AI Act européen : ce que les PME suisses doivent vraiment savoir en 2026

L'AI Act européen, entré en vigueur en 2024 et progressivement applicable jusqu'en 2027, impacte indirectement toute PME suisse qui exporte vers l'UE ou qui utilise des outils IA américains comme ChatGPT, Claude ou Gemini. En avril 2026, 4 obligations concrètes sont déjà actives et 2 autres arrivent dans les 12 prochains mois. Cet article fait le point sur ce qui change vraiment pour une PME en Suisse romande, comment se préparer sans paniquer, et les points d'attention LPD à coordonner avec la réglementation suisse en préparation.

Je le précise d'emblée : l'AI Act ne s'applique pas directement aux entreprises suisses qui ne vendent pas en UE et qui n'utilisent pas l'IA pour des décisions automatisées sur des citoyens européens. Mais en pratique, l'effet est large. Voici pourquoi.

Qu'est-ce que l'AI Act exactement ?

L'AI Act (Règlement UE 2024/1689) est le premier cadre réglementaire complet au monde sur l'intelligence artificielle. Adopté en mai 2024 par le Parlement européen, il classe les systèmes IA en 4 catégories selon leur niveau de risque :

• Risque inacceptable : interdit (notation sociale, manipulation cognitive, reconnaissance biométrique en temps réel dans l'espace public, etc.)
• Risque élevé : autorisé sous conditions strictes (recrutement automatisé, scoring de crédit, diagnostic médical, IA dans la justice)
• Risque limité : obligations de transparence (chatbots, deepfakes, IA générative comme ChatGPT)
• Risque minimal : aucune obligation (filtres anti-spam, recommandations Netflix)

Pour la majorité des PME romandes, les obligations applicables relèvent du « risque limité » et concernent surtout l'usage des IA génératives.

Calendrier d'application

| Date | Disposition active |

|------|---------------------|

| Février 2025 | Interdictions des IA à risque inacceptable |

| Août 2025 | Obligations pour les modèles de fondation (GPT, Claude, Gemini) |

| Août 2026 | Obligations principales pour systèmes à risque élevé |

| Août 2027 | Application complète pour les produits intégrés |

Nous sommes donc en avril 2026 dans une phase intermédiaire, où certaines obligations sont actives et d'autres se préparent.

Les 4 obligations concrètes pour une PME suisse en 2026

1. Transparence sur l'usage de l'IA générative

Si vous utilisez ChatGPT, Claude ou Gemini pour produire du contenu destiné à des clients européens (textes, images, vidéos, posts marketing), vous devez indiquer clairement que le contenu est généré ou assisté par IA. Cette obligation s'applique aussi aux chatbots et aux assistants vocaux sur votre site web.

Action concrète pour votre PME romande : ajoutez une mention dans vos CGU ou vos mentions légales (« Certains contenus de ce site peuvent être générés ou assistés par intelligence artificielle ») et signalez clairement les chatbots IA dès le premier message (« Je suis un assistant IA, je peux vous orienter vers... »).

2. Documentation des traitements automatisés

Pour toute décision automatisée affectant des clients européens (recommandation de produit, scoring, qualification de prospect), vous devez documenter le système IA utilisé, les données d'entraînement, les biais identifiés et les mesures de mitigation.

Action concrète : si votre PME romande utilise un CRM avec scoring IA ou un outil de recommandation produit pour des clients UE, demandez à votre fournisseur sa documentation AI Act (généralement intitulée « Conformity Assessment » ou « DPIA AI »).

3. Droit à explication pour les décisions automatisées

Tout client européen affecté par une décision automatisée doit pouvoir obtenir une explication sur la logique qui a abouti à cette décision. Cette obligation est cumulative avec le RGPD (article 22).

Action concrète : prévoyez un canal de contact (email dédié, formulaire) où vos clients UE peuvent demander une explication. Préparez des réponses types validées avec votre conseiller juridique.

