Le problème que personne ne mentionne
Quand vous tapez un message dans ChatGPT, Claude, Gemini ou n'importe quel autre assistant IA grand public, il se passe quelque chose que la plupart des utilisateurs ignorent : votre texte quitte immédiatement la Suisse.
Il voyage vers des serveurs situés aux États-Unis, en Irlande, en Allemagne, ou ailleurs — selon l'architecture du prestataire. Il est traité dans des centres de données soumis au droit américain, au RGPD européen, au UK GDPR, voire aux dispositions du CLOUD Act américain.
Pour un particulier qui demande une recette ou une aide pour ses vacances, c'est une considération abstraite. Pour un avocat, un médecin, un conseiller financier ou un responsable RH suisse, c'est un problème concret.
Ce que dit la loi suisse
La loi fédérale sur la protection des données (nLPD), entrée en vigueur en septembre 2023, encadre strictement les transferts de données personnelles à l'étranger. Son article 16 impose que tout transfert vers un pays ne disposant pas d'une protection adéquate soit soumis à des garanties spécifiques — contrats-types, clauses contractuelles standard, ou consentement explicite de la personne concernée.
Mais au-delà de la nLPD, il y a les obligations professionnelles sectorielles :
- Les avocats sont soumis au secret professionnel de l'art. 321 CP. Transmettre des informations client à une IA dont les serveurs sont à l'étranger peut constituer une violation de ce secret.
- Les médecins sont liés par le secret médical (art. 321 CP également) et par les exigences spécifiques de la loi sur les professions médicales.
- Les banquiers opèrent sous le secret bancaire (art. 47 LB), avec des obligations de discrétion parmi les plus strictes au monde.
- Les fiduciaires et conseillers fiscaux sont tenus à des obligations de confidentialité vis-à-vis de leurs clients.
Dans chacun de ces cas, l'utilisation d'un outil IA étranger pour traiter des données clients n'est pas une question technique — c'est une question de conformité légale et d'éthique professionnelle.
Le piège du "hébergé en Suisse"
Certains prestataires étrangers affirment "héberger des données en Suisse" via des accords avec des datacenters locaux. C'est une réalité partielle qui masque un problème structurel.
Quand une entreprise américaine héberge vos données en Suisse via un datacenter partenaire, la société mère reste soumise au CLOUD Act américain. Ce texte, en vigueur depuis 2018, permet aux autorités américaines de contraindre des entreprises américaines à fournir des données stockées n'importe où dans le monde — y compris en Suisse.
La résidence physique des données ne suffit pas. Ce qui compte, c'est la nationalité de l'entité qui les contrôle.
La différence Nectos
Nectos est opéré par Adopt-AI SA, une société anonyme suisse, constituée en Suisse, soumise au droit suisse, sans filiale ou société mère étrangère. L'infrastructure est gérée par Hidora SA, prestataire cloud certifié ISO 27001, dont les serveurs sont exclusivement en Suisse.
Il n'y a pas d'entité américaine dans la chaîne. Pas de CLOUD Act. Pas de transfert transfrontalier. Chaque octet reste en Suisse, sous juridiction suisse, pour toute la durée de votre abonnement — et est supprimé de manière sécurisée à résiliation.
C'est ce que signifie la souveraineté des données. Pas un argument marketing — une garantie contractuelle, technique et juridique.
Que faire maintenant ?
Si vous utilisez actuellement un assistant IA étranger dans un contexte professionnel suisse, trois questions méritent d'être posées à votre responsable de conformité ou à votre service juridique :
- Où sont traités nos prompts ? Pas seulement stockés — traités.
- Quels transferts transfrontaliers avons-nous formellement documentés ?
- Notre DPA avec le fournisseur couvre-t-il les données clients que nous lui transmettons via l'IA ?
Si vous ne pouvez pas répondre à ces trois questions, le risque est réel.
Nectos a été conçu précisément pour éliminer ces questions — en gardant tout en Suisse, par défaut, sans exception.