IAPMESuisse
|Par Laurent Duplat, Consultant IA & PME

AI Act EU & PME suisses : guide de conformité 2026

L'AI Act européen s'applique aux PME suisses servant des clients UE. Échéances 2025-2027, classification, obligations, sanctions, checklist 7 étapes.

AI Act EU & PME suisses : guide de conformité 2026

Beaucoup de dirigeants de PME suisses pensent encore que l'AI Act est un règlement européen qui ne les concerne pas. C'est faux. Comme le RGPD avant lui, l'AI Act s'applique de manière extraterritoriale à toute entreprise dont les systèmes IA sont utilisés au sein de l'Union européenne, ou qui produit des résultats utilisés dans l'UE. En clair : si vous avez un seul client UE, ou si vos sortants finaux atterrissent dans l'UE, vous êtes concerné. Voici les échéances, les obligations concrètes par catégorie de risque, l'articulation avec la nLPD suisse et la checklist 7 étapes pour être en règle avant 2027.

Pourquoi l'AI Act concerne les PME suisses

Trois canaux d'extraterritorialité rendent l'AI Act incontournable :

  1. Mise sur le marché UE : si vous vendez un service ou produit IA dans un pays UE, vous êtes fournisseur au sens de l'AI Act.
  2. Utilisation par des clients UE : un cabinet de conseil suisse qui livre un rapport généré par IA à un client allemand est soumis aux obligations de transparence.
  3. Sortie utilisée dans l'UE : un chatbot multilingue d'une PME romande répondant à des prospects français est concerné.

L'articulation avec la nLPD suisse est cruciale : la nLPD couvre la donnée personnelle (collecte, traitement, sécurité), l'AI Act couvre le système IA (conception, mise sur marché, surveillance). Les deux se cumulent, ils ne s'excluent pas. Notre guide nLPD pour PME détaille la partie protection des données ; cet article se concentre sur la conformité AI Act.

Les 4 niveaux de risque de l'AI Act

L'AI Act classe tous les systèmes IA en quatre catégories. Les obligations dépendent de la catégorie.

| Niveau | Définition | Statut | |---|---|---| | Inacceptable | Notation sociale, manipulation cognitive, identification biométrique en temps réel à des fins répressives | Interdit depuis février 2025 | | Haut risque | Recrutement, scoring crédit, examens médicaux, gestion infrastructures critiques, justice, immigration | Obligations strictes : conformité, audit, marquage CE, supervision humaine | | Risque limité | Chatbots, deepfakes, IA générative grand public | Obligations de transparence : signaler que l'utilisateur interagit avec une IA | | Risque minimal | Filtres anti-spam, IA pour jeux vidéo, recommandations e-commerce simples | Aucune obligation spécifique |

Pour une PME suisse, 90% des cas d'usage tombent en risque limité ou minimal. Mais 10% peuvent basculer en haut risque sans qu'on s'en rende compte : tri automatique de CV, scoring de leads, surveillance vidéo de point de vente, outils RH d'évaluation des collaborateurs.

Les échéances clés 2025-2027

| Date | Obligation | Concerné | |---|---|---| | 2 février 2025 | Interdiction des systèmes IA à risque inacceptable | Tous | | 2 août 2025 | Règles sur les modèles GPAI (GPT, Claude, Gemini, Mistral) | Fournisseurs LLM | | 2 février 2026 | Codes de conduite obligatoires pour fournisseurs GPAI | Fournisseurs LLM | | 2 août 2026 | Obligations haut risque (annexe III) applicables | PME utilisant IA RH/scoring/santé | | 2 août 2027 | Obligations haut risque (annexe I — produits régulés) | Industrie, dispositifs médicaux |

Les PME suisses doivent particulièrement préparer août 2026 : c'est la date où les outils de recrutement IA, les systèmes de scoring de leads, les solutions RH d'évaluation deviennent encadrés.

Les 7 étapes de mise en conformité

Étape 1 : Inventaire exhaustif des systèmes IA

Listez tous les outils IA utilisés (déclarés ET shadow IT), pour chaque : usage métier, fournisseur, données traitées, public concerné (UE oui/non). En général, une PME en découvre 3 à 5 oubliés. Démarrez avec un audit IA gratuit si l'inventaire dépasse vos moyens.

Étape 2 : Classification par niveau de risque

Pour chaque outil, classer dans l'une des 4 catégories. Les outils RH, scoring, surveillance, prédictif client doivent être analysés finement : la frontière "risque limité" / "haut risque" est subtile et conditionne 80% de l'effort.

Étape 3 : Information transparente des utilisateurs

Pour le risque limité (chatbots, IA générative, deepfakes) : indiquer clairement que l'utilisateur interagit avec une IA. Mention type : "Cette réponse a été générée par une intelligence artificielle." Ajouter la mention dans CGU, footer site, premiers messages chatbot.

