Demande d’accès LPD et IA : faut-il remettre les prompts et outputs qui parlent d’une personne ?
Avec l’usage interne d’assistants IA et de copilots, une demande d’accès selon la LPD peut viser des tickets, des résumés automatiques, des notes et même des prompts. Voici une méthode pragmatique pour répondre correctement, sans surdivulguer et sans exposer des secrets d’affaires ou des données de tiers.

Équipe JuriUp
Contenu préparé par JuriUp, pour aider les entreprises en Suisse romande à gérer des demandes LPD liées aux usages d’assistants IA.
Risque principal
Surdivulgation
Enjeu opérationnel
Recherche multi-outils
Bon réflexe
Caviardage documenté
Bon à savoir
Une demande d’accès LPD ne se limite pas aux “bases de données RH”. Avec l’IA, elle peut viser des contenus diffus et inattendus, par exemple une synthèse automatique dans un outil de tickets, des notes de réunion, ou des extraits copiés dans un prompt. Quand la situation est sensible, faites cadrer la réponse par un expert juridique via JuriUp.
1. Qualifier la demande et sécuriser le canal
Avant même de “partir à la chasse aux prompts”, commencez par qualifier la demande. En pratique, vous voulez éviter deux erreurs classiques : répondre trop vite avec des documents incomplets, ou transmettre des éléments à la mauvaise personne.Ce que vous clarifiez en interne
- Qui est le point de contact (souvent le service RH, la direction, ou le responsable protection des données) et qui valide la réponse.
- Quelle période est visée, si la demande est très large. Si rien n’est précisé, vous pouvez proposer un cadrage raisonnable et documenté.
- Quels systèmes sont concernés : outils IA, outils métier, stockage documentaire, messagerie, gestion des tickets.
Ce que vous demandez au requérant
Vous pouvez, de manière courtoise, demander des précisions sur le contexte : relation employé, client, fournisseur, candidat, ou autre. Cela aide à cibler la recherche. Et surtout, sécurisez le canal de remise. Selon votre contexte, cela peut passer par une remise chiffrée, un espace sécurisé, ou une consultation sur place.Astuce JuriUp
Si la demande évoque explicitement “prompts et outputs IA”, traitez-la comme un dossier à risque. Le tri est faisable, mais il doit être structuré. Vous pouvez créer un dossier gratuit sur JuriUp et demander à un juriste ou à un avocat spécialisé de cadrer votre plan de réponse.
2. Où chercher : cartographier les “traces IA”
Avec l’IA, les données personnelles peuvent se retrouver à plusieurs endroits, parfois sans que votre entreprise l’ait anticipé. La demande d’accès devient alors un exercice de cartographie.Sources fréquentes côté “prompts”
- Historique de conversations dans un assistant IA interne ou d’entreprise.
- Prompts copiés dans des tickets (support, IT, sécurité, conformité).
- Notes préparatoires saisies avant une synthèse, une traduction, ou une reformulation.
- Fichiers importés dans l’outil IA, selon les fonctionnalités activées.
Sources fréquentes côté “outputs”
- Résumés automatiques de réunions et comptes rendus.
- Rédactions assistées d’emails, de lettres, ou de réponses clients.
- Rapports ou synthèses générés puis enregistrés dans un drive, un outil RH, ou un CRM.
- Commentaires ajoutés dans un outil collaboratif après génération.
Attention aux “copiés-collés”
Une part importante des données personnelles en lien avec l’IA vient des copiés-collés faits par des collaborateurs dans un prompt. Cela veut dire que votre recherche ne doit pas se limiter à l’outil IA. Elle doit aussi couvrir les endroits où ces prompts ont pu être conservés, par exemple des tickets, des documents de travail, ou des emails internes.
3. Quoi extraire : données personnelles vs contenu technique
Une demande d’accès LPD vise les données personnelles traitées par votre entreprise. Or un prompt peut contenir un mélange : des données sur la personne, des éléments sur d’autres personnes, et des instructions techniques sans intérêt pour la finalité du droit d’accès.Ce qui est souvent “pertinent”
- Mentions directes de la personne : nom, coordonnées, identifiant interne, rôle, historique de contact.
- Appréciations, évaluations, commentaires ou synthèses qui se rapportent à la personne, par exemple dans un contexte RH ou client.
- Décisions ou recommandations internes qui ont un impact et qui sont documentées sous forme de texte dans un output.
- Contexte factuel dans lequel la personne apparaît, si cela correspond à une donnée personnelle au sens courant de la protection des données.
