Depuis le 1er septembre 2023, la nouvelle loi fédérale sur la protection des données (nLPD) est en vigueur en Suisse. Elle s'applique à toute opération sur des données personnelles — y compris lorsque ce traitement est effectué par un système d'intelligence artificielle. Pour les médecins qui utilisent ou envisagent d'utiliser l'IA dans leur pratique, les implications sont concrètes et la responsabilité, personnelle.
La révision totale entrée en vigueur en 2023 adapte le cadre légal aux réalités du numérique : cloud, intelligence artificielle, décisions automatisées, transferts internationaux de données. Le Préposé fédéral à la protection des données (PFPDT) a été clair : la nLPD s'applique directement aux outils d'IA, sans qu'une loi spécifique à l'IA soit nécessaire.[1]
Les données de santé sont des données sensibles au sens de l'art. 5 let. c nLPD.[2] Leur traitement requiert une base de justification explicite, et toute violation doit être annoncée au PFPDT dans les meilleurs délais (art. 24 nLPD).
Le médecin ou le cabinet médical est le responsable du traitement des données de ses patients. Cette responsabilité ne se transfère pas au fournisseur d'IA.[3]
La Société Vaudoise de Médecine le formule sans ambiguïté : le médecin est personnellement responsable en cas de fuite de données, même si elle provient d'un prestataire externe. Les sanctions peuvent atteindre CHF 250'000 (art. 60 nLPD).[3]
Tout fournisseur IA traitant des données pour votre compte doit faire l'objet d'un contrat de sous-traitance (art. 9 nLPD).
Les cabinets traitant des données sensibles doivent documenter leurs activités (art. 24 nLPD). La FMH met à disposition un modèle sur son site.[5]
Le traitement par IA doit être reconnaissable pour le patient (art. 6 al. 3 nLPD). Une mention dans la déclaration de protection des données suffit généralement.
Les utilisateurs de systèmes IA doivent informer sur la finalité, le fonctionnement et les sources de données du système.[1]
La nLPD prévoit le droit des personnes concernées d'exiger une décision contrôlée par un être humain (art. 21 nLPD). Validez systématiquement les outputs de l'IA avant toute utilisation clinique.
Le CLOUD Act (2018) autorise les autorités américaines à accéder aux données d'entreprises américaines, quel que soit le pays d'hébergement physique. Un outil opéré par une société américaine, même hébergé en Europe, reste potentiellement accessible.
Un hébergement sur des serveurs suisses, opérés par une société non soumise au CLOUD Act, élimine ce risque. C'est la position la plus sûre au regard de la nLPD et du secret médical (art. 321 CP).
| Question | Ce que vous devez vérifier |
|---|---|
| Où sont hébergées les données ? | Serveurs en Suisse ou pays reconnu adéquat |
| Société soumise au CLOUD Act ? | Pas de maison-mère américaine |
| Contrat de sous-traitance proposé ? | Obligatoire selon art. 9 nLPD |
| Données utilisées pour entraîner l'IA ? | Non, sauf consentement explicite |
| Chiffrement appliqué ? | TLS 1.3 en transit, chiffrement au repos |
| Gestion des violations ? | Notification et procédure documentée |
| Données restituables ? | Export complet et suppression certifiée |
La nLPD n'interdit pas l'IA dans le domaine médical. Les traitements basés sur l'IA sont autorisés, à condition que des mesures adéquates soient mises en place.[1] Un outil bien conçu, hébergé en Suisse, avec un contrat de sous-traitance, est pleinement compatible avec la nLPD.
Ai-je besoin du consentement de mon patient pour utiliser l'IA lors d'une consultation ?
Pas nécessairement sous forme de signature systématique. La nLPD exige que le traitement soit reconnaissable pour le patient. Une mention claire dans la déclaration de protection des données de votre cabinet, combinée à une information orale lors de la première consultation, suffit généralement. Pour l'enregistrement audio, un consentement explicite est toutefois recommandé.
ChatGPT ou d'autres IA génératives sont-elles conformes à la nLPD pour un usage médical ?
Utiliser des outils comme ChatGPT pour traiter des données patients identifiables est problématique : absence de contrat de sous-traitance, hébergement sur des serveurs américains soumis au CLOUD Act, et utilisation potentielle des données pour l'entraînement du modèle. Pour un usage clinique, utilisez des outils spécifiquement conçus pour le domaine médical, avec hébergement suisse et contrat de sous-traitance.
Quelles sanctions risque-t-on en cas de violation de la nLPD ?
La nLPD prévoit des sanctions pénales pouvant atteindre CHF 250'000 pour les violations intentionnelles. Ces sanctions sont personnelles : c'est le médecin, en tant que responsable du traitement, qui est exposé — et non uniquement le fournisseur de logiciel.
La nLPD s'applique-t-elle aussi aux dossiers papier ?
Oui. La nLPD couvre toute opération sur des données personnelles, électroniques ou non. Consulter un dossier papier ou dicter une note sont des traitements de données au sens de la loi. L'IA ne crée pas de nouvelles obligations — elle déplace le traitement vers un environnement numérique soumis aux mêmes principes.
Contrat de sous-traitance inclus. Données exclusivement sur les serveurs Infomaniak.
Essayer gratuitement →