Oui, une PME peut utiliser l'IA générative pour gagner du temps, rédiger, analyser ou automatiser des tâches répétitives. La condition : savoir précisément où vont les données que vous lui confiez, et réserver les outils grand public aux contenus que vous accepteriez de publier sur une affiche.
Que se passe-t-il vraiment quand vous tapez dans ChatGPT ?
Quand vous utilisez un outil IA grand public avec un compte gratuit, votre saisie part sur des serveurs situés hors de Suisse, souvent aux États-Unis. Elle peut y être conservée pour améliorer le modèle, analysée par des équipes humaines dans le cadre du contrôle qualité, et soumise au CLOUD Act américain, qui autorise les autorités fédérales à accéder à ces données sans mandat visible.
Pour une PME suisse, cela couvre concrètement : les contrats en cours, les données RH, les échanges avec des clients, les chiffres financiers, le code source d'un produit ou une stratégie commerciale. Ces données n'appartiennent pas qu'à vous : elles concernent vos clients, vos employés, vos partenaires. Vous restez responsable de leur traitement.
Ce qui ne devrait jamais partir dans un outil IA grand public
Certaines catégories de données méritent une prudence particulière, quelle que soit la réputation de l'outil.
Données à ne jamais coller dans un outil IA grand public :
- Données personnelles de clients (nom, adresse, numéro de client, historique d'achat)
- Données de santé ou données sensibles au sens de la nLPD
- Identifiants, mots de passe, clés API, jetons d'accès
- Contrats, devis, négociations commerciales en cours
- Données RH (salaires, évaluations, dossiers disciplinaires)
- Code source propriétaire ou logique métier confidentielle
- Stratégies d'acquisition, plans de lancement, études non publiées
La règle pratique : si ce texte apparaissait demain dans un moteur de recherche, est-ce que cela poserait un problème ? Si oui, ne l'envoyez pas à un outil IA grand public.
Comptes gratuits, comptes entreprise : quelle différence réelle ?
Les grands éditeurs proposent des offres professionnelles avec des garanties contractuelles différentes. Ces offres méritent d'être distinguées des comptes gratuits.
| Contexte d'usage | Risque pour vos données | Ce qu'il faut faire |
|---|---|---|
| Compte gratuit ChatGPT, Gemini, Copilot | Élevé : données utilisées pour l'entraînement par défaut | Désactiver l'historique, n'utiliser que pour des contenus non sensibles |
| Compte entreprise (ChatGPT Team/Enterprise, Microsoft 365 Copilot avec accord DPA) | Modéré : pas d'entraînement sur vos données selon les contrats, mais stockage hors Suisse | Vérifier l'accord de traitement des données, identifier les sous-traitants |
| Déploiement via API avec modèle open-source hébergé en Suisse | Faible : vos données restent sur votre infrastructure | Recommandé pour les usages sensibles |
| IA hébergée en Suisse (ex. Infomaniak AI Services) | Minimal : données en Suisse, droit suisse applicable | Solution adaptée aux usages professionnels réguliers |
Les offres entreprise de Microsoft ou Google incluent généralement un Data Processing Agreement (accord de traitement des données). Ces accords stipulent que vos données ne servent pas à entraîner les modèles. Ce n'est pas pour autant un blanc-seing : les données restent hébergées hors de Suisse, les sous-traitants peuvent changer, et le CLOUD Act continue de s'appliquer aux entités américaines.
La nLPD et votre responsabilité en tant que PME
La loi fédérale sur la protection des données (nLPD, en vigueur depuis septembre 2023) ne fait pas d'exception pour l'intelligence artificielle. Si vous traitez des données personnelles via un outil IA, vous êtes le responsable du traitement, au même titre que pour votre site web. Cela signifie que vous devez :
- disposer d'une base légale pour traiter ces données (consentement, intérêt légitime, contrat) ;
- informer les personnes concernées si leurs données sont traitées par un système automatisé ;
- conclure un accord de traitement avec tout prestataire externe qui reçoit ces données ;
- être en mesure de répondre à une demande d'accès, de correction ou de suppression.
Le PFPDT publie des orientations spécifiques sur l'IA et la protection des données. Pour les cas complexes impliquant des données sensibles ou des traitements à grande échelle, un avis juridique spécialisé vaut mieux qu'une lecture rapide des conditions générales d'un éditeur.
Les alternatives souveraines : comment ça fonctionne
Trois approches permettent d'utiliser l'IA sans que vos données quittent la Suisse.
Modèles open-source sur votre propre infrastructure. Des modèles comme Mistral, Llama ou Qwen s'installent sur un serveur que vous contrôlez. Vos requêtes ne quittent jamais votre environnement. L'inconvénient : cela demande une infrastructure adaptée et des compétences techniques pour la mise en place.
IA hébergée en Suisse par un fournisseur suisse. Des services comme Infomaniak AI Services proposent des modèles de langage opérés depuis des datacentres en Suisse, soumis au droit suisse. Vous bénéficiez d'une interface ou d'une API sans gérer l'infrastructure, et vos données restent dans le périmètre légal helvétique.
