ChatGPT
Claude
Perplexity
Gemini
GrokL'IA Act et la Suisse : un double cadre réglementaire à comprendre avant d'agir
La Suisse n'est pas membre de l'Union européenne. Le règlement européen sur l'intelligence artificielle (IA Act, règlement UE 2024/1689) ne s'applique donc pas directement aux établissements suisses en vertu du droit helvétique. Cependant, la portée extraterritoriale de l'IA Act implique que toute école suisse qui utilise un système d'IA dont les sorties affectent des personnes résidant dans l'UE est soumise au règlement (Source : Journal Officiel de l'UE, règlement 2024/1689, art. 2).
Cette distinction est capitale pour les HES, universités cantonales et grandes écoles privées suisses : un établissement qui recrute des candidats en France, en Belgique ou en Allemagne via un outil de scoring automatisé de candidatures est bel et bien soumis à l'IA Act pour cet usage, quel que soit le lieu d'hébergement du système. Ce sujet avait d'ailleurs été anticipé dans le contexte franco-suisse : la FAQ de l'article de référence en français précise explicitement qu'une école suisse utilisant un outil de scoring pour sélectionner des candidats résidant dans l'UE est soumise au règlement.
En parallèle, le cadre suisse propre repose sur la nouvelle Loi fédérale sur la protection des données (nLPD, RS 235.1), en vigueur depuis le 1er septembre 2023. C'est la nLPD — et non une transposition de l'IA Act — qui gouverne les obligations des établissements pour les candidats résidant en Suisse. L'autorité compétente est le PFPDT (Préposé fédéral à la protection des données et à la transparence), qui a explicitement identifié l'IA en contexte éducatif comme un domaine de vigilance prioritaire.
La classification des risques selon l'IA Act : quelle application pour les écoles suisses ?
Pour les établissements suisses concernés par la portée extraterritoriale de l'IA Act — ou qui anticipent une harmonisation future — la classification par niveau de risque reste la grille d'analyse pertinente.
| Niveau de risque | Exemples dans l'enseignement supérieur suisse | Régime applicable |
|---|---|---|
| Inacceptable (interdit par l'IA Act) | Notation comportementale globale des candidats | IA Act si candidats UE ; nLPD art. 21 si candidats suisses |
| Haut risque (IA Act) | Présélection automatisée de candidatures EU, scoring d'admission, détection de plagiat influençant les notes | IA Act complet pour candidats UE ; nLPD art. 21 pour candidats suisses |
| Risque limité (IA Act) | Chatbots d'admissions | Transparence IA Act (candidats UE) + obligation d'information nLPD (candidats suisses) |
| Risque minimal | Correcteurs orthographiques, filtres anti-spam | Bonnes pratiques nLPD uniquement |
Systèmes à haut risque : les obligations concrètes pour les candidats UE
L'Annexe III, point 3a de l'IA Act classe comme haut risque tout système d'IA « destiné à déterminer l'accès ou l'admission à des établissements d'enseignement ». Pour un établissement suisse utilisant un tel outil sur des candidats résidant dans l'UE, les obligations sont les mêmes que pour un établissement européen : documentation technique complète, système de gestion des risques documenté, contrôle humain obligatoire, journalisation et enregistrement dans la base de données européenne.
Sont concrètement concernés les outils de présélection automatisée de dossiers, les systèmes de notation automatisée influençant l'évaluation académique, et les algorithmes de placement dans des filières spécifiques (passerelles HES, admission aux masters, procédures d'accueil des étudiants internationaux).
Le cadre nLPD pour les candidats résidant en Suisse
Pour les candidats suisses — ou internationaux résidant en Suisse — la nLPD constitue le cadre primaire. Son article 21 impose une obligation d'information spécifique pour toute décision automatisée produisant un effet juridique ou significatif sur une personne, et ouvre un droit à demander un contrôle humain. Cette disposition couvre explicitement le scoring d'admission et la recommandation de filière par algorithme. Le non-respect de l'art. 21 nLPD expose les responsables à une sanction pénale pouvant atteindre CHF 250 000 (art. 60 nLPD).
L'AAQ (Agence suisse d'accréditation et d'assurance qualité) exige par ailleurs des processus d'admission transparents et équitables dans ses standards d'accréditation institutionnelle (LAHE, RS 414.20). Un système d'admission automatisé produisant des discriminations indirectes non documentées peut compromettre l'accréditation de l'établissement, indépendamment des sanctions réglementaires.
Le calendrier : que doit surveiller un établissement suisse ?
