Comprendre pour maîtriser

Les risques de l'IA en entreprise, en Suisse

L'IA crée de la valeur, mais comporte des risques réels : erreurs, fuites de données, dépendance, manque de traçabilité. On vous aide à les maîtriser côté technique et opérationnel.

Hébergement européenDonnées protégéesActions auditables

14'053+ sites créés ces 30 derniers jours

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
Hébergement européen
Données protégées
Actions auditables

Une part croissante des entreprises suisses ont déjà déployé l'IA à grande échelle. Pourtant, seule une minorité d'entre elles ont établi des règles claires sur les données que leurs collaborateurs peuvent confier à ces outils. L'écart entre adoption et gouvernance crée une zone de vulnérabilité réelle : juridique, opérationnelle et stratégique. Ce guide recense les risques concrets, explique le cadre légal applicable en Suisse et propose des pistes d'action.

14'053+
sites créés ces 30 derniers jours
16
langues
100%
hébergement UE
0
US cloud

Les vrais risques, et comment on les traite

Pas de panique, des garde-fous concrets.

Erreurs et hallucinations

Les modèles peuvent se tromper. On ajoute des validations, des vérifications et des limites claires pour éviter les dérapages.

Sécurité des données

On travaille sur infrastructure européenne, sans envoyer vos données à des API tierces, pour réduire la surface de risque.

Traçabilité

Chaque action automatisée est journalisée et auditable, pour savoir qui a fait quoi et quand.

Dépendance maîtrisée

Modèles open source et architecture portable : pas de verrou à un fournisseur unique.

Panorama des risques : quatre familles à connaître

Les risques liés à l'IA en entreprise ne sont pas monolithiques. Ils se répartissent en quatre familles distinctes, chacune avec ses causes, ses conséquences et ses leviers de maîtrise. Comprendre cette cartographie est la première étape avant tout déploiement.

  • Risques juridiques : non-conformité LPD, responsabilité civile, exposition à l'AI Act européen
  • Risques opérationnels : erreurs, hallucinations, pannes, dépendance systémique
  • Risques éthiques : biais algorithmiques, discrimination, atteinte aux droits fondamentaux
  • Risques stratégiques : lock-in fournisseur, fuite de compétences, absence de gouvernance

Risques juridiques : LPD, Code des obligations et AI Act

La Suisse ne dispose pas encore d'une loi spécifique sur l'IA. L'approche retenue est celle de la neutralité technologique : les lois existantes s'appliquent. Cela signifie que trois corpus légaux encadrent directement l'usage de l'IA en entreprise.

La nouvelle Loi fédérale sur la protection des données (nLPD, entrée en vigueur en septembre 2023) est directement applicable aux traitements par IA. Elle impose transparence sur la finalité et les sources de données, analyse d'impact en cas de risques élevés, et droit à la révision humaine des décisions automatisées (art. 21 nLPD). Les sanctions peuvent atteindre 250'000 CHF et engagent la responsabilité personnelle des dirigeants.

Le Code des obligations (art. 41 CO) impose à l'entreprise utilisatrice de réparer tout dommage causé par un système IA qu'elle exploite. L'entreprise est responsable, pas le système. La Loi fédérale sur la responsabilité du fait des produits (LRFP) peut également s'appliquer si l'IA est qualifiée de composant défectueux.

L'AI Act européen, adopté en mars 2024 et entrant progressivement en application jusqu'en 2026, concerne directement les entreprises suisses qui opèrent sur le marché européen ou dont les systèmes IA sont déployés dans l'UE. Il classe les IA en quatre niveaux de risque (inacceptable, élevé, limité, minimal) et impose des obligations de documentation, d'audit et de marquage CE pour les systèmes à risque élevé.

  • nLPD : sanctions jusqu'à 250'000 CHF, responsabilité personnelle des dirigeants
  • Art. 21 nLPD : droit d'opposition aux décisions automatisées et révision humaine obligatoire
  • Art. 41 CO : l'entreprise utilisatrice est juridiquement responsable des dommages causés par l'IA
  • AI Act : 4 niveaux de risque, obligations de documentation et d'audit pour les systèmes à risque élevé
  • Les entreprises suisses exportant vers l'UE ou utilisant des IA de fournisseurs UE sont concernées par l'AI Act
  • Absence de loi suisse spécifique : approche sectorielle progressive attendue 2027

Risques opérationnels : erreurs, hallucinations et dépendance

L'IA générative produit des résultats statistiquement probables, pas nécessairement exacts. Le phénomène d'hallucination, où le modèle génère des informations fausses présentées avec assurance, est documenté dans tous les grands modèles actuels. En contexte professionnel, cela peut se traduire par des contrats mal rédigés, des analyses financières erronées, des réponses clients incorrectes ou des décisions médicales défaillantes.