RAG sur vos propres documents. Le RAG (Retrieval-Augmented Generation) est une technique qui permet d'alimenter un modèle IA avec vos propres documents, sans envoyer ces documents à l'extérieur. Concrètement : votre base de connaissances (procédures, catalogue, FAQ) reste sur votre serveur, et le modèle y pioche les informations pertinentes pour répondre à vos questions. Aucune donnée ne « s'échappe » dans le modèle.
Ces solutions ne sont pas réservées aux grandes entreprises. Une PME de dix personnes peut déployer un assistant documentaire souverain pour un coût comparable à un abonnement SaaS.
Checklist pratique : utiliser l'IA proprement en PME
Avant de coller quoi que ce soit dans un outil IA, cinq réflexes à adopter :
- Classer avant de coller. Demandez-vous si la donnée est personnelle, confidentielle ou stratégique. Si oui, choisissez un outil adapté à ce niveau de sensibilité.
- Désactiver l'historique. Sur les outils gratuits, l'option « Ne pas utiliser mes conversations pour améliorer le modèle » existe : activez-la systématiquement.
- Vérifier l'accord de traitement. Si vous utilisez une offre entreprise, lisez le Data Processing Agreement. Identifiez où les données sont stockées et qui y a accès.
- Former vos collaborateurs. Les incidents de confidentialité liés à l'IA viennent rarement des outils, souvent des usages non encadrés. Une règle claire suffit : « aucune donnée client dans un outil grand public. »
- Préférer des alternatives souveraines pour les usages réguliers. Si l'IA devient un outil de travail quotidien, les solutions hébergées en Suisse offrent un cadre légal plus lisible et des risques maîtrisés.
Notre approche chez Anorac Studio
Nous travaillons sur une infrastructure 100 % suisse : sites hébergés sur Infomaniak, données qui restent en Suisse, et quand nous intégrons de l'IA dans un projet client, des modèles opérés depuis la Suisse ou déployés sur infrastructure maîtrisée. Ce choix découle directement de la nLPD et des attentes de nos clients dans des secteurs où la confidentialité n'est pas négociable, la même logique que celle détaillée dans notre article sur un site conforme nLPD dès le départ.
Notre approche de la souveraineté numérique est détaillée sur le site. Vous pouvez aussi lire notre article sur l'hébergement cloud souverain pour les PME et notre analyse de l'IA générative et la communication d'entreprise.
À lire aussi : Consentement cookies : Cookiebot, OneTrust ou solution maison, Checklist nLPD en 10 points, La nouvelle loi nLPD, GA4 et nLPD
Questions fréquentes
ChatGPT utilise-t-il mes données pour s'entraîner ?
Avec un compte gratuit, oui par défaut. Vous pouvez désactiver cette option dans les paramètres (« Améliorer le modèle pour tout le monde »). Avec un compte ChatGPT Team ou Enterprise, OpenAI s'engage contractuellement à ne pas utiliser vos données pour l'entraînement. Mais les données restent hébergées aux États-Unis et soumises au droit américain.
Microsoft 365 Copilot est-il conforme à la nLPD ?
Microsoft propose un accord de traitement des données conforme au RGPD européen, que la Suisse reconnaît partiellement. La nLPD impose des exigences propres, notamment sur le transfert de données vers des États tiers. Un avis juridique est recommandé pour les usages impliquant des données personnelles de clients ou d'employés.
Puis-je utiliser l'IA pour rédiger des emails clients sans risque ?
Oui, à condition que l'email ne contienne pas de données personnelles identifiables (nom, numéro de client, situation spécifique). Si vous rédigez un modèle générique, le risque est faible. Si vous décrivez la situation d'un client précis, passez par un outil souverain ou anonymisez les données avant de les utiliser.
Qu'est-ce que le CLOUD Act et pourquoi cela concerne-t-il une PME suisse ?
Le Clarifying Lawful Overseas Use of Data Act (2018) autorise les autorités fédérales américaines à accéder aux données stockées par des entreprises américaines, où qu'elles se trouvent dans le monde. Si vous utilisez un service d'un éditeur américain, vos données peuvent théoriquement y être soumises, même si elles sont hébergées en Europe ou en Suisse. C'est pourquoi l'hébergement par un fournisseur suisse offre un niveau de protection légale supérieur.
Existe-t-il des outils IA utilisables librement, sans restriction ?
Pour les usages non sensibles, oui : rédiger un texte de présentation générique, résumer un article public, générer des idées de contenu sans données confidentielles. La frontière est entre le contenu que vous publieriez librement et celui qui concerne des personnes ou des informations protégées.
Comment savoir si mon fournisseur IA est conforme à la nLPD ?
Vérifiez trois points : où les données sont-elles stockées (pays) ? Existe-t-il un accord de traitement des données signable ? Quels sous-traitants le fournisseur utilise-t-il ? Si ces informations ne sont pas clairement accessibles dans la documentation, considérez cela comme un signal d'alerte. Le PFPDT publie des orientations à jour sur son site.
Pour discuter de votre projet et de la façon dont nous pouvons vous aider à adopter des outils IA dans un cadre souverain et conforme, contactez-nous.