Contrairement aux institutions européennes, les établissements suisses ne sont pas formellement soumis aux échéances de l'IA Act. Cependant, le calendrier européen crée des effets de bord opérationnels importants.
2 février 2025 (déjà effectif pour l'UE) — Les interdictions de l'IA Act s'appliquent aux usages concernant les candidats UE. Si votre outil de scoring évalue des candidats français ou belges via des critères comportementaux généralisés, cet usage est illégal au sens de l'IA Act depuis cette date.
2 août 2025 — GPAI et fournisseurs d'outils IA. Vos prestataires européens ou opérant dans l'UE doivent se conformer aux obligations GPAI. Exigez une déclaration de conformité de chaque fournisseur et vérifiez si votre contrat de service garantit la conformité pour les données de candidats UE.
2 août 2026 — Obligations haut risque pour les systèmes affectant des candidats UE. Si votre établissement utilise un outil de présélection pour des candidats résidant dans l'UE, cet outil doit être pleinement conforme à cette date.
nLPD — en vigueur depuis le 1er septembre 2023. Les obligations de la nLPD (information, décisions automatisées, sécurité) sont applicables dès maintenant pour tous les candidats en Suisse. Un audit de conformité nLPD est urgent si ce n'est pas encore fait.
À retenir : même sans adhésion à l'UE, une école suisse active sur le marché européen fait face à un double cadre. Identifier lequel s'applique à chaque flux de candidats est la première étape.
Les obligations pratiques par cas d'usage
Chatbot d'admissions : deux régimes, une approche commune
Qu'il s'adresse à des candidats suisses ou européens, votre chatbot doit s'identifier clairement comme un système d'IA. Pour les candidats UE, c'est une obligation de l'IA Act (art. 50, §1). Pour les candidats suisses, c'est une bonne pratique imposée par l'esprit de la nLPD et les standards de l'AAQ. Un message d'accueil du type « Je suis un assistant IA de [nom de l'école]. Un conseiller humain est disponible à votre demande » répond aux deux cadres simultanément.
Notre guide RGPD pour les données étudiantes détaille les obligations de documentation des traitements de données dans le contexte suisse.
Coût estimé : 2 à 5 jours de travail si le chatbot est déjà en place. L'essentiel du travail porte sur la documentation et la mise à jour des mentions d'information.
Outil de présélection des candidatures : le cas le plus sensible
Un outil de scoring automatisé de candidatures est le cas qui cumule le plus d'obligations. Pour les candidats UE : application complète de l'IA Act haut risque. Pour les candidats suisses : application de la nLPD art. 21 et des standards AAQ.
Les six obligations IA Act haut risque — gestion des risques, qualité des données, documentation technique, contrôle humain, journalisation, enregistrement EU — sont des exigences minimales prudentes, même pour les flux suisses uniquement. Un établissement qui documente ses outils à ce niveau est en avance sur les exigences nLPD actuelles et bien positionné pour toute évolution réglementaire helvétique.
Les détecteurs de plagiat par IA présentent un taux de faux positifs de 5 à 15 % selon les études publiées par le Stanford HAI. Si l'outil influence directement une note dans votre établissement, le contrôle humain n'est pas optionnel — il est imposé à la fois par l'IA Act (pour les candidats UE) et par l'art. 21 nLPD (pour les candidats suisses).
swissuniversities et la coordination nationale
La Confédération ne dispose pas à ce jour d'un équivalent suisse de l'IA Act. Le SEFRI (Secrétariat d'État à la formation, à la recherche et à l'innovation) et swissuniversities suivent les développements réglementaires européens et produisent des recommandations sectorielles pour les HES et universités cantonales. Le PFPDT a publié des prises de position sur l'IA et la nLPD qui constituent la référence opérationnelle actuelle. Les établissements sont encouragés à anticiper une évolution réglementaire suisse en matière d'IA, le Conseil fédéral ayant mandaté des travaux exploratoires dans ce domaine.
Pour les HES coordonnées par swissuniversities, les standards de qualité de l'AAQ constituent un levier d'action concret : ils imposent la transparence et l'équité des processus d'admission, ce qui crée une obligation de facto sur les systèmes d'IA utilisés dans ce cadre.
