ChatGPT
Claude
Perplexity
Gemini
GrokLa Suisse n'est pas dans l'UE — mais l'IA Act peut quand même vous concerner
C'est la question que posent en ce moment les directions des HES, des universités cantonales et des écoles privées de Suisse romande : l'IA Act européen entre en vigueur le 2 août 2026 pour les obligations les plus critiques — mais la Suisse n'est pas membre de l'Union européenne. Ce règlement s'applique-t-il à vous ?
La réponse n'est pas un simple oui ou non. L'IA Act suit une logique d'applicabilité extraterritoriale similaire au RGPD : il s'applique à tout fournisseur ou déployeur de systèmes d'IA dont les outputs sont utilisés dans l'UE ou qui ciblent des utilisateurs dans l'UE. Mais la situation des établissements suisses est plus nuancée que celle de leurs homologues belges ou français. Ce guide démêle les scénarios, expose ce que la nLPD (nouvelle Loi fédérale sur la protection des données, en vigueur depuis le 1er septembre 2023) exige dès maintenant pour vos outils IA, et vous donne une checklist de documentation à double entrée. Pour comprendre la classification des risques sous l'IA Act, notre guide de classification des risques pour établissements complète cette analyse.
Mon établissement suisse est-il concerné par l'IA Act UE ?
Le tableau ci-dessous couvre les scénarios les plus fréquents pour les HES, universités cantonales et écoles privées de Suisse romande.
| Scénario | IA Act UE applicable ? | Pourquoi |
|---|---|---|
| Chatbot sur site web accessible uniquement aux résidents suisses, fournisseur suisse | Non | Ni déploiement vers l'UE, ni fournisseur UE |
| Chatbot sur site web accessible aux candidats de l'UE (France, Belgique, Allemagne) | Oui (art. 50) | Outputs utilisés dans l'UE par des personnes dans l'UE |
| Outil de scoring d'admissions, fournisseur UE (France, Allemagne, Pays-Bas, etc.) | Oui | Le fournisseur est soumis à l'IA Act, ses obligations contractuelles se répercutent sur le déployeur |
| EPFL ou HES-SO utilisant un LLM hébergé sur infrastructure UE | Oui partiel | Le fournisseur d'infrastructure est soumis à l'IA Act ; obligations contractuelles à vérifier |
| École privée genevoise recrutant activement des étudiants français ou belges | Oui (art. 50) | Ciblage délibéré de personnes dans l'UE |
| Université cantonale sans recrutement actif hors Suisse, fournisseurs suisses uniquement | Non direct | Pas d'applicabilité directe, mais nLPD s'applique pleinement |
| HES utilisant ChatGPT Enterprise (OpenAI, infrastructure UE) | Probable | Fournisseur avec présence UE ; vérifier les conditions contractuelles |
La règle pratique : si vous utilisez un fournisseur d'IA dont le siège social ou l'infrastructure principale est dans l'UE, ou si votre établissement recrute activement des étudiants résidant dans l'UE, l'IA Act vous concerne — au moins partiellement. La frontière suisse ne crée pas un bouclier automatique.
Ce que la nLPD exige pour vos systèmes IA — dès maintenant
La Suisse dispose de sa propre réglementation sur la protection des données : la nLPD, en vigueur depuis le 1er septembre 2023. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne, ce qui facilite les transferts de données entre la Suisse et l'UE — mais cela ne rend pas la nLPD identique au RGPD.
La nLPD ne réglemente pas l'IA directement comme le fait l'IA Act. En revanche, ses dispositions s'appliquent à tout traitement de données personnelles par des systèmes d'IA, ce qui couvre la majorité des usages dans l'enseignement supérieur.
Trois obligations nLPD directement applicables à vos outils IA
1. Obligation d'information renforcée (art. 19-21 nLPD) Lorsqu'un établissement collecte des données personnelles — notamment via un chatbot, un formulaire d'inscription ou un outil d'analyse de candidature —, les personnes concernées doivent être informées de l'identité du responsable du traitement, de la finalité du traitement, et, le cas échéant, des destinataires des données.
