Gouvernance de l’IA pour PME suisses : par où commencer
Comment l’utilisation cachée de l’IA expose vos données et ce que vous pouvez faire pour protéger votre entreprise
En Suisse, beaucoup d’équipes activent Copilot et d’autres outils d’IA sans cadre. Plusieurs environnements sont pourtant fortement régulés (finance, santé, infrastructures critiques) et peu d’entreprises savent par où démarrer. Dans le même temps, l’usage progresse partout : ne pas s’y mettre, c’est perdre en compétitivité. L’enjeu n’est pas « IA oui ou non », mais « IA bien encadrée ».
Le contexte suisse, d’abord
La Suisse a signé la Convention du Conseil de l’Europe sur l’IA le 27 mars 2025, ratification à venir, et privilégie une approche sectorielle. En Suisse, l’utilisation d’IA est déjà encadrée par la loi sur la protection des données (nLPD). L’autorité fédérale de protection des données (PFPDT) rappelle que les principes de transparence, d’information, de proportionnalité et de supervision humaine s’appliquent à tout traitement assisté par IA.
Dans le secteur financier, la FINMA exige une gouvernance adaptée à la matérialité des cas d’usage d’IA. Cela inclut un inventaire des applications, une classification des risques, la qualité des données, la documentation technique, des mécanismes de monitoring, ainsi qu’une revue indépendante pour les usages matériels.
Pour les prestataires B2B, notamment dans les logiciels ou services gérés, un cadre IA clair devient un facteur de confiance. Certaines grandes entreprises, en particulier dans la banque et la pharma, demandent déjà des garanties contractuelles sur les usages autorisés.
👉 Découvrez comment keyIT accompagne ses clients avec Data Protection & Compliance.
👉 Découvrez comment keyIT accompagne ses clients avec Data Protection & Compliance.
Union Européenne : impacts concrets pour les entreprises suisses
De nombreuses PME suisses vendent à des clients dans l’UE ou opèrent au sein de chaînes de valeur européenne. Le AI Act est entré en vigueur le 1er août 2024, avec une mise en application progressive :
→ Dès février 2025 : interdiction de certaines pratiques à risque inacceptable (ex. manipulation comportementale, scoring social), et obligation de former les utilisateurs clés à une « culture IA ».
→ À partir d’août 2025 : obligations renforcées pour les modèles d’IA à usage général (GPAI).
→ Dès août 2026 : application complète du cadre pour les systèmes à haut risque.
Comment la gouvernance des données aide la gouvernance de l’IA
Les principes fondamentaux de la gouvernance des données (savoir quelles données sont traitées, par qui, dans quel but et dans quelles conditions) sont essentiels pour encadrer l’usage de l’intelligence artificielle.
Pour les PME, externaliser une partie de cette supervision via un service tel que DPOaaS permet de mettre en place des contrôles continus sans alourdir la charge interne.
👉 keyIT vous aide aussi à renforcer vos processus grâce à des audits IT de conformité.
Deux exemples fréquents
Copilot activé sans cadre
Risques : copie de données sensibles, erreurs publiées, dépendance au fournisseur.
Correctifs : charte courte, politiques DLP/MIP, liste d’usages autorisés et interdits, journalisation des prompts sensibles, formation de 45 minutes.
Correctifs : charte courte, politiques DLP/MIP, liste d’usages autorisés et interdits, journalisation des prompts sensibles, formation de 45 minutes.
👉 Découvrez comment maîtriser ces risques avec notre offre Microsoft 365 Copilot et notre solution Secured GPT.
Chatbot client sur votre site
Risques : réponses erronées, collecte illégitime, sécurité insuffisante.
Correctifs : base de connaissances validée, message de transparence, désactivation de l’entraînement sur les conversations, journalisation et purge, revue juridique.
Correctifs : base de connaissances validée, message de transparence, désactivation de l’entraînement sur les conversations, journalisation et purge, revue juridique.
👉 keyIT propose des services adaptés incluant la cybersécurité et business & data analytics pour sécuriser ces usages.
Par quoi commencer
→ Dresser rapidement la liste des usages d’IA dans l’entreprise.
→ Fixer des règles simples d’usage et de supervision humaine.
→ Protéger les données et encadrer les fournisseurs avec des clauses adaptées.
→ Former les équipes et mesurer les premiers résultats.
Pour structurer cette démarche, vous pouvez vous appuyer sur notre diagnostic express Audit Flash 360 permet d’identifier rapidement les écarts de conformité et de prioriser les correctifs.
