Ressources IA

Confidentialité et conformité

Utiliser un outil d'IA, c'est confier du texte à un service externe : avant de coller un document, il faut savoir ce que devient l'information saisie et ce que dit la loi suisse sur la protection des données. Cette page explique simplement les bons réflexes, ce qu'il ne faut jamais saisir, et comment régler ses outils pour travailler de façon responsable. Elle vous donne une check-list concrète et des repères prudents, sans jargon.

Dernière vérification : 19 juin 2026

Pourquoi la confidentialité compte avec les outils d'IA

Quand vous utilisez un assistant d'IA grand public (par exemple via un navigateur ou une application mobile), vous ne discutez pas avec un programme installé sur votre ordinateur. Vous envoyez votre texte à un service en ligne, souvent hébergé à l'étranger, qui traite votre demande sur ses propres serveurs, puis vous renvoie une réponse.

Autrement dit, tout ce que vous écrivez dans la fenêtre de discussion (votre question, mais aussi les documents que vous y collez) quitte votre poste de travail. C'est précisément ce point qui demande de la vigilance : un message anodin n'a pas le même poids qu'un contrat client, un dossier RH ou une liste de patients.

La bonne nouvelle, c'est qu'avec quelques réflexes simples, vous pouvez profiter de ces outils sans exposer d'informations sensibles. L'objectif de cette page n'est pas de vous faire peur, mais de vous donner des repères clairs pour décider, à chaque fois, ce que vous pouvez saisir et ce que vous devez garder pour vous.

L'idée en une phrase

Avant de coller un texte dans un outil d'IA, posez-vous une question simple : serais-je à l'aise si ce contenu était lu par une personne extérieure à mon organisation ? Si la réponse est non, ne le saisissez pas tel quel.

Ce que devient une donnée que vous saisissez

Tout dépend de l'offre que vous utilisez. La distinction la plus importante à connaître est celle entre les offres grand public et les offres entreprise.

Les offres grand public (gratuites ou personnelles)

Avec un compte gratuit ou un abonnement personnel, vos conversations peuvent, selon les réglages et les conditions du service, être conservées par le fournisseur et, dans certains cas, servir à améliorer ou à entraîner ses modèles. Cela signifie que vos textes peuvent être analysés (parfois par des systèmes automatiques, parfois par des personnes chargées de la qualité) pour faire progresser l'outil.

Beaucoup de services proposent désormais un réglage pour refuser cette utilisation, mais il n'est pas toujours activé par défaut, et les pratiques varient d'un éditeur à l'autre. C'est pourquoi un compte grand public ne convient pas pour des données professionnelles sensibles.

Les offres entreprise (professionnelles)

Les offres destinées aux organisations (souvent appelées "entreprise", "équipe", "professionnel" ou "business") s'accompagnent en général d'engagements plus stricts. Dans ces formules, l'éditeur s'engage habituellement à ne pas utiliser vos contenus pour entraîner ses modèles, à mieux encadrer la conservation des données et à offrir des garanties contractuelles adaptées à un usage professionnel.

C'est le type d'offre à privilégier dès que vous manipulez des informations liées à votre activité, à vos collègues, à vos clients ou à vos administrés.

Vérifiez avant de supposer

Les conditions d'usage des données changent souvent et diffèrent selon l'éditeur et l'offre. Ne supposez jamais : vérifiez les réglages de votre compte et les conditions officielles du service, et privilégiez une offre entreprise pour tout usage professionnel.

La nLPD, en quelques repères accessibles

La Suisse dispose d'une loi sur la protection des données (révisée récemment, on parle souvent de "nLPD" pour nouvelle loi sur la protection des données). Sans entrer dans le détail juridique, voici les principes utiles à garder en tête dans un usage professionnel.

  • Les données personnelles sont protégées. Une donnée personnelle, c'est toute information qui se rapporte à une personne identifiée ou identifiable : un nom, une adresse, un numéro, mais aussi un ensemble d'éléments qui, mis bout à bout, permettent de reconnaître quelqu'un.
  • Certaines données sont dites sensibles et demandent une prudence renforcée : par exemple les informations sur la santé, les opinions, l'appartenance syndicale ou religieuse, ou encore les poursuites et sanctions.
  • On ne traite que ce qui est nécessaire, dans un but clair, de façon proportionnée, et les personnes concernées doivent pouvoir savoir ce qu'il advient de leurs données.
  • La transmission de données à l'étranger est encadrée. Confier des données personnelles à un service hébergé hors de Suisse n'est pas interdit, mais cela demande des précautions, surtout pour des données sensibles.
  • La responsabilité reste du côté de votre organisation. Utiliser un outil externe ne vous décharge pas de vos obligations : c'est votre organisation qui répond de la façon dont les données sont traitées.
Cette page n'est pas un avis juridique

Les explications ci-dessus sont une aide pratique de sensibilisation, pas un conseil juridique. Pour toute question concrète, référez-vous d'abord à la politique interne de votre organisation, puis, au besoin, au préposé à la protection des données ou à un conseil juridique compétent.

