Outil de rédaction IA imposé au travail, cloud et confidentialité : quels garde-fous demander en Suisse ?
Assistants de rédaction, plugins navigateur et copilots peuvent accélérer votre travail, mais ils peuvent aussi exposer des données internes. Si votre employeur impose un outil de rédaction IA connecté au cloud, voici les questions concrètes à poser et les protections à exiger, notamment dans le canton de Genève et dans le canton de Vaud.

Équipe JuriUp
Contenu préparé par JuriUp, en collaboration avec des avocats partenaires en Suisse romande (droit du travail et protection des données).
Risque principal
Diffusion de données internes
Point clé
Qui voit quoi, et combien de temps
Réflexe utile
Questions écrites avant usage
Bon à savoir
Un outil “IA rédaction au travail” n’est pas forcément un problème en soi. Le vrai sujet est le paramétrage, les flux de données et les droits d’accès internes. En cas de doute, vous pouvez décrire votre situation via un dossier gratuit et obtenir l’avis d’un expert juridique adapté à votre canton.
1. Ce que votre employeur peut généralement imposer, et ce qui doit être encadré
En droit du travail suisse, l’employeur dispose en principe d’un pouvoir d’organisation et de directives sur la manière d’exécuter le travail, notamment sur les outils mis à disposition. Dit simplement, il peut vous demander d’utiliser une suite bureautique, un modèle de document ou un logiciel standard. Mais dès qu’un outil de type “copilot” implique des transferts vers des prestataires externes, des traitements automatisés, ou une surveillance indirecte de votre activité, l’entreprise doit cadrer plus strictement les règles du jeu. Sur le plan de la protection des données, l’enjeu est double. D’un côté, il y a les données de l’entreprise et celles de ses clients ou partenaires. De l’autre, il y a aussi vos propres données en tant qu’employé, par exemple si l’outil enregistre vos prompts, votre style rédactionnel, ou l’historique de ce que vous avez saisi. La législation suisse impose en général une finalité claire, une proportionnalité et des mesures de sécurité adaptées, sous réserve des spécificités de votre contexte et des exigences contractuelles de confidentialité.Astuce JuriUp
Si votre employeur parle de “copilot confidentialité entreprise” sans document écrit, demandez un cadre simple et officiel. Une courte directive interne ou un mémo validé par l’informatique et les ressources humaines peut déjà éviter beaucoup de malentendus.
2. La check-list des questions à poser avant d’utiliser l’outil
Le plus efficace est de poser des questions courtes, très factuelles, idéalement par email ou via un ticket IT, afin d’obtenir des réponses traçables. Vous ne cherchez pas à “bloquer” le projet, vous cherchez à sécuriser votre travail et celui de l’entreprise.Finalité et périmètre
- À quoi sert exactement l’outil, et pour quels types de textes est-il prévu ?
- Quelles tâches sont explicitement exclues, par exemple contrats, réponses à des autorités, dossiers clients sensibles ?
- Est-ce un outil “d’assistance” ou un outil “obligatoire” pour certaines livraisons ?
Quelles données partent au cloud
- Le texte intégral que vous saisissez est-il envoyé au prestataire, ou seulement des extraits ?
- Les pièces jointes, liens, noms de clients, numéros de dossier, données RH sont-ils détectés et transmis ?
- L’outil a-t-il accès à votre messagerie, à votre disque, à l’intranet ou à une base documentaire ?
Conservation, réutilisation et entraînement
- Les prompts et les réponses sont-ils conservés, et si oui, combien de temps selon la politique interne ?
- Les données sont-elles utilisées pour améliorer le modèle, ou sont-elles exclues de tout entraînement ?
- Existe-t-il un mode “zéro rétention” ou “journalisation minimale” pour certaines catégories d’usage ?
Accès interne, RH et contrôle
- Qui, dans l’entreprise, peut consulter les historiques, journaux d’usage ou contenus saisis ?
- Les ressources humaines ont-elles un accès direct, ou uniquement dans des cas exceptionnels documentés ?
- Y a-t-il une séparation claire entre support technique, sécurité et hiérarchie métier ?
Point d’attention fréquent
Beaucoup d’outils IA sont activés sous forme de plugin navigateur. Dans ce cas, vérifiez aussi si le plugin “voit” ce que vous tapez dans d’autres applications. Si la portée est trop large, demandez une configuration qui limite l’outil aux seules applications de travail prévues.
3. Les garde-fous à demander par écrit (sécurité, accès, conservation)
Une fois les réponses obtenues, vous pouvez demander des garde-fous concrets. L’objectif n’est pas de négocier des concepts, mais d’obtenir des mesures vérifiables. Dans la plupart des entreprises, ces points se règlent avec une directive d’usage, des paramètres IT et une gouvernance claire.Garde-fous techniques à privilégier
- Accès par compte d’entreprise, avec authentification robuste et gestion centralisée des droits.
- Chiffrement en transit et, dans la mesure du possible, chiffrement au repos côté prestataire.
- Restriction des connecteurs, par exemple interdire l’accès à certains espaces documentaires ou boîtes mail.
- Filtrage des données sensibles, par exemple masquage ou blocage de catégories de données selon vos processus internes.
- Environnements distincts pour tests et production, afin d’éviter d’exposer des contenus réels lors des essais.
« Je suis d’accord d’utiliser l’outil, mais je veux savoir précisément quels contenus quittent l’entreprise, qui peut y accéder, et si mes saisies sont conservées ou réutilisées. »
Formulation type à adapter
Garde-fous juridiques et gouvernance
- Une politique d’usage écrite, avec exemples concrets et validation par l’informatique.
