[{"data":1,"prerenderedAt":1051},["ShallowReactive",2],{"kit-le-grand-filtre":3,"parent-of-le-grand-filtre":26,"mdc-k0zxxu-key":37,"mdc-gea1u5-key":624},{"id":4,"title":5,"body":6,"calloutPitch":13,"code":14,"data":15,"description":17,"extension":18,"intro":19,"kicker":20,"kind":21,"meta":22,"navigation":24,"outro":25,"parentArticleSlug":26,"path":27,"seo":28,"specs":29,"stem":34,"subtitle":35,"__hash__":36},"outils\u002Foutils\u002Fle-grand-filtre.md","Le grand filtre",{"type":7,"value":8,"toc":9},"minimark",[],{"title":10,"searchDepth":11,"depth":11,"links":12},"",2,[],"Tu veux savoir si ton outil IA expose ta boîte ? Le grand filtre croise trois dimensions (conformité LPD, secret d'affaires, réalité opérationnelle) pour 7 catégories d'outils. Une consultation, un verdict.","le-grand-filtre",{"posthog_event_prefix":16},"le_grand_filtre","Matrice consultable. Croise conformité LPD, protection du secret d'affaires et réalité opérationnelle pour 7 catégories d'outils IA (ChatGPT, API, Azure, Bedrock, Infomaniak, self-host). Gratuit, PDF téléchargeable, indexable.","md","Tu veux intégrer l'IA dans ton entreprise sans mettre tes données client ou ton secret d'affaires en risque. Mais entre \"ChatGPT\", \"API OpenAI\", \"Azure CH\", \"Infomaniak\", \"Llama en self-host\", les éditeurs te jurent tous que c'est \"sécurisé\". Sauf que ce mot recouvre trois choses qui ne se recoupent pas.\n\nLe grand filtre croise ces trois choses pour 7 catégories d'outils.\n\nLis dans cet ordre : matrice 1 (conformité LPD, ai-je le droit ?), matrice 2 (secret d'affaires, mon secret tient-il face au Cloud Act ?), matrice 3 (réalité opérationnelle, qu'est-ce qui va peser une fois l'outil choisi ?).\n\n**Légende verdicts** : vert = conforme \u002F risque faible, orange = sous conditions (a, b, c, voir conditions plus bas), rouge = non \u002F risque élevé.\n\n### Matrice 1 : conformité LPD\n\n| Outil | Résidence | DPA | No-train | Verdict |\n|---|---|---|---|---|\n| ChatGPT perso (Free \u002F Plus) | US | Non | Non | Non conforme |\n| ChatGPT Team \u002F Enterprise | US (UE option) | Oui | Oui | Conforme sous condition **a** |\n| API OpenAI (+ ZDR) | US | Oui | Oui | Conforme sous condition **a** |\n| Azure OpenAI (CH North) | CH | Oui | Oui | Conforme |\n| AWS Bedrock (Zurich) | CH | Oui | Oui | Conforme |\n| Infomaniak AI (API) | CH | Oui | Oui | Conforme |\n| Self-host (Ollama \u002F on-prem) | CH requis **c** | Sans objet | Oui | Conforme **c** |\n\n### Matrice 2 : secret d'affaires et souveraineté\n\n| Outil | CMK \u002F clés | Cloud Act | Verdict |\n|---|---|---|---|\n| ChatGPT perso | Non | Élevé | Exposé |\n| ChatGPT Team \u002F Enterprise | Non | Élevé | Risqué |\n| API OpenAI (+ ZDR) | Non | Élevé | Risqué |\n| Azure OpenAI (CH North) | Oui (+ HYOK) | Moyen | Bon **b** |\n| AWS Bedrock (Zurich) | Oui (+ HYOK) | Moyen | Bon **b** |\n| Infomaniak AI (API) | Chiffrement CH | Nul | Protégé |\n| Self-host | Total | Nul | Maximal **c** |\n\n### Matrice 3 : réalité opérationnelle\n\n| Outil | Point d'attention |\n|---|---|\n| ChatGPT perso | Le cauchemar du Shadow IT. Aucun contrôle d'accès, aucune visibilité sur ce que les employés copient-collent. |\n| ChatGPT Team \u002F Enterprise | Faux sentiment de sécurité. Protège contre l'entraînement, pas contre une injonction étrangère. Exige une gouvernance SSO stricte. |\n| API OpenAI (+ ZDR) | Nécessite un middleware. Prévoir un tampon en amont pour filtrer ou pseudonymiser les requêtes avant le départ US. |\n| Azure OpenAI (CH North) | Lourdeur de configuration. Le niveau \"Bon\" suppose d'empiler HYOK + calcul confidentiel + exemption de journalisation. |\n| AWS Bedrock (Zurich) | Profil jumeau d'Azure. Souveraineté par empilement KMS externalisé + Nitro Enclaves. |\n| Infomaniak AI (API) | Écart de performance possible sur les raisonnements très complexes vs modèles frontière propriétaires. |\n| Self-host | Le piège de l'infrastructure. Le risque se déplace vers ta sécurité interne (accès, sauvegardes, durcissement). Coûts GPU souvent cachés. |\n","KIT · LE GRAND FILTRE","cheatsheet",{"metiers":23},[],true,"## Lecture des verdicts et conditions\n\nLe verdict LPD dépend de la chaîne : résidence + DPA + non-entraînement + encadrement du transfert.\nLe verdict secret d'affaires dépend de qui peut, de fait, accéder au contenu : maîtrise des clés et exposition au Cloud Act.\n\n### Condition a : transfert vers les États-Unis\n\n\"Conforme\" seulement si le mécanisme de transfert est en place : fournisseur certifié Swiss-US DPF (adéquation reconnue depuis septembre 2024, à vérifier sur la liste officielle dataprivacyframework.gov\u002Flist, certification annuelle) **ou** clauses contractuelles types + analyse d'impact (TIA). Le statut DPF d'OpenAI est ambigu selon les sources ; Microsoft est certifié.