L'articulation nLPD et IA Act : une checklist en 8 points
- Cartographie des candidats : identifier pour chaque flux (suisses, UE, internationaux hors UE) quel cadre s'applique
- Inventaire des outils IA : lister tous les systèmes d'IA utilisés dans les admissions, l'évaluation et l'orientation
- Classification IA Act : pour chaque outil impactant des candidats UE, déterminer le niveau de risque (Annexe III)
- Audit nLPD : vérifier la conformité de chaque traitement automatisé au regard de l'art. 21 nLPD (information + contrôle humain)
- Audit fournisseurs : exiger une déclaration de conformité nLPD et, pour les fournisseurs opérant dans l'UE, une déclaration IA Act
- Contrôle humain : documenter la procédure de validation humaine pour toute décision d'admission susceptible d'avoir un effet significatif sur le candidat
- Analyse des biais : tester les sous-groupes pertinents dans le contexte suisse (type de maturité, canton d'origine, langue, parcours HES vs université)
- Revue annuelle : synchroniser la revue nLPD avec un examen des outils IA — à chaque nouveau cycle d'admission
Pour approfondir les questions de biais algorithmique dans les outils d'admission, consultez notre article sur les risques de biais dans le recrutement étudiant par IA et notre checklist d'audit de protection des données.
Les sanctions : IA Act et nLPD
Pour les usages concernant des candidats UE, les amendes IA Act s'appliquent : jusqu'à 35 millions EUR (ou 7 % du CA mondial) pour les pratiques interdites, 15 millions EUR (ou 3 %) pour la non-conformité haut risque. Ces montants s'appliquent à tout opérateur dont le système affecte des personnes dans l'UE, quelle que soit la localisation de l'opérateur.
Pour les usages concernant des candidats suisses, la nLPD prévoit des sanctions pénales pouvant atteindre CHF 250 000 pour les personnes physiques responsables (art. 60 nLPD). Le PFPDT peut également émettre des recommandations contraignantes et rendre ses investigations publiques — un risque réputationnel significatif pour tout établissement.
FAQ
Une école suisse qui ne recrute que des étudiants suisses est-elle soumise à l'IA Act ?
Non, si l'ensemble de ses candidats résident en Suisse et que ses systèmes d'IA ne produisent pas d'effets sur des personnes dans l'UE. Dans ce cas, seule la nLPD s'applique. Cependant, dès qu'un candidat résidant dans l'UE est concerné par un système d'IA de l'établissement — même pour un seul flux de candidature — la portée extraterritoriale de l'IA Act s'active pour cet usage.
L'EPFL ou une HES-SO déployant un outil de scoring pour ses masters internationaux est-elle concernée par l'IA Act ?
Oui, si le processus de scoring affecte des candidats résidant dans l'UE. Les EPF fédérales et les HES-SO recrutent activement dans l'espace européen ; leurs outils d'aide à la sélection tombent dans le champ extraterritorial de l'IA Act pour ces candidats. La question n'est pas la nationalité de l'institution mais la résidence des personnes affectées par le système.
La nLPD couvre-t-elle les mêmes obligations que l'IA Act ?
Non, et la différence est substantielle. La nLPD régit la protection des données personnelles : licéité du traitement, droits des personnes, obligations de sécurité, information en cas de décision automatisée (art. 21). L'IA Act va plus loin : il impose des audits de biais, une documentation technique détaillée du système d'IA, un système de gestion des risques formel, et l'enregistrement dans une base de données européenne. Une conformité nLPD ne couvre qu'une partie des exigences IA Act.
Quel budget prévoir pour un audit de conformité dans un établissement suisse ?
Pour un établissement utilisant un chatbot et un CRM avec scoring basique : 2 à 4 semaines et CHF 8 000 à 20 000 en audit nLPD et ajustements. Pour un établissement utilisant un outil de présélection automatisée avec des candidats UE (double conformité nLPD et IA Act) : 2 à 4 mois et CHF 30 000 à 80 000 selon la maturité documentaire existante et la complexité des outils. À titre de comparaison, la sanction pénale nLPD peut atteindre CHF 250 000 pour les personnes physiques responsables — l'investissement en conformité préventive est économiquement rationnel.
Le PFPDT a-t-il publié des lignes directrices sur l'IA dans l'enseignement supérieur ?
Le PFPDT a publié des prises de position générales sur l'IA et la nLPD disponibles sur edoeb.admin.ch. Des lignes directrices sectorielles spécifiques à l'enseignement supérieur n'ont pas encore été publiées à ce jour. Les établissements peuvent se référer aux recommandations de swissuniversities sur la qualité des processus d'admission, aux standards AAQ, et aux lignes directrices de l'EDPB européen sur le RGPD et les décisions automatisées comme références opérationnelles dans l'attente d'orientations suisses plus spécifiques.