- Une procédure interne en cas de doute, par exemple “demander validation” avant de soumettre un texte sensible.
- Un point de contact identifié, par exemple le responsable sécurité, le DPO si l’entreprise en a un, ou un référent données.
- Une règle claire sur l’accès aux journaux d’usage, et dans quels cas ils peuvent être consultés.
Ce que vous pouvez demander sur la LPD
Si vous voyez le sujet “LPD outil IA employés” émerger dans votre entreprise, vous pouvez demander, de manière pragmatique, une explication sur les catégories de données traitées et sur les mesures de sécurité. Selon la législation suisse, l’entreprise doit en général pouvoir justifier la finalité, la proportionnalité et les protections mises en place. Si des données sont transférées à l’étranger, les exigences peuvent être plus sensibles selon le prestataire et la configuration. Si votre situation implique des données personnelles sensibles, ou des secrets d’affaires, un avis d’avocat spécialisé peut vous aider à formuler les bonnes demandes sans vous exposer inutilement.Cas fréquent en Suisse romande
Dans le canton de Genève et dans le canton de Vaud, beaucoup d’équipes travaillent avec des clients et partenaires internationaux. Les contrats imposent souvent des obligations de confidentialité strictes. Même si l’outil IA est “autorisé”, vous devez savoir si son usage respecte aussi les engagements de votre entreprise envers les tiers.
4. Et si vous refusez d’utiliser l’IA : options pragmatiques
Si vous refusez d’utiliser l’outil parce que vous estimez le risque trop élevé, essayez d’abord de sortir du “oui ou non”. Proposez une alternative concrète. L’objectif est de montrer que vous voulez accomplir votre travail, mais sans exposer des données.Étape 1 - Demander une exception sur certains contenus
Vous pouvez accepter l’outil pour des textes génériques, puis demander une interdiction explicite pour les dossiers sensibles, par exemple documents RH, dossiers médicaux, litiges ou stratégies de négociation.
Étape 2 - Proposer un mode “local” ou “sans cloud”
Certaines entreprises choisissent des solutions hébergées différemment, ou des configurations qui minimisent la rétention et les transferts. Si c’est techniquement possible, demandez que l’option la plus protectrice soit activée par défaut.
Étape 3 - Formaliser votre position
Si l’on vous met sous pression, gardez une trace écrite. Expliquez calmement que votre réserve porte sur la confidentialité et sur vos obligations internes, et demandez des instructions écrites sur ce qui est autorisé ou interdit.
À éviter
Évitez de tester l’outil “pour voir” avec de vrais noms de clients, des identifiants, des données RH ou des éléments couverts par la confidentialité. Si vous devez faire une démonstration, utilisez du contenu fictif ou anonymisé, selon les pratiques internes.
Résumé rapide à retenir
Besoin d’un avis rapide sur votre situation au travail ?
Décrivez votre contexte en quelques lignes et JuriUp vous met en relation avec un expert juridique adapté, par exemple un avocat en droit du travail ou un juriste spécialisé en protection des données, dans le canton de Genève, dans le canton de Vaud, ou ailleurs en Suisse romande. Le service est confidentiel et pensé pour vous faire gagner du temps.
Questions fréquentes
-
Mon employeur peut-il m’obliger à utiliser un outil IA qui envoie mes textes au cloud ?
En Suisse, l’employeur peut généralement fixer les outils de travail et l’organisation. Mais si l’outil implique des transferts vers des prestataires externes et des risques de confidentialité, vous pouvez demander des règles écrites, des limitations d’usage et des mesures de sécurité adaptées. Si votre poste implique des données sensibles ou des obligations contractuelles fortes, un avis d’avocat spécialisé est recommandé.
-
Est-ce que les ressources humaines peuvent lire ce que je tape dans l’outil IA ?
Cela dépend de la configuration de l’outil et des droits d’accès dans l’entreprise. Le bon réflexe est de demander qui a accès aux historiques, aux journaux d’usage et aux contenus, et dans quelles situations. Si les règles ne sont pas claires, faites préciser la gouvernance par écrit.
-
Puis-je utiliser l’IA pour des documents contractuels ou des échanges avec des clients ?
Par prudence, évitez de soumettre des informations confidentielles ou des données personnelles si vous n’avez pas une validation interne claire. Demandez une liste de contenus autorisés et interdits, puis appliquez-la strictement. En cas de doute, anonymisez ou n’utilisez pas l’outil.
-
Que faire si je pense qu’il y a déjà eu une fuite de données via l’outil IA ?
Signalez rapidement le problème au support informatique ou au responsable sécurité selon le processus interne, et conservez les éléments factuels, par exemple date, contexte et type de données concernées. Les obligations exactes de réaction et de communication dépendent des circonstances et de la législation applicable. Si l’incident est sensible, prenez conseil auprès d’un avocat via JuriUp.
-
Comment trouver rapidement un avocat en droit du travail en Suisse romande pour ce sujet ?
Le plus simple est de passer par JuriUp. Vous décrivez votre situation, puis vous recevez une orientation vers un avocat spécialisé ou un juriste adapté à votre dossier. Vous pouvez aussi démarrer directement via la page Trouvez un avocat.
Textes officiels et ressources utiles
- Fedlex - Recueil systématique du droit fédéral suisse
- PFPDT (Préposé fédéral à la protection des données et à la transparence) - Informations et recommandations
- Administration fédérale - Portail d’information
- République et canton de Genève - Informations officielles
- Canton de Vaud - Informations officielles
- Tribunal fédéral - Accès aux arrêts