Vos collaborateurs n'ont pas attendu votre feu vert. Selon l'Observatoire 2025 de la Data et de l'IA en Suisse, 52 % des entreprises suisses ont déjà déployé l'IA, mais la stratégie reste à la traîne. Résumer un courriel, traduire un document, reformuler une note : ces outils d'IA générative — ChatGPT, Copilot, Claude — sont entrés dans le quotidien de beaucoup de PME romandes, souvent sans décision ni cadre. La vraie question n'est plus « faut-il les autoriser ? ». Elle est : « que fait-on de ce qui se passe déjà ? ». Trois questions y répondent, sans une ligne de technique.
Le déni est la posture la plus risquée
Ne rien décider, c'est faire comme si rien ne se passait. C'est rarement le cas. Dans la plupart des PME que nous accompagnons, des collaborateurs utilisent déjà un outil d'IA générative, sans décision formelle de la direction.
Interdire frontalement ne règle rien. L'outil reste accessible depuis un navigateur personnel, un téléphone, la maison. L'usage ne disparaît pas : il devient invisible. C'est le Shadow AI (l'IA utilisée sans cadre officiel).
Laisser faire sans rien dire n'est pas plus confortable. Une équipe finit par dépendre d'un outil que personne n'a choisi ni documenté. Et les situations se ressemblent d'une PME à l'autre.
Trois exemples, trois fonctions
- Direction : un dirigeant fait résumer les chiffres trimestriels pour préparer son comité. Ces chiffres ne sont pas publiés et contiennent des projections stratégiques.
- Ressources humaines : une responsable RH fait rédiger une lettre de licenciement à partir de ses notes d'entretien, avec le nom du collaborateur, sa fonction et les motifs précis.
- Commercial : une commerciale colle l'e-mail d'un prospect dans une requête pour préparer sa réponse. L'e-mail décrit la stratégie d'achat du client.
Dans les trois cas, personne n'a rien décidé. Personne n'a rien interdit non plus.
Entre interdire et laisser faire, il existe une troisième voie. Elle ne demande pas de devenir expert en IA. Elle tient en trois questions.
Question 1 : que font vraiment vos équipes aujourd'hui ?
Avant de cadrer, il faut savoir. Savoir ne veut pas dire surveiller : cela veut dire demander. L'écart entre l'usage que la direction imagine et l'usage réel est souvent considérable.
Un questionnaire interne court et anonyme suffit. En deux semaines, vous obtenez une cartographie utilisable : quels outils, pour quelles tâches, avec quel type de contenu en entrée. Ce moment a un effet utile : il pousse chacun à réfléchir à ce qu'il met, ou non, dans une requête. Vous ne partez plus d'une intuition, mais d'une image réelle de votre organisation.
Question 2 : quelles données ne doivent jamais sortir ?
La vraie ligne rouge n'est pas « l'IA, oui ou non ». Elle est : quelles données peuvent passer dans quels outils. Trois niveaux suffisent à trancher.
| Niveau | Nature des données |
|---|---|
| 🟢 Faible | Données publiques ou non personnelles |
| 🟠 Modéré | Données personnelles courantes |
| 🔴 Élevé | Données sensibles, confidentielles ou soumises à un secret |
Reprenez les trois exemples. La lettre de licenciement et l'e-mail du prospect tombent clairement en risque élevé : données personnelles ou confidentialité due à un client. Les chiffres trimestriels non publiés relèvent au moins du risque modéré. À chaque fois, ce n'est pas l'outil qui pose problème : c'est ce qu'on y met.
L'erreur classique : croire qu'« anonymiser » une requête suffit. On retire les noms, mais le contexte permet souvent de reconnaître la personne ou l'entreprise. La bonne question n'est pas « comment masquer », mais « cette donnée a-t-elle quelque chose à faire ici ».
Question 3 : qui décide, et qui forme ?
Un cadre IA n'est pas un document juridique. C'est une décision d'organisation. Une charte que personne ne lit ne protège personne. Cette troisième question appelle trois décisions concrètes :
- Désigner un référent IA. Ce n'est pas le conseiller à la protection des données (DPO) ni le responsable informatique par défaut. C'est un choix à poser, et à assumer.
- Former les équipes, vraiment. Pas une note de service oubliée : un temps dédié où chacun comprend ce qui peut entrer dans une requête, ce qui n'y entre jamais, et quoi faire en cas de doute. Le format se cale sur vos enjeux, d'une sensibilisation ciblée à une demi-journée. L'essentiel est qu'il existe, et qu'il se répète.
- Revoir le cadre tous les six à douze mois. Les outils évoluent vite, les usages aussi. Un cadre figé vieillit en quelques mois.
Nous avons posé ce type de cadre dans plusieurs PME. Ce qui fait la différence n'est jamais le document : c'est qu'une personne en soit responsable, et que les équipes sachent à qui s'adresser. Cadrer l'IA est une brique d'une digitalisation maîtrisée, pas un chantier à part.
Trois questions à se poser cette semaine
Sans expertise technique :
- Savez-vous quels outils d'IA vos collaborateurs utilisent déjà ? Un sondage interne donne la réponse en deux semaines.
- Avez-vous écrit quelles catégories de données ne doivent jamais sortir ? Une page A4 suffit.
- Avez-vous nommé un référent IA et planifié une formation adaptée à vos enjeux ? Tant qu'elle n'est pas au calendrier, elle n'existe pas.
Si vous répondez non à deux de ces trois questions, vous êtes dans la situation de la plupart des PME romandes en 2026. Ce n'est ni grave ni urgent. C'est simplement le bon moment pour décider, pendant que le sujet est encore simple.
Aller plus loin : vous voulez poser ce cadre avec vos équipes ? Nous accompagnons les directions de PME sur l'usage de l'IA, du diagnostic à la formation. Demandez un accompagnement.
