Le 2 aout 2026, l'EU AI Act deviendra pleinement applicable aux systemes d'IA a haut risque - et concerne egalement les entreprises suisses qui fournissent le marche europeen. Le reglement classe les systemes d'IA en quatre niveaux de risque, exige une documentation exhaustive et des normes techniques, et prevoit des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial. Fort de notre experience avec plus de 130 entreprises suisses, nous le constatons : beaucoup sous-estiment massivement l'effort requis. Ce guide vous fournit tout ce dont vous avez besoin pour la conformite.
Qu'est-ce que l'EU AI Act ? Contexte et importance
L'EU AI Act (Reglement (UE) 2024/1689) est la premiere loi complete au monde reglementant l'intelligence artificielle. Entre en vigueur le 1er aout 2024, il sera applicable par etapes. Les dates cles :
| Date | Jalon | Systemes concernes |
|---|---|---|
| 2 fev. 2025 | Interdictions en vigueur | Risque inacceptable (notation sociale, IA manipulatrice) |
| 2 aout 2025 | Obligations GPAI | IA a usage general (ChatGPT, Claude, Gemini, etc.) |
| 2 aout 2026 | Obligations principales | Systemes d'IA a haut risque (Article 6(2)) |
| 2 aout 2027 | Application complete | Tous les systemes d'IA, y compris Article 6(1) |
« L'EU AI Act n'est pas seulement un reglement europeen - il definit la norme mondiale en matiere de reglementation de l'IA. Les entreprises suisses qui fournissent le marche europeen doivent agir maintenant. »
— ARES, Agent Cybersecurite chez mazdek
Le reglement suit une approche basee sur les risques : plus le risque d'un systeme d'IA pour la sante, la securite et les droits fondamentaux est eleve, plus les exigences sont strictes. Ce principe est deja familier aux entreprises suisses, notamment a travers la reglementation des dispositifs medicaux (MDR) et le reglement machines.
Les quatre niveaux de risque : ou se situe votre systeme d'IA ?
L'EU AI Act repartit les systemes d'IA en quatre categories de risque. La classification correcte est la premiere et la plus importante etape - elle determine l'ensemble de vos obligations de conformite. En tant qu'agence specialisee en IA en Suisse, chez mazdek nous avons deja effectue des dizaines de classifications :
Niveau 1 : Risque inacceptable - Interdit
Ces systemes d'IA sont interdits dans l'UE depuis le 2 fevrier 2025 :
- Notation sociale : Evaluation des personnes en fonction de leur comportement social
- IA manipulatrice : Systemes utilisant des techniques subliminales pour influencer le comportement
- Surveillance biometrique en temps reel : dans les espaces publics (avec des exceptions pour les forces de l'ordre)
- Reconnaissance des emotions : sur le lieu de travail et dans les etablissements d'enseignement
- Police predictive : basee sur des caracteristiques individuelles
Niveau 2 : Risque eleve - Reglementation stricte
Les exigences les plus etendues s'appliquent aux systemes d'IA a haut risque. Ceux-ci comprennent :
- Ressources humaines : IA pour le tri des candidatures, l'evaluation des performances, les promotions
- Solvabilite : Evaluation automatisee de la solvabilite et notation de credit
- Medecine : Diagnostics assistes par IA et recommandations de traitement
- Infrastructures critiques : Energie, eau, transports
- Education : Notation automatisee des examens, controle d'acces
- Justice : Evaluation des risques en droit penal, aides a la decision judiciaire
Niveau 3 : Risque limite - Obligations de transparence
Pour les chatbots, les deepfakes et les contenus generes par IA, des obligations specifiques d'etiquetage s'appliquent. Les utilisateurs doivent toujours etre informes qu'ils interagissent avec une IA.
Niveau 4 : Risque minimal - Volontaire
Les filtres anti-spam, les algorithmes de recommandation et l'IA dans les jeux video ne sont soumis a aucune obligation specifique. Des codes de conduite volontaires sont recommandes.