4. Interdiction de certains usages sensibles

Même pour une PME suisse non soumise directement à l'AI Act, certains usages sont fortement déconseillés voire interdits par effet d'entraînement (votre RH employée ressortissante UE, vos données prospects européens) :

• Reconnaissance émotionnelle automatisée en milieu professionnel
• Catégorisation biométrique (origine, religion, orientation)
• Notation sociale ou scoring globalisé de personnes
• Manipulation comportementale subliminale

Et la Suisse dans tout ça ?

Le Conseil fédéral a publié en novembre 2024 son rapport sur l'IA et lancé une consultation pour une approche réglementaire suisse. Trois principes orientent la réflexion :

• Approche sectorielle plutôt qu'un règlement global comme l'AI Act
• Compatibilité avec l'AI Act européen pour ne pas compliquer les exportations
• Préservation de l'innovation : pas de surrégulation des PME et des startups suisses

En avril 2026, aucun texte de loi suisse spécifique à l'IA n'est encore voté. La LPD (Loi sur la protection des données, en vigueur depuis septembre 2023) couvre déjà partiellement le sujet via les obligations de transparence sur les traitements automatisés et le droit à l'opposition. Les premières dispositions spécifiques IA sont attendues fin 2026 ou début 2027.

L'impact concret pour 4 profils de PME romandes

Pour une fiduciaire ou un cabinet de conseil

Faible impact direct, fort impact indirect. Vos clients UE qui vous transmettent des données peuvent vous demander des garanties sur le traitement IA. Préparez : une charte interne IA, la documentation des outils utilisés, une mention dans vos contrats clients sur l'usage éventuel de l'IA dans le traitement.

Pour une PME exportatrice

Impact significatif si vous vendez en UE des produits intégrant de l'IA. Si votre site e-commerce ou votre logiciel utilise du scoring client, des recommandations personnalisées ou un chatbot, validez la conformité AI Act avec votre fournisseur de la solution. Risque : amendes pouvant aller jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les manquements graves.

Pour un commerce ou un artisan local

Impact très limité. Si vos clients sont surtout romands et que vous utilisez ChatGPT ou Claude uniquement en interne pour rédiger vos emails ou vos posts, aucune obligation directe. Bonne pratique : ajoutez une mention dans vos CGU et signalez clairement vos chatbots éventuels.

Pour une startup ou une PME tech

Impact fort si vous développez une solution IA. Si vous proposez des outils IA à des entreprises ou des particuliers UE, vous devenez « fournisseur de système IA » au sens de l'AI Act et vous tombez sous obligations directes (documentation, conformité, marquage CE, registre européen). Anticipez dès maintenant avec un avocat spécialisé.

Le check-list de conformité pour une PME romande en 2026

Cinq actions à faire dans les 6 prochains mois pour anticiper sereinement :

1. Cartographier vos usages IA : listez tous les outils IA utilisés dans votre entreprise (ChatGPT, Claude, Gemini, IA intégrées dans vos logiciels, chatbots site web, scoring CRM)

2. Documenter les traitements : pour chaque outil, notez l'usage, les données traitées, le fournisseur, le pays d'hébergement

3. Mettre à jour vos CGU et mentions légales : ajoutez les mentions IA conformes au double cadre AI Act + LPD

4. Former vos équipes : sensibilisez vos collaborateurs aux usages autorisés et aux pièges (données clients sensibles dans ChatGPT gratuit, biais des modèles, hallucinations)

5. Préparer une procédure de réponse aux demandes d'explication des clients européens

Aller plus loin

• État des lieux de l'IA dans les PME romandes en 2026
• Top 5 des outils IA gratuits pour PME romandes
• DeepSeek R2 et l'alternative open source pour la souveraineté
• Comment un fiduciaire de Lausanne se conforme tout en gagnant 12h par semaine
• Guide complet Claude Cowork pour PME romandes

Vous voulez auditer la conformité AI Act et LPD de votre PME romande ? Demandez un audit gratuit : on cartographie ensemble vos usages IA actuels, on identifie les zones de risque et on construit un plan de mise en conformité chiffré et progressif.