7 min de lecture

EU AI Act : ce que les entreprises suisses doivent faire d'ici août 2026

Le EU AI Act entre pleinement en vigueur le 2 août 2026. Ce que cela signifie pour les entreprises suisses, quelles obligations s'appliquent et comment se préparer en 18 semaines.

EU AI ActComplianceRéglementation IASuisseLPD

EU AI Act : ce que les entreprises suisses doivent faire d’ici août 2026

Encore 126 jours. Le 2 août 2026, les exigences relatives aux systèmes d’IA à haut risque au titre du règlement UE 2024/1689 entrent pleinement en vigueur. Les entreprises suisses qui déploient des systèmes d’IA sur le marché européen ou dont les résultats sont utilisés dans l’UE sont directement concernées.

Cet article explique quelles dispositions s’appliquent aux entreprises suisses, comment évaluer votre exposition et quelles mesures prendre dès maintenant.

La Suisse n’est pas dans l’UE. Pourquoi sommes-nous concernés ?

Le EU AI Act a une portée extraterritoriale. L’art. 2 du règlement couvre trois scénarios qui englobent les entreprises suisses :

Art. 2(1)(a) : le système d’IA est mis sur le marché de l’UE. Une entreprise suisse de logiciels vendant un produit basé sur l’IA à des clients européens est visée en tant que «fournisseur» au sens de l’art. 3(3). Peu importe où se trouve le siège de l’entreprise.

Art. 2(1)(c) : les résultats du système d’IA sont utilisés dans l’UE. Même si une entreprise suisse n’a pas de clients directs dans l’UE : si la sortie de son système d’IA est utilisée au sein de l’UE, le règlement s’applique. Exemple : une entreprise suisse génère des scores de crédit qu’une banque autrichienne utilise.

Art. 2(1)(d) : importation ou distribution. Les entreprises basées dans l’UE qui importent ou distribuent des systèmes d’IA suisses sont également soumises au règlement et exigeront contractuellement la conformité de leurs fournisseurs suisses.

Concrètement : toute entreprise suisse qui vend des logiciels ou services basés sur l’IA à des clients européens, exploite un système d’IA desservant des utilisateurs dans l’UE ou fournit des résultats générés par l’IA produisant des effets dans l’UE relève du champ d’application.

Ce qui s’applique déjà

Toutes les dispositions n’entrent pas seulement en vigueur en août. Depuis le 2 février 2025, les règles suivantes s’appliquent déjà :

  • Pratiques interdites (art. 5) : notation sociale par les autorités, manipulation subliminale, exploitation de vulnérabilités, collecte non ciblée de données biométriques, reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement. Les entreprises exploitant de tels systèmes enfreignent déjà le droit européen en vigueur.

  • Compétences en matière d’IA (art. 4) : toutes les entreprises déployant des systèmes d’IA doivent s’assurer que leur personnel dispose de compétences suffisantes en matière d’IA. Cette obligation s’applique déjà.

La classification des risques : dans quelle catégorie se situe votre système ?

Le EU AI Act classe les systèmes d’IA en quatre niveaux. Les obligations dépendent directement de cette classification.

Niveau 1 : systèmes interdits (art. 5)

Les systèmes interdits par l’art. 5 ne peuvent pas être exploités. Point. Aucune exception pour les entreprises suisses. Amende encourue : jusqu’à EUR 35 millions ou 7 % du chiffre d’affaires annuel mondial.

Niveau 2 : systèmes à haut risque (art. 6 + annexe III)

Cette catégorie concerne la plupart des entreprises suisses utilisant l’IA. L’annexe III définit huit domaines :

  1. Biométrie : identification à distance, reconnaissance des émotions (applications non interdites)
  2. Infrastructures critiques : composants de sécurité dans les transports, l’eau, le gaz, l’électricité
  3. Éducation : décisions d’admission, notation d’examens, suivi du comportement d’apprentissage
  4. Emploi : tri de CV, évaluation d’entretiens, décisions de promotion/licenciement, attribution de tâches, suivi des performances
  5. Accès aux services essentiels : scoring de crédit, évaluation des risques d’assurance, éligibilité à l’aide sociale
  6. Application de la loi : évaluation du risque de récidive, analyse de preuves
  7. Migration : évaluation des risques, vérification de documents
  8. Administration de la justice : assistance IA pour les tribunaux

En outre : tout système d’IA qui profile des personnes physiques (art. 6(2)) est automatiquement classé à haut risque.

Exception selon l’art. 6(3)

Même si un système relève d’un domaine de l’annexe III, il peut être exempté de la classification à haut risque s’il ne présente pas de risque significatif de préjudice et n’influence pas substantiellement la prise de décision. Quatre conditions :

  • (a) Il exécute une tâche procédurale étroitement définie (p. ex. tri de documents)
  • (b) Il améliore le résultat d’une activité humaine déjà accomplie
  • (c) Il détecte des schémas sans remplacer l’évaluation humaine
  • (d) Il exécute une tâche préparatoire (p. ex. recherche juridique, indexation)

Cette exception ne s’applique jamais lorsque le système profile des personnes physiques. Et : même en invoquant l’exception, le système doit être enregistré dans la base de données de l’UE et la justification documentée (art. 49(2)).

