Le EU AI Act est la première loi globale au monde régissant l’intelligence artificielle. Il ne concerne pas uniquement les entreprises établies dans l’UE. Les entreprises suisses qui fournissent des produits ou services sur le marché européen, qui déploient des systèmes d’IA affectant des citoyens de l’UE ou qui traitent des données provenant de l’UE sont soumises à son champ d’application. L’application des principales dispositions commence le 2 août 2026. Il est temps d’agir.
Le EU AI Act en bref
La loi a été adoptée par le Parlement européen en juin 2024 et est entrée en vigueur le 1er août 2024. Elle suit une approche fondée sur les risques : plus le risque d’un système d’IA est élevé, plus les exigences sont strictes.
Les quatre niveaux de risque :
Risque inacceptable. Ces systèmes d’IA sont interdits. Cela inclut le scoring social par les gouvernements, la surveillance biométrique en temps réel dans les espaces publics et l’IA qui manipule le comportement humain. Pour la plupart des entreprises suisses, cette catégorie n’est pas pertinente.
Risque élevé. Les systèmes d’IA utilisés dans des domaines critiques pour la sécurité ou pour des décisions relatives aux droits fondamentaux. Cela comprend l’IA dans le recrutement, l’évaluation de la solvabilité, l’assurance, l’application du droit, l’admission à l’éducation et les forces de l’ordre. Ces systèmes sont soumis à des exigences strictes en matière de documentation, de transparence, de surveillance humaine et de gestion de la qualité.
Risque limité. Chatbots, contenus générés par l’IA et reconnaissance des émotions. Des obligations de transparence s’appliquent : les utilisateurs doivent savoir qu’ils interagissent avec une IA.
Risque minimal. Filtres anti-spam, algorithmes de recommandation et systèmes similaires. Aucune obligation spécifique au-delà du droit existant.
Les délais et leur signification
La mise en œuvre se fait en trois phases :
Février 2025 (déjà en vigueur). Les pratiques d’IA interdites sont prohibées. Les entreprises utilisant des systèmes de scoring social ou de l’IA manipulatrice doivent les avoir désactivés.
Août 2026 (l’échéance critique). Toutes les exigences pour les systèmes d’IA à haut risque entrent en vigueur. Les fournisseurs doivent avoir achevé les évaluations de conformité, disposer de documentation technique, exploiter des systèmes de gestion de la qualité et mettre en œuvre des plans de surveillance post-commercialisation. Les opérateurs de systèmes à haut risque doivent garantir la surveillance humaine et informer les utilisateurs de manière transparente.
Août 2027. Les exigences pour les modèles d’IA à usage général (General Purpose AI) sont appliquées. Cela concerne principalement les fournisseurs de modèles de fondation.
Pour les entreprises suisses, août 2026 est l’échéance déterminante.
Pourquoi les entreprises suisses sont concernées
La Suisse n’a pas transposé le EU AI Act dans son droit national. Les entreprises suisses sont néanmoins directement concernées pour plusieurs raisons.
Effet extraterritorial. Le EU AI Act s’applique à tout fournisseur ou opérateur de systèmes d’IA dont les résultats sont utilisés dans l’UE. Un cabinet d’avocats suisse qui produit des analyses juridiques assistées par l’IA pour des clients dans l’UE est soumis à la loi, tout comme une fintech suisse dont l’algorithme influence les décisions de crédit pour des citoyens européens. Le modèle est identique à celui du RGPD, applicable depuis 2018 aux entreprises suisses actives sur le marché européen.
Attentes des clients. Les entreprises européennes exigeront de plus en plus la conformité au AI Act de leurs fournisseurs et partenaires suisses. Ceux qui ne peuvent démontrer leur conformité perdront des mandats. Cela concerne particulièrement les secteurs des services financiers, de la pharmacie, du conseil juridique et du conseil aux entreprises.
La réglementation suisse suivra. Le Conseil fédéral a publié un rapport sur l’IA et la réglementation en novembre 2023. Une réglementation suisse autonome de l’IA est prévisible, et elle s’alignera sur le EU AI Act, comme ce fut le cas pour la LPD et le RGPD. Les entreprises qui se préparent maintenant s’épargnent un double effort.
Accès au marché. L’économie suisse est fortement intégrée au marché intérieur de l’UE. Les accords bilatéraux et les reconnaissances mutuelles dépendent du maintien de la compatibilité des normes suisses avec celles de l’UE. Les systèmes d’IA qui ne répondent pas aux exigences européennes mettent en péril l’accès au marché dans les secteurs réglementés.