Étape 4 : Documentation technique pour le haut risque

Si vous utilisez (ou fournissez) un système haut risque : documentation conforme annexe IV (description, données d'entraînement, métriques de performance, mesures de cybersécurité). Pour la plupart des PME, le fournisseur (Microsoft, OpenAI, autre) en fournit une partie ; vous documentez votre usage.

Étape 5 : Supervision humaine

Tout système haut risque doit prévoir une supervision humaine effective : les utilisateurs peuvent ignorer la sortie IA, sont formés à détecter les biais, peuvent intervenir. Concrètement : un humain valide chaque décision finale (recrutement, crédit, évaluation).

Étape 6 : Formation des équipes (art. 4 AI Act)

Obligation entrée en vigueur le 2 février 2025 : tout employé utilisant un système IA dans un cadre professionnel doit être formé à un niveau adapté. Pour une PME, cela signifie une formation initiale 2-4h + une mise à jour annuelle. Voir notre catalogue de formation IA pour PME.

Étape 7 : Logs, audits, surveillance post-marché

Conservez les logs d'utilisation IA 6 mois minimum. Mettez en place une procédure de notification d'incident. Auditez annuellement la classification (un outil "risque limité" peut basculer en "haut risque" si l'usage évolue).

Sanctions : ce que risque une PME

| Infraction | Amende max | |---|---| | Pratique IA interdite (risque inacceptable) | 35 M€ ou 7% CA mondial | | Non-conformité haut risque | 15 M€ ou 3% CA mondial | | Information trompeuse aux autorités | 7,5 M€ ou 1% CA mondial |

Les sanctions sont calibrées selon la taille : pour une PME de 5 M CHF de CA, l'amende max sur risque inacceptable s'établirait autour de 350 000 CHF. Loin de l'effet d'annonce des "35 millions", mais largement suffisant pour mettre la PME en péril.

Articulation avec la nLPD : ne pas tout refaire

La bonne nouvelle : si vous êtes déjà conforme nLPD, vous avez 60% du chemin AI Act. La cartographie des traitements (art. 12 nLPD), les contrats sous-traitants, l'AIPD (art. 22 nLPD), la formation à la protection des données : tout cela se réutilise.

Ce qui est spécifique à l'AI Act et nouveau :

  • Classification par niveau de risque (4 niveaux)
  • Marquage CE pour les systèmes haut risque mis sur le marché
  • Documentation technique annexe IV
  • Logs d'utilisation 6 mois
  • Information "vous interagissez avec une IA"

Cas concret : cabinet de conseil romand 12 personnes

Le cabinet utilise ChatGPT Team, Microsoft Copilot, Notion AI, un outil de scoring de leads, un chatbot site web. Sortie d'audit AI Act :

  • 4 outils en risque limité (transparence ajoutée en CGU et chatbot)
  • 1 outil scoring de leads en haut risque (encadrement supervision humaine + log 6 mois)
  • Charte IA interne rédigée + formation obligatoire 3h pour les 12 collaborateurs
  • Coût total mise en conformité : 4 200 CHF (hors abonnements existants)
  • Délai : 6 semaines

Voir d'autres exemples dans nos études de cas PME romandes.

FAQ

Une PME suisse de 5 personnes est-elle vraiment concernée ?

Si elle a un seul client UE ou utilise un chatbot/IA générative ouvert au public, oui pour les obligations de transparence (risque limité). C'est rapide et peu coûteux.

Faut-il un délégué AI Act ?

Non, l'AI Act n'impose pas de délégué dédié pour les PME. Un référent IA interne (souvent le DPO ou le DSI) suffit.

Mes outils GPT, Claude, Copilot sont-ils en haut risque ?

Les modèles GPAI eux-mêmes ne sont pas haut risque. C'est l'usage que vous en faites qui détermine la classification. ChatGPT pour rédiger un email = risque limité. Le même ChatGPT pour évaluer des candidats = haut risque.

Que se passe-t-il si je n'agis pas ?

Tant qu'un client UE ne porte plainte, le risque concret reste faible. Mais le marché B2B exige de plus en plus une attestation de conformité (les grandes entreprises l'imposent à leurs sous-traitants suisses).

Peut-on combiner mise en conformité nLPD + AI Act ?

Oui, c'est même recommandé. Les obligations se cumulent à 40-60%. Notre audit IA gratuit couvre les deux dimensions.

Vous voulez savoir où votre PME se situe par rapport à l'AI Act ? Réservez un audit IA gratuit. Pour aller plus loin, consultez aussi notre guide budget IA PME et notre catalogue consulting IA.

Retour au blog