Weka Plus

PFPDT: Actes d’instruction

En 2025 également, le Préposé fédéral à la protection des données et à la transparence (PFPDT) n'est pas resté inactif et a mené des enquêtes auprès de diverses entreprises et institutions. Deux de ces enquêtes ont même donné lieu à des décisions du PFPDT. Deux autres projets concernent des technologies très récentes, qui ne manqueront pas de faire de plus en plus partie de notre quotidien. Nous abordons ci-après brièvement chacune de ces enquêtes et en tirons les conclusions qui s’imposent.

20/05/2026 De: Florian Müller
PFPDT

Aides de travail appropriées

EN BREF
En 2025, le PFPDT a intensifié ses actes d’instruction en ciblant notamment le cloud étranger, l’entraînement d’IA avec des données personnelles, les empreintes vocales biométriques, la vidéosurveillance intelligente et les refus de collaborer. Toute entreprise doit retenir qu’une enquête formelle implique une obligation légale de coopération et que les traitements de données sensibles exigent un consentement explicite.

À retenir:
→ Une enquête formelle (art. 49 LPD) impose une obligation de collaborer
→ Le refus de coopérer peut entraîner une plainte pénale
→ Les données biométriques nécessitent un consentement explicite (opt-in actif)
→ Les traitements d’IA et les fournisseurs cloud étrangers sont sous surveillance accrue
→ Une documentation solide réduit le risque d’enquête approfondie

Qu’est-ce qu’une enquête menée par le PFPDT?

Certains lecteurs se demandent sans doute en quoi consiste une enquête menée par le PFPDT. L'article 49 LPD précise qu'une enquête formelle est une mesure officielle prise à l'encontre d'un organe fédéral ou d'une personne privée. Ces enquêtes peuvent être menées d'office ou sur plainte de tiers. L'ouverture d'une enquête formelle repose sur la présomption qu'il pourrait y avoir eu violation des règles en matière de protection des données.

L'intervention à bas seuil et l'enquête préliminaire informelle constituent des outils très prisés par le PFPDT. Ces deux instruments, bien qu'ils ne soient pas prévus par la loi, sont toutefois considérés comme des moyens d'enquête moins contraignants. Dans ce cadre, le PFPDT prend contact avec les entreprises ou les particuliers pour leur demander, par exemple, des renseignements ou leur soumettre une proposition en vue de résoudre un problème donné. 

Ce n'est que dans le cadre d'une enquête au sens de l'article 49 LPD qu'il existe une obligation de collaborer. Les personnes et les entreprises contactées ont alors tout intérêt à coopérer dès l'ouverture de l'enquête préliminaire si elles entendent éviter l'ouverture d'une enquête formelle.

Live Webinaire Protection des données, IA et droit suisse

News & Updates : Sécuriser vos projets IA dans le respect du cadre légal

CHF 190.00

Suivi du projet CEBA

Même si le PFPDT a déclaré que le projet «Cloud Enabling Büroautomation - CEBA» ne constituait pas à proprement parler un acte d'instruction, le communiqué du 13 mars 20251 n'en reste pas moins très intéressant. Le projet CEBA de la Chancellerie fédérale suisse vise à moderniser l'informatique de l'administration fédérale en remplaçant la suite Office actuelle par Microsoft 365 (M365). 

Selon le communiqué, le PFPDT a exigé une mise à jour continue de l'analyse d'impact relative à la protection des données. Il convient notamment d'examiner les risques liés à l'accès des autorités étrangères (par exemple, le CLOUD Act ou les dispositions de la loi FISA – «Foreign Intelligence Surveillance Act») ou à l'utilisation de fournisseurs de services cloud dominants sur le marché (Microsoft). En effet, en ces temps de turbulences politiques, il ne faut surtout pas sous-estimer les risques potentiels liés à l'utilisation de fournisseurs de services cloud étrangers. 