Niveau 3 : risque limité (art. 50)

Obligations de transparence pour :

  • Chatbots : doivent révéler que l’utilisateur interagit avec un système d’IA
  • Contenus générés par l’IA : doivent être marqués de manière lisible par machine
  • Deepfakes : doivent être clairement identifiables comme générés artificiellement

Niveau 4 : risque minimal

Aucune obligation spécifique. Codes de conduite volontaires recommandés.

Ce que les systèmes à haut risque doivent satisfaire

Pour chaque système à haut risque, ces exigences doivent être remplies avant sa mise sur le marché de l’UE :

Exigence Article Effort estimé
Système de gestion des risques Art. 9 2-4 semaines de mise en place, en continu
Gouvernance des données Art. 10 2-3 semaines
Documentation technique Art. 11 + annexe IV 3-6 semaines
Journalisation Art. 12 1-2 semaines
Transparence et instructions d’utilisation Art. 13 1-2 semaines
Surveillance humaine Art. 14 1-2 semaines
Exactitude, robustesse, cybersécurité Art. 15 2-4 semaines
Système de gestion de la qualité Art. 17 2-3 semaines
Évaluation de conformité Art. 43 1-4 semaines
Déclaration de conformité UE Art. 47 1 jour (après achèvement de tout le reste)
Marquage CE Art. 48 1 jour
Enregistrement dans la base de données UE Art. 49 1 jour

En outre pour les entreprises suisses : un représentant autorisé dans l’UE doit être désigné (art. 22). Sans ce représentant, aucun système à haut risque ne peut être mis sur le marché de l’UE.

Les sanctions

Type d’infraction Amende maximale Alternative
Pratiques interdites (art. 5) EUR 35 000 000 7 % du CA annuel mondial
Exigences risque élevé (art. 9-17) EUR 15 000 000 3 % du CA
Fausses informations aux autorités EUR 7 500 000 1 % du CA

Pour les PME, le montant le plus bas s’applique (art. 99(6)). Une PME suisse avec un CA de EUR 5 millions risque au maximum EUR 150 000 en cas d’infraction aux exigences de risque élevé (3 % de EUR 5 millions).

LPD et EU AI Act : double conformité

Les entreprises suisses qui déploient l’IA et traitent des données personnelles doivent respecter les deux cadres réglementaires simultanément. Les principales intersections :

  • Décisions individuelles automatisées : la LPD art. 21 exige l’information et le droit à un examen humain. Le EU AI Act art. 14 exige la surveillance humaine dès la conception. Les deux s’appliquent.
  • Analyse d’impact sur la protection des données : la LPD art. 22 (AIPD) et le EU AI Act art. 27 (analyse d’impact sur les droits fondamentaux) sont toutes deux requises mais non identiques. Elles ne se substituent pas l’une à l’autre.
  • Transparence : la LPD art. 19 (obligation d’informer) et l’art. 13 du EU AI Act (instructions d’utilisation) ont des exigences différentes. Les deux doivent être remplies.

La feuille de route en 18 semaines

Ceux qui commencent aujourd’hui disposent de 18 semaines jusqu’au 2 août 2026. C’est serré, mais faisable.

Semaines 1-4 : état des lieux. Inventorier tous les systèmes d’IA. Effectuer la classification des risques pour chaque système. Analyse des écarts par rapport aux exigences.

Semaines 5-10 : documentation. Préparer la documentation technique selon l’annexe IV. Documentation de la gouvernance des données. Mettre en place le système de gestion des risques.

Semaines 11-14 : évaluation. Tests internes (exactitude, robustesse, biais). Système de gestion de la qualité. Évaluation de conformité.

Semaines 15-18 : finalisation. Marquage CE. Enregistrement dans la base de données UE. Activer la surveillance post-commercialisation. Achever les formations.

Les entreprises qui ne commencent qu’en mai ont un vrai problème. 12 semaines suffisent à peine pour la seule documentation.

Ce que Mont Virtua propose

Nous livrons une analyse de conformité structurée : classification des risques de vos systèmes d’IA, analyse des écarts par rapport à toutes les exigences pertinentes et un plan d’action priorisé. Basé sur le texte du règlement, pas sur des suppositions. Livraison en 10 jours ouvrables.

Il s’agit d’une analyse technique de conformité. Pas d’un conseil juridique.

CTA : [Abonnez-vous à notre newsletter : mises à jour réglementaires sur le EU AI Act directement dans votre boîte de réception.]

Retour au blog

Articles similaires

28 March 2026

EU AI Act : ce que les entreprises suisses doivent savoir maintenant

Le EU AI Act sera pleinement appliqué dès août 2026. Les entreprises suisses actives sur le marché européen doivent se préparer. Délais, obligations et mesures concrètes pour la conformité.
19 March 2026

La souverainete des donnees suisses a l'ere de l'IA : pourquoi c'est important pour votre cabinet

La souverainete des donnees suisses n'est pas un argument marketing pour les outils IA. C'est une exigence legale pour les cabinets d'avocats, les banques et les professionnels de la conformite. Voici pourquoi l'endroit ou fonctionne votre IA compte.
27 March 2026

Checklist de conformité LPD 2026 : êtes-vous prêts ?

La loi révisée sur la protection des données est en vigueur depuis septembre 2023. De nombreuses entreprises présentent encore des lacunes. Cette checklist montre où vous devriez en être en 2026 et ce qu'il reste à faire.