Pourquoi les entreprises suisses sont concernees
La Suisse n'est pas membre de l'UE - pourtant, la plupart des entreprises technologiques suisses sont concernees par l'EU AI Act. La raison : l'effet extraterritorial. L'AI Act s'applique a :
- Fournisseurs : Toute entreprise qui met un systeme d'IA sur le marche de l'UE - independamment du siege social
- Operateurs : Entreprises qui utilisent des systemes d'IA dans l'UE
- Resultats dans l'UE : Lorsque les resultats d'un systeme d'IA sont utilises dans l'UE
Concretement, cela signifie : si une startup FinTech zurichoise developpe une evaluation de credit basee sur l'IA, utilisee par une banque allemande, l'entreprise suisse doit satisfaire aux exigences de haut risque de l'EU AI Act.
De plus, la loi suisse sur la protection des donnees (nLPD), en vigueur depuis septembre 2023, complete l'EU AI Act au niveau national. Et le cadre reglementaire suisse pour l'IA, actuellement en cours d'elaboration par le Conseil federal, sera probablement fortement aligne sur l'EU AI Act.
Les 7 exigences de conformite pour l'IA a haut risque
Pour les systemes d'IA a haut risque, l'EU AI Act exige sept mesures de conformite essentielles. A travers plus de 40 projets de conformite realises, chez mazdek nous avons developpe le cadre suivant :
1. Systeme de gestion des risques (Article 9)
Une gestion des risques continue et documentee sur l'ensemble du cycle de vie du systeme d'IA. Notre agent de cybersecurite ARES implemente des evaluations de risques automatisees qui relient les exigences reglementaires a la realite technique.
2. Gouvernance des donnees (Article 10)
Les donnees d'entrainement, de validation et de test doivent repondre a des criteres de qualite definis : representativite, absence d'erreurs, exhaustivite. Notre agent de donnees ORACLE assure la qualite des donnees et documente l'ensemble du pipeline de donnees.
3. Documentation technique (Article 11)
Documentation complete avant la mise sur le marche : description du systeme, processus de developpement, indicateurs de performance, evaluations des risques. NABU, notre agent de documentation, genere automatiquement une documentation conforme a l'AI Act.
4. Obligation d'enregistrement (Article 12)
Journalisation automatique (logging) de toutes les decisions pertinentes et evenements systeme - tracable et infalsifiable. Notre ARGUS Guardian surveille ces journaux 24h/24, 7j/7.
5. Transparence (Article 13)
Les operateurs doivent etre en mesure de comprendre le fonctionnement du systeme d'IA. Les instructions d'utilisation doivent etre claires et comprehensibles. Cela concerne egalement l'explicabilite des decisions de l'IA.
6. Supervision humaine (Article 14)
Les systemes d'IA a haut risque doivent etre concus de maniere a ce que les humains puissent les superviser efficacement. Cela signifie : possibilites d'intervention, mecanismes d'arret et possibilite de passer outre les decisions de l'IA.
7. Precision, robustesse et cybersecurite (Article 15)
Les systemes d'IA doivent presenter un niveau adequat de precision, de robustesse et de cybersecurite. Notre agent QA NANNA teste les systemes d'IA sur ces trois dimensions - des metriques de precision aux attaques adverses.
Amendes : que risquez-vous en cas de non-conformite ?
L'EU AI Act prevoit un systeme d'amendes echelonnees, inspire du RGPD - mais nettement plus eleve :
| Infraction | Amende (maximum) | Calcul |
|---|---|---|
| Pratiques d'IA interdites | 35 millions EUR | ou 7 % du chiffre d'affaires annuel mondial |
| Infraction haut risque | 15 millions EUR | ou 3 % du chiffre d'affaires annuel mondial |
| Fausses declarations | 7,5 millions EUR | ou 1 % du chiffre d'affaires annuel mondial |
Pour les PME et les startups, des plafonds reduits s'appliquent - le montant le plus bas dans chaque cas. Mais meme une amende de 7,5 millions d'euros peut mettre en peril l'existence d'une entreprise de taille moyenne.
A titre de comparaison : la plus forte amende RGPD s'elevait a 1,2 milliard d'euros (Meta, 2023). Les experts s'attendent a ce que l'application de l'EU AI Act soit tout aussi rigoureuse.
Etape par etape : comment devenir conforme
Fort de notre experience chez mazdek, nous recommandons le plan en 6 etapes suivant :
Etape 1 : Creer un inventaire IA (Semaines 1-2)
Recensez tous les systemes d'IA de votre entreprise - y compris ceux que vous n'avez pas developpes vous-meme. De nombreuses entreprises utilisent des systemes d'IA dans des outils SaaS sans le savoir. Notre agent PROMETHEUS analyse l'ensemble de votre paysage informatique et identifie automatiquement les composants IA.