2. Analyse d'impact relative à la protection des données (art. 22 nLPD) Pour les traitements susceptibles d'engendrer un risque élevé pour les droits des personnes concernées, une analyse d'impact est obligatoire. L'utilisation d'un outil de scoring ou de présélection automatisée de candidatures entre dans cette catégorie.
3. Transparence des décisions automatisées (art. 21 nLPD) Toute décision fondée exclusivement sur un traitement automatisé de données personnelles doit pouvoir faire l'objet d'une révision par une personne physique à la demande de la personne concernée. Cette disposition s'applique que votre établissement soit ou non directement soumis à l'IA Act.
Le Préposé fédéral à la protection des données et à la transparence (PFPDT) suit activement les développements liés à l'IA et surveille les pratiques des organisations suisses — y compris les établissements d'enseignement supérieur.
Checklist de documentation à double entrée : nLPD + IA Act
Pour un chatbot d'information et d'admissions
72 % des questions posées aux chatbots d'écoles sont des FAQ simples automatisables (Source : analyse de 12 000 conversations Skolbot, 2025-2026). Ce type de chatbot est au cœur des obligations de transparence — qu'elles viennent de la nLPD ou de l'IA Act.
| Document | Requis par nLPD | Requis par IA Act (si applicable) |
|---|---|---|
| Notice d'identification IA dans l'interface | Recommandé (art. 19) | Obligatoire (art. 50) |
| Mention du chatbot dans la politique de confidentialité | Obligatoire (art. 19 nLPD) | Obligatoire si IA Act applicable |
| Accord de sous-traitance avec le fournisseur | Obligatoire (art. 9 nLPD) | Obligatoire (art. 28 RGPD si transferts UE) |
| Registre des activités de traitement | Recommandé | Recommandé |
| Procédure d'escalade vers un conseiller humain | Bonne pratique | Bonne pratique (art. 26) |
Un chatbot IA répond en 3 secondes 24h/24, contre 72h pour un formulaire de contact (Source : audit Skolbot 2025). Ce gain ne se concrétise qu'avec une infrastructure conforme. Une identification IA claire dans l'interface — « Je suis l'assistant IA de [Nom de l'école] » — remplit simultanément la bonne pratique nLPD et l'obligation art. 50 de l'IA Act si votre établissement est dans le champ d'application.
Pour un outil de scoring ou de présélection des candidatures
| Document | Requis par nLPD | Requis par IA Act (si applicable) |
|---|---|---|
| Analyse d'impact (art. 22 nLPD / DPIA) | Obligatoire | Obligatoire (Annexe III haut risque) |
| Documentation technique du système | Bonne pratique | Obligatoire (Annexe IV) |
| Procédure de révision humaine documentée | Obligatoire (art. 21 nLPD) | Obligatoire (art. 26 §2 IA Act) |
| Information aux candidats sur le traitement automatisé | Obligatoire (art. 21 nLPD) | Obligatoire (art. 26 §6 IA Act) |
| Politique de journalisation des traitements | Recommandé | Obligatoire (art. 26 IA Act) |
| Déclaration de conformité du fournisseur (IA Act) | Non applicable | Obligatoire si fournisseur UE |
Pour les établissements non directement soumis à l'IA Act
Même si votre HES ou université cantonale conclut qu'elle n'est pas dans le champ d'application direct de l'IA Act, les obligations nLPD restent intégralement applicables. Et la convergence des deux cadres réglementaires est telle que les documents préparés pour l'un couvrent en grande partie les exigences de l'autre.
La LAHE (Loi fédérale sur l'encouragement et la coordination des hautes écoles) et les standards de qualité de swissuniversities intègrent de plus en plus des exigences de gouvernance numérique. Une documentation IA structurée s'inscrit naturellement dans les démarches d'accréditation institutionnelle coordonnées par l'AAQ (Agence d'accréditation et d'assurance qualité).
