Comparatifs
ISO 42001 et la nLPD suisse
La nLPD est une loi suisse contraignante qui protège les données personnelles. L'ISO 42001 est une norme de management volontaire qui organise la gouvernance de l'IA. Elles se rejoignent sur l'analyse d'impact, mais chacune couvre un terrain que l'autre laisse de côté. L'une ne remplace pas l'autre.
Deux objets de nature différente
Avant de comparer, il faut distinguer ce que l'on compare. La nLPD, nom usuel de la loi fédérale révisée sur la protection des données, est une loi. Elle est entrée en vigueur le 1er septembre 2023 et s'impose à toute organisation qui traite des données personnelles en Suisse.[1] Ses obligations ne sont pas facultatives : la loi contient des dispositions pénales destinées à sanctionner leur violation, ce qui en fait un texte contraignant au sens fort.[5]
L'ISO/IEC 42001:2023 est d'une tout autre nature. C'est une norme internationale de système de management, que l'on adopte volontairement. Elle ne crée pas d'obligation légale et ne sanctionne personne. Elle propose un cadre pour gouverner l'usage de l'intelligence artificielle dans une organisation, en s'appuyant sur une approche par les risques et sur des critères de risque que l'organisation établit elle-même.[6]
Le périmètre des deux textes diffère lui aussi. La nLPD protège les données personnelles, c'est-à-dire les informations qui se rapportent à une personne physique identifiée ou identifiable. L'ISO 42001 vise les systèmes d'IA en tant que tels, qu'ils manipulent ou non des données personnelles. Une organisation peut donc relever de la norme sans relever de la loi, par exemple si son IA ne traite que des données techniques, et inversement traiter des données personnelles sans avoir adopté la moindre norme.
Pourquoi la question se pose pour l'IA
La question de l'articulation n'a rien d'académique, parce que la loi suisse rattrape l'IA sans avoir été écrite pour elle. La nLPD est formulée de manière neutre du point de vue technologique. Elle vise toutes les technologies, et le Préposé fédéral à la protection des données et à la transparence rappelle qu'elle s'applique directement aux cas où l'IA est utilisée pour traiter des données.[3]
Le PFPDT a tenu à le réaffirmer publiquement. Indépendamment des réglementations futures, les dispositions de protection des données déjà en vigueur doivent être respectées dès qu'un traitement recourt à l'IA.[4] Il en tire des conséquences concrètes pour les fabricants, les fournisseurs et les utilisateurs de tels systèmes, qui doivent rendre transparents la finalité, le fonctionnement et les sources de données du traitement.[2]
Le calendrier réglementaire suisse confirme cette direction. En mars 2025, la Suisse a signé la Convention du Conseil de l'Europe sur l'intelligence artificielle et les droits de l'homme, la démocratie et l'État de droit, et le Conseil fédéral entend adapter le droit suisse pour la ratifier.[4] L'approche suisse annoncée repose sur trois objectifs : renforcer la place de la Suisse comme pôle d'innovation, garantir la protection des droits fondamentaux dont la liberté économique, et renforcer la confiance de la population dans l'IA.[4] Ces orientations restent à confirmer à la date de dernière vérification (mai 2026) ; il faut suivre les sources officielles pour leur état exact.
Le point de contact : deux analyses d'impact
Le point où la loi et la norme se rencontrent le plus nettement, c'est l'analyse d'impact. La nLPD impose une analyse d'impact relative à la protection des données personnelles, l'AIPD, lorsque le traitement envisagé est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.[7] Cette analyse décrit le traitement prévu, évalue les risques pour la personnalité et les droits fondamentaux, puis indique les mesures destinées à les protéger.[7]
De son côté, l'ISO 42001 demande de définir un processus d'analyse d'impact des systèmes d'IA. La clause 6.1.4 vise à apprécier les conséquences potentielles pour des individus ou des groupes d'individus, et pour les sociétés, qui peuvent résulter du développement, de la fourniture ou de l'usage de systèmes d'IA.[8] Cette analyse prend en compte le contexte technique et sociétal du déploiement ainsi que les juridictions applicables, son résultat est documenté, et elle alimente l'appréciation des risques de la norme.[8]
La parenté de méthode saute aux yeux. Dans les deux cas, on décrit un usage, on évalue ce qu'il peut faire subir à des personnes, et on prévoit des mesures. C'est cette ressemblance qui fait croire, parfois, qu'une analyse couvre l'autre. La norme elle-même ouvre une porte sur ce point : elle note que dans certains contextes, par exemple une IA critique pour la sécurité ou la vie privée, des analyses d'impact spécifiques par discipline, dont l'impact sur la vie privée, peuvent être menées dans le cadre de la gestion des risques de l'IA.[9] Autrement dit, la norme reconnaît qu'une analyse de type protection des données peut s'intégrer à sa propre démarche, sans pour autant la définir.