\n\n### Condition b : niveau \"Bon\" Azure \u002F Bedrock\n\nAtteint uniquement en empilant : clé en HYOK (hors d'atteinte de l'hébergeur), calcul confidentiel (TEE) pour l'inférence, et exemption de journalisation. Sans ces couches, le verdict retombe à \"Moyen\".\n\n### Condition c : self-host\n\nValable à deux conditions : serveur physiquement en Suisse (matériel propre ou hébergeur suisse type Infomaniak ; un VPS étranger ou un cloud américain fait retomber la résidence et peut réintroduire le Cloud Act par la couche infrastructure), **et** sécurité interne (accès, sauvegardes, durcissement) à la hauteur.\n\n## Le cas des agents de codage (Claude Code, Cursor, Antigravity, Copilot, Codex)\n\nLes agents de codage ne sont pas une ligne de la matrice : ce sont des clients, pas des backends d'hébergement. Leur conformité hérite du moteur d'inférence vers lequel ils sont configurés.\n\n- **Claude Code** : configurable. Par défaut, API Anthropic (US), profil \"API OpenAI\". Routé vers Bedrock, Vertex ou Foundry (région européenne ou cloud privé), profil \"Azure \u002F Bedrock CH\". Sur un plan grand public (Pro\u002FMax) l'entraînement peut être actif par défaut, même piège que ChatGPT personnel. Sur les plans commerciaux (API, Bedrock, Vertex, Team, Enterprise) : pas d'entraînement.\n- **Antigravity (Google)** : cloud-native, code par défaut sur les serveurs Google, profil \"US\". Via la plateforme Google Cloud entreprise (région suisse, Google certifié DPF), il se rapproche du profil \"Azure \u002F Bedrock CH\". En exécution locale (Ollama), il rejoint le profil \"self-host\".\n\n**Deux règles propres aux agents**\n\n- **Périmètre** : un agent touche du code, pas des données de production. Garder l'agent sur du code et des données de test ou synthétiques, jamais sur des données personnelles ou réglementées réelles. Surveiller les secrets (clés API, mots de passe) qui ne doivent finir ni dans un prompt ni dans un cache local.\n- **Accès local** : les agents lisent le dépôt, exécutent des commandes, pilotent parfois un navigateur. Certains conservent les transcripts en clair localement. La surface d'exposition (exfiltration, injection de prompt) est plus large qu'un chatbot et appelle un contrôle d'accès strict.\n\n## Avant de déployer (checklist)\n\n- **DPA \u002F contrat de sous-traitance signé** (art. 9 LPD)\n- **Mécanisme de transfert** pour tout flux hors CH\u002FUE : adéquation Swiss-US DPF ou CCT + analyse d'impact (TIA)\n- **Confirmation contractuelle du non-entraînement** (et du zero-data-retention si disponible)\n- **AIPD** (analyse d'impact) si le risque est élevé\n- **Mise à jour du registre des traitements** et de la politique de confidentialité ; information des personnes concernées\n- **Mesures techniques** : chiffrement, contrôle d'accès, journalisation\n\nSpécifique Azure \u002F Bedrock CH : clé externalisée en HYOK + calcul confidentiel (TEE) + exemption de journalisation.\n\nPérimètre FINMA : notification d'externalisation, clause d'audit, plan de réversibilité (Circ. 2018\u002F3). Politique interne d'usage de l'IA + classification des données.\n\n## Glossaire\n\n- **LPD** : Loi fédérale suisse sur la protection des données, dans sa version révisée en vigueur depuis le 1er septembre 2023.\n- **RGPD** : Règlement général européen sur la protection des données.\n- **Donnée personnelle** : information se rapportant à une personne identifiée ou identifiable.\n- **Anonymisation** : rupture durable du lien avec la personne (réidentification à effort disproportionné) ; sort la donnée du champ de la loi.\n- **Pseudonymisation** : remplacement des identifiants par un pseudonyme, clé conservée à part ; la donnée reste personnelle.\n- **DPA** : Data Processing Agreement, contrat de sous-traitance (art. 9 LPD).\n- **CCT \u002F SCC** : clauses contractuelles types pour les transferts transfrontières.\n- **Swiss-US DPF** : Data Privacy Framework ; depuis le 15 septembre 2024, voie d'adéquation pour les transferts vers les entreprises US certifiées.\n- **TIA** : Transfer Impact Assessment, requise hors voie d'adéquation.\n- **ZDR** : Zero Data Retention.\n- **CMK** : Customer-Managed Keys.\n- **HYOK** : Hold Your Own Key, clé hors d'atteinte de l'hébergeur.\n- **TEE \u002F calcul confidentiel** : Trusted Execution Environment, protège la donnée en mémoire pendant le traitement.\n- **Cloud Act** : loi américaine permettant d'exiger d'une entreprise US la communication de données, y compris stockées hors des États-Unis.\n- **AIPD** : Analyse d'impact relative à la protection des données.