🌐 Questa pagina è parzialmente in italiano. Alcune sezioni possono ancora apparire in francese — versione completa in arrivo.
Centre de ressources · Conformità AI

La conformité IA pour PME suisses,
sans le jargon.

Tout ce qu'un dirigeant doit savoir sur l'AI Act, la nLPD, et l'évolution de la régulation de l'intelligence artificielle. Pas une note de cabinet d'avocats. Un guide opérationnel, à jour, lisible.

Sommaire
  1. Pourquoi maintenant — le compte à rebours du 2 août 2026
  2. Que dit l'AI Act, concrètement (les 4 articles à connaître)
  3. Et la nLPD côté suisse ?
  4. Histoire courte de la régulation IA
  5. Où va l'IA en entreprise — et ce que ça change pour vous
  6. Comment Rapid Rise vous accompagne
  7. Questions fréquentes
01 · Le compte à rebours

Pourquoi maintenant.

85
Jours avant l'application pleine Règlement européen 2024/1689 · 2 août 2026

Le règlement européen sur l'intelligence artificielle (AI Act) est entré en vigueur le 1er août 2024. Son application est progressive, étalée sur trois ans. Le 2 août 2026 marque l'application pleine — y compris pour les systèmes à haut risque qui touchent la majorité des PME.

À retenir

Le calendrier est public. Les exceptions (Digital Omnibus) ont été tentées et n'ont pas abouti à un accord politique au second trilogue d'avril 2026. La date du 2 août 2026 reste donc ferme jusqu'à preuve du contraire. Une PME qui attend "la prochaine version" prend un risque réel.

Le calendrier en cinq dates

1er août 2024
Entrée en vigueur du règlement

Le texte est adopté. Le compte à rebours commence pour les phases d'application.

2 février 2025
Pratiques interdites + littératie IA

L'Article 4 (formation des équipes) et l'Article 5 (pratiques interdites) deviennent obligatoires. Toute entreprise utilisant l'IA doit former son personnel à partir de cette date.

2 août 2025
Modèles d'IA à usage général (GPAI)

Les obligations s'appliquent aux fournisseurs de modèles fondamentaux (OpenAI, Anthropic, Mistral, etc.). Pour la PME utilisatrice, peu d'impact direct — mais ses fournisseurs IA sont désormais sous régulation.

2 août 2026 — DANS 85 JOURS
Application pleine — systèmes à haut risque

Les systèmes à haut risque (recrutement, scoring, surveillance, évaluation) deviennent soumis à conformité complète. Article 50 (transparence des contenus IA). Sandboxes nationaux établis dans chaque État membre.

2 août 2027
Systèmes haut risque déjà sur le marché

Les systèmes IA haut risque commercialisés avant le 2 août 2026 doivent à leur tour se conformer. Période de grâce close.

02 · Que dit le règlement

Quatre articles à connaître.

Le règlement comporte 113 articles et 13 annexes. Pour une PME, l'essentiel tient en quatre articles. Voici lesquels, et ce qu'ils disent en français lisible.

Article 4
Littératie IA
En force depuis février 2025

Ce que dit l'article

Toute entreprise qui développe ou utilise des systèmes d'IA doit s'assurer que son personnel ait un niveau suffisant de littératie en IA, en tenant compte de leurs connaissances, expérience, formation, et du contexte d'utilisation.

En clair pour votre PME

Si vos collaborateurs utilisent ChatGPT, Claude, Microsoft Copilot, Gemini, ou tout autre outil IA dans leur travail, ils doivent être formés. Cette formation doit être documentée. Pas de formation = infraction depuis le 2 février 2025.

Exemples concrets Marketing utilise Midjourney pour visuels. RH utilise un outil d'aide au tri CV. Comptable utilise Bexio enrichi par IA. Tous concernés. Tous doivent avoir reçu une formation tracée.
Article 5
Pratiques interdites
En force depuis février 2025

Ce que dit l'article

Certaines pratiques d'IA sont strictement interdites : manipulation subliminale, exploitation de vulnérabilités (âge, handicap, situation économique), notation sociale par des autorités publiques, reconnaissance émotionnelle au travail ou en milieu éducatif, et plusieurs autres.

En clair pour votre PME

La plupart des entreprises ne sont pas concernées par les pratiques les plus extrêmes. Mais attention à la reconnaissance émotionnelle au travail : certains outils RH (analyse de tonalité d'emails, scoring de motivation lors d'entretiens vidéo, suivi du moral via webcam) tombent dans cette catégorie. Plusieurs PME les utilisent sans le savoir.