« Un bon tri ne cherche pas à cacher des informations. Il cherche à remettre les données personnelles de la personne, sans livrer inutilement des données de tiers, des secrets d’affaires ou des fragments techniques qui n’apportent rien. »
Équipe JuriUp
Repère utile
Si vous devez gérer une demande d’accès de manière structurée, vous pouvez aussi consulter notre ressource sur le droit d’accès LPD, qui explique le principe et les attentes générales. Pour un cas concret avec prompts IA, un avis personnalisé reste souvent indispensable.
4. Caviarder sans se tromper : méthode et réflexes
Le mot clé, ici, est “caviardage” : vous remettez le document, mais vous masquez ce qui ne doit pas être communiqué. En Suisse, c’est souvent la voie la plus sûre pour concilier droit d’accès et protection des tiers, tout en évitant de révéler des éléments internes sensibles.Méthode simple en 4 passes
- Identifiez les passages où la personne est mentionnée ou clairement identifiable.
- Repérez les tiers : collègues, clients, autres employés, témoins, ou toute personne apparaissant dans le même prompt ou output.
- Repérez les zones “système” : instructions, gabarits de prompts, identifiants techniques, liens internes, ou éléments qui exposent votre sécurité.
- Caviardez, puis vérifiez que le caviardage est irréversible dans le fichier transmis.
Ce que vous documentez
Gardez une version de travail, une version remise, et une courte note interne expliquant votre logique. Cela vous protège en cas de discussion sur l’étendue de la remise. Si une partie est masquée, vous pouvez indiquer, de manière générale, qu’il s’agit de données de tiers, ou d’éléments internes sensibles, sans forcément entrer dans des détails qui recréeraient le problème.Piège fréquent : le faux caviardage
Masquer visuellement du texte dans un PDF ne suffit pas toujours. Assurez-vous que le contenu ne peut pas être récupéré par simple copie ou extraction. Si vous n’êtes pas certain de votre chaîne d’outils, faites valider le format de remise par un expert juridique ou votre équipe IT.
Quand il faut se faire accompagner
Si votre dossier implique un conflit, un risque réputationnel, ou un désaccord interne sur ce qui doit être communiqué, passez par JuriUp. Vous pouvez trouver un avocat adapté à votre situation, ou décrire votre situation et recevoir un cadre de réponse rapidement.
Résumé rapide à retenir
Vous devez répondre à une demande d’accès LPD liée à l’IA ?
Décrivez votre situation en quelques lignes. JuriUp vous met en relation avec un expert juridique en Suisse romande, en fonction de votre canton et de la sensibilité du dossier. Vous gagnez du temps, vous sécurisez le périmètre de recherche, et vous évitez la surdivulgation.
Questions fréquentes
-
Une entreprise doit-elle toujours remettre le prompt complet qui contient le nom d’une personne ?
Pas forcément. Selon la législation suisse, l’accès porte sur les données personnelles de la personne. En pratique, on remet souvent un extrait pertinent ou une version caviardée, surtout si le prompt contient des données de tiers, des informations internes sensibles, ou des éléments sans lien avec la personne.
-
Les outputs IA comme des résumés ou des “notes automatiques” sont-ils des données personnelles ?
Souvent oui, au moins en partie, si l’output décrit la personne, l’évalue, ou la rend identifiable. Le bon réflexe est de traiter ces documents comme n’importe quelle note interne, puis de trier et caviarder si nécessaire.
-
Peut-on refuser l’accès au motif que l’IA est un outil et que “ce n’est pas une base de données” ?
En règle générale, non. Une demande d’accès vise le traitement de données personnelles, quel que soit l’outil. Si l’IA a généré ou stocké des contenus contenant des données personnelles, il faut en tenir compte dans la recherche.
-
Comment gérer un prompt qui contient aussi une stratégie commerciale ou des secrets d’affaires ?
La voie pragmatique est le caviardage ciblé. Vous remettez ce qui concerne la personne, et vous masquez ce qui relève d’éléments internes sensibles ou de données de tiers. Quand la frontière est difficile, faites valider la réponse par un avocat spécialisé via JuriUp.
-
Quels sont les risques si l’entreprise remet trop d’informations dans une réponse LPD ?
Le risque principal est de divulguer des données de tiers, ou des éléments internes qui n’auraient pas dû sortir. Cela peut créer un conflit, exposer l’entreprise, et déclencher d’autres demandes ou démarches. Une réponse cadrée et documentée est généralement la meilleure protection.
Textes officiels et ressources utiles