La plupart des entreprises suisses qui introduisent l'IA le font en partant d'un outil, pas d'une architecture. On teste un assistant, ça fonctionne, on l'étend à d'autres équipes — et ce n'est que plus tard que quelqu'un demande où finissent réellement les données. À ce stade, revenir en arrière coûte bien plus cher que de partir avec les bonnes questions.
Sept points à vérifier avant d'adopter un outil d'IA
- Résidence des données : le fournisseur traite et conserve-t-il les données en Suisse ou dans l'Espace économique européen, ou transitent-elles vers des infrastructures hors UE ?
- Utilisation pour l'entraînement : vos données d'entrée sont-elles utilisées pour entraîner les modèles du fournisseur, et avec quel mécanisme de retrait (opt-out) ?
- Base légale du traitement : pour les données personnelles de clients ou d'employés, quelle est la base légale selon la nLPD et le RGPD, et qui en est responsable ?
- Accord de traitement des données (DPA) : existe-t-il un contrat qui régit les rôles et responsabilités entre responsable du traitement et fournisseur, avec des clauses vérifiables ?
- Traçabilité et audit : pouvez-vous reconstituer, des mois plus tard, quelles données ont été envoyées à quel système et avec quel résultat ?
- Droit à l'effacement : si une personne concernée demande la suppression de ses données, le fournisseur peut-il la garantir également côté modèle, et pas seulement côté base de données ?
- Réversibilité : si vous changez de fournisseur, pouvez-vous emporter vos données et la valeur construite, ou restez-vous enfermé dans un format propriétaire ?
Pourquoi la FINMA change la donne pour le secteur financier
Pour les entreprises régulées par la FINMA, s'ajoutent à ces points les exigences en matière d'externalisation (outsourcing) et de gestion du risque opérationnel : l'IA n'est pas une exception au périmètre de contrôle existant, c'est un fournisseur tiers à part entière, et elle doit être traitée comme telle dans la gouvernance du risque.
La conformité comme point de départ, non comme obstacle
Aucune de ces vérifications n'empêche d'adopter l'IA : elles servent à choisir la bonne architecture dès le départ, plutôt que de découvrir un problème de conformité après qu'un outil soit déjà devenu partie intégrante des processus quotidiens. Une architecture pensée dès le début autour de ces contraintes coûte la même chose aujourd'hui et beaucoup moins dans un an.