Gouvernance de l'IA & risques juridiques

La plupart des organisations utilisent désormais l'intelligence artificielle — au recrutement, à la revue de contrats, à la tarification, au scoring client, au screening de conformité. Très peu disposent d'une structure de gouvernance. Le Règlement européen sur l'IA est en vigueur. L'utilisation interne d'outils d'IA crée déjà une exposition juridique au regard du droit suisse et européen existant, même lorsque le Règlement IA ne s'applique pas encore directement. Le moment d'agir est maintenant, avant que la pression réglementaire — ou un incident — ne rende l'enjeu urgent.

Le Règlement européen sur l'IA — de quoi s'agit-il, et quand s'applique-t-il

Le Règlement (UE) 2024/1689, dit « AI Act », est entré en vigueur le 1er août 2024. Ses obligations sont échelonnées : interdictions à compter de février 2025, règles de gouvernance et IA à usage général à compter d'août 2025, régime central des systèmes à haut risque à compter d'août 2026, et dernière vague d'obligations d'ici août 2027.

Le Règlement adopte une architecture fondée sur le risque. Quatre catégories structurent les obligations :

• Risque inacceptable — pratiques purement et simplement interdites : scoring social par les autorités publiques, techniques manipulatrices exploitant des vulnérabilités, certaines catégorisations biométriques, identification biométrique à distance en temps réel dans l'espace public, sauf exceptions étroites.
• Haut risque — systèmes utilisés dans l'emploi, l'éducation, les infrastructures critiques, l'accès aux services essentiels, l'application de la loi et d'autres domaines listés. Soumis à un régime complet de conformité.
• Risque limité — chatbots, reconnaissance d'émotions, contenus générés par IA. Obligations de transparence : l'utilisateur doit savoir qu'il interagit avec une IA ou consulte un contenu généré par elle.
• Risque minimal — la majorité des usages professionnels quotidiens. Pas d'obligation spécifique au titre du Règlement, mais le droit existant continue de s'appliquer.

La Suisse n'est pas hors champ

Une idée reçue tenace veut que les entreprises suisses ne soient pas concernées parce que la Suisse n'est pas membre de l'UE. C'est faux. Le Règlement s'applique de manière extraterritoriale. Une entreprise suisse entre directement dans son champ dès lors qu'elle place un système d'IA sur le marché de l'UE, que ses sorties sont utilisées dans l'UE, ou qu'elle fournit des services à des utilisateurs établis dans l'UE. De nombreuses PME suisses et la plupart des multinationales suisses sont donc soumises au Règlement, indépendamment de la localisation de leurs serveurs, bureaux ou collaborateurs.

Utilisation interne de l'IA — l'exposition existe déjà au regard du droit en vigueur

Le Règlement IA n'est pas la seule source de risque juridique, et ce n'est même pas la première. Les déploiements d'IA en interne créent dès aujourd'hui une exposition au titre d'instruments en vigueur depuis plusieurs années. Trois familles d'obligations dominent.

1. Protection des données — nLPD suisse et RGPD européen

La plupart des outils d'IA traitent des données personnelles. La nouvelle loi fédérale sur la protection des données (nLPD), en vigueur depuis le 1er septembre 2023, et le RGPD, imposent des obligations en matière de décisions individuelles automatisées, de profilage, de transparence, de minimisation des données et d'analyse d'impact. Un outil de screening RH, un algorithme de scoring crédit ou un modèle de segmentation client n'est pas exempté parce qu'il relève de l'« IA » — il s'agit précisément des traitements que ces lois ont été conçues pour encadrer.

2. Responsabilité civile — Code des obligations suisse

Le dommage causé par une sortie d'IA — recommandation erronée, décision discriminatoire, clause contractuelle défectueuse produite par un outil génératif — relève des principes ordinaires de responsabilité du Code des obligations (art. 41 et ss, 97 et ss, 55 pour les auxiliaires). Le fait qu'une machine ait produit la sortie ne déplace pas la responsabilité de la société. Un conseil d'administration qui autorise l'usage de l'IA sans gouvernance inscrit cette responsabilité au bilan.

3. Droit du travail et régulation sectorielle

Les décisions automatisées affectant les collaborateurs — embauche, évaluation, recommandations de licenciement — engagent les obligations du droit du travail en matière d'équité, de transparence et de protection de la personnalité (CO art. 328 et 328b). Dans les secteurs régulés, des couches supplémentaires s'ajoutent : exigences FINMA sur l'externalisation et le risque opérationnel, régulation des dispositifs d'aide à la décision clinique en santé, règles sur les décisions algorithmiques en services financiers. Ces obligations existent aujourd'hui, indépendamment de l'application directe du Règlement IA.

