TL;DRLa nLPD révisée (aussi appelée FADP en anglais), en vigueur depuis le 1er septembre 2023, combinée à l'effet extraterritorial de l'AI Act européen d'août 2026, crée un cadre à trois niveaux pour toute entreprise suisse exploitant un agent vocal IA : droit de savoir qu'on parle à une machine, obligations de transparence, hébergement souverain. Banques, cabinets d'avocats et PME romandes doivent acter une matrice de conformité avant l'été 2026. Vocalis AI fournit les briques techniques et juridiques pré-câblées, avec hébergement UE et compatibilité nLPD native.
Analyse destinée aux DPO suisses, directions juridiques PME/ETI CH, responsables conformité banques et cabinets d'avocats romands. Publication 20 avril 2026 · Validé par Laurent Duplat, Directeur de la publication VOCALIS AI.
La nLPD / FADP révisée depuis septembre 2023
La nouvelle Loi fédérale sur la protection des données (nLPD), en anglais Federal Act on Data Protection (FADP), est entrée en vigueur le 1er septembre 2023. Elle modernise le cadre suisse sur le modèle du RGPD, tout en préservant des spécificités helvétiques importantes. L'autorité de contrôle est le Préposé fédéral à la protection des données et à la transparence (PFPDT).
Pour une entreprise suisse exploitant un agent vocal IA, quatre piliers nLPD structurent la conformité : information préalable, consentement proportionnel, registre des traitements (>250 salariés ou traitements sensibles), notification violation dans les meilleurs délais. Les analyses de Digicomp sur nLPD vs RGPD + AI Act et de ICTjournal sur la LPD appliquée à l'IA confirment cette lecture.
Champ d'application aux agents vocaux IA
Un agent vocal IA traite trois catégories de données à fort enjeu nLPD :
- Enregistrement audio : donnée personnelle au sens de l'art. 5 let. a nLPD
- Transcription conversation : donnée personnelle + potentiellement sensible (santé, opinions, situation financière)
- Biométrie voix : donnée sensible au sens de l'art. 5 let. c ch. 4 nLPD, nécessitant consentement explicite
Le cabinet BCG Switzerland estime que 62 % des PME suisses romandes qui déploient un voicebot en 2025-2026 n'ont pas formalisé la base légale du traitement biométrique voix. Un risque PFPDT documenté et potentiellement sanctionné.
Droit de savoir qu'on parle à une machine
La nLPD ne contient pas d'article explicite « information IA » comme l'AI Act art. 50. Mais trois dispositions s'empilent pour créer de facto cette obligation :
- Art. 19 nLPD : obligation d'information préalable lors de la collecte
- Art. 21 nLPD : décisions individuelles automatisées (notification + droit d'opposition)
- Effet extraterritorial AI Act pour toute entreprise suisse adressant des résidents UE
Pratiquement : un agent vocal IA suisse doit annoncer sa nature IA au début de l'appel, informer l'interlocuteur sur la finalité et proposer l'accès à un humain si la personne le demande.
Modification de voix identifiable : obligations spécifiques
Si votre voicebot clone une voix humaine réelle (voice cloning pour porte-parole, dirigeant), deux obligations supplémentaires :
- Consentement explicite et documenté de la personne source
- Transparence AI Act art. 50 §4 (divulgation « deep fake »)
Vocalis propose un clonage vocal contrôlé + journal de consentement intégré, conforme aux recommandations PFPDT.
Différences FADP vs RGPD : tableau comparatif
| Critère | RGPD (UE) | nLPD/FADP (CH) |
|---|---|---|
| Base légale | Consentement + 5 autres bases | Principe plus souple + obligations accrues sur données sensibles |
| Registre traitements | Obligatoire dès 1 traitement | Seuil : 250 salariés ou risque élevé |
| DPO obligatoire | Oui dans cas définis | Conseiller protection données recommandé |
| Sanctions max | 20 M€ ou 4 % CA mondial | 250 000 CHF à la personne responsable |
| Biométrie voix | Art. 9 RGPD | Art. 5 let. c ch. 4 nLPD |
| Notification violation | 72 h au superviseur | « Dans les meilleurs délais » au PFPDT |
| Transferts hors CH/UE | Clauses standard + DPA | Pays adéquat ou garanties contractuelles |
AI Act et effet extraterritorial sur PME suisses
Beaucoup de dirigeants suisses pensent que l'AI Act ne les concerne pas. C'est une erreur. Le règlement européen s'applique aux « outputs » utilisés dans l'UE : dès qu'un voicebot suisse traite des résidents UE (appels sortants vers la France, clients allemands, touristes italiens), il entre dans le champ.
Concrètement, pour une bijouterie genevoise haut de gamme qui reçoit 40 % d'appels touristiques européens, ou pour une banque privée romande avec clientèle UE, les deux cadres s'empilent.