Au printemps 2025, Microsoft a bloqué le compte de messagerie électronique du procureur général de la Cour pénale internationale à la suite des sanctions imposées par Donald Trump à la Cour et à son personnel. Même si Microsoft a déclaré avoir entre-temps trouvé une «faille» et ne plus être tenu de procéder à de tels blocages, la Cour pénale internationale a décidé de miser désormais sur une suite logicielle allemande. 

C'est précisément le risque d'un simple blocage des accès qui devrait faire l'objet de discussions approfondies au sein de l'administration fédérale. On attend avec impatience de connaître les mesures qui pourraient être prises pour minimiser ce risque. Le rapport d'activité 2025/2026 du PFPDT fournira sans doute de plus amples informations à ce sujet.

Données personnelles pour l'apprentissage de Grok

Le PFPDT n'est pas resté inactif non plus dans le domaine de l'entraînement de l'intelligence artificielle.2 Le PFPDT a sollicité des informations auprès de Twitter International Unlimited Company (TIUC) concernant le processus précis au moyen duquel les données des utilisateurs de X étaient intégrées à l'entraînement de l'IA interne «Grok». Cette enquête préliminaire informelle a été menée après qu’il est apparu, en 2024, que X avait réussi à obtenir le consentement des utilisateurs sans attirer suffisamment leur attention à ce sujet. En effet, les utilisateurs qui ne consentaient pas à l’utilisation de leurs données à des fins d’entraînement de l'IA devaient eux-mêmes trouver le paramètre leur permettant de révoquer leur «consentement» (opt-out).3 Le PFPDT souhaitait notamment déterminer dans quelle mesure ces traitements de données étaient transparents et quelles possibilités de refus étaient loisibles.

Le PFPDT s'est déclaré satisfait des informations reçues. Il a ainsi publié, le 20 mars 2025, la conclusion de l'enquête préliminaire, en précisant qu'il était possible, grâce aux paramètres de confidentialité, d'empêcher l'utilisation par défaut des publications X à des fins d'entraînement. Selon lui, il incombe également aux utilisateurs de la plateforme de faire usage des possibilités offertes (notamment de la possibilité de refuser).

Etant donné que la loi suisse sur la protection des données, contrairement au Règlement général sur la protection des données de l'UE, considère que le fait de renoncer à son droit de rétractation vaut consentement, cette décision est juridiquement compréhensible. Il était en outre très important de souligner que les utilisateurs sont eux-mêmes responsables de l'utilisation de leurs données. Le PFPDT estime donc qu'il suffit de fournir des informations transparentes et d'offrir des possibilités de personnalisation. En ce qui concerne l'utilisation des données en question, le proverbe adapté est le suivant: «Nul n'est censé ignorer la loi». Il est donc conseillé de lire régulièrement les conditions d'utilisation des plateformes sur lesquelles de nombreuses données sont stockées ou divulguées. Saviez-vous, par exemple, que LinkedIn dispose également d'un paramètre correspondant? 4 

Devenir membre et lire la suite:

  • Accès illimité à plus de 600 aides de travail
  • Tous les articles payants en accès illimité sur weka.ch
  • Accès à toutes les vidéos
  • Actualisation quotidienne
  • Nouveaux articles et aides de travail chaque semaine
  • Offres spéciales exclusives
  • Services d’actualité et de mises à jour
  • Bons séminaires
et bien plus encore! A partir de CHF 16.50 par mois S'abonner maintenant Êtes-vous déjà membre? S'inscrire ici

Recommandations de séminaires

Autres articles et vidéos sur ce thème

La protection des données
/ La protection des données

Le RGPD et ses conséquences en Suisse
Data Privacy Framework
/ Data Privacy Framework

Que faire pour les transferts de données personnelles aux Etats-Unis?
RGPD en Suisse
/ RGPD en Suisse

Check-list pour le Règlement général de l’UE sur la protection des données
Droit du travail et protection des données
/ Droit du travail et protection des données

Comprendre les dispositions actuelles
Cyberattaque
W+
/ Cyberattaque

Que faut-il faire dans la pratique?
DPO
/ DPO

Rde responsabilité pour le délégué aux données
Devenir membre Newsletter