Sécurité, données et hébergement IA en PME suisse : le guide 2026

« On veut bien faire de l'IA, mais les données… c'est notre principale inquiétude. » C'est la phrase la plus fréquente dans nos audits de PME suisses. Légitime : entre la nLPD, le RGPD, le secret professionnel et la peur de voir ses données partir aux États-Unis, le sujet est sérieux.

Bonne nouvelle : en 2026, on sait parfaitement faire de l'IA en respectant tous les niveaux de sensibilité. À condition de poser les bonnes questions et de faire les bons choix techniques.

Le cadre légal en Suisse : ce qu'il faut savoir

nLPD (Loi suisse sur la protection des données)

En vigueur depuis le 1^er septembre 2023, la nLPD impose des obligations proches du RGPD européen :

• Information transparente sur la collecte et l'usage des données
• Documentation des traitements (registre des activités de traitement)
• Analyse d'impact pour les traitements à risque élevé
• Notification obligatoire en cas de violation
• Sanctions jusqu'à 250 000 CHF en cas de manquement

RGPD (si vous traitez des données européennes)

Si vos clients ou prospects sont dans l'UE, le RGPD s'applique en plus de la nLPD. Les exigences sont très similaires, avec quelques différences sur les droits des personnes et les délais de notification.

Secrets professionnels (santé, juridique, finance)

Pour les cabinets médicaux (secret médical), les études d'avocats (secret professionnel) et les banques/fiduciaires (secret bancaire/fiduciaire), les contraintes sont encore plus strictes. Le déploiement en local devient quasi obligatoire.

Les 3 options d'hébergement, classées du moins au plus sécurisé

Option 1 : API standard (OpenAI, Anthropic, Google)

Vos données transitent par les serveurs du fournisseur (généralement aux États-Unis, parfois en UE selon le plan).

Avantages :

• Mise en œuvre la plus rapide
• Modèles les plus puissants disponibles
• Coûts variables faibles (paiement à l'usage)

Inconvénients :

• Données traversent l'Atlantique (Cloud Act US potentiellement applicable)
• Politique de rétention par défaut (30 jours chez OpenAI standard)
• Dépendance à un fournisseur tiers

Quand l'utiliser : données non sensibles (rédaction marketing, analyse de données publiques, brainstorming).

Option 2 : API avec zéro rétention (Enterprise / DPA)

Avec un contrat entreprise (OpenAI Enterprise, Anthropic Claude for Work, etc.), vos données ne sont plus stockées ni utilisées pour l'entraînement. Le DPA (Data Processing Agreement) est signé, l'hébergement peut souvent être choisi (Europe).

Avantages :

• Conformité nLPD/RGPD documentée
• Garanties contractuelles solides
• Même qualité que l'option 1

Inconvénients :

• Coût plus élevé (engagement minimum mensuel)
• Données sortent quand même de votre périmètre (mais bien encadrées)

Quand l'utiliser : la grande majorité des cas PME B2B, à partir du moment où on traite des données client.

Option 3 : Modèles open-source en local (Mistral, Llama, Qwen)

Le modèle tourne sur votre propre matériel. Aucune donnée ne quitte jamais votre infrastructure.

Avantages :

• Conformité parfaite par construction
• Pas de coûts variables (matériel amortissable)
• Indépendance totale (pas de fournisseur tiers)
• Latence ultra-faible

Inconvénients :

• Investissement matériel initial (3 000 à 25 000 CHF)
• Maintenance hardware nécessaire
• Qualité légèrement inférieure aux modèles frontière (mais largement suffisante pour 80 % des cas)

Quand l'utiliser : secteurs à secret professionnel strict (santé, juridique, finance), données ultra-sensibles, exigences réglementaires fortes.

Où héberger physiquement vos serveurs ?

Si vous optez pour du self-hosted ou un cloud privé, le choix géographique compte :

Hébergement en Suisse

• Infomaniak (Genève) : leader suisse, datacenters à Genève et Schaffhouse, alimenté en énergie renouvelable
• Exoscale (Lausanne) : cloud souverain, infrastructure à Zürich et Genève
• Hetzner Switzerland : bonne alternative pour les budgets serrés
• Microsoft Azure Switzerland North (Zürich) : si vous voulez la souveraineté tout en gardant les services Azure

Coût indicatif : 50 à 300 CHF/mois pour un serveur capable de faire tourner Mistral Small en production.