Plan d'action pour un établissement romand
Phase 1 : clarifier le champ d'application (semaine 1)
Avant de documenter quoi que ce soit, répondez aux questions suivantes avec votre DPO ou responsable de la conformité :
- Votre site web et votre chatbot sont-ils accessibles et délibérément ciblés vers des candidats résidant dans l'UE ?
- Vos fournisseurs d'outils IA (chatbot, CRM, scoring) ont-ils leur siège ou leur infrastructure principale dans l'UE ?
- Avez-vous des conventions de partenariat avec des établissements UE impliquant des échanges de données via des systèmes IA ?
Si la réponse à l'une de ces questions est oui, l'IA Act vous concerne au moins partiellement.
Phase 2 : inventaire et classification des outils (semaines 1-2)
Listez tous les systèmes d'IA en usage : chatbot, CRM, outils d'analyse de candidatures, plateformes e-learning avec personnalisation algorithmique, outils de génération de contenu. Pour chaque outil, identifiez le fournisseur, son siège, et sa propre classification au titre de l'IA Act.
Phase 3 : mise en conformité prioritaire (semaines 3-6)
Concentrez l'effort documentaire sur les outils qui combinent un impact potentiel sur des candidats ou étudiants et une exposition à l'IA Act ou à la nLPD. Pour un chatbot d'admissions, la mise à jour de l'interface et de la politique de confidentialité est l'intervention la plus rapide.
Pour le choix et l'audit de vos fournisseurs de chatbot, notre article sur les fournisseurs de chatbot IA conformes donne des critères de sélection adaptés au contexte suisse. Pour les aspects RGPD liés aux données étudiantes en contexte transfrontalier, notre guide données étudiantes et protection complète cette checklist.
Testez Skolbot sur votre école en 30 secondesFAQ
La Suisse va-t-elle adopter sa propre loi sur l'IA ?
À la date de publication de cet article, la Suisse ne dispose pas d'une loi spécifique sur l'IA. Le Conseil fédéral suit les développements européens et a publié des prises de position sur la gouvernance de l'IA, mais aucun projet de loi sectoriel n'est en cours d'adoption. La nLPD reste le cadre réglementaire principal pour les aspects de protection des données dans les systèmes IA. Le PFPDT (pfpdt.admin.ch) publie régulièrement des orientations pratiques sur ces questions.
Une HES qui utilise uniquement des fournisseurs suisses est-elle à l'abri de l'IA Act ?
En grande partie, oui — si elle ne recrute pas activement dans l'UE et si ses systèmes ne produisent pas d'outputs utilisés dans l'UE. Mais « fournisseur suisse » ne garantit pas automatiquement l'absence d'exposition : vérifiez où les données sont effectivement hébergées et traitées. Un fournisseur suisse qui sous-traite à une infrastructure AWS EU-West ou Azure Europe est susceptible d'être dans le champ de l'IA Act.
La décision d'adéquation UE-Suisse suffit-elle à couvrir les aspects IA Act ?
Non. La décision d'adéquation couvre la protection des données personnelles au sens du RGPD — elle atteste que le niveau de protection suisse est équivalent au standard européen. Elle ne dit rien sur la conformité aux obligations de l'IA Act (transparence, contrôle humain, documentation technique). Ces deux cadres sont distincts et complémentaires.
Quelles sanctions risque-t-on en cas de non-conformité à la nLPD pour un outil IA ?
La nLPD prévoit des sanctions pénales pour les violations délibérées des obligations d'information et de sécurité — jusqu'à CHF 250 000 d'amende pour les personnes physiques responsables. Le PFPDT peut également ouvrir des enquêtes et émettre des recommandations contraignantes. Les établissements d'enseignement supérieur ne sont pas exemptés de ces dispositions.
Cet article a une visée informative générale et ne constitue pas un avis juridique. La situation réglementaire de chaque établissement suisse dépend de son activité spécifique, de ses fournisseurs et de son exposition au marché européen. Consultez un professionnel du droit des données ou votre DPO pour toute décision relative à vos obligations.
Testez Skolbot sur votre école en 30 secondes
