'usage de l'outil IA, les catégories de données traitées et les droits exercés. La note est signée et archivée avec accusé de réception daté.
- Conclusion du DPA avec le fournisseur IA : Vérification que le fournisseur (serveurs UE) figure dans la liste des pays adéquats du PFPDT ou conclusion de clauses contractuelles types. Durée : 1-2 semaines selon le fournisseur.
- Exclusion des données médicales des rapports futurs : Paramétrage de l'outil pour exclure les codes d'absence médicale de la synthèse automatique. Les absences médicales restent dans le dossier RH sécurisé, hors de portée de l'IA.
- Politique de conservation : Définition d'une durée de conservation de 5 ans pour les rapports d'évaluation (alignée sur le délai de prescription CO), destruction documentée au-delà. Mise en place d'un rappel annuel dans le calendrier RH.
- Fiche de traitement : Création d'une fiche minimale : finalité (évaluation de la performance), données (notes manager, présence), responsable, durée, transfert (Irlande, pays adéquat), accès (direction, RH). Archivage interne.
Coût estimé de la mise en conformité : 15-20 heures de travail RH/direction, sans coût externe si le DPA est géré directement avec le fournisseur. Un audit externe par un spécialiste protection des données coûte généralement entre CHF 1'500 et CHF 4'000 pour une PME de cette taille, selon la complexité des traitements.
Récapitulatif opérationnel
- Cartographier chaque outil IA utilisé en RH : nom, éditeur, localisation des serveurs, données transmises. Une ligne par outil dans un tableur suffit pour commencer.
- Vérifier la liste des pays adéquats du PFPDT avant tout transfert de données personnelles vers un SaaS étranger ; conclure un DPA si nécessaire.
- Exclure les données sensibles (santé, disciplinaire, situation sociale) des flux automatisés vers des outils IA, sauf base légale explicite documentée.
- Informer activement les collaborateurs de tout traitement automatisé affectant leur évaluation ou leur situation contractuelle — pas seulement dans le règlement général, mais au moment du traitement.
- Documenter la révision humaine pour toute décision RH adossée à un rapport IA : mention dans le procès-verbal d'entretien ou courriel du manager validant le rapport avant usage.
- Fixer une durée de conservation et une procédure de destruction pour les PDFs générés : 5 ans maximum pour les évaluations, destruction tracée (log de suppression daté).
- Répondre dans les 30 jours à tout droit d'accès exercé par un collaborateur ; prévoir un modèle de réponse type incluant la description des traitements automatisés.
- Réviser annuellement la fiche de traitement à chaque changement d'outil, de fournisseur ou de périmètre des données traitées.
SynHR intègre nativement un registre de traitement simplifié et des exports de données structurés pour répondre aux droits d'accès — ce qui réduit mécaniquement le temps de réponse lors d'un audit.
Sources
- Loi fédérale sur la protection des données (nLPD) — fedlex.admin.ch — Texte consolidé de la nLPD en vigueur depuis le 01.09.2023, avec les dispositions sur les décisions automatisées (art. 21) et les obligations d'information (art. 19).
- Code des obligations (CO) — fedlex.admin.ch — Art. 328b sur le traitement des données du travailleur et art. 128 sur les délais de prescription.
- Préposé fédéral à la protection des données et à la transparence (PFPDT) — Autorité de contrôle compétente pour les données RH du secteur privé ; publie les listes de pays adéquats et les recommandations de mise en conformité.
- SECO — Conditions de travail — Surveillance fédérale de l'application de la LTr ; référence pour les contrôles d'entreprise pouvant toucher à la gestion des données RH.
- ch.ch — Protection des données au travail — Synthèse des droits des employés et des obligations des employeurs en matière de protection des données dans la relation de travail.