La dépendance opérationnelle est un risque souvent sous-estimé. Lorsqu'un processus critique repose entièrement sur un système IA d'un fournisseur externe, une panne, une modification des conditions d'utilisation ou une augmentation tarifaire peut désorganiser l'activité. Sans plan de continuité, la vulnérabilité est structurelle.

  • Hallucinations : informations fausses présentées avec confiance, risque en rédaction juridique, analyse et conseil
  • Erreurs en cascade : une décision automatisée erronée peut déclencher des actions sans intervention humaine
  • Dépendance systémique : arrêt ou modification du service par le fournisseur sans préavis suffisant
  • Absence de traçabilité : impossibilité de reconstituer le raisonnement ayant conduit à une décision
  • Qualité des données d'entraînement : données biaisées ou obsolètes produisent des résultats non fiables
  • Surconfiance des utilisateurs : les collaborateurs acceptent les sorties IA sans vérification critique

Risques éthiques : biais algorithmiques et discrimination

Un modèle entraîné sur des données historiques hérite des biais de ces données. En contexte de recrutement, d'octroi de crédit, de tarification d'assurance ou d'évaluation de performance, un algorithme biaisé peut conduire à des décisions discriminatoires au sens du droit suisse et européen, même sans intention de nuire.

L'absence de contrôle humain sur ces décisions aggrave le risque : la discrimination n'est pas visible dans le processus, elle n'apparaît que dans les résultats. En Suisse, la nLPD impose que les décisions automatisées ayant des effets juridiques significatifs sur une personne soient soumises à un droit de révision humaine.

  • Biais de représentation : sous-représentation de certains groupes dans les données d'entraînement
  • Discrimination en recrutement, crédit, assurance : risques légaux et réputationnels
  • Opacité des modèles : impossibilité d'expliquer une décision automatisée à la personne concernée
  • Deepfakes et désinformation : usages malveillants des IA génératives contre l'entreprise ou ses partenaires
  • Droits d'auteur : propriété des contenus générés par IA non clarifiée en droit suisse
  • Surveillance des collaborateurs via IA : risques en droit du travail (art. 26 OLT 3)

Risques liés aux données : souveraineté et localisation

La majorité des outils IA grand public (ChatGPT, Copilot, Gemini) traitent les données sur des serveurs localisés aux États-Unis. Lorsqu'un collaborateur saisit des informations confidentielles, des données clients, des secrets commerciaux ou des données personnelles dans ces outils, ces données quittent le périmètre de l'entreprise et potentiellement la juridiction suisse et européenne.

La puissance de calcul mondiale reste très largement concentrée aux États-Unis, laissant l'Europe dans une dépendance structurelle aux hyperscalers américains. Cette réalité crée un risque de souveraineté que les entreprises suisses, notamment dans les secteurs réglementés (finance, santé, assurance, administration), ne peuvent plus ignorer.

L'hébergement des données est un critère de sécurité, pas seulement de confort. Des alternatives existent, notamment des modèles open source hébergés sur infrastructure européenne, qui permettent de traiter des données sensibles sans les transférer hors de l'UE.

  • Transfert de données hors UE via outils IA grand public : non-conformité potentielle nLPD
  • Secrets commerciaux et données clients exposés dans des modèles entraînés sur les saisies utilisateurs
  • Dépendance aux hyperscalers US (AWS, Azure, GCP) : risque géopolitique et réglementaire
  • Modèles open source sur infrastructure UE : alternative concrète pour données sensibles
  • Réutilisation des données à des fins d'entraînement : vérifier les conditions d'utilisation de chaque outil
  • Localisation des données : critère de conformité pour secteurs réglementés (FINMA, Swissmedic)

Risques stratégiques : gouvernance absente et lock-in

De nombreuses entreprises suisses ont adopté l'IA, mais la stratégie reste souvent à la traîne. L'adoption sans gouvernance est elle-même un risque : les usages se multiplient de manière non coordonnée, les responsabilités restent floues, et aucun cadre ne définit quelles données peuvent être partagées avec quels outils.