Des objets distincts, des démarches voisines
La ressemblance s'arrête à la méthode. Les deux analyses ne visent pas la même chose. L'AIPD de la nLPD a un objet précis et juridique : le risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées, du fait d'un traitement de données personnelles.[7] Le PFPDT y voit l'expression de l'approche fondée sur les risques du droit de la protection des données, l'obligation n'existant qu'en cas de risque potentiellement élevé.[10]
L'analyse d'impact de la norme a un objet plus large. Elle ne se limite pas aux données personnelles : elle apprécie les conséquences pour des individus, des groupes et des sociétés résultant des systèmes d'IA, ce qui englobe des effets que la loi sur les données ne traite pas, comme certains effets collectifs ou sociétaux.[8] Une partie intéressée peut être affectée par une IA sans qu'aucune donnée personnelle ne soit en cause.
Les seuils et les suites diffèrent également. La nLPD précise que l'existence d'un risque élevé, en particulier lors du recours à de nouvelles technologies, dépend de la nature, de l'étendue, des circonstances et de la finalité du traitement, et qu'un tel risque existe notamment en cas de traitement de données sensibles à grande échelle ou de surveillance systématique de grandes parties du domaine public.[7] Surtout, si l'AIPD révèle un risque résiduel élevé malgré les mesures prévues, un avis du PFPDT doit être demandé, sauf pour le responsable privé qui a consulté son conseiller à la protection des données.[10] La norme, elle, n'organise aucune consultation d'une autorité : son analyse nourrit une décision interne de gestion des risques.
Conclusion provisoire pour le praticien : mener l'analyse d'impact des systèmes d'IA de la norme ne dispense pas de l'AIPD légale quand ses conditions sont réunies, et l'inverse est tout aussi vrai. Le PFPDT le dit clairement pour son propre instrument : établir une AIPD ne dispense pas de respecter toutes les autres dispositions applicables en matière de protection des données.[10]
Ce que la nLPD exige et que la norme ne couvre pas
Le malentendu le plus coûteux serait de croire qu'une démarche ISO 42001 met une organisation en règle avec la loi suisse. Plusieurs obligations centrales de la nLPD n'ont pas d'équivalent dans la norme, parce qu'elles relèvent du droit des personnes, pas de la gouvernance interne de l'IA.
La loi impose d'abord un devoir d'informer lors de la collecte de données personnelles. Il concerne tous les traitements, vise la transparence, et s'applique même lorsque les données ne sont pas collectées directement auprès de la personne.[11] Elle renforce ensuite les droits des personnes concernées : le droit d'accéder à ses propres données, en général dans un délai de trente jours et gratuitement, le droit de faire rectifier des données erronées et le droit d'en demander l'effacement.[11] Ces droits sont opposables à l'organisation par les individus eux-mêmes, ce que ne prévoit aucune clause de la norme.
La loi impose aussi une sécurité des données : des mesures techniques et organisationnelles appropriées au risque encouru, destinées à éviter toute violation de la sécurité des données.[12] Elle encadre par ailleurs la communication de données personnelles à l'étranger, à travers des principes et des dérogations qui conditionnent les transferts hors de Suisse.[13] Pour une IA souvent hébergée chez des fournisseurs étrangers, ce dernier point est déterminant et reste entièrement du ressort de la loi.
S'y ajoutent les principes de proportionnalité et de protection des données dès la conception et par défaut, ainsi que l'obligation de tenir un registre des activités de traitement, avec une exemption de principe pour les organisations de moins de 250 collaborateurs dont les traitements présentent de faibles risques, sauf données sensibles à grande échelle ou profilage à risque élevé.[11] Aucune de ces obligations ne disparaît parce qu'une organisation a structuré sa gouvernance de l'IA. La norme peut aider à les tenir, elle ne les remplace pas.
Ce que la norme apporte et que la loi n'exige pas
La réciproque est tout aussi nette. L'ISO 42001 couvre un terrain que la nLPD ne touche pas, parce qu'elle s'intéresse à l'IA dans son ensemble, et pas seulement au sort des données personnelles.