Exemple concret Un outil de recrutement vidéo qui analyse les expressions faciales du candidat pour évaluer sa "fit culturelle" = interdit depuis février 2025.
Article 50
Transparence des contenus
Application 2 août 2026

Ce que dit l'article

Tout contenu généré ou modifié par IA (texte, image, audio, vidéo) doit être identifié comme tel. Les fournisseurs doivent intégrer des marqueurs lisibles par machine. Les utilisateurs interagissant avec un système d'IA (chatbot, voicebot) doivent en être informés.

En clair pour votre PME

Si vous générez du contenu marketing avec l'IA (réseaux sociaux, articles de blog, voix synthétique pour pubs, deepfakes promotionnels), vous devrez le signaler. Si votre site a un chatbot, il devra annoncer qu'il est une IA dès l'ouverture de conversation. Les marqueurs techniques (watermarks invisibles) sont à la charge des fournisseurs IA, mais l'obligation de divulgation revient à vous.

Exemples concrets Une régie qui publie des photos de biens "améliorées" par IA doit le mentionner. Un hôtel qui répond aux clients via chatbot WhatsApp doit l'annoncer en début d'échange. Un fiduciaire qui produit un rapport rédigé en partie par IA doit le préciser.
Annexe III
Systèmes à haut risque
Application 2 août 2026

Ce que dit l'annexe

L'Annexe III liste huit catégories de systèmes IA classifiés à haut risque : biométrie, infrastructures critiques, éducation, emploi (recrutement, évaluation, surveillance), accès aux services essentiels (crédit, assurance), maintien de l'ordre, migration, justice. Chaque système haut risque doit faire l'objet d'une évaluation de conformité, d'une documentation technique, et d'un enregistrement dans une base européenne.

En clair pour votre PME

La catégorie qui touche le plus de PME : emploi. Tout système IA qui assiste le recrutement, l'évaluation de performance, la surveillance des collaborateurs, ou l'attribution de tâches est haut risque. LinkedIn Recruiter avec scoring IA, Workable, Greenhouse, plusieurs SIRH modernes — tous concernés.

Exemple concret Une PME de 80 personnes qui utilise un ATS (Applicant Tracking System) avec scoring automatique des candidatures. Ce système devient un système haut risque au 2 août 2026. La PME doit : documenter son fonctionnement, vérifier les biais, informer les candidats, garder un humain dans la boucle, et l'enregistrer dans une base de données européenne.

Sanctions

Les amendes plafonnent à 35 millions d'euros ou 7% du chiffre d'affaires mondial pour les pratiques interdites (Article 5), 15 millions ou 3% pour les manquements graves, 7,5 millions ou 1% pour les manquements mineurs. Pour une PME, les amendes sont proportionnées — mais elles existent. Et la responsabilité civile, elle, n'a pas de plafond.

03 · Côté suisse

Et la nLPD ?

La Suisse n'est pas membre de l'EU. La nLPD (nouvelle Loi sur la Protection des Données), en force depuis le 1er septembre 2023, est l'équivalent suisse du RGPD. Elle ne couvre pas spécifiquement l'IA — mais elle s'applique dès qu'une donnée personnelle est traitée par un système d'IA.

Ce que dit la nLPD

Toute entreprise traitant des données personnelles doit assurer la transparence du traitement, le consentement quand requis, le droit d'accès et de rectification, et la sécurité des données. Pour les profilages à risque élevé (qui incluent souvent les usages IA), une analyse d'impact (AIPD) est requise.

L'angle IA spécifiquement

Quand un système d'IA prend des décisions automatisées qui affectent une personne (refus de crédit, tri de candidature, scoring), la personne doit en être informée et avoir le droit d'obtenir une intervention humaine. La nLPD ne dit pas "AI Act", mais elle couvre 80% des mêmes obligations.

Si vous opérez vers l'EU, double conformité

La majorité des PME romandes vendent ou opèrent au moins partiellement vers l'EU. Dans ce cas, deux régulations s'appliquent : la nLPD côté suisse, l'AI Act + RGPD côté européen. Bonne nouvelle : les obligations se recoupent largement. La même documentation, la même formation, le même registre des traitements peuvent servir aux deux. Mauvaise nouvelle : ce qui n'est pas commun doit être documenté séparément.

Le cas typique

Une régie immobilière vaudoise qui traite des locataires français propriétaires d'un bien dans le canton : nLPD côté CH, RGPD côté FR. Si elle utilise un outil de scoring de solvabilité automatisé : AI Act côté EU, double régime de protection des données.

04 · Comment on en est arrivé là

Histoire courte
de la régulation IA.

L'AI Act n'est pas tombé du ciel. Il est l'aboutissement de huit ans de tentatives et de scandales. Pour comprendre où on va, il faut savoir d'où on vient.

Mai 2018
RGPD entre en vigueur

Le règlement général sur la protection des données pose les fondations. Pour la première fois, un cadre juridique sérieux protège les personnes contre les traitements automatisés. Pas spécifique à l'IA, mais beaucoup d'obligations IA y trouveront leur ancrage.