Le lock-in fournisseur est une forme de dépendance stratégique. Lorsque les processus d'une entreprise reposent sur un outil IA propriétaire, migrer vers une alternative devient coûteux, risqué et techniquement complexe. À terme, le fournisseur dispose d'un pouvoir de marché qui érode la capacité de négociation de l'entreprise.

Le manque de compétences internes est l'un des premiers obstacles à une adoption structurée. Les PME ne peuvent généralement pas constituer seules une équipe de gouvernance IA. L'accompagnement externe, qu'il soit conseil, formation ou prestataire technique, est donc un facteur de réduction du risque, pas un luxe.

  • Absence de politique IA interne : usages non contrôlés, responsabilités floues
  • Lock-in fournisseur : dépendance à un outil propriétaire difficile à substituer
  • Fuite de compétences : collaborateurs formés à un outil spécifique, pas au raisonnement IA
  • Résistance interne : facteur humain sous-estimé, adoption superficielle sans adhésion
  • Coût de migration : changement de plateforme IA sous-estimé dans les calculs de ROI
  • Absence de métriques de performance : impossible de savoir si l'IA apporte réellement de la valeur

Cadre réglementaire suisse : ce qui s'applique aujourd'hui

La Suisse opte pour une approche de neutralité technologique : pas de loi IA unique, mais application des lois sectorielles existantes. Concrètement, en 2025-2026, les textes suivants s'appliquent directement aux usages IA en entreprise :

Le PFPDT (autorité fédérale de protection des données) a confirmé que la nLPD est directement applicable aux traitements par IA, sans ambiguïté. L'autorité surveille notamment les cas de reconnaissance faciale, de surveillance comportementale et de traitement de données sensibles par des systèmes automatisés.

Pour les entreprises exposées à l'UE, l'AI Act s'ajoute en couche réglementaire. Les premiers interdictions (niveau de risque inacceptable) sont entrées en vigueur en février 2025. Les obligations pour systèmes à risque élevé s'appliquent progressivement jusqu'en août 2026.

  • nLPD (en vigueur sept. 2023) : applicable immédiatement à tous les traitements IA
  • Code des obligations : responsabilité civile de l'entreprise pour dommages causés par IA (art. 41)
  • LRFP : responsabilité du fait des produits si l'IA est composant défectueux
  • FINMA (finance) : exigences spécifiques sur les modèles de scoring et décisions automatisées
  • Swissmedic (santé) : dispositifs médicaux utilisant l'IA soumis à certification
  • AI Act UE : applicable aux entreprises suisses opérant sur le marché UE, progressivement jusqu'en 2026
  • Réglementation suisse spécifique IA : en cours de consultation, attendue 2027

Sept recommandations pratiques pour maîtriser les risques

La gestion des risques IA n'exige pas de tout arrêter ni de tout refaire. Elle demande une approche structurée, proportionnée à la taille et au secteur de l'organisation. Voici les étapes prioritaires identifiées par les praticiens suisses du domaine.

  • Cartographier les usages : inventorier tous les outils IA utilisés dans l'organisation, y compris les usages informels des collaborateurs
  • Classifier les données : distinguer données publiques, internes, confidentielles et personnelles, et définir ce qui peut aller dans quel outil
  • Rédiger une politique IA interne : définir les usages autorisés, les responsables, les cas interdits et les procédures de validation
  • Documenter les décisions automatisées : maintenir un registre des usages IA ayant un effet sur des personnes (recrutement, crédit, évaluation)
  • Former les collaborateurs : sensibiliser aux hallucinations, aux biais et aux réflexes de vérification, pas seulement à l'usage des outils
  • Réviser les contrats fournisseurs : vérifier les clauses de réutilisation des données, de localisation et de responsabilité
  • Planifier la continuité : définir que faire si un outil IA devient indisponible ou si ses résultats s'avèrent défaillants

L'approche Kleap : IA d'entreprise avec maîtrise des risques

Pour les entreprises suisses qui souhaitent déployer des outils IA métier, portails clients, logiciels internes ou agents IA sans transférer leurs données à des hyperscalers américains, Kleap propose une approche basée sur trois principes.

