Vous envisagez de confier certaines tâches à l'intelligence artificielle. La question surgit rapidement, et elle est légitime : que devient ce que vous lui transmettez ? Les contrats, les chiffres, les échanges clients, les données RH — ces informations qui font l'épaisseur confidentielle de votre entreprise. Comprendre les fondamentaux de l'IA en entreprise passe inévitablement par là : non pas par la méfiance, mais par la lucidité.
Ce que les éditeurs présentent rarement clairement, nous allons l'exposer avec franchise. Parce qu'une décision éclairée vaut mieux qu'un enthousiasme sans fond.
Ce que l'IA fait de vos données — et ce qu'elle n'en fait pas
La confusion la plus répandue tient à un amalgame : utiliser un instrument d'IA ne signifie pas automatiquement entraîner un modèle avec vos données. Ce sont deux réalités distinctes.
Lorsque vous interrogez un modèle comme GPT-4 ou Claude via une interface grand public, votre texte transite par les serveurs de l'éditeur. Selon les conditions d'utilisation — et elles varient selon que vous utilisez la version gratuite ou une offre professionnelle — ces données peuvent ou non être utilisées pour améliorer le modèle. L'interface professionnelle de la plupart des grands éditeurs prévoit explicitement que les données ne sont pas réutilisées à des fins d'entraînement. Mais « prévu » n'est pas « garanti à vie sans vérification ».
La distinction opérationnelle à retenir : qui héberge, qui traite, qui conserve. Un instrument déployé sur votre propre infrastructure ou chez un prestataire dont les serveurs sont en Suisse ou dans l'Union européenne n'obéit pas aux mêmes règles qu'un service américain soumis au Cloud Act. Ce détail juridique a des conséquences concrètes sur votre exposition.
Les trois niveaux de sensibilité à distinguer
Toutes les données d'entreprise ne méritent pas la même vigilance. Une grille simple aide à décider ce que vous confiez à quel instrument :
- Données publiques ou semi-publiques : descriptifs de prestations, contenus marketing, textes de procédures internes non stratégiques. L'IA peut les traiter sans précaution particulière.
- Données sensibles métier : offres chiffrées, données financières, stratégies commerciales, coordonnées clients. Elles requièrent un instrument dont vous connaissez précisément la politique de conservation et le lieu d'hébergement.
- Données protégées par la loi : données personnelles au sens du RGPD ou de la nLPD suisse (en vigueur depuis septembre 2023), données médicales, données RH individuelles. Leur traitement par une IA engage votre responsabilité juridique et impose des garanties contractuelles avec votre fournisseur.
Cette classification n'est pas une formalité — c'est le premier acte d'une politique IA sérieuse. Elle permet d'agir sans paralyser : la grande majorité des gains de productivité se trouve dans la première et la deuxième catégorie.
La nLPD suisse : ce que les PME doivent comprendre
Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données s'applique à toute entreprise suisse traitant des données personnelles. Son niveau d'exigence se rapproche sensiblement du RGPD européen.
Pour une PME qui déploie des instruments d'IA, cela se traduit par trois obligations concrètes :
- Informer les personnes concernées lorsque leurs données sont traitées automatiquement de manière à produire des décisions les affectant.
- Documenter les traitements (registre des activités de traitement), en particulier lorsqu'un tiers — l'éditeur du modèle — est impliqué dans la chaîne.
- Contractualiser avec les sous-traitants : si votre cabinet utilise un instrument IA hébergé hors de Suisse, un accord de traitement des données (ATD) doit être formalisé.
Ces obligations ne visent pas à décourager l'adoption de l'IA. Elles posent simplement un cadre dans lequel l'intégration intelligente est possible. Le système Affinités est précisément conçu pour opérer dans ce cadre — en vous évitant de l'appréhender seul.
Confidentialité et adoption : sortir du faux dilemme
Une idée reçue circule dans les directions générales : se protéger rigoureusement et adopter l'IA efficacement seraient deux ambitions incompatibles. La réalité est plus nuancée.
Les cas d'usage les plus porteurs pour une PME — rédaction, synthèse documentaire, gestion des relances, préparation de rapports — mobilisent rarement les données les plus sensibles. Un artisan qui automatise ses confirmations de rendez-vous n'expose pas ses marges. Un cabinet qui fait synthétiser ses notes de réunion par un instrument local ne compromet pas ses dossiers clients.
La prudence intelligente, ce n'est pas le refus : c'est le périmètre. Définir ce périmètre clairement, en connaissance des niveaux de sensibilité, libère une surface d'action considérable — sans exposition inutile. Trois heures gagnées chaque semaine sur des tâches à faible risque représentent, sur une année, l'équivalent de plusieurs semaines de travail récupérées.
La confidentialité n'est pas un frein à l'intelligence artificielle : c'est le sol ferme sur lequel une adoption durable peut tenir.
Ce que révèle un premier audit de votre situation
La difficulté n'est pas de comprendre les principes — vous venez de le faire. Elle est de les appliquer à votre contexte précis : votre secteur, votre taille, vos flux de données réels, vos prestataires actuels. Un fiduciaire de quinze collaborateurs à Lausanne n'a pas les mêmes expositions qu'un hôtel indépendant en Valais ou qu'un cabinet médical à Genève.
Identifier vos cas d'usage prioritaires, cartographier vos données sensibles, évaluer vos instruments existants à l'aune de ces fondamentaux — c'est précisément ce que réalise le Scanner IA : un premier regard structuré sur votre situation, offert, pour que vous sachiez exactement où vous en êtes avant de décider quoi que ce soit.