La norme organise une gouvernance de l'IA à l'échelle de l'organisation. Lors de la planification, elle demande de déterminer les risques et les opportunités liés à l'IA et d'établir des critères de risque qui distinguent les risques acceptables des risques inacceptables, soutiennent les appréciations de risque, le traitement des risques et l'appréciation des impacts.[6] Cette logique va bien au-delà des données personnelles : elle porte sur la finalité des systèmes, sur leur usage attendu, sur le contexte de domaine et d'application.[6]
Là où la loi raisonne en termes d'atteinte à la personne, la norme raisonne en termes de système et de cycle de vie. Elle traite des conséquences pour les sociétés, des effets liés au mauvais usage prévisible d'un système, du choix et de la supervision des modèles, autant de sujets que la nLPD n'aborde pas en tant que tels.[8] Pour une organisation, c'est précisément l'apport de la norme : un cadre de pilotage de l'IA qui dépasse la seule question des données personnelles, sans pour autant la dispenser de ses obligations légales.
On peut résumer l'esprit de l'ensemble par une formule prudente. La nLPD vous dit ce que vous devez faire pour les personnes dont vous traitez les données ; l'ISO 42001 vous propose comment piloter l'IA de bout en bout. Le PFPDT, de son côté, n'exige pas une gouvernance de l'IA en tant que telle, mais le respect du droit des données quand l'IA entre en jeu, y compris l'analyse d'impact en cas de risque élevé.[2]
Points de contact et différences en un coup d'œil
Le tableau ci-dessous met en regard les deux textes sur les dimensions qui comptent pour une organisation suisse. Il s'appuie sur le texte de la nLPD et sur les publications du PFPDT pour la colonne loi, et sur le texte de la norme pour la colonne ISO 42001.
| Dimension | nLPD (loi suisse) | ISO/IEC 42001 (norme) |
|---|---|---|
| Nature | Loi contraignante, assortie de dispositions pénales[5] | Norme de management volontaire[6] |
| Objet protégé | Données personnelles, personnalité et droits fondamentaux des personnes concernées[7] | Systèmes d'IA, conséquences pour individus, groupes et sociétés[8] |
| Analyse d'impact | AIPD obligatoire en cas de risque élevé pour la personne[7] | Analyse d'impact des systèmes d'IA, clause 6.1.4[8] |
| Déclencheur | Risque élevé lié à la nature, l'étendue, les circonstances et la finalité du traitement[7] | Tout système d'IA dans le périmètre du management[8] |
| Intervention d'une autorité | Avis du PFPDT en cas de risque résiduel élevé[10] | Aucune ; décision interne de gestion des risques[6] |
| Droits des personnes | Information, accès, rectification, effacement[11] | Non traités en tant que droits opposables |
| Sécurité et transferts | Sécurité des données ; encadrement des transferts à l'étranger[12][13] | Gérés au titre des contrôles, sans règle de transfert propre |
Complémentaires, pas interchangeables
De ce qui précède découle une conclusion sobre. Les deux textes se recoupent sur l'esprit, une approche par les risques et une analyse d'impact, mais ni l'un ni l'autre ne suffit seul à couvrir le champ de l'autre. La nLPD s'impose dès qu'une organisation traite des données personnelles en Suisse, IA ou pas, et continue de s'appliquer directement aux traitements recourant à l'IA.[3] L'ISO 42001 reste un choix de gouvernance, utile mais facultatif.
Pour une organisation suisse qui utilise l'IA sur des données personnelles, le bon réflexe n'est pas de choisir entre les deux. C'est de partir de l'obligation légale, qui fixe le minimum non négociable, puis de décider si la gouvernance proposée par la norme apporte un cadre de pilotage adapté à ses usages. Les deux analyses d'impact peuvent même se nourrir l'une l'autre, à condition de garder en tête qu'elles répondent à des questions différentes et que l'une ne tient pas lieu de l'autre.[8]
La formule qui résume tout cela tient en une phrase : la loi protège les personnes, la norme gouverne l'IA. Les confondre expose à deux erreurs symétriques, croire qu'une certification met en règle avec la loi, ou croire que la conformité légale dispense de toute gouvernance de l'IA. Aucune des deux lectures ne résiste à l'examen des textes.[10] Pour situer la nLPD au milieu des autres référentiels, le comparatif d'ensemble entre l'ISO 42001, l'ISO 27001, l'AI Act et la nLPD donne la vue large.
Questions fréquentes
L'ISO 42001 rend-elle conforme à la nLPD ?
Non. L'ISO 42001 organise la gouvernance de l'IA, mais elle ne couvre pas par elle-même les obligations de la nLPD comme le devoir d'informer, le droit d'accès ou la sécurité des données.[11] Une certification ne vaut pas attestation de conformité à la loi suisse, qui reste contraignante en propre.[5]
Faut-il appliquer les deux, la nLPD et l'ISO 42001 ?