Ce qu'exige le Règlement pour les systèmes à haut risque

Lorsqu'un système relève de la catégorie à haut risque, les obligations sont substantielles, non déclaratives. Les fournisseurs doivent réaliser une évaluation de conformité avant la mise sur le marché, tenir une documentation technique, mettre en place un système de gestion des risques sur l'ensemble du cycle de vie, assurer la gouvernance et la qualité des données d'entraînement, garantir précision et cybersécurité, intégrer des mécanismes de surveillance humaine, et fournir une information claire aux déployeurs. Les déployeurs — entreprises qui utilisent un tel système dans un cadre professionnel — sont eux-mêmes soumis à des obligations propres : surveillance humaine en exploitation, monitoring, logging et, dans de nombreux cas, une analyse d'impact sur les droits fondamentaux.

Pour les pratiques interdites, aucune évaluation de conformité ne sauvera le déploiement. L'usage est simplement prohibé, avec des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

Qui est concerné en Suisse ?

Le tableau est superposé, et la plupart des entreprises relèvent de plusieurs catégories à la fois.

• Entreprises avec lien UE — opérations dans l'UE, clientèle UE, produits placés sur le marché de l'UE, services accessibles depuis l'UE : directement soumises au Règlement IA.
• Entreprises sans lien UE : non directement soumises au Règlement, mais exposées au regard du droit suisse existant (nLPD, CO, droit du travail, régulation sectorielle) dès qu'elles déploient de l'IA en interne.
• Toutes les entreprises utilisant des outils d'IA — des assistants génératifs au scoring fournisseurs : tenues par les obligations existantes indépendamment de l'application du Règlement, et probablement appelées à entrer dans le champ d'une future législation suisse. Le Conseil fédéral a confirmé qu'un alignement législatif avec l'approche européenne est à l'étude.

Cinq étapes à engager maintenant

• Cartographier les systèmes d'IA utilisés — achats, RH, finance, juridique, conformité, marketing, opérations clients. La plupart des entreprises sous-estiment cet inventaire d'un facteur deux à trois.
• Classifier chaque système par niveau de risque selon la grille du Règlement IA, et par sensibilité selon la nLPD et la régulation sectorielle.
• Évaluer l'exposition juridique au titre du droit existant — protection des données, responsabilité civile, droit du travail, règles sectorielles — avant de se tourner vers le Règlement IA.
• Concevoir un cadre de gouvernance — chaînes de responsabilité claires, règles de surveillance humaine, gestion des incidents, documentation, due diligence fournisseurs, reporting au conseil.
• Rapporter au conseil d'administration. La gouvernance de l'IA n'est plus un sujet IT. C'est une catégorie de risque au niveau du conseil.

La dimension contractuelle

Les contrats fournisseurs méritent une attention spécifique. Les contrats SaaS standardisés répartissent la responsabilité et les droits de propriété intellectuelle d'une manière qui correspond rarement au profil de risque de l'entreprise utilisatrice. Cinq clauses doivent être revues avant signature : répartition de la responsabilité pour les sorties d'IA et les dommages en aval ; obligations de transparence et d'explicabilité imposées au fournisseur ; droits d'audit sur les données d'entraînement et les mises à jour du modèle ; gouvernance des données, incluant la confidentialité des entrées et l'utilisation des données clients pour l'entraînement ultérieur ; titularité des contenus générés par l'IA. Négocier ces clauses est nettement plus facile avant signature qu'après un incident.

La position réglementaire suisse

La Suisse n'a pas encore adopté de législation spécifique à l'IA. Le Conseil fédéral a mandaté une revue en 2023 et suit attentivement les développements internationaux. Les instruments existants — nLPD, CO, circulaires FINMA, régulation sectorielle — s'appliquent déjà, et les entreprises suisses avec exposition UE sont directement soumises au Règlement IA. Un alignement législatif est attendu dans les prochaines années. Les entreprises qui construisent leur gouvernance maintenant s'adapteront au cadre qui émergera à coût marginal. Celles qui attendent paieront la prime de rattrapage sous pression réglementaire.

Ce guide présente le cadre juridique de manière générale et simplifiée, à jour des informations disponibles en mai 2026. Il ne constitue pas un avis juridique : la question de savoir si et comment une entreprise donnée est soumise au Règlement IA ou aux obligations associées doit être appréciée au cas par cas. Voir également la page Services pour les détails sur les mandats de gouvernance IA.