\n- **FINMA (Circ. 2018\u002F3)** : cadre suisse de l'externalisation applicable aux établissements financiers.\n\n## Limites\n\nCe document est une aide à la décision. Il ne constitue pas un avis juridique. La qualification précise des données et la conformité d'un déploiement donné doivent être validées par un conseil juridique spécialisé, en particulier sur le volet FINMA. Les caractéristiques des fournisseurs (résidence, options de chiffrement, statut DPF, conditions contractuelles) évoluent et doivent être vérifiées au moment de la contractualisation.\n\nDate de dernière révision : 7 juin 2026.\n\n## Télécharger le PDF\n\nLe grand filtre est aussi disponible en PDF : [le-grand-filtre.pdf](\u002Fdownloads\u002Fle-grand-filtre.pdf)\n\n## Pour aller plus loin\n\nPour recevoir les mises à jour de la matrice quand le marché bouge (nouveaux outils, changements de statut DPF, évolutions FINMA), inscris-toi à [La Fréquence](\u002Ffrequence).\n",null,"\u002Foutils\u002Fle-grand-filtre",{"title":5,"description":17},[30,31,32,33],"7 OUTILS","3 DIMENSIONS","MATRICE CONSULTABLE","PDF TÉLÉCHARGEABLE","outils\u002Fle-grand-filtre","La matrice qui croise conformité LPD, secret d'affaires et réalité opérationnelle pour 7 catégories d'outils IA.","UpFbrVS28V8MjkwGF397D-PSQu0ftzdhTBqbZrdNys4",{"data":38,"body":39},{},{"type":40,"children":41},"root",[42,50,55,60,71,78,318,324,513,519],{"type":43,"tag":44,"props":45,"children":46},"element","p",{},[47],{"type":48,"value":49},"text","Tu veux intégrer l'IA dans ton entreprise sans mettre tes données client ou ton secret d'affaires en risque. Mais entre \"ChatGPT\", \"API OpenAI\", \"Azure CH\", \"Infomaniak\", \"Llama en self-host\", les éditeurs te jurent tous que c'est \"sécurisé\". Sauf que ce mot recouvre trois choses qui ne se recoupent pas.",{"type":43,"tag":44,"props":51,"children":52},{},[53],{"type":48,"value":54},"Le grand filtre croise ces trois choses pour 7 catégories d'outils.",{"type":43,"tag":44,"props":56,"children":57},{},[58],{"type":48,"value":59},"Lis dans cet ordre : matrice 1 (conformité LPD, ai-je le droit ?), matrice 2 (secret d'affaires, mon secret tient-il face au Cloud Act ?), matrice 3 (réalité opérationnelle, qu'est-ce qui va peser une fois l'outil choisi ?).",{"type":43,"tag":44,"props":61,"children":62},{},[63,69],{"type":43,"tag":64,"props":65,"children":66},"strong",{},[67],{"type":48,"value":68},"Légende verdicts",{"type":48,"value":70}," : vert = conforme \u002F risque faible, orange = sous conditions (a, b, c, voir conditions plus bas), rouge = non \u002F risque élevé.",{"type":43,"tag":72,"props":73,"children":75},"h3",{"id":74},"matrice-1-conformité-lpd",[76],{"type":48,"value":77},"Matrice 1 : conformité LPD",{"type":43,"tag":79,"props":80,"children":81},"table",{},[82,116],{"type":43,"tag":83,"props":84,"children":85},"thead",{},[86],{"type":43,"tag":87,"props":88,"children":89},"tr",{},[90,96,101,106,111],{"type":43,"tag":91,"props":92,"children":93},"th",{},[94],{"type":48,"value":95},"Outil",{"type":43,"tag":91,"props":97,"children":98},{},[99],{"type":48,"value":100},"Résidence",{"type":43,"tag":91,"props":102,"children":103},{},[104],{"type":48,"value":105},"DPA",{"type":43,"tag":91,"props":107,"children":108},{},[109],{"type":48,"value":110},"No-train",{"type":43,"tag":91,"props":112,"children":113},{},[114],{"type":48,"value":115},"Verdict",{"type":43,"tag":117,"props":118,"children":119},"tbody",{},[120,148,180,208,234,258,282],{"type":43,"tag":87,"props":121,"children":122},{},[123,129,134,139,143],{"type":43,"tag":124,"props":125,"children":126},"td",{},[127],{"type":48,"value":128},"ChatGPT perso (Free \u002F Plus)",{"type":43,"tag":124,"props":130,"children":131},{},[132],{"type":48,"value":133},"US",{"type":43,"tag":124,"props":135,"children":136},{},[137],{"type":48,"value":138},"Non",{"type":43,"tag":124,"props":140,"children":141},{},[142],{"type":48,"value":138},{"type":43,"tag":124,"props":144,"children":145},{},[146],{"type":48,"value":147},"Non conforme",{"type":43,"tag":87,"props":149,"children":150},{},[151,156,161,166,170],{"type":43,"tag":124,"props":152,"children":153},{},[154],{"type":48,"value":155},"ChatGPT Team \u002F Enterprise",{"type":43,"tag":124,"props":157,"children":158},{},[159],{"type":48,"value":160},"US (UE option)",{"type":43,"tag":124,"props":162,"children":163},{},[164],{"type":48,"value":165},"Oui",{"type":43,"tag":124,"props":167,"children":168},{},[169],{"type":48,"value":165},{"type":43,"tag":124,"props":171,"children":172},{},[173,175],{"type":48,"value":174},"Conforme sous condition ",{"type":43,"tag":64,"props":176,"children":177},{},[178],{"type":48,"value":179},"a",{"type":43,"tag":87,"props":181,"children":182},{},[183,188,192,196,200],{"type":43,"tag":124,"props":184,"children":185},{},[186],{"type":48,"value":187},"API OpenAI (+ ZDR)",{"type":43,"tag":124,"props":189,"children":190},{},[191],{"type":48,"value":133},{"type":43,"tag":124,"props":193,"children":194},{},[195],{"type":48,"value":165},{"type":43,"tag":124,"props":197,"children":198},{},[199],{"type":48,"value":165},{"type":43,"tag":124,"props":201,"children":202},{},[203,204],{"type":48,"value":174},{"type":43,"tag":64,"props":205,"children":206},{},[207],{"type":48,"value":179},{"type":43,"tag":87,"props":209,"children":210},{},[211,216,221,225,229],{"type":43,"tag":124,"props":212,"children":213},{},[214],{"type":48,"value":215},"Azure OpenAI (CH North)",{"type":43,"tag":124,"props":217,"children":218},{},[219],{"type":48,"value":220},"CH",{"type":43,"tag":124,"props":222,"children":223},{},[224],{"type":48,"value":165},{"type":43,"tag":124,"props":226,"children":227},{},[228],{"type":48,"value":165},{"type":43,"tag":124,"props":230,"children":231},{},[232],{"type":48,"value":233},"Conforme",{"type":43,"tag":87,"props":235,"children":236},{},[237,242,246,250,254],{"type":43,"tag":124,"props":238,"children":239},{},[240],{"type":48,"value":241},"AWS Bedrock (Zurich)",{"type":43,"tag":124,"props":243,"children":244},{},[245],{"type":48,"value":220},{"type":43,"tag":124,"props":247,"children":248},{},[249],{"type":48,"value":165},{"type":43,"tag":124,"props":251,"children":252},{},[253],{"type":48,"value":165},{"type":43,"tag":124,"props":255,"children":256},{},[257],{"type":48,"value":233},{"type":43,"tag":87,"props":259,"children":260},{},[261,266,270,274,278],{"type":43,"tag":124,"props":262,"children":263},{},[264],{"type":48,"value":265},"Infomaniak AI (API)",{"type":43,"tag":124,"props":267,"children":268},{},[269],{"type":48,"value":220},{"type":43,"tag":124,"props":271,"children":272},{},[273],{"type":48,"value":165},{"type":43,"tag":124,"props":275,"children":276},{},[277],{"type":48,"value":165},{"type":43,"tag":124,"props":279,"children":280},{},[281],{"type":48,"value":233},{"type":43,"tag":87,"props":283,"children":284},{},[285,290,300,305,309],{"type":43,"tag":124,"props":286,"children":287},{},[288],{"type":48,"value":289},"Self-host (Ollama \u002F on-prem)",{"type":43,"tag":124,"props":291,"children":292},{},[293,295],{"type":48,"value":294},"CH requis ",{"type":43,"tag":64,"props":296,"children":297},{},[298],{"type":48,"value":299},"c",{"type":43,"tag":124,"props":301,"children":302},{},[303],{"type":48,"value":304},"Sans objet",{"type":43,"tag":124,"props":306,"children":307},{},[308],{"type":48,"value":165},{"type":43,"tag":124,"props":310,"children":311},{},[312,314],{"type":48,"value":313},"Conforme ",{"type":43,"tag":64,"props":315,"children":316},{},[317],{"type":48,"value":299},{"type":43,"tag":72,"props":319,"children":321},{"id":320},"matrice-2-secret-daffaires-et-souveraineté",[322],{"type":48,"value":323},"Matrice 2 : secret d'affaires et souveraineté",{"type":43,"tag":79,"props":325,"children":326},{},[327,351],{"type":43,"tag":83,"props":328,"children":329},{},[330],{"type":43,"tag":87,"props":331,"children":332},{},[333,337,342,347],{"type":43,"tag":91,"props":334,"children":335},{},[336],{"type":48,"value":95},{"type":43,"tag":91,"props":338,"children":339},{},[340],{"type":48,"value":341},"CMK \u002F clés",{"type":43,"tag":91,"props":343,"children":344},{},[345],{"type":48,"value":346},"Cloud Act",{"type":43,"tag":91,"props":348,"children":349},{},[350],{"type":48,"value":115},{"type":43,"tag":117,"props":352,"children":353},{},[354,376,396,415,442,465,487],{"type":43,"tag":87,"props":355,"children":356},{},[357,362,366,371],{"type":43,"tag":124,"props":358,"children":359},{},[360],{"type":48,"value":361},"ChatGPT perso",{"type":43,"tag":124,"props":363,"children":364},{},[365],{"type":48,"value":138},{"type":43,"tag":124,"props":367,"children":368},{},[369],{"type":48,"value":370},"Élevé",{"type":43,"tag":124,"props":372,"children":373},{},[374],{"type":48,"value":375},"Exposé",{"type":43,"tag":87,"props":377,"children":378},{},[379,383,387,391],{"type":43,"tag":124,"props":380,"children":381},{},[382],{"type":48,"value":155},{"type":43,"tag":124,"props":384,"children":385},{},[386],{"type":48,"value":138},{"type":43,"tag":124,"props":388,"children":389},{},[390],{"type":48,"value":370},{"type":43,"tag":124,"props":392,"children":393},{},[394],{"type":48,"value":395},"Risqué",{"type":43,"tag":87,"props":397,"children":398},{},[399,403,407,411],{"type":43,"tag":124,"props":400,"children":401},{},[402],{"type":48,"value":187},{"type":43,"tag":124,"props":404,"children":405},{},[406],{"type":48,"value":138},{"type":43,"tag":124,"props":408,"children":409},{},[410],{"type":48,"value":370},{"type":43,"tag":124,"props":412,"children":413},{},[414],{"type":48,"value":395},{"type":43,"tag":87,"props":416,"children":417},{},[418,422,427,432],{"type":43,"tag":124,"props":419,"children":420},{},[421],{"type":48,"value":215},{"type":43,"tag":124,"props":423,"children":424},{},[425],{"type":48,"value":426},"Oui (+ HYOK)",{"type":43,"tag":124,"props":428,"children":429},{},[430],{"type":48,"value":431},"Moyen",{"type":43,"tag":124,"props":433,"children":434},{},[435,437],{"type":48,"value":436},"Bon ",{"type":43,"tag":64,"props":438,"children":439},{},[440],{"type":48,"value":441},"b",{"type":43,"tag":87,"props":443,"children":444},{},[445,449,453,457],{"type":43,"tag":124,"props":446,"children":447},{},[448],{"type":48,"value":241},{"type":43,"tag":124,"props":450,"children":451},{},[452],{"type":48,"value":426},{"type":43,"tag":124,"props":454,"children":455},{},[456],{"type":48,"value":431},{"type":43,"tag":124,"props":458,"children":459},{},[460,461],{"type":48,"value":436},{"type":43,"tag":64,"props":462,"children":463},{},[464],{"type":48,"value":441},{"type":43,"tag":87,"props":466,"children":467},{},[468,472,477,482],{"type":43,"tag":124,"props":469,"children":470},{},[471],{"type":48,"value":265},{"type":43,"tag":124,"props":473,"children":474},{},[475],{"type":48,"value":476},"Chiffrement CH",{"type":43,"tag":124,"props":478,"children":479},{},[480],{"type":48,"value":481},"Nul",{"type":43,"tag":124,"props":483,"children":484},{},[485],{"type":48,"value":486},"Protégé",{"type":43,"tag":87,"props":488,"children":489},{},[490,495,500,504],{"type":43,"tag":124,"props":491,"children":492},{},[493],{"type":48,"value":494},"Self-host",{"type":43,"tag":124,"props":496,"children":497},{},[498],{"type":48,"value":499},"Total",{"type":43,"tag":124,"props":501,"children":502},{},[503],{"type":48,"value":481},{"type":43,"tag":124,"props":505,"children":506},{},[507,509],{"type":48,"value":508},"Maximal ",{"type":43,"tag":64,"props":510,"children":511},{},[512],{"type":48,"value":299},{"type":43,"tag":72,"props":514,"children":516},{"id":515},"matrice-3-réalité-opérationnelle",[517],{"type":48,"value":518},"Matrice 3 : réalité opérationnelle",{"type":43,"tag":79,"props":520,"children":521},{},[522,537],{"type":43,"tag":83,"props":523,"children":524},{},[525],{"type":43,"tag":87,"props":526,"children":527},{},[528,532],{"type":43,"tag":91,"props":529,"children":530},{},[531],{"type":48,"value":95},{"type":43,"tag":91,"props":533,"children":534},{},[535],{"type":48,"value":536},"Point d'attention",{"type":43,"tag":117,"props":538,"children":539},{},[540,552,564,576,588,600,612],{"type":43,"tag":87,"props":541,"children":542},{},[543,547],{"type":43,"tag":124,"props":544,"children":545},{},[546],{"type":48,"value":361},{"type":43,"tag":124,"props":548,"children":549},{},[550],{"type":48,"value":551},"Le cauchemar du Shadow IT. Aucun contrôle d'accès, aucune visibilité sur ce que les employés copient-collent.",{"type":43,"tag":87,"props":553,"children":554},{},[555,559],{"type":43,"tag":124,"props":556,"children":557},{},[558],{"type":48,"value":155},{"type":43,"tag":124,"props":560,"children":561},{},[562],{"type":48,"value":563},"Faux sentiment de sécurité. Protège contre l'entraînement, pas contre une injonction étrangère. Exige une gouvernance SSO stricte.",{"type":43,"tag":87,"props":565,"children":566},{},[567,571],{"type":43,"tag":124,"props":568,"children":569},{},[570],{"type":48,"value":187},{"type":43,"tag":124,"props":572,"children":573},{},[574],{"type":48,"value":575},"Nécessite un middleware. Prévoir un tampon en amont pour filtrer ou pseudonymiser les requêtes avant le départ US.",{"type":43,"tag":87,"props":577,"children":578},{},[579,583],{"type":43,"tag":124,"props":580,"children":581},{},[582],{"type":48,"value":215},{"type":43,"tag":124,"props":584,"children":585},{},[586],{"type":48,"value":587},"Lourdeur de configuration. Le niveau \"Bon\" suppose d'empiler HYOK + calcul confidentiel + exemption de journalisation.",{"type":43,"tag":87,"props":589,"children":590},{},[591,595],{"type":43,"tag":124,"props":592,"children":593},{},[594],{"type":48,"value":241},{"type":43,"tag":124,"props":596,"children":597},{},[598],{"type":48,"value":599},"Profil jumeau d'Azure. Souveraineté par empilement KMS externalisé + Nitro Enclaves.",{"type":43,"tag":87,"props":601,"children":602},{},[603,607],{"type":43,"tag":124,"props":604,"children":605},{},[606],{"type":48,"value":265},{"type":43,"tag":124,"props":608,"children":609},{},[610],{"type":48,"value":611},"Écart de performance possible sur les raisonnements très complexes