Hébergement en UE

• OVHcloud (France) : leader européen, bon rapport qualité/prix
• Scaleway (France) : cloud souverain européen, bonne offre IA
• Hetzner (Allemagne) : excellent rapport qualité/prix

Acceptable pour la nLPD et le RGPD. À éviter si vous ciblez explicitement le secret professionnel suisse strict.

Hébergement hors UE/Suisse

À éviter pour tout traitement de données personnelles européennes ou suisses. Cloud Act américain (et équivalents) peuvent obliger le fournisseur à transférer vos données aux autorités sans vous avertir.

Checklist : les 10 questions à poser à votre prestataire IA

1. Où vont mes données quand vous les traitez ? (États-Unis ? UE ? Suisse ? Local ?)
2. Mes données serviront-elles à entraîner des modèles tiers ? (Réponse attendue : non)
3. Combien de temps sont-elles conservées sur les serveurs du fournisseur IA ? (0 jours idéalement)
4. Y a-t-il un DPA signé avec le fournisseur d'API ? (Oui obligatoirement)
5. Qui gère les clés d'API (les codes d'accès) ? (Vous, dans votre vault)
6. Comment sont logguées les actions de l'agent ? (Logs horodatés, accessibles, exportables)
7. Que se passe-t-il en cas de fuite de données ? (Procédure de notification documentée)
8. Pouvez-vous déployer en local si je veux passer à du 100 % souverain plus tard ? (Oui, sans tout refaire)
9. Le code et les prompts m'appartiennent-ils ? (Oui, accessibles, exportables)
10. Quelle est votre couverture assurance en cas de problème lié à l'IA ? (RC professionnelle minimum 2-5 millions CHF)

Les contrats à exiger

• DPA (Data Processing Agreement) entre vous et votre prestataire
• DPA en cascade entre votre prestataire et chaque fournisseur tiers (OpenAI, Anthropic, hébergeur)
• Annexe sécurité avec liste des sous-traitants, mesures techniques, durées de conservation
• Clause de réversibilité : à la fin du contrat, vos données sont restituées dans un format ouvert et supprimées des serveurs du prestataire
• Clause de notification en cas de violation, dans les délais nLPD/RGPD

Cas concrets par secteur

Cabinet médical romand

Secret médical → Mistral en local obligatoire. Investissement Mac Studio M4 Max ~6 500 CHF, agent déployé pour synthèse de comptes-rendus et tri des messages patients. Aucune donnée patient ne quitte le cabinet.

Régie immobilière Lausanne

Données locataires (données personnelles mais pas ultra-sensibles) → API Anthropic avec DPA, hébergement Europe. Coût ~300 CHF/mois. Conformité nLPD documentée.

Étude d'avocats genevoise

Secret professionnel strict → Mistral en local + Microsoft Azure Switzerland North pour le stockage documentaire. Architecture hybride permettant d'utiliser Claude API pour les recherches juridiques publiques (non couvertes par le secret).

E-commerce Vaud

Données clients moins sensibles → API OpenAI Enterprise avec DPA. Hébergement UE. Coût ~150 CHF/mois. Compromis qualité/coût/conformité optimal.

L'essentiel à retenir

• La nLPD et le RGPD n'interdisent pas l'IA, ils imposent juste de documenter et de choisir le bon niveau d'hébergement
• Trois niveaux principaux : API standard, API zéro-rétention, modèle local
• Le choix dépend de la sensibilité des données traitées, pas d'une règle générique
• L'approche hybride (local + cloud selon les cas) est souvent la plus pertinente
• Exigez DPA, logs, réversibilité, et clés d'API gérées par vous

Vous voulez qu'on évalue le bon niveau de sécurité pour votre cas concret ? L'audit finalyn.ia est gratuit, on regarde vos données, votre secteur, et on recommande l'architecture qui colle vraiment à votre situation. Aucune solution unique : tout dépend de ce que vous traitez.