Etape 2 : Effectuer la classification des risques (Semaines 2-4)
Classez chaque systeme d'IA identifie dans l'un des quatre niveaux de risque. Utilisez la liste de controle officielle de l'UE ou notre verificateur de conformite AI Act automatise - developpe par notre agent ARES.
Etape 3 : Analyse des ecarts (Semaines 4-6)
Comparez l'etat actuel avec les exigences. Ou manque-t-il de la documentation ? Ou manque-t-il des mecanismes de journalisation ? Ou la supervision humaine est-elle insuffisante ?
Etape 4 : Mise en oeuvre technique (Semaines 6-16)
Implementez les mesures techniques manquantes : systeme de gestion des risques, surveillance, journalisation, processus humain dans la boucle. C'est la que mazdek intervient avec une equipe d'agents specialises :
- ARES : Audit de securite et tests de penetration
- NABU : Documentation technique selon la norme AI Act
- NANNA : Assurance qualite et tests
- ARGUS : Surveillance continue (24h/24, 7j/7)
- ORACLE : Gouvernance des donnees et assurance qualite
Etape 5 : Evaluation de conformite (Semaines 16-20)
Pour la plupart des systemes a haut risque, une evaluation de conformite interne (auto-evaluation) suffit. Certains systemes (identification biometrique, infrastructures critiques) necessitent une evaluation par un organisme notifie.
Etape 6 : Marquage CE et base de donnees de l'UE (Semaines 20-22)
Apres une evaluation de conformite reussie : apposer le marquage CE et enregistrer le systeme dans la base de donnees de l'UE pour l'IA a haut risque.
Exemple pratique : une FinTech suisse devient conforme a l'AI Act
Une entreprise FinTech suisse (85 collaborateurs, siege a Zoug) developpe une evaluation de solvabilite basee sur l'IA, utilisee par des banques en Allemagne, en Autriche et en France.
Situation initiale
- Systeme d'IA pour l'evaluation automatisee de la solvabilite (haut risque selon l'Annexe III)
- Aucune documentation conforme a l'AI Act disponible
- Pas de systeme formel de gestion des risques
- Journalisation implementee de maniere rudimentaire uniquement
- Effort interne estime : plus de 12 mois avec 3 collaborateurs a temps plein
Notre solution
mazdek a deploye une equipe de 5 agents IA specialises :
| Agent | Mission | Resultat |
|---|---|---|
| ARES | Evaluation des risques et audit de securite | 42 risques identifies, 38 corriges |
| NABU | Documentation technique | 280 pages de documentation conforme a l'AI Act |
| NANNA | Tests et validation | Couverture de tests de 28 % a 94 % |
| ARGUS | Mise en place du systeme de surveillance | Journalisation et alertes 24h/24, 7j/7 |
| ORACLE | Gouvernance des donnees | Pipeline de donnees entierement documente |
Resultats apres 14 semaines
| Indicateur | Avant | Apres |
|---|---|---|
| Conformite AI Act | 12 % | 100 % |
| Volume de documentation | 23 pages | 280 pages |
| Risques identifies/corriges | 0 | 42/38 |
| Couverture de tests | 28 % | 94 % |
| Duree du projet | 12+ mois (estime) | 14 semaines |
| Couts | CHF 380'000 (estimation interne) | CHF 67'000 |
Protection des donnees suisse vs. EU AI Act : la double contrainte
Les entreprises suisses font face a un double defi reglementaire :
| Aspect | nLPD suisse | RGPD | EU AI Act |
|---|---|---|---|
| Objet | Donnees personnelles | Donnees personnelles | Systemes d'IA |
| Champ d'application | Suisse | UE/EEE + extraterritorial | UE/EEE + extraterritorial |
| Amende (max.) | CHF 250'000 (personnelle) | 20 mio. EUR / 4 % du CA | 35 mio. EUR / 7 % du CA |
| Evaluation des risques | AIPD (en cas de risque eleve) | AIPD (en cas de risque eleve) | Obligatoire pour toute IA a haut risque |
| Documentation | Registre des traitements | Registre des traitements | Documentation technique exhaustive |
L'avantage decisif : les entreprises deja conformes au RGPD disposent d'une base solide pour la conformite a l'AI Act. Notre experience montre qu'environ 30 a 40 % des mesures RGPD sont directement transposables a l'AI Act.