vs modèles frontière propriétaires.",{"type":43,"tag":87,"props":613,"children":614},{},[615,619],{"type":43,"tag":124,"props":616,"children":617},{},[618],{"type":48,"value":494},{"type":43,"tag":124,"props":620,"children":621},{},[622],{"type":48,"value":623},"Le piège de l'infrastructure. Le risque se déplace vers ta sécurité interne (accès, sauvegardes, durcissement). Coûts GPU souvent cachés.",{"data":625,"body":626},{},{"type":40,"children":627},[628,635,640,646,658,664,669,675,687,693,698,723,731,754,760,823,828,833,839,999,1005,1010,1015,1021,1032,1038],{"type":43,"tag":629,"props":630,"children":632},"h2",{"id":631},"lecture-des-verdicts-et-conditions",[633],{"type":48,"value":634},"Lecture des verdicts et conditions",{"type":43,"tag":44,"props":636,"children":637},{},[638],{"type":48,"value":639},"Le verdict LPD dépend de la chaîne : résidence + DPA + non-entraînement + encadrement du transfert.\nLe verdict secret d'affaires dépend de qui peut, de fait, accéder au contenu : maîtrise des clés et exposition au Cloud Act.",{"type":43,"tag":72,"props":641,"children":643},{"id":642},"condition-a-transfert-vers-les-états-unis",[644],{"type":48,"value":645},"Condition a : transfert vers les États-Unis",{"type":43,"tag":44,"props":647,"children":648},{},[649,651,656],{"type":48,"value":650},"\"Conforme\" seulement si le mécanisme de transfert est en place : fournisseur certifié Swiss-US DPF (adéquation reconnue depuis septembre 2024, à vérifier sur la liste officielle dataprivacyframework.gov\u002Flist, certification annuelle) ",{"type":43,"tag":64,"props":652,"children":653},{},[654],{"type":48,"value":655},"ou",{"type":48,"value":657}," clauses contractuelles types + analyse d'impact (TIA). Le statut DPF d'OpenAI est ambigu selon les sources ; Microsoft est certifié.",{"type":43,"tag":72,"props":659,"children":661},{"id":660},"condition-b-niveau-bon-azure-bedrock",[662],{"type":48,"value":663},"Condition b : niveau \"Bon\" Azure \u002F Bedrock",{"type":43,"tag":44,"props":665,"children":666},{},[667],{"type":48,"value":668},"Atteint uniquement en empilant : clé en HYOK (hors d'atteinte de l'hébergeur), calcul confidentiel (TEE) pour l'inférence, et exemption de journalisation. Sans ces couches, le verdict retombe à \"Moyen\".",{"type":43,"tag":72,"props":670,"children":672},{"id":671},"condition-c-self-host",[673],{"type":48,"value":674},"Condition c : self-host",{"type":43,"tag":44,"props":676,"children":677},{},[678,680,685],{"type":48,"value":679},"Valable à deux conditions : serveur physiquement en Suisse (matériel propre ou hébergeur suisse type Infomaniak ; un VPS étranger ou un cloud américain fait retomber la résidence et peut réintroduire le Cloud Act par la couche infrastructure), ",{"type":43,"tag":64,"props":681,"children":682},{},[683],{"type":48,"value":684},"et",{"type":48,"value":686}," sécurité interne (accès, sauvegardes, durcissement) à la hauteur.",{"type":43,"tag":629,"props":688,"children":690},{"id":689},"le-cas-des-agents-de-codage-claude-code-cursor-antigravity-copilot-codex",[691],{"type":48,"value":692},"Le cas des agents de codage (Claude Code, Cursor, Antigravity, Copilot, Codex)",{"type":43,"tag":44,"props":694,"children":695},{},[696],{"type":48,"value":697},"Les agents de codage ne sont pas une ligne de la matrice : ce sont des clients, pas des backends d'hébergement. Leur conformité hérite du moteur d'inférence vers lequel ils sont configurés.",{"type":43,"tag":699,"props":700,"children":701},"ul",{},[702,713],{"type":43,"tag":703,"props":704,"children":705},"li",{},[706,711],{"type":43,"tag":64,"props":707,"children":708},{},[709],{"type":48,"value":710},"Claude Code",{"type":48,"value":712}," : configurable. Par défaut, API Anthropic (US), profil \"API OpenAI\". Routé vers Bedrock, Vertex ou Foundry (région européenne ou cloud privé), profil \"Azure \u002F Bedrock CH\". Sur un plan grand public (Pro\u002FMax) l'entraînement peut être actif par défaut, même piège que ChatGPT personnel. Sur les plans commerciaux (API, Bedrock, Vertex, Team, Enterprise) : pas d'entraînement.",{"type":43,"tag":703,"props":714,"children":715},{},[716,721],{"type":43,"tag":64,"props":717,"children":718},{},[719],{"type":48,"value":720},"Antigravity (Google)",{"type":48,"value":722}," : cloud-native, code par défaut sur les serveurs Google, profil \"US\". Via la plateforme Google Cloud entreprise (région suisse, Google certifié DPF), il se rapproche du profil \"Azure \u002F Bedrock CH\". En exécution locale (Ollama), il rejoint le profil \"self-host\".",{"type":43,"tag":44,"props":724,"children":725},{},[726],{"type":43,"tag":64,"props":727,"children":728},{},[729],{"type":48,"value":730},"Deux