Ce que le EU AI Act signifie pour les fiduciaires suisses

Le 2 août 2026, le EU AI Act entre pleinement en vigueur. Cela concerne les entreprises européennes. Mais pas seulement.

Si vous accompagnez en tant que fiduciaire des mandants ayant des activités dans l’UE, si vous utilisez des outils basés sur l’IA pour votre travail, ou si vous fournissez des prestations dont les résultats sont utilisés dans l’UE, cela vous concerne aussi. Pas en théorie. Concrètement.

Cet article explique quelles obligations incombent aux sociétés fiduciaires, quels scénarios sont pertinents et ce que vous devriez faire dans les 18 prochaines semaines.

Pourquoi les fiduciaires sont concernés

Scénario 1 : vous utilisez des outils d’IA dans votre travail

Abacus a intégré des fonctions d’IA. Bexio y travaille. Vous utilisez ChatGPT, Copilot ou un autre LLM pour des résumés, des projets de courrier ou de la recherche. Peut-être utilisez-vous un outil basé sur l’IA pour la révision comptable.

Ce que dit le EU AI Act : En tant que «deployer» (utilisateur d’un système d’IA), vous avez des obligations selon l’art. 26 si :

• Le système d’IA a été mis sur le marché de l’UE (c’est le cas de la plupart des outils SaaS)
• Le résultat du système d’IA est utilisé dans l’UE (p. ex. un rapport pour un mandant européen)

Obligations du deployer :

• Utilisation conforme aux instructions du fabricant (art. 26 al. 1)
• Surveillance humaine par des personnes compétentes (art. 26 al. 2)
• Garantir la pertinence des données d’entrée (art. 26 al. 4)
• Conserver les journaux (art. 26 al. 5)
• Informer les travailleurs exposés au système (art. 26 al. 7)

Scénario 2 : vos mandants utilisent l’IA

Vos mandants demandent de plus en plus : «Avons-nous le droit ?» Une entreprise industrielle veut un contrôle qualité automatisé par reconnaissance d’image. Un commerçant en ligne utilise un système de recommandation. Un prestataire RH veut un tri des candidatures assisté par l’IA.

Ce qu’exige le EU AI Act : Selon la classification de risque du système d’IA, vos mandants doivent :

• Tenir un inventaire des systèmes d’IA
• Enregistrer les systèmes à haut risque (art. 49)
• Établir une documentation technique (art. 11)
• Mettre en place un système de gestion de la qualité (art. 17)
• Réaliser une évaluation de conformité (art. 43)

En tant que fiduciaire, vous êtes souvent le premier interlocuteur pour les questions de conformité. Lorsque vos mandants vous demandent ce qu’ils doivent faire, vous devriez avoir une réponse fondée.

Scénario 3 : conseil fiscal avec lien européen

Vous établissez des déclarations fiscales pour des frontaliers. Vous conseillez des sociétés holding avec des filiales dans l’UE. Vous utilisez un logiciel assisté par l’IA pour le calcul des conséquences fiscales intercantonales ou internationales.

Ce qui devient pertinent : Si le résultat de votre travail assisté par l’IA est utilisé dans un contexte européen (p. ex. pour la planification fiscale d’une filiale européenne), le système pourrait tomber sous l’art. 2 al. 1 let. c : «les fournisseurs ou les déployeurs de systèmes d’IA […] dans la mesure où les résultats produits par le système d’IA sont utilisés dans l’Union.»

La pyramide des risques pour les fiduciaires

Le EU AI Act catégorise les systèmes d’IA en quatre niveaux :

Interdit (art. 5)

En règle générale non pertinent pour les fiduciaires. Concerne : notation sociale, manipulation subliminale, surveillance biométrique de masse.

Risque élevé (art. 6, annexe III)

Pertinent pour les fiduciaires :

• Systèmes d’IA pour l’évaluation de la solvabilité (si vous assistez des mandants dans ce domaine)
• Systèmes d’IA pour les décisions RH (tri des candidatures, évaluation des performances)
• Systèmes d’IA influençant l’accès à des services essentiels

Obligations pour les systèmes à risque élevé :

• Système de gestion des risques (art. 9)
• Gouvernance des données (art. 10)
• Documentation technique (art. 11)
• Enregistrement automatique (art. 12)
• Transparence (art. 13)
• Surveillance humaine (art. 14)
• Exactitude, robustesse, cybersécurité (art. 15)

Limité (art. 50)

Le plus fréquent pour les fiduciaires :

• Chatbots et assistants IA : obligation de transparence (l’utilisateur doit savoir qu’il interagit avec une IA)
• Textes générés par l’IA : obligation de signalement si transmis à des mandants
• Reconnaissance des émotions ou catégorisation biométrique : information des personnes concernées

Minimal

• Outils purement auxiliaires (correcteur, IA de calendrier, filtre anti-spam) : aucune obligation spécifique. Recommandation : les inventorier tout de même.