Premier principe : infrastructure européenne. Les déploiements s'appuient sur Hetzner (Allemagne, certifié ISO 27001) et des modèles open source dont les données ne quittent pas l'UE et ne sont pas réutilisées pour entraîner des modèles tiers.

Deuxième principe : accompagnement. Kleap ne vend pas un outil, mais propose un résultat livré par une équipe. Trois voies sont disponibles : construction clé en main via l'agence partenaire Lionscreative, mise en relation avec un prestataire spécialisé, ou déploiement Kleap Entreprise en mode guidé.

Troisième principe : traçabilité. Les actions des systèmes IA déployés sont auditables. Les dirigeants peuvent documenter les décisions pour répondre aux exigences nLPD et préparer une conformité AI Act.

  • Hébergement Hetzner (DE/UE, certifié ISO 27001) : données traitées en Europe, non réutilisées
  • Modèles open source : pas de dépendance à un fournisseur propriétaire unique
  • Accompagnement agence (Lionscreative) : responsabilité partagée sur la livraison
  • Traçabilité des actions IA : auditabilité pour conformité nLPD
  • Pas de transfert de données clients vers des APIs tierces non contractualisées
  • Déploiement progressif : pilote sectoriel avant généralisation

Comment aborder les risques IA en 5 étapes

01

1. Cartographier

Inventorier tous les outils IA en usage dans l'organisation, y compris les usages informels. Identifier les données qui y sont saisies. Cette étape prend généralement quelques semaines et révèle souvent des usages non validés par la direction.

02

2. Classifier

Distinguer les données par niveau de sensibilité : publiques, internes, confidentielles, personnelles au sens nLPD. Définir quelles données peuvent aller dans quels outils selon leur localisation et leurs conditions d'utilisation.

03

3. Cadrer

Rédiger une politique IA interne simple définissant les usages autorisés, les responsables, les cas interdits et les procédures en cas d'incident. La faire valider par la direction et communiquer à tous les collaborateurs.

04

4. Former

Former les collaborateurs aux réflexes de vérification : comprendre ce qu'est une hallucination, savoir quand ne pas faire confiance à une sortie IA, savoir escalader un doute. La compétence critique est plus utile que la maîtrise d'un outil.

05

5. Auditer

Mettre en place un processus de revue périodique des usages IA : qualité des résultats, incidents, évolution réglementaire. Documenter les décisions automatisées significatives. Prévoir un point annuel avec le conseil ou la direction sur la gouvernance IA.

IA grand public vs IA entreprise souveraine : les différences qui comptent

Pour les cas d'usage professionnels impliquant des données sensibles, toutes les approches IA ne présentent pas le même niveau de risque. Voici les critères qui distinguent un déploiement maîtrisé d'un usage non contrôlé.

CritèreOutils grand public (ChatGPT, Copilot...)IA entreprise souveraine (Kleap)
Localisation des donnéesServeurs US, transfert hors UEInfrastructure UE (Hetzner DE, certifié ISO 27001)
Réutilisation des donnéesPossible selon CGU, variableNon, données non réutilisées
Modèle IA utiliséPropriétaire, opaqueOpen source, traçable
Traçabilité des décisionsLimitée ou absenteActions auditables
Conformité nLPDÀ vérifier cas par casConçu pour conformité nLPD
Dépendance fournisseurForte : conditions modifiables unilatéralementLimitée : open source substituable
AccompagnementAuto-service, documentation en ligneÉquipe dédiée, livraison assurée

Souveraineté

Réduire le risque en gardant la main

Le premier risque, c'est de perdre le contrôle de ses données. On l'évite par construction.

Hébergement européen

Infrastructure en Europe (Hetzner), pas de cloud US.

Données protégées

Vos données ne servent pas à entraîner de modèle tiers.

Actions auditables

Journalisation complète des traitements automatisés.

L'écosystème local

Suisse romande : forte présence de PME dans les secteurs manufacturier, horloger, financier et santé, tous concernés par des exigences sectorielles spécifiques sur les données
Genève : secteur financier et international, exposition directe à l'AI Act via les filiales UE
Vaud et arc lémanique : tissu de PME tech et de startups, adoption IA précoce mais gouvernance souvent absente
Fribourg et Valais : secteurs industriels et agroalimentaires, enjeux de traçabilité et qualité des décisions automatisées
Neuchâtel : horlogerie et microtechnique, propriété intellectuelle et secrets industriels particulièrement sensibles
Contexte culturel romand : prudence face au risque, préférence pour les partenariats locaux et l'accompagnement personnalisé

Questions fréquentes

La Suisse a-t-elle une loi spécifique sur l'IA ?