Quelles obligations concrètes vous attendent
Les obligations dépendent de votre statut de fournisseur (Provider) ou d’opérateur (Deployer) d’un système d’IA.
En tant que fournisseur d’un système d’IA que vous avez développé vous-même ou que vous commercialisez sous votre nom, vous devez mettre en place un système complet de gestion de la qualité. Cela comprend une documentation technique décrivant le fonctionnement du système, les données d’entraînement utilisées et les indicateurs de performance atteints. Vous devez réaliser une évaluation de conformité et enregistrer le système dans la base de données de l’UE. La surveillance post-commercialisation est obligatoire : vous devez suivre en continu les performances du système après son déploiement.
En tant qu’opérateur d’un système d’IA que vous obtenez auprès d’un fournisseur tiers et que vous déployez dans votre entreprise, vous devez vous assurer que le système est utilisé conformément aux instructions du fournisseur. Vous devez organiser la surveillance humaine, vérifier la pertinence et la qualité des données d’entrée, et signaler les incidents au fournisseur et à l’autorité compétente. Si vous utilisez un système à haut risque pour des décisions concernant des personnes physiques, les personnes concernées doivent avoir le droit de demander une explication de la décision.
Amendes et sanctions
Les sanctions sont considérables et échelonnées selon la gravité de l’infraction :
- Utilisation de pratiques d’IA interdites : jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial
- Infraction aux exigences relatives aux systèmes à haut risque : jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires
- Fausses déclarations aux autorités : jusqu’à 7,5 millions d’euros ou 1,5% du chiffre d’affaires
Des plafonds réduits s’appliquent aux PME et aux start-ups, mais les amendes restent substantielles.
Feuille de route pratique pour la préparation
Les étapes suivantes aident les entreprises suisses à se préparer systématiquement pour août 2026.
Établir un inventaire IA. Répertoriez l’ensemble des systèmes d’IA de votre entreprise. Cela inclut non seulement les systèmes développés en interne, mais aussi les outils achetés, les solutions SaaS intégrant des fonctions d’IA et les API de fournisseurs externes. Beaucoup d’entreprises sous-estiment le nombre de systèmes d’IA qu’elles utilisent.
Effectuer la classification des risques. Classez chaque système dans l’un des quatre niveaux de risque. Portez une attention particulière aux systèmes d’IA intervenant dans les décisions relatives aux personnes : processus de recrutement, évaluation de solvabilité, demandes d’assurance, conseil juridique, triage médical.
Analyse des écarts pour les systèmes à haut risque. Vérifiez pour chaque système à haut risque si les exigences légales sont satisfaites : documentation technique, gouvernance des données, transparence, surveillance humaine, exactitude, robustesse et cybersécurité.
Examiner les contrats fournisseurs. Si vous utilisez des outils d’IA de fournisseurs tiers, assurez-vous que vos contrats prévoient la transparence et les obligations de collaboration nécessaires. Vos fournisseurs peuvent-ils fournir la documentation dont vous avez besoin pour votre propre conformité ?
Constituer la documentation. Le EU AI Act impose une documentation exhaustive. Commencez tôt à constituer les documents requis : analyses des risques, dossiers de gestion de la qualité, rapports de surveillance, procès-verbaux d’incidents.
Formation et sensibilisation. Tous les collaborateurs qui utilisent des systèmes d’IA ou exploitent leurs résultats doivent avoir une compréhension suffisante de la technologie et de ses limites. Le EU AI Act exige explicitement une « AI Literacy » chez les opérateurs.
La bonne infrastructure comme fondement
La conformité commence par le choix de la bonne infrastructure IA. Les outils d’IA généralistes comme ChatGPT ou Gemini sont utiles pour de nombreux cas d’usage, mais ils ne satisfont pas les exigences du EU AI Act en matière de transparence, d’auditabilité et de souveraineté des données. Pour les applications réglementées, les entreprises ont besoin de systèmes d’IA où chaque résultat peut être retracé jusqu’à sa source, où les données sont documentées et vérifiées, et où l’infrastructure répond aux exigences de protection des données et de souveraineté.
Enclava a été conçu précisément pour ces exigences. En tant que plateforme d’IA suisse pour les secteurs réglementés, Enclava propose des bases de connaissances avec attribution des sources, entièrement hébergées en Suisse, avec une documentation et une auditabilité complètes. Chaque résultat est traçable jusqu’au document source. Chaque source de données est documentée et vérifiée.
Si vous souhaitez préparer votre entreprise aux exigences du EU AI Act, la bonne infrastructure est la première étape. Pour en savoir plus, rendez-vous sur enclava.ch ou contactez-nous à [email protected].