règles propres aux agents",{"type":43,"tag":699,"props":732,"children":733},{},[734,744],{"type":43,"tag":703,"props":735,"children":736},{},[737,742],{"type":43,"tag":64,"props":738,"children":739},{},[740],{"type":48,"value":741},"Périmètre",{"type":48,"value":743}," : un agent touche du code, pas des données de production. Garder l'agent sur du code et des données de test ou synthétiques, jamais sur des données personnelles ou réglementées réelles. Surveiller les secrets (clés API, mots de passe) qui ne doivent finir ni dans un prompt ni dans un cache local.",{"type":43,"tag":703,"props":745,"children":746},{},[747,752],{"type":43,"tag":64,"props":748,"children":749},{},[750],{"type":48,"value":751},"Accès local",{"type":48,"value":753}," : les agents lisent le dépôt, exécutent des commandes, pilotent parfois un navigateur. Certains conservent les transcripts en clair localement. La surface d'exposition (exfiltration, injection de prompt) est plus large qu'un chatbot et appelle un contrôle d'accès strict.",{"type":43,"tag":629,"props":755,"children":757},{"id":756},"avant-de-déployer-checklist",[758],{"type":48,"value":759},"Avant de déployer (checklist)",{"type":43,"tag":699,"props":761,"children":762},{},[763,773,783,793,803,813],{"type":43,"tag":703,"props":764,"children":765},{},[766,771],{"type":43,"tag":64,"props":767,"children":768},{},[769],{"type":48,"value":770},"DPA \u002F contrat de sous-traitance signé",{"type":48,"value":772}," (art. 9 LPD)",{"type":43,"tag":703,"props":774,"children":775},{},[776,781],{"type":43,"tag":64,"props":777,"children":778},{},[779],{"type":48,"value":780},"Mécanisme de transfert",{"type":48,"value":782}," pour tout flux hors CH\u002FUE : adéquation Swiss-US DPF ou CCT + analyse d'impact (TIA)",{"type":43,"tag":703,"props":784,"children":785},{},[786,791],{"type":43,"tag":64,"props":787,"children":788},{},[789],{"type":48,"value":790},"Confirmation contractuelle du non-entraînement",{"type":48,"value":792}," (et du zero-data-retention si disponible)",{"type":43,"tag":703,"props":794,"children":795},{},[796,801],{"type":43,"tag":64,"props":797,"children":798},{},[799],{"type":48,"value":800},"AIPD",{"type":48,"value":802}," (analyse d'impact) si le risque est élevé",{"type":43,"tag":703,"props":804,"children":805},{},[806,811],{"type":43,"tag":64,"props":807,"children":808},{},[809],{"type":48,"value":810},"Mise à jour du registre des traitements",{"type":48,"value":812}," et de la politique de confidentialité ; information des personnes concernées",{"type":43,"tag":703,"props":814,"children":815},{},[816,821],{"type":43,"tag":64,"props":817,"children":818},{},[819],{"type":48,"value":820},"Mesures techniques",{"type":48,"value":822}," : chiffrement, contrôle d'accès, journalisation",{"type":43,"tag":44,"props":824,"children":825},{},[826],{"type":48,"value":827},"Spécifique Azure \u002F Bedrock CH : clé externalisée en HYOK + calcul confidentiel (TEE) + exemption de journalisation.",{"type":43,"tag":44,"props":829,"children":830},{},[831],{"type":48,"value":832},"Périmètre FINMA : notification d'externalisation, clause d'audit, plan de réversibilité (Circ. 2018\u002F3). Politique interne d'usage de l'IA + classification des données.",{"type":43,"tag":629,"props":834,"children":836},{"id":835},"glossaire",[837],{"type":48,"value":838},"Glossaire",{"type":43,"tag":699,"props":840,"children":841},{},[842,852,862,872,882,892,901,911,921,931,941,951,961,971,980,989],{"type":43,"tag":703,"props":843,"children":844},{},[845,850],{"type":43,"tag":64,"props":846,"children":847},{},[848],{"type":48,"value":849},"LPD",{"type":48,"value":851}," : Loi fédérale suisse sur la protection des données, dans sa version révisée en vigueur depuis le 1er septembre 2023.",{"type":43,"tag":703,"props":853,"children":854},{},[855,860],{"type":43,"tag":64,"props":856,"children":857},{},[858],{"type":48,"value":859},"RGPD",{"type":48,"value":861}," : Règlement général européen sur la protection des données.",{"type":43,"tag":703,"props":863,"children":864},{},[865,870],{"type":43,"tag":64,"props":866,"children":867},{},[868],{"type":48,"value":869},"Donnée personnelle",{"type":48,"value":871}," : information se rapportant à une personne identifiée ou identifiable.",{"type":43,"tag":703,"props":873,"children":874},{},[875,880],{"type":43,"tag":64,"props":876,"children":877},{},[878],{"type":48,"value":879},"Anonymisation",{"type":48,"value":881}," : rupture durable du lien avec la personne (réidentification à effort disproportionné) ; sort la donnée du champ de la loi.",{"type":43,"tag":703,"props":883,"children":884},{},[885,890],{"type":43,"tag":64,"props":886,"children":887},{},[888],{"type":48,"value":889},"Pseudonymisation",{"type":48,"value":891}," : remplacement