Ce que les fiduciaires doivent faire maintenant

Étape 1 : établir un inventaire (cette semaine)

Répertoriez tous les systèmes d’IA utilisés dans votre société. Y compris les non-officiels. Y compris ceux que des collaborateurs utilisent de leur propre initiative.

Check-list :

• Quels logiciels avec fonctions d’IA utilisons-nous ? (Abacus, Bexio, Microsoft 365 Copilot, etc.)
• Quelqu’un utilise-t-il ChatGPT, Claude, Gemini ou d’autres LLM pour le travail ?
• Avons-nous des outils d’analyse basés sur l’IA ? (Benchmarking, évaluation des risques, audit)
• Des prestataires tiers dont nous utilisons les services proposent-ils des fonctions d’IA ?

Étape 2 : vérifier le lien avec l’UE (semaine prochaine)

Pour chaque système d’IA identifié :

• Le résultat est-il utilisé pour ou par des mandants européens ?
• Le système traite-t-il des données de personnes résidant dans l’UE ?
• Le fournisseur du système est-il actif dans l’UE ?

Si l’une de ces questions reçoit une réponse affirmative, le EU AI Act est pertinent.

Étape 3 : classification des risques (semaines 3-4)

Pour chaque système pertinent :

• Dans quelle catégorie de risque se situe-t-il ?
• Sommes-nous fournisseur (provider) ou utilisateur (deployer) ?
• Quelles obligations concrètes en découlent ?

Étape 4 : mesures de conformité (semaines 5-8)

Pour les systèmes à risque élevé :

• Créer la documentation ou l’exiger du fournisseur
• Définir les processus de surveillance humaine
• Mettre en place le logging

Pour les risques limités :

• Implémenter des avis de transparence
• Informer les mandants lorsque des résultats d’IA contribuent à leur dossier

Étape 5 : préparer le conseil aux mandants (en continu)

Vos mandants poseront des questions. Préparez-vous :

• Réponses standard pour les scénarios les plus fréquents
• Renvoi à un conseil spécialisé pour les cas complexes
• Check-list pour les mandants utilisant l’IA

Le lien avec la LPD

Le EU AI Act ne s’applique pas seul. Il complète le droit existant en matière de protection des données. Pour les fiduciaires suisses, cela signifie une double charge :

LPD (RS 235.1) :

• Art. 19 al. 4 : obligation d’informer en cas de décisions individuelles automatisées
• Art. 21 : droit à la communication de la logique des décisions individuelles automatisées
• Art. 22 : analyse d’impact relative à la protection des données en cas de risque élevé

EU AI Act :

• Art. 26 : obligations du deployer (partiellement chevauchantes avec la LPD)
• Art. 50 : obligations de transparence (complémentaires à la LPD)
• Art. 86 : droit à une explication pour les systèmes à haut risque

Le chevauchement est intentionnel. La Commission européenne a conçu l’AI Act comme un complément au RGPD. Pour les entreprises suisses devant respecter les deux régimes, une approche intégrée de la conformité est recommandée : un inventaire, un processus, une documentation couvrant les deux.

Que se passe-t-il en cas d’infraction ?

EU AI Act :

• Pratiques interdites : jusqu’à EUR 35 millions ou 7 % du chiffre d’affaires annuel mondial (art. 99 al. 3)
• Infractions aux exigences de risque élevé : jusqu’à EUR 15 millions ou 3 % du chiffre d’affaires (art. 99 al. 4)
• Informations erronées : jusqu’à EUR 7,5 millions ou 1 % du chiffre d’affaires (art. 99 al. 5)
• Pour les PME : plafonds réduits (art. 99 al. 6)

LPD :

• Jusqu’à CHF 250 000 contre les personnes physiques (non pas la société, mais la personne responsable)
• Art. 60 : violation de l’obligation d’informer
• Art. 61 : violation du devoir de diligence lors du traitement de données par des tiers

Les amendes sont proportionnées à la taille de l’entreprise. Pour une société fiduciaire de 20 collaborateurs, les sanctions maximales du EU AI Act sont théoriques. Mais un audit assorti de conditions peut déjà être opérationnellement pesant.

L’opportunité

La conformité demande des efforts. Mais pour les fiduciaires, le EU AI Act est aussi une opportunité. Vos mandants ont besoin d’aide. La plupart des PME ne liront pas elles-mêmes les 180 pages du règlement. Elles interrogeront leur fiduciaire.

Ceux qui peuvent offrir un conseil compétent se positionnent comme référence sur un sujet qui gagne en importance chaque année. La conformité IA ne disparaîtra pas. Elle s’intensifiera.

La question n’est pas de savoir si le EU AI Act concerne les fiduciaires. La question est de savoir si vous êtes prêt lorsque le premier mandant posera la question.

---

Cet article est publié à titre informatif et ne constitue pas un conseil juridique. Pour la mise en œuvre d’exigences réglementaires, nous recommandons de consulter des professionnels qualifiés.