Pour les avocats, fiduciaires, notaires, cabinets médicaux, administrations et gestionnaires de fortune soumis au secret professionnel, à la nLPD et à la FINMA. Une architecture hébergée en Suisse, sur modèles ouverts, affranchie du Cloud Act.
Ouvrir ChatGPT dans un cabinet d'avocats, une fiduciaire ou un cabinet médical, ce n'est pas utiliser un outil bureautique. C'est confier des données sensibles à un acteur de droit américain, potentiellement accessible par des autorités étrangères, en dehors du cadre posé par le législateur suisse. Les risques sont concrets, chiffrés et personnels.
Les autorités américaines peuvent exiger l'accès aux données traitées par un fournisseur de droit US, même si les serveurs sont en Europe. Le lieu du serveur ne protège pas, l'opérateur compte.
La nLPD en vigueur depuis le 1er septembre 2023 prévoit des amendes jusqu'à 250 000 CHF. Elle vise les personnes physiques, pas seulement l'entreprise. Le dirigeant reste personnellement exposé.
La violation du secret professionnel (avocats, médecins, notaires, ecclésiastiques et leurs auxiliaires) est punie d'une peine privative de liberté de trois ans au plus. Un prompt mal placé peut suffire.
Le Préposé fédéral a déjà alerté sur les usages de ChatGPT et rappelé que la nLPD s'applique directement aux traitements par IA. Les entreprises doivent vérifier, avant chaque usage, où vont les données.
À retenir. La question n'est pas "est-ce que ChatGPT est utile", c'est "est-ce que j'ai le droit, en tant que professionnel soumis au secret, d'y faire passer les données de mes clients". Dans la plupart des cas, la réponse est non. Et une souscription Enterprise ne résout pas le problème du Cloud Act.
Le mot est utilisé à toutes les sauces. Une architecture réellement souveraine coche quatre critères cumulatifs, pas un seul. Si un fournisseur n'en remplit que deux ou trois, ce n'est pas souverain, c'est du marketing.
Les serveurs qui exécutent le modèle et stockent les données doivent se trouver physiquement sur le territoire suisse. Pas en Irlande, pas à Francfort, pas "dans l'UE". En Suisse, vérifiable.
L'entreprise qui opère l'infrastructure doit être de droit suisse, sans maison mère aux États-Unis. Sans quoi le Cloud Act peut forcer un transfert, même depuis la Suisse. L'opérateur compte autant que le serveur.
Aucune dépendance juridique ou capitalistique envers un acteur soumis à la juridiction américaine. La chaîne technique (compute, stockage, réseau, identité) doit être traçable, de bout en bout, hors périmètre US.
Le modèle IA doit pouvoir tourner sur ton infrastructure ou chez un hébergeur suisse, sans appel externe obligatoire. Les modèles open-weight (poids publiés, licence permissive) remplissent ce critère. Les API propriétaires non.
Pendant longtemps, il fallait choisir entre qualité (ChatGPT, Claude) et souveraineté (modèles locaux). Ce compromis n'existe plus. En avril 2026, Google a publié Gemma 4 sous licence Apache 2.0. Combiné à Qwen3, Llama et aux autres familles open-weight, on atteint 90 à 95% de la qualité des modèles propriétaires sur les tâches professionnelles courantes, sur du matériel hébergé en Suisse.
| Critère | ChatGPT, Claude (API) | Gemma 4, Qwen3 (open-weight) |
|---|---|---|
| Qualité tâches pro | Référence | 90 à 95% selon le cas |
| Hébergement CH | Non (opérateur US) | Oui, Infomaniak Genève |
| Cloud Act | Exposé | Hors périmètre |
| Licence | Propriétaire, conditions d'usage | Apache 2.0, usage commercial |
| Poids du modèle | Fermés | Ouverts, vérifiables, réplicables |
| Contrôle des données | Selon conditions fournisseur | Total, jusqu'au prompt logué |
Publié le 2 avril 2026 par Google DeepMind sous licence Apache 2.0. Quatre tailles disponibles, du modèle 2B qui tourne sur un poste bureautique jusqu'au 31B dense qui rivalise avec les modèles propriétaires sur le raisonnement. Contexte long (128K à 256K tokens), multimodalité native (texte, images, code), appel de fonctions structuré pour l'intégration métier.
Sur LMArena, le 31B figure parmi les meilleurs modèles ouverts publics. Infomaniak propose déjà l'hébergement GPU (NVIDIA A100, L40S) adapté à ces tailles, dans ses datacenters de Genève.
Une architecture concrète, qu'on adapte à chaque cabinet selon les volumes, les métiers et les outils déjà en place. Cinq briques, toutes vérifiables, toutes de droit suisse ou open-weight.
Datacenter Genève, énergie renouvelable, ISO 27001, droit suisse.
Gemma 4, Qwen3 ou équivalent, déployé en local.
Pensée pour ton métier, pas une chatbox générique.
Logs chiffrés, traçabilité des prompts, audit possible.