À ne jamais saisir dans un outil non maîtrisé

Par "outil non maîtrisé", on entend un service dont vous ne contrôlez pas les conditions d'usage des données : typiquement un compte grand public, un outil installé sans validation de votre organisation, ou un service dont vous ignorez ce qu'il fait de vos contenus.

Check-list : à garder hors de l'IA non maîtrisée

Avant de coller quoi que ce soit, vérifiez que votre texte ne contient pas :

  • Des données personnelles de tiers, surtout sensibles : noms associés à une situation, dossiers RH, données de santé, informations sur des clients, des usagers ou des administrés.
  • Des secrets d'affaires et des données financières confidentielles : stratégie, offres en cours, chiffres non publics, contrats, conditions commerciales, propriété intellectuelle.
  • Des identifiants et des mots de passe : codes d'accès, clés, jetons, numéros de carte, tout ce qui ouvre une porte.
  • Des documents soumis à confidentialité contractuelle ou légale : pièces couvertes par un accord de confidentialité, un secret professionnel, un secret de fonction ou une obligation légale de discrétion.

En cas de doute, considérez l'information comme sensible et abstenez-vous.

Comment paramétrer la confidentialité

Quelques réglages simples réduisent fortement les risques. Les libellés exacts varient d'un outil à l'autre, mais l'esprit reste le même.

Désactiver l'utilisation de vos conversations pour l'entraînement

Quand l'option existe, désactivez l'usage de vos échanges pour améliorer ou entraîner les modèles. Cherchez ce réglage dans les paramètres de confidentialité ou de données de votre compte. S'il est absent, considérez que vos contenus peuvent être réutilisés et adaptez ce que vous saisissez.

Gérer l'historique et la suppression

Familiarisez-vous avec la façon dont l'outil conserve vos conversations : comment consulter l'historique, comment supprimer une discussion, et s'il existe un mode sans enregistrement (parfois appelé conversation temporaire). Supprimer une discussion sensible une fois le travail terminé est un bon réflexe.

Choisir une offre adaptée à un usage sensible

Pour tout ce qui touche à votre activité professionnelle, privilégiez une offre entreprise plutôt qu'un compte personnel. Les garanties sur la conservation et la non-réutilisation des données y sont généralement bien plus solides.

Le réflexe de la version anonymisée

Vous avez souvent besoin de l'aide de l'outil sans avoir besoin de lui livrer les vraies données. Remplacez les noms, montants et détails identifiants par des éléments fictifs ("le client X", "un montant de Y francs"), faites travailler l'IA sur cette version neutre, puis réintégrez les vraies informations vous-même dans le document final.

Usage en contexte professionnel et institutionnel

Dans une PME ou une institution publique, l'usage de l'IA ne relève pas seulement du choix de chacun : il s'inscrit dans un cadre collectif.

  • Suivez la charte interne. Si votre organisation a défini des règles d'usage de l'IA (outils autorisés, types de données acceptés, cas interdits), elles priment toujours sur les conseils généraux de cette page. Si une telle charte n'existe pas encore, demandez à votre responsable ce qui est permis avant de traiter des données professionnelles.
  • Anonymisez ou pseudonymisez avant de soumettre. Retirez ou remplacez les éléments qui permettent d'identifier une personne ou une affaire. Une donnée que l'outil ne reçoit jamais ne peut être ni conservée ni réutilisée.
  • Privilégiez des solutions souveraines pour les données sensibles. Pour les informations réellement sensibles, orientez-vous vers des solutions offrant un hébergement en Suisse ou dans l'Union européenne et des garanties contractuelles adaptées. Le choix de ces solutions relève de votre organisation : signalez le besoin plutôt que de contourner la règle avec un outil grand public.
Trois réflexes à garder

Avant chaque utilisation : je vérifie ce que je m'apprête à saisir, j'anonymise ce qui peut l'être, et je m'appuie sur les règles de mon organisation. En cas de doute, je m'abstiens et je demande conseil.

Liens utiles

  • Préposé fédéral à la protection des données et à la transparence (PFPDT), pour les repères officiels sur la protection des données en Suisse : edoeb.admin.ch.
  • Les pages officielles des éditeurs d'outils d'IA détaillent leurs pratiques de traitement des données et leurs réglages de confidentialité : consultez-les directement depuis les paramètres de votre compte.

Date de dernière vérification : 2026-06-19. Les pratiques des éditeurs et le cadre légal évoluant régulièrement, cette page fait l'objet d'une révision périodique.

Cette page vous a-t-elle aidé ?