2018-2020
Les premiers scandales

Cambridge Analytica (manipulation politique via profils Facebook). Amazon et son outil de recrutement IA discriminant les femmes. ProPublica et l'algorithme COMPAS biaisé contre les Afro-américains dans la justice américaine. L'opinion publique commence à comprendre que l'IA peut nuire à grande échelle.

Avril 2021
Première proposition d'AI Act

La Commission européenne publie le projet initial. Il est ambitieux mais incomplet. Les négociations vont durer trois ans.

Novembre 2022
ChatGPT et la rupture LLM

OpenAI ouvre ChatGPT au public. En deux mois, l'usage IA explose. Les régulateurs réalisent que leur projet d'AI Act, conçu pour une IA "classique" (vision, recommandation), est devenu obsolète. Ajout urgent d'une section sur les modèles fondamentaux (GPAI).

Septembre 2023
nLPD entre en vigueur (CH)

La Suisse aligne sa législation. Pas spécifique à l'IA, mais couvre 80% des problématiques IA via les obligations sur les traitements automatisés et les profilages.

Mars 2024
AI Act adopté

Après trois ans de négociations, le Parlement européen adopte le texte. Compromis politique entre ambitions (catégorisation par risque, transparence) et pragmatisme (exemptions pour la recherche, période de grâce de trois ans).

1er août 2024
Entrée en vigueur

Le règlement entre en vigueur. Application progressive sur trois ans selon la catégorie de système.

Mai 2026 — Maintenant
85 jours avant application pleine

Nous y sommes presque. La majorité des obligations deviennent enforceables. Les entreprises qui n'ont pas commencé leur mise en conformité commencent à courir.

05 · Où va l'IA

Trois mouvements en cours.

La régulation est un instantané. La technologie continue d'avancer. Pour anticiper la prochaine vague d'obligations, voici les trois mouvements de fond qui vont structurer les cinq prochaines années.

Mouvement 1 — Des assistants aux agents

Jusqu'à 2024, l'IA d'entreprise était un assistant : vous posez une question, elle répond. À partir de 2025, l'IA devient un agent : elle prend une initiative, exécute une tâche complète, prend des décisions intermédiaires, utilise des outils. Pour la régulation, ça change tout. Un assistant qui hallucine : erreur. Un agent qui hallucine : dommage opérationnel direct. Les obligations de supervision, de logs, et d'intervention humaine deviennent critiques.

Mouvement 2 — Vers la souveraineté des données

Les fournisseurs LLM dominants sont américains (OpenAI, Anthropic, Google) et chinois (DeepSeek, Qwen). L'Europe pousse Mistral. La Suisse n'a pas de champion, mais Infomaniak et plusieurs hébergeurs régionaux proposent désormais des LLM open-source en local. Tendance lourde : les données sensibles ne sortiront plus du périmètre national. L'AI Act ne l'impose pas formellement, mais le RGPD et la nLPD y poussent indirectement via les obligations de transfert international.

Mouvement 3 — IA verticale, pas IA généraliste

Les outils généralistes (ChatGPT, Gemini) restent utiles. Mais la valeur d'entreprise vient de l'IA verticalisée : spécialisée par métier (légal, médical, finance, immobilier), entraînée sur des données métier, avec des garde-fous métier. Pour la régulation, c'est rassurant — un outil IA dédié au secteur fiduciaire suisse est plus auditable qu'un chatbot général. Pour la PME, c'est l'horizon : ne pas chercher LE bon outil IA, mais l'outil IA spécifique à votre métier.

Implication pour vous

Les trois mouvements convergent vers la même réponse : pour une PME suisse, l'IA durable n'est pas un abonnement à un outil américain généraliste. C'est une infrastructure agentique, souveraine, verticalisée — opérée localement, conforme par construction. C'est exactement le modèle que Rapid Rise a construit.

06 · Notre accompagnement

Comment Rapid Rise
vous accompagne.

La conformité IA n'est pas une case à cocher. C'est un état durable de votre opération. Nous le construisons avec vous en quatre temps.

01

Audit

Inventaire de vos systèmes IA (humains et applicatifs). Classification par niveau de risque selon l'AI Act et la nLPD. Gap analysis. Livrable sous 3 semaines.

02

Formation

Modules de littératie IA (Article 4) adaptés à votre métier. Sessions présentielles ou en ligne. Documentation tracée pour audit.

03

Documentation

Politique de gouvernance IA, registre des traitements, FRIA si requis, procédures d'incident. Templates suisses pré-rédigés, adaptés à votre opération.

04

Monitoring

Suivi continu des évolutions réglementaires. Mise à jour annuelle du registre. Alerte si un nouveau système IA déployé impose une révision. Inclus dans l'abonnement.