Six textes à connaître avant toute intégration d'IA dans un cabinet réglementé. Ils ne sont pas optionnels, ils conditionnent la responsabilité personnelle du dirigeant.
Sanctions jusqu'à 250 000 CHF contre les personnes physiques en cas de transfert non conforme à l'étranger, de défaut de diligence ou de sous-traitance non encadrée.
Avocats, médecins, notaires, ecclésiastiques et auxiliaires. Violation punie d'une peine privative de liberté jusqu'à trois ans ou d'une peine pécuniaire. Le secret ne se délègue pas à un prompt.
Banques, gestionnaires de fortune et assurances doivent documenter leurs usages IA, maintenir la responsabilité humaine et encadrer la sous-traitance. La FINMA a publié ses attentes fin 2024.
Le PFPDT rappelle que la nLPD s'applique directement aux IA génératives. Les entreprises doivent vérifier avant chaque usage où les données vont, comment elles sont traitées, et informer les personnes concernées.
Oblige les fournisseurs de droit américain à remettre les données sur requête des autorités US, indépendamment du lieu de stockage. Entre en conflit frontal avec la nLPD et le secret professionnel suisse.
Ordres des avocats, des médecins, chambres des notaires, administrations cantonales. Chacun publie ses propres recommandations sur l'usage de l'IA, à intégrer au projet dès le cadrage.
Six familles de métiers où l'usage d'une IA non souveraine expose personnellement le dirigeant ou le professionnel. À chaque fois, une obligation légale précise et un cas d'usage typique.
Secret professionnel de l'avocat, protégé par l'art. 321 CP et les règles cantonales. Cas typique, rédaction et synthèse de mémoires, analyse de pièces, veille jurisprudentielle sur dossiers actifs.
Art. 321 CP, règlement cantonalFiscalité, comptabilité, actes authentiques, successions. Secret professionnel pour les notaires, secret fiscal pour les fiduciaires. Cas typique, préparation de bouclement, rédaction d'actes, questions-réponses clients.
nLPD, art. 321 CPDonnées de santé, catégorie sensible de la nLPD. Secret médical très protégé. Cas typique, synthèse de dossiers patients, aide à la rédaction, tri administratif d'emails, jamais sans souveraineté réelle.
Art. 321 CP, nLPD, LAMalDonnées des administrés, secret de fonction, directives cantonales sur l'informatique. Cas typique, rédaction de courriers, synthèse de dossiers, aide à la décision sur données internes.
Lois cantonales, secret de fonctionFINMA, secret bancaire, LBA. Attentes de gouvernance IA documentées depuis 2024. Cas typique, reporting client, analyse de dossiers, conformité LBA, avec traçabilité complète des usages IA.
FINMA, secret bancaire, LBADonnées cliniques, propriété intellectuelle, secrets industriels. Régulation sectorielle Swissmedic. Cas typique, revue documentaire, synthèse de littérature scientifique, aide à la rédaction réglementaire.
nLPD, Swissmedic, PITimeKraft n'est pas un produit SaaS. Pas de plateforme fermée à vendre, pas d'abonnement magique. Une architecture sur mesure, construite pour ton cabinet, avec ton vocabulaire métier. Voici le processus concret.
Cartographie des flux, identification des données sensibles, contraintes légales.
Choix du modèle, dimensionnement GPU, schéma d'intégration, plan de sécurité.
Mise en place chez Infomaniak, intégrations Outlook, Bexio, systèmes métier.
Sessions courtes, répétées, centrées sur les cas d'usage métier des équipes.
Supervision, évolutions du modèle, nouveaux cas d'usage, conformité continue.
Les budgets varient fortement selon le volume, le nombre d'intégrations et le niveau de personnalisation. L'hébergement GPU démarre à quelques centaines de francs par mois chez Infomaniak. Le coût principal reste l'architecture, les intégrations et la formation. On chiffre proprement après l'audit préalable, pas avant. Pas de grille tarifaire universelle, parce que chaque cabinet est différent.
Chaque profession a ses lois, ses directives, ses logiciels métier. Voici les pages spécifiques avec le cadre légal complet et les cas d'usage propres à chaque secteur.
Art. 321 CP, LLCA, lignes directrices FSA 2024. Rédaction mémoires, recherche jurisprudence, due diligence M&A, e-discovery.
Voir la page dédiée →nLPD, LSR, EXPERTsuisse. Intégrations Bexio, Abacus, Winbiz, Dr. Tax. OCR reçus, bouclement assisté, TVA, reporting client.
Voir la page dédiée →Art. 321 CP médical, LDEP, recommandations FMH 2025 LLM, HIN. Dictée médicale, lettres, codage CIM et Tarmed.
Voir la page dédiée →Suisse numérique 2025, Apertus (EPFL, ETHZ), LPrD cantonales. Traitement demandes citoyennes, synthèse consultations publiques.
Voir la page dédiée →Un entretien de cadrage de trente minutes pour regarder ton contexte, tes contraintes légales, et voir si une architecture souveraine a du sens pour toi.