des identifiants par un pseudonyme, clé conservée à part ; la donnée reste personnelle.",{"type":43,"tag":703,"props":893,"children":894},{},[895,899],{"type":43,"tag":64,"props":896,"children":897},{},[898],{"type":48,"value":105},{"type":48,"value":900}," : Data Processing Agreement, contrat de sous-traitance (art. 9 LPD).",{"type":43,"tag":703,"props":902,"children":903},{},[904,909],{"type":43,"tag":64,"props":905,"children":906},{},[907],{"type":48,"value":908},"CCT \u002F SCC",{"type":48,"value":910}," : clauses contractuelles types pour les transferts transfrontières.",{"type":43,"tag":703,"props":912,"children":913},{},[914,919],{"type":43,"tag":64,"props":915,"children":916},{},[917],{"type":48,"value":918},"Swiss-US DPF",{"type":48,"value":920}," : Data Privacy Framework ; depuis le 15 septembre 2024, voie d'adéquation pour les transferts vers les entreprises US certifiées.",{"type":43,"tag":703,"props":922,"children":923},{},[924,929],{"type":43,"tag":64,"props":925,"children":926},{},[927],{"type":48,"value":928},"TIA",{"type":48,"value":930}," : Transfer Impact Assessment, requise hors voie d'adéquation.",{"type":43,"tag":703,"props":932,"children":933},{},[934,939],{"type":43,"tag":64,"props":935,"children":936},{},[937],{"type":48,"value":938},"ZDR",{"type":48,"value":940}," : Zero Data Retention.",{"type":43,"tag":703,"props":942,"children":943},{},[944,949],{"type":43,"tag":64,"props":945,"children":946},{},[947],{"type":48,"value":948},"CMK",{"type":48,"value":950}," : Customer-Managed Keys.",{"type":43,"tag":703,"props":952,"children":953},{},[954,959],{"type":43,"tag":64,"props":955,"children":956},{},[957],{"type":48,"value":958},"HYOK",{"type":48,"value":960}," : Hold Your Own Key, clé hors d'atteinte de l'hébergeur.",{"type":43,"tag":703,"props":962,"children":963},{},[964,969],{"type":43,"tag":64,"props":965,"children":966},{},[967],{"type":48,"value":968},"TEE \u002F calcul confidentiel",{"type":48,"value":970}," : Trusted Execution Environment, protège la donnée en mémoire pendant le traitement.",{"type":43,"tag":703,"props":972,"children":973},{},[974,978],{"type":43,"tag":64,"props":975,"children":976},{},[977],{"type":48,"value":346},{"type":48,"value":979}," : loi américaine permettant d'exiger d'une entreprise US la communication de données, y compris stockées hors des États-Unis.",{"type":43,"tag":703,"props":981,"children":982},{},[983,987],{"type":43,"tag":64,"props":984,"children":985},{},[986],{"type":48,"value":800},{"type":48,"value":988}," : Analyse d'impact relative à la protection des données.",{"type":43,"tag":703,"props":990,"children":991},{},[992,997],{"type":43,"tag":64,"props":993,"children":994},{},[995],{"type":48,"value":996},"FINMA (Circ. 2018\u002F3)",{"type":48,"value":998}," : cadre suisse de l'externalisation applicable aux établissements financiers.",{"type":43,"tag":629,"props":1000,"children":1002},{"id":1001},"limites",[1003],{"type":48,"value":1004},"Limites",{"type":43,"tag":44,"props":1006,"children":1007},{},[1008],{"type":48,"value":1009},"Ce document est une aide à la décision. Il ne constitue pas un avis juridique. La qualification précise des données et la conformité d'un déploiement donné doivent être validées par un conseil juridique spécialisé, en particulier sur le volet FINMA. Les caractéristiques des fournisseurs (résidence, options de chiffrement, statut DPF, conditions contractuelles) évoluent et doivent être vérifiées au moment de la contractualisation.",{"type":43,"tag":44,"props":1011,"children":1012},{},[1013],{"type":48,"value":1014},"Date de dernière révision : 7 juin 2026.",{"type":43,"tag":629,"props":1016,"children":1018},{"id":1017},"télécharger-le-pdf",[1019],{"type":48,"value":1020},"Télécharger le PDF",{"type":43,"tag":44,"props":1022,"children":1023},{},[1024,1026],{"type":48,"value":1025},"Le grand filtre est aussi disponible en PDF : ",{"type":43,"tag":179,"props":1027,"children":1029},{"href":1028},"\u002Fdownloads\u002Fle-grand-filtre.pdf",[1030],{"type":48,"value":1031},"le-grand-filtre.pdf",{"type":43,"tag":629,"props":1033,"children":1035},{"id":1034},"pour-aller-plus-loin",[1036],{"type":48,"value":1037},"Pour aller plus loin",{"type":43,"tag":44,"props":1039,"children":1040},{},[1041,1043,1049],{"type":48,"value":1042},"Pour recevoir les mises à jour de la matrice quand le marché bouge (nouveaux outils, changements de statut DPF, évolutions FINMA), inscris-toi à ",{"type":43,"tag":179,"props":1044,"children":1046},{"href":1045},"\u002Ffrequence",[1047],{"type":48,"value":1048},"La Fréquence",{"type":48,"value":1050},".",1780863197752]