Destination et traitement de vos données lors de l’utilisation de ChatGPT et Gemini : ce que vous devez savoir
Les pratiques de collecte et de traitement des données par ChatGPT et Gemini conduisent des entreprises et des institutions suisses à réévaluer leurs usages et à privilégier des solutions hébergées localement.
Destination et traitement des données ChatGPT et Gemini : points clés pour les utilisateurs suisses
ChatGPT et Gemini collectent des informations de compte, des données de contact, des adresses IP, des données de navigateur et des informations sur les appareils, ainsi que les messages, fichiers et données de services connectés fournis par l’utilisateur. Les paramètres par défaut des comptes grand public soumettent ces échanges à un usage pour l’entraînement des modèles, sauf action contraire de l’utilisateur.
Des réviseurs humains et des prestataires tiers peuvent accéder aux conversations pour l’amélioration des services. Gemini supprime automatiquement l’activité après dix-huit mois, tandis que ChatGPT conserve les échanges indéfiniment sauf suppression manuelle.
Conséquences réglementaires : RGPD, AI Act, Cloud Act et LPD
RGPD et AI Act imposent des obligations de transparence, des droits d’accès et de suppression et des contraintes additionnelles pour les assistants IA. L’application reste difficile en pratique quand le contenu d’entraînement est volumineux et difficile à tracer.
La possibilité pour les autorités américaines de solliciter des données via le Cloud Act alimente des risques de souveraineté numérique même lorsque les données sont hébergées hors des États-Unis. Une étude du cabinet Asterès de 2025 évalue à 264 milliards d’euros les dépenses annuelles des entreprises européennes en services cloud et logiciels américains, soulignant la dépendance économique aux fournisseurs extra-européens.
Alternatives souveraines et impacts opérationnels pour les entreprises
Des critères privilégiés par les organisations sont l’hébergement en Suisse ou en Europe, la conformité au RGPD et à la LPD, l’interdiction d’utiliser les données pour entraîner des modèles et la réalisation d’audits tiers. Ces exigences modifient les contrats informatiques et les architectures techniques des entreprises.
Infomaniak a lancé en décembre 2025 l’IA Euria, hébergée dans des data centers suisses certifiés, chiffrant les conversations et offrant un mode éphémère pour les données sensibles. La société affiche des certifications ISO et le statut B Corp, et indique ne pas utiliser les données clients pour l’entraînement.
Cas pratique : migration d’une PME suisse vers une IA hébergée localement
La PME lausannoise AlpineData SA utilisait ChatGPT pour des résumés de documents. Après audit juridique, elle a interrompu l’usage pour des données clients sensibles et intégré Euria via la suite kSuite Pro pour conserver la messagerie, l’agenda et le stockage sous juridiction suisse.
Cette migration a nécessité des adaptations : révision des clauses contractuelles, chiffrement bout à bout et formation des équipes. Insight final : l’architecture de données et les clauses contractuelles deviennent des variables opérationnelles déterminantes pour la gestion du risque.