Non. La Suisse adopte une approche de neutralité technologique : les lois existantes s'appliquent. La nLPD (protection des données), le Code des obligations (responsabilité civile) et les régulations sectorielles (FINMA, Swissmedic) encadrent les usages IA. Une réglementation spécifique est attendue progressivement à partir de 2027.

L'AI Act européen s'applique-t-il aux entreprises suisses ?

Oui, pour les entreprises qui opèrent sur le marché européen ou dont les systèmes IA sont utilisés dans l'UE. L'AI Act a un champ d'application extraterritorial similaire au RGPD : si votre produit ou service touche des personnes dans l'UE, vous êtes concerné.

Quelles sont les sanctions prévues par la nLPD en cas d'infraction liée à l'IA ?

La nLPD prévoit des sanctions pénales allant jusqu'à 250'000 CHF. Ces sanctions s'appliquent aux personnes physiques responsables (dirigeants, responsables de traitement), pas uniquement à l'entreprise en tant qu'entité.

Mon entreprise est-elle responsable des erreurs commises par un système IA qu'elle utilise ?

Oui. En droit suisse, l'entreprise utilisatrice est considérée comme responsable des dommages causés par les systèmes IA qu'elle exploite, sur la base de l'art. 41 CO (responsabilité extracontractuelle). Ce n'est pas le système IA ni son éditeur qui est responsable, mais l'organisation qui décide de l'utiliser.

Que se passe-t-il si un collaborateur entre des données confidentielles dans ChatGPT ?

Ces données quittent le périmètre de l'entreprise et sont transférées sur des serveurs américains. Selon les conditions d'utilisation, elles peuvent être utilisées pour améliorer les modèles. En l'absence de contrat de traitement des données (DPA), cela constitue probablement une violation de la nLPD si les données concernées sont des données personnelles ou des données client.

Comment gérer les biais algorithmiques dans les décisions RH ?

En maintenant une supervision humaine systématique sur toutes les décisions de recrutement, d'évaluation ou de promotion impliquant un système IA. La nLPD impose un droit de révision humaine pour les décisions automatisées ayant des effets significatifs sur une personne. Documenter le processus est essentiel en cas de contestation.

Qu'est-ce que la souveraineté des données IA et pourquoi est-ce important ?

La souveraineté des données signifie que vos données sont traitées dans une juridiction dont vous maîtrisez les règles, par des systèmes dont vous contrôlez le fonctionnement. Pour les entreprises suisses dans les secteurs réglementés, cela implique de choisir des outils IA hébergés en UE, utilisant des modèles open source, avec des conditions de traitement contractualisées.

Quelle est la première chose à faire pour réduire les risques IA dans mon entreprise ?

Cartographier les usages existants. La plupart des organisations découvrent lors de cet exercice que de nombreux collaborateurs utilisent déjà des outils IA de manière non encadrée. Cette cartographie permet ensuite de prioriser les actions (politique interne, formation, choix d'outils adaptés) selon le niveau de risque réel.

Les PME sont-elles vraiment concernées par les risques IA, ou est-ce surtout un enjeu de grandes entreprises ?

Les PME sont tout autant concernées, parfois davantage : elles ont moins de ressources pour gérer un incident, moins de capacité juridique interne et une plus grande dépendance à un nombre restreint d'outils. Une part importante des très petites entreprises n'a pas encore mis en place de règles claires sur les données confiées aux outils IA.

Comment choisir un prestataire IA fiable pour mon entreprise en Suisse ?

Trois critères essentiels : la localisation des données (infrastructure UE de préférence), la clarté contractuelle sur la réutilisation des données (DPA signé, finalité limitée), et la traçabilité des décisions IA (capacité à documenter et expliquer les sorties du système). Vérifier aussi que le prestataire peut accompagner sur la durée, pas seulement livrer un outil.

Déployez l'IA sans mauvaise surprise

Parlons de vos craintes et de votre contexte. On met les bons garde-fous en place.

Demander une démo personnalisée

Parlez-nous de votre équipe et on vous recontacte sous 24h.

Nous ne partageons jamais vos informations. Réponse sous 24h.

Risques de l'IA en entreprise en Suisse | Les maîtriser