La nLPD s'impose dès qu'une organisation traite des données personnelles en Suisse, y compris avec de l'IA.[3] L'ISO 42001 reste volontaire.[6] Pour une IA appliquée à des données personnelles, les deux se combinent : la loi fixe le minimum, la norme structure la gouvernance autour.
L'analyse d'impact de l'ISO vaut-elle l'AIPD de la nLPD ?
Pas automatiquement. L'analyse d'impact des systèmes d'IA de la norme apprécie les conséquences pour les individus et les sociétés.[8] L'AIPD de la nLPD vise le risque élevé pour la personnalité et les droits fondamentaux des personnes concernées.[7] Démarches voisines, objets et exigences différents.
La nLPD impose-t-elle une IA responsable ?
La nLPD n'exige pas une gouvernance de l'IA en tant que telle. Elle impose le respect du droit des données personnelles quand l'IA traite ces données : transparence, analyse d'impact en cas de risque élevé, sécurité, droits des personnes.[2] Le PFPDT rappelle que la loi s'applique directement aux traitements recourant à l'IA.[3]
Articuler vos obligations nLPD et votre gouvernance de l'IA
Vous utilisez de l'IA sur des données personnelles et vous voulez savoir où s'arrête la loi et où commence la norme ? Un premier échange pose les deux questions proprement, sans confondre conformité légale et gouvernance.
Demander un avis indépendantÀ lire ensuite
- Loi fédérale sur la protection des données (LPD, RS 235.1), entrée en vigueur le 1er septembre 2023. Texte officiel sur Fedlex. fedlex.admin.ch/eli/cc/2022/491/fr
- PFPDT, « IA et protection des données » (publié le 24 septembre 2025). edoeb.admin.ch/fr/ia-et-protection-des-donnees
- PFPDT, « IA et protection des données » et « Update, la loi actuelle sur la protection des données est directement applicable à l'IA ». edoeb.admin.ch/fr/update-loi-actuelle-applicable-ia
- PFPDT, « Update, la loi actuelle sur la protection des données est directement applicable à l'IA » (8 mai 2025) ; signature par la Suisse de la Convention du Conseil de l'Europe sur l'IA (mars 2025). edoeb.admin.ch/fr/update-loi-actuelle-applicable-ia
- LPD, dispositions pénales (chapitre 8, art. 60 et suivants), rappelées par le PFPDT, « Protection des données dans les associations ». edoeb.admin.ch/fr/protection-des-donnees-dans-les-associations
- ISO/IEC 42001:2023, clause 6.1.1 (généralités, critères de risque liés à l'IA) et clause 6 (planification). Texte de la norme non reproduit.
- LPD, art. 22 (Analyse d'impact relative à la protection des données personnelles), al. 1 à 3. Texte officiel sur Fedlex. fedlex.admin.ch/eli/cc/2022/491/fr
- ISO/IEC 42001:2023, clause 6.1.4 (Analyse d'impact des systèmes d'IA). Texte de la norme non reproduit, paraphrase.
- ISO/IEC 42001:2023, clause 6.1.4, NOTE (analyses d'impact spécifiques par discipline, dont la vie privée). Non reproduit.
- PFPDT, « Analyse d'impact relative à la protection des données personnelles ». edoeb.admin.ch/fr/analyse-dimpact-relative-a-la-protection-des-donnees-personnelles
- PFPDT, « Protection des données dans les associations » (devoir d'informer art. 19, droits d'accès, rectification et effacement art. 25, registre art. 12, principes art. 6 et 7). edoeb.admin.ch/fr/protection-des-donnees-dans-les-associations
- LPD, art. 8 (Sécurité des données). Texte officiel sur Fedlex. fedlex.admin.ch/eli/cc/2022/491/fr
- LPD, art. 16 et 17 (Communication de données personnelles à l'étranger : principes et dérogations). Texte officiel sur Fedlex. fedlex.admin.ch/eli/cc/2022/491/fr
Dernière vérification : 31 mai 2026. Sources primaires : le texte de la LPD (RS 235.1) sur Fedlex et les publications officielles du Préposé fédéral à la protection des données et à la transparence (PFPDT), lues en entier, pour le droit suisse ; le texte de la norme ISO/IEC 42001:2023 pour la clause 6.1.4, en paraphrase. Le texte de la norme n'est pas reproduit. Le statut du calendrier réglementaire suisse de l'IA est susceptible d'évoluer ; vérifiez les sources officielles.