# IA en entreprise : ce qu'on retient de la soirée FER Genève

- Publication : 06/03/2026
- Temps de lecture : 7 min de lecture
- Auteur : Guillaume

Nous avons eu la chance de participer à une soirée organisée par la **FER Genève** (Fédération des Entreprises Romandes) en collaboration avec **The Good Token Society**, autour d'un thème qui nous touche directement : *l'IA en entreprise — comprendre, décider, encadrer*.

Deux panels, une salle bien remplie, des intervenants issus du monde technique, juridique et institutionnel. Voici ce qu'il faut en retenir.

## La donnée : où elle va, ce qu'elle devient

C'est le point de départ incontournable. Quand un collaborateur pose une question à un outil d'IA, sa donnée part vers un data center — souvent à l'étranger — pour être traitée, et revient sous forme de réponse. Simple en apparence. Mais les vraies questions sont ailleurs :

- Sous quelle juridiction se trouve ce data center ?
- La donnée est-elle conservée, réutilisée, utilisée pour entraîner le modèle ?
- Qui y a accès, et dans quelles conditions légales ?

Un point souvent négligé : même si vos données sont *physiquement* hébergées en Suisse chez un prestataire américain, elles restent soumises au droit américain — et potentiellement accessibles aux autorités US. La géographie ne suffit pas.

La distinction essentielle à faire avant de choisir un outil : **est-ce que le fournisseur réutilise mes données pour entraîner son modèle général ?** Si oui, vous perdez tout contrôle. La réponse devrait systématiquement être non — et être contractuellement garantie.

## Modèles propriétaires vs open source : une fausse hiérarchie

On a longtemps cru que les modèles propriétaires (OpenAI, Anthropic, Google…) étaient incomparablement supérieurs aux modèles open source. Ce gap se réduit très rapidement. Les modèles open source — qu'ils viennent de Mistral en Europe ou de laboratoires asiatiques — atteignent aujourd'hui des performances comparables sur beaucoup de cas d'usage.

L'avantage de l'open source : vous pouvez l'héberger vous-même, chez Infomaniak ou sur votre propre infrastructure. **Le modèle et les données ne quittent pas votre périmètre.**

Concernant les modèles chinois (DeepSeek, etc.) : s'ils sont hébergés dans votre infrastructure en Suisse, il n'y a pas de flux de données vers la Chine. Par contre, des biais politiques peuvent exister sur certaines questions sensibles. Dans un contexte métier standard, la différence est souvent marginale — et des tests à l'aveugle permettent de le vérifier objectivement.

Dernier point pratique souvent oublié : **on n'a pas toujours besoin d'un grand modèle.** Pour de la reconnaissance visuelle, des systèmes de recommandation ou de la prédiction ciblée, des modèles plus petits, déployables en local, font très bien le travail — sans envoyer la moindre donnée à l'extérieur.

## Gouvernance : qui décide quoi dans l'entreprise ?

C'est le sujet qui génère le plus de friction en pratique. Sans cadre clair, les collaborateurs trouvent leurs propres solutions — et des données sensibles se retrouvent dans des outils non maîtrisés. Le *shadow AI* est déjà une réalité dans beaucoup d'entreprises.

Quelques principes qui ressortent des échanges :

- **Désigner une personne de référence** sur l'IA, même dans une petite structure. Les gens ont besoin d'un interlocuteur, pas d'une interdiction.
- **Proposer une alternative sûre** plutôt qu'interdire. Si les collaborateurs ont un outil interne aussi pratique que ChatGPT, ils l'utilisent.
- **Former avant de réglementer.** La sensibilisation aux risques (ce qui sort quand on colle du texte dans une interface, ce qui se passe avec les données) est plus efficace qu'une note de service.
- **Adapter selon les départements.** Les besoins, les risques et les données manipulées ne sont pas les mêmes entre un département RH, financier ou R&D. Une politique unique et rigide ne fonctionne pas.

La construction d'une politique IA d'entreprise doit être **collaborative** : partir du terrain, identifier les usages réels, les risques perçus, et rédiger des règles actionnables — pas un document que personne ne lit.

## Le cadre juridique : en chantier, mais pas inexistant

En Suisse, il n'existe pas à ce jour de loi spécifique sur l'IA. La Confédération a signé la convention-cadre du Conseil de l'Europe (droits humains, démocratie, état de droit), mais reste dans des principes très généraux. Des ajustements législatifs sont envisagés — Code des obligations, loi sur la responsabilité du fait du produit — sans cadre d'ensemble.

Ce qui existe déjà et s'applique :

- La **LPD** (loi sur la protection des données) impose une base légale pour tout traitement de données personnelles. Les données sensibles nécessitent un consentement explicite.
- Le **secret d'affaires** cesse d'exister dès qu'il est divulgué — même à un prestataire réputé de confiance. L'inclure dans la sphère de confidentialité d'un fournisseur nécessite un accord spécifique, pas juste des conditions générales.
- Les **conditions générales** des LLM méritent d'être lues. Ce qu'elles contiennent peut surprendre — et engage l'entreprise.

Côté règlement européen sur l'IA : il peut s'appliquer aux entreprises suisses dès lors qu'elles ont un effet sur le marché européen. Une PME suisse peut, sans le savoir, endosser le rôle de "déployeur" au sens du règlement européen — avec les obligations qui en découlent.

Le message des juristes présents était limpide : **agir avant, pas après.** Une fois la donnée sortie de votre périmètre, vous n'avez plus beaucoup de leviers — contractuels ou légaux.

## Cybersécurité : l'IA industrialise les menaces existantes

Les arnaques et tentatives d'intrusion ne sont pas nouvelles. Ce qui change, c'est leur **échelle et leur qualité**. Un email de phishing rédigé par une IA n'a plus les fautes d'orthographe caractéristiques qui alertaient autrefois. Une voix synthétisée à partir de quelques secondes d'enregistrement peut imiter un directeur de manière très convaincante.

Les bonnes pratiques à mettre en place :

- Porter attention aux métadonnées (expéditeur réel, domaine d'envoi) plus qu'au contenu
- Mettre en place des processus de vérification pour les demandes sensibles (virements, accès)
- Suivre les alertes du **Centre national pour la cybersécurité (NCSC)**, qui publie régulièrement les tendances d'incidents en Suisse

Ce qui était hier l'affaire de grandes entreprises ciblées devient progressivement accessible à n'importe quel acteur malveillant — et touche toutes les tailles d'organisation.

## Ce qu'on retient

L'IA n'est pas une menace ni une solution miracle. C'est un outil puissant qui demande, comme tout outil, d'être choisi, configuré et encadré avec soin. Les entreprises qui s'en sortent bien ne sont pas celles qui ont les plus gros budgets — ce sont celles qui posent les bonnes questions dès le départ.

Merci à la FER Genève et à The Good Token Society pour l'organisation, et aux intervenants pour la qualité des échanges.

![IA en entreprise : ce qu'on retient de la soirée FER Genève](https://www.mermio.ch/storage/50/conversions/01KK1V37HNYNPYCFCD434DC5PK-square.webp)

[Contactez-nous](http://www.mermio.ch/fr/contact)