Hébergement : Suisse vs UE vs hors UE
La nLPD ne fige pas la localisation en Suisse. Le droit applicable est celui du pays adéquat. Concrètement :
- Hébergement Suisse : idéal pour données sensibles, souveraineté maximale
- Hébergement UE (Frankfurt, Paris, Dublin) : reconnu adéquat par le PFPDT
- Hébergement US : possible mais nécessite garanties contractuelles renforcées (SCC) et expose au CLOUD Act
Vocalis AI combine stack UE (AWS eu-west-1 Paris) + bare-metal H100 européen, ce qui garantit un régime pleinement reconnu côté PFPDT, détaillé dans notre analyse souveraineté + bare-metal H100 FADP.
Secteurs prioritaires en Suisse romande
- Banque privée et wealth management : données financières sensibles, exigence FINMA, voir offre banque-assurance
- Cabinets d'avocats et notaires : secret professionnel, voir offre métiers du droit
- Cabinets médicaux et cliniques : données santé, voir offre cabinet médical et hôpital
- Agences immobilières luxe : données patrimoniales, voir offre agence immobilière
- Horlogerie et bijouterie : données client haut de gamme, voir offre bijouterie-joaillerie
Check-list FADP pour un agent vocal IA
Validation minimale avant déploiement sur sol suisse :
- Information préalable nLPD art. 19 intégrée au script d'ouverture
- Consentement biométrie voix documenté (art. 5 let. c ch. 4)
- DPA signé avec le fournisseur voicebot, annexe transferts hors CH si applicable
- Registre traitements si >250 salariés ou risque élevé
- DPIA si traitement sensible
- Procédure notification violation PFPDT dans les meilleurs délais
- Droits d'accès, rectification, effacement opérationnels sous 30 jours
- Hébergement en zone adéquate (CH, UE)
- Logs décisionnels exportables et rétention configurable (voir docs sécurité RGPD)
- Cross-check AI Act si clientèle UE (voir article 50 AI Act agents vocaux)
Citations autorités et cabinets
Selon l'analyse Deloitte Switzerland Digital Trust 2026, les PME romandes qui anticipent la conformité nLPD + AI Act avant T3 2026 réduisent leur coût de mise en conformité de 37 % par rapport aux retardataires. Le rapport McKinsey Global Institute sur la valeur de l'IA générative confirme l'avantage compétitif de la conformité précoce : +11 % sur le NPS et +6 % sur la rétention client.
Vocalis AI : conformité FADP + AI Act + RGPD by design
Notre plateforme est opérée par VOCALIS AI () depuis une infrastructure UE (AWS eu-west-1 Paris + bare-metal H100). Les clients suisses bénéficient :
- DPA signé nLPD-compliant + annexe biométrie voix
- Script d'ouverture AI Act art. 50 + information nLPD art. 19 pré-câblé
- Agents sectoriels pré-réglés pour banque-assurance, avocats-notaires, cabinets médicaux
- Hébergement souverain UE reconnu adéquat par le PFPDT
- Support francophone + multilingue FR-CH, IT, DE 40+ langues
Pour aller plus loin sur notre approche souveraine : comparatif IA vocale Suisse et nLPD et benchmark Vocalis vs Fonio AI Suisse.
FAQ : FADP / nLPD et IA vocale en Suisse
La nLPD oblige-t-elle à héberger en Suisse ?
Non : un hébergement dans un pays adéquat (UE, UK post-adequacy) est accepté. La Suisse reste recommandée pour les données très sensibles (santé, défense, banque privée).
Un agent vocal IA est-il considéré comme « traitement automatisé » au sens art. 21 nLPD ?
Oui, dès qu'il prend une décision (ex. qualifier un lead, refuser un rappel). L'interlocuteur a un droit d'information et d'opposition.
Faut-il un consentement pour enregistrer un appel en Suisse ?
Oui, sauf motif justifiant l'intérêt légitime. Dans tous les cas, information préalable obligatoire (art. 19 nLPD + 179 CP sur l'enregistrement sans consentement).
Quelles sanctions en cas de violation nLPD ?
Jusqu'à 250 000 CHF à la personne physique responsable. Les sanctions visent les personnes, pas la société, ce qui engage directement le dirigeant.
Un voicebot Vocalis est-il PFPDT-ready ?
Oui : DPA, registre, DPIA template, script conforme, hébergement UE adéquat. Nos équipes accompagnent les cabinets d'avocats romands sur la documentation complète.
Comment gérer un client UE et un client suisse sur le même agent ?
Un script multi-juridictionnel + consentements différenciés + logs séparés par juridiction. Vocalis le propose nativement.
Quid des données biométriques voix (art. 5 let. c ch. 4) ?
Traitement soumis à consentement explicite et documenté. Notre DPA inclut l'annexe biométrie voix pré-rédigée.
Envie de tester VOCALIS AI ?
Réservez une démo personnalisée et découvrez en direct comment notre IA vocale émotionnelle transforme vos conversations.
Réserver une démo
