Vos équipes utilisent déjà l’IA, et la seule vraie question, c’est de savoir comment. Tout s’installe tranquillement, sans passer par vous.
Dans les entreprises que je rencontre, je retrouve souvent les trois mêmes points. Des données partent dans des outils que les équipes choisissent seules, la responsabilité nLPD revient toujours au dirigeant, et la charte d’usage de l’IA reste à écrire.
Regardons le concret. Dans votre entreprise, ChatGPT est déjà ouvert sur plusieurs postes pour rédiger un mail, reformuler une offre ou résumer une réunion. C’est efficace et ça fait gagner du temps, si bien que chacun s’y met de lui-même. L’usage arrive avant les règles, et vos équipes prennent leurs habitudes pendant que la direction le découvre après coup. On appelle cela le shadow AI, et c’est le début de presque toutes les questions qu’on me pose.
Quels sont les 4 types de risques IA pour une PME ?
Il y a quatre familles de risques, et pour une PME, deux comptent vraiment puisqu’il s’agit de vos données et de votre conformité. Prenons-les dans cet ordre.
| Risque | Ce qui se joue |
|---|---|
| Vos données | Des informations qui partent vers l’extérieur |
| La conformité | La nLPD qui s’applique dès la moindre donnée personnelle |
| L’opérationnel | Une décision bâtie sur une réponse fausse de l’IA |
| L’éthique | Un choix sensible tranché par la machine seule |
Le premier risque touche vos données. Vos données doivent rester chez vous, vos dossiers clients et vos contrats aussi. Dès qu’un collaborateur en colle un morceau dans un outil extérieur, cette information part pour de bon. Une règle simple vous redonne le contrôle. Vous décidez à l’avance ce qui sort de l’entreprise et ce qui y reste.
Le respect de la loi vient juste après. La nLPD s’applique depuis le 1er septembre 2023, et elle demande de savoir quelles données vous traitez et dans quel but, avec une trace à l’appui. Le jour où un client vous interroge, ou le jour d’un contrôle, une trace de vos usages de l’IA suffit à vous mettre du bon côté.
Vient ensuite le risque opérationnel. Un outil donne parfois une réponse fausse avec assurance. Un collaborateur la croit et l’utilise. La décision s’appuie alors sur une information inventée. Le réflexe à prendre est simple. Quelqu’un relit et valide avant l’envoi, et un humain reste toujours dans la boucle.
Reste l’éthique. Le risque, c’est de laisser une IA trancher seule sur un sujet sensible, comme un recrutement. Elle reproduit parfois des biais et écarte quelqu’un sans raison valable. Votre rôle, c’est de garder un humain qui décide et qui sait expliquer chaque choix.
Qu’est-ce que le shadow AI et pourquoi ça concerne votre PME ?
Il s’agit de vos collaborateurs qui utilisent des outils d’IA choisis seuls, et souvent avec des données sensibles. C’est déjà la réalité de presque toutes les PME de services.
Voilà ce qui se passe chez vous en ce moment. Quelqu’un met un compte-rendu client dans ChatGPT, un autre colle un extrait de contrat dans un traducteur en ligne, et un troisième demande le résumé d’une offre avant un rendez-vous. À chaque fois, une information de l’entreprise part vers l’extérieur. Le jour où un client vous demande comment vous protégez ses données, vous avez tout intérêt à tenir la réponse.
J’accompagne des fiduciaires et des cabinets RH, et j’y retrouve toujours le même schéma. Les outils sont déjà installés dans les habitudes, et le cadre arrive après, souvent le jour d’une alerte. Le Work Trend Index de Microsoft le confirme, puisque 78 % des utilisateurs d’IA au travail amènent leurs propres outils et que cette part monte à 80 % dans les PME. L’usage est donc déjà partout, pendant que le cadre reste à poser presque partout.
Le premier geste est simple, puisqu’il suffit de lister les outils qui tournent chez vous. Ce seul geste vous place déjà devant la plupart des PME romandes.
Que dit la nLPD sur l’utilisation de l’IA en entreprise ?