Notre signature

Stéphane Fallet, co-fondateur de Rapid Rise, préside AI Swiss, l'association suisse pour une intelligence artificielle centrée humain. Quinze ans dans la finance et le conseil avant de fonder Rapid Rise. Méthode rigoureuse, exécution rapide.

Notre cabinet est domicilié à Microcity, l'innovation park de Neuchâtel. Notre infrastructure est hébergée en Suisse, par construction. Aucune donnée client ne touche un fournisseur IA hors territoire.

50+ PME romandes accompagnées · Cités dans Canal Alpha, PME.ch, Val-de-Ruz Info
07 · Questions fréquentes

Vos questions,
nos réponses directes.

Q1Mon entreprise est suisse et ne vend qu'en Suisse. Suis-je quand même concerné par l'AI Act ?

Si votre IA traite uniquement des données de personnes en Suisse et que votre activité ne touche aucun marché européen, l'AI Act ne s'applique pas formellement. La nLPD, elle, s'applique. En pratique, la majorité des PME romandes vendent au moins occasionnellement vers la France, l'Allemagne, l'Italie, ou ont des collaborateurs européens — auquel cas l'AI Act revient.

Q2Mon équipe utilise ChatGPT pour rédiger des emails. Suis-je en infraction ?

Si vos collaborateurs utilisent ChatGPT, Claude, Copilot, Gemini, ou tout autre outil IA dans leur travail sans avoir reçu une formation documentée à la littératie IA, vous êtes en infraction de l'Article 4 depuis le 2 février 2025. C'est l'écart de conformité le plus fréquent — et le plus simple à corriger.

Q3Combien coûte la mise en conformité pour une PME de 50 personnes ?

Pour un audit complet AI Act + nLPD, comptez entre CHF 15'000 et CHF 30'000 selon la complexité de vos systèmes IA et le périmètre. La formation Article 4 d'une équipe de 50 collaborateurs ajoute environ CHF 5'000–10'000. Le monitoring continu démarre à CHF 1'500/mois. Pour comparaison : un cabinet d'audit Big4 facture le même périmètre entre CHF 80'000 et CHF 200'000.

Q4Combien de temps faut-il pour être en conformité ?

Trois semaines pour l'audit et la classification de vos systèmes. Six à huit semaines pour la documentation complète et la formation. Trois mois au total pour atteindre la conformité de référence. Au-delà, le monitoring continu maintient l'état conforme dans le temps. Si vous démarrez maintenant (mai 2026), vous serez en règle pour la deadline du 2 août.

Q5Quelle différence entre Rapid Rise et un cabinet d'avocats ?

Un cabinet d'avocats vous livre une note d'analyse et un avis juridique. Nous livrons l'opération conforme : audit, formation, documentation, monitoring, mise à jour. Pour les questions de droit pur (litiges, représentation devant les autorités), nous travaillons avec des cabinets partenaires. Pour la mise en œuvre opérationnelle, nous sommes votre interlocuteur direct.

Q6Mes données vont-elles sortir de Suisse ?

Non. Notre infrastructure est hébergée intégralement en Suisse (Infomaniak, infrastructure propriétaire à Neuchâtel). Les fournisseurs LLM hors-Suisse (OpenAI, Anthropic, Google) sont bloqués techniquement. Pour le traitement des documents sensibles, nous utilisons des modèles open-source exécutés localement. C'est une posture documentée, pas un argument marketing.

Q7Si l'AI Act est repoussé après le 2 août 2026, qu'est-ce que ça change ?

Aucun report formel n'a été acté à ce jour. Le projet Digital Omnibus a tenté de repousser certaines obligations à 2027, mais le second trilogue d'avril 2026 s'est terminé sans accord politique. Nous recommandons de traiter le 2 août 2026 comme la date ferme. Les entreprises qui se sont préparées en avance n'auront jamais à le regretter, même si un report intervenait à la dernière minute.

Q8Je n'utilise pas vraiment d'IA dans mon entreprise. Suis-je quand même concerné ?

Probablement. La plupart des outils SaaS modernes intègrent désormais de l'IA : votre CRM (HubSpot, Salesforce), votre suite bureautique (Microsoft 365 avec Copilot, Google Workspace avec Gemini), votre comptabilité (Bexio enrichi), votre ATS RH, votre marketing automation. Vos collaborateurs utilisent probablement ChatGPT pour des tâches ponctuelles. La première étape de l'audit consiste justement à inventorier ces usages — souvent surprenants pour la direction.

Premier pas

Discovery, 60 minutes,
avec Stéphane.

Sans engagement. En visio (offert) ou sur site (CHF 1'500). Vous décrivez vos usages IA. Nous identifions vos zones de risque AI Act et nLPD. Vous repartez avec une feuille de route signée, livrée sous 48 heures.

Réserver Discovery ↗ WhatsApp diretto