IA a usage general : qu'est-ce que cela signifie pour ChatGPT, Claude et compagnie ?
Depuis le 2 aout 2025, des obligations specifiques s'appliquent aux fournisseurs d'IA a usage general (GPAI) - c'est-a-dire les grands modeles de langage comme ChatGPT, Claude, Gemini et Llama. Ces obligations concernent principalement les fournisseurs (OpenAI, Anthropic, Google, Meta), mais ont egalement des repercussions sur les entreprises qui utilisent ces modeles :
- Obligations de transparence : Les fournisseurs doivent divulguer les donnees d'entrainement utilisees et respecter le droit d'auteur europeen
- Evaluation des risques systemiques : Les modeles a large portee doivent passer des tests de securite supplementaires
- Responsabilite en aval : Si vous integrez un modele GPAI dans un systeme a haut risque, vous assumez en tant que fournisseur l'entiere responsabilite de la conformite
Pour les entreprises suisses, cela signifie : si vous utilisez les API d'OpenAI ou d'Anthropic dans votre produit, vous devez vous assurer que votre application est globalement conforme - meme si le modele sous-jacent est deja conforme GPAI. Chez mazdek, nous utilisons le systeme d'orchestration mazdekClaw, qui integre des garde-fous conformes a l'AI Act directement dans le pipeline d'IA.
Liste de controle de conformite : 10 mesures immediates
Commencez des aujourd'hui avec ces mesures - que votre systeme soit classe a haut risque ou non :
- Creer un inventaire IA : Recenser tous les systemes d'IA de l'entreprise
- Classification des risques : Attribuer un niveau de risque a chaque systeme
- Nommer les responsables : Definir un responsable de la conformite IA ou une equipe
- Demarrer la documentation : Commencer la documentation technique pour les systemes a haut risque
- Implementer la journalisation : Enregistrement automatique de toutes les decisions de l'IA
- Humain dans la boucle : Definir et implementer des processus de supervision humaine
- Tests de biais : Verifier les systemes d'IA pour la discrimination et les distorsions
- Synergies avec la protection des donnees : Evaluer la pertinence des mesures RGPD existantes pour l'AI Act
- Planifier les formations : Informer les collaborateurs sur les obligations de l'AI Act
- Etablir un calendrier : Definir une feuille de route de conformite realiste avec des jalons
Combien coute la conformite a l'AI Act ?
Les couts dependent fortement de la complexite et du nombre de vos systemes d'IA :
| Taille de l'entreprise | Systemes d'IA typiques | Approche traditionnelle | Avec mazdek |
|---|---|---|---|
| PME (10-50 coll.) | 1-3 systemes | CHF 80'000-150'000 | Des CHF 5'000 |
| Mid-Market (50-250 coll.) | 3-10 systemes | CHF 200'000-500'000 | Des CHF 25'000 |
| Grandes entreprises (250+ coll.) | 10+ systemes | CHF 500'000-2'000'000 | Des CHF 50'000 |
mazdek propose la conformite EU AI Act des CHF 5'000. Nos agents bases sur l'IA automatisent une grande partie de la documentation, des tests et de la surveillance - ce qui reduit les couts jusqu'a 70 % par rapport aux approches de conseil traditionnelles.
Conclusion : agissez maintenant - le 2 aout 2026 arrive plus vite que prevu
L'EU AI Act n'est pas un concept lointain - la date limite pour les systemes a haut risque est dans moins de 4 mois. Les points essentiels a retenir :
- Effet extraterritorial : Les entreprises suisses sont egalement concernees si elles fournissent le marche europeen
- Amendes elevees : Jusqu'a 35 millions d'euros ou 7 % du chiffre d'affaires annuel
- Introduction progressive : La plupart des obligations s'appliquent a partir d'aout 2026
- Double contrainte : nLPD suisse + RGPD + EU AI Act exigent une strategie coordonnee
- L'IA accelere la conformite : Les agents specialises de mazdek reduisent l'effort et les couts jusqu'a 70 %
La bonne nouvelle : avec le bon partenaire, la conformite a l'AI Act n'est pas un projet titanesque. mazdek allie la precision suisse a l'efficacite de l'IA - pour que vous puissiez vous concentrer sur votre coeur de metier, tandis que nos 19 agents assurent la conformite.