La nLPD demande trois règles simples sur les données personnelles. Vous traitez chaque donnée dans un but défini, vous informez les personnes concernées, et vous pouvez retrouver ou effacer ces données sur demande. Dès que vos usages tiennent sur ces trois points, vous êtes dans la bonne direction. La mise en place d’une charte d’usage rend justement ces réflexes naturels.
Un mot sur la souveraineté, parce qu’elle compte plus qu’on ne le croit. Elle répond à une question simple. Quel pays a le droit de regard sur vos données ? Prenons les CFF. Ils utilisent Mistral, un modèle IA qui garde les données en Europe. Infomaniak, l’hébergeur genevois, suit la même logique et garde ses propres modèles à Genève, si bien que les données restent en Suisse. Encadrer l’IA, c’est donc aussi choisir où vos données se posent.
Lors d’une intervention dans un cabinet RH à Fribourg, je tombe sur un cas simple. Un collaborateur doit répondre à un mail client, et pour gagner du temps, il colle le message entier dans ChatGPT. Le message lui-même reste anodin. La signature, elle, contient des données personnelles : le nom de la personne, le nom de son entreprise, son numéro, son adresse. Tout cela part alors sur un serveur extérieur. Or ces données relèvent de la nLPD, qui demande deux conditions pour chacune. Un but précis, et une trace de son usage. En collant la signature, le collaborateur passe à côté des deux. Pourtant, une seule règle suffit. Il retire la signature et tout ce qui identifie une personne avant de coller. Il garde alors ses cinq minutes gagnées, et les données du client restent à l’abri.
Comment cadrer les risques IA de votre entreprise ?
Une remarque d’abord, pour vous rassurer. Beaucoup de dirigeants se croient en retard, alors qu’en réalité vous êtes dans les temps. Tout se construit avec de la méthode et sans précipitation. On commence souvent par une séance pour décider des priorités, puis on déroule trois étapes dans l’ordre.
La première consiste à inventorier les outils en service, en notant qui les utilise et avec quelles données. Sur un périmètre plus large, c’est le rôle d’un audit des usages.
La deuxième consiste à cadrer. Vous décidez alors ce qui peut partir vers l’extérieur et ce qui reste en interne. Vos équipes appliquent ensuite ces règles sans y repenser chaque fois.
La troisième consiste à documenter. Vous réunissez tout dans une charte d’usage, conforme à la nLPD et taillée pour votre métier.
Un dernier point vient du terrain, car l’IA révèle votre organisation telle qu’elle est. Lorsqu’elle est carrée, l’IA fait gagner du temps. Une organisation bancale amplifie le désordre déjà là. Le cadre sert justement à remettre les choses d’aplomb avant d’élargir l’usage.
Qu’est-ce qu’une charte d’usage IA et à quoi ça sert ?
Une charte d’usage pose les règles du jeu de votre entreprise et nomme ce qui est permis, ce qui est protégé et qui en répond. Elle ouvre la porte aux usages sûrs et utiles. Une fois ce cadre posé, l’outil travaille pour vous, et vos équipes gagnent du temps.
Votre usage de l’IA est-il sous contrôle ? Le test en 2 minutes
Prenez deux minutes pour vous situer, et répondez par oui ou par non, en toute franchise.
- Connaissez-vous les outils IA que vos équipes utilisent aujourd’hui ?
- Savez-vous quelles données passent par ces outils ?
- Avez-vous des règles écrites sur ce qui part vers un outil IA et ce qui reste chez vous ?
- Disposez-vous d’une réponse documentée quand un client demande comment vous utilisez l’IA avec ses données ?
Comptez vos oui.
- Trois ou quatre oui. Votre cadre tient déjà la route, et il vous suffit de garder votre charte à jour.
- Un ou deux oui. Vous avancez déjà, et il reste surtout à mettre vos règles par écrit.
- Aucun oui. Pour l’instant, vous rejoignez la grande majorité des PME, ce qui fait d’aujourd’hui le bon moment pour poser un premier cadre.