L’IA en Suisse : le processus réglementaire et l’importance des systèmes de management ISO

À ce jour, il n’existe aucune loi sur l’IA en Suisse. Le Conseil fédéral a toutefois reconnu que les progrès technologiques offraient des opportunités considérables, mais engendraient parallèlement de nouveaux défis en matière de protection des données, de transparence, d’Etat de droit et de surveillance. C’est pourquoi il a chargé l’administration de dresser un « état des lieux » sous la forme d’une analyse exhaustive des approches réglementaires possibles.

Développement international

Au sein de l’Union européenne, la règlementation sur l’intelligence artificielle (« AI Act ») est entrée en vigueur le 1er août 2024. Elle repose sur sept principes en faveur d’une IA digne de confiance : 

• L’intervention humaine et la surveillance humaine ; 

• La robustesse technique et la sécurité ; 

• La protection de la vie privée et la gouvernance des données ; 

• La transparence ; 

• La diversité, la non-discrimination et l’équité ; 

• Le bien-être social et environnemental ; 

• La responsabilité. 

À l’échelle mondiale, la mise en œuvre de la réglementation de l’IA ne progresse pas partout au même rythme et répond à des approches diverses. Dans de nombreux pays, dont la Suisse, la réglementation de l’IA en est encore au stade de la négociation, voire de la réflexion.  

Il ne se dégage pas de tendance uniforme quant à savoir si l’IA doit être réglementée par une loi générale« horizontale » ou par des réglementations sectorielles (« verticales »). Des pays comme le Royaume-Uni et Israël privilégient une approche sectorielle, celle-ci étant considérée comme plus souple pour gérer la progression dynamique des technologies d’IA. D’autres pays, dont le Canada, le Brésil, la Corée du Sud et les États membres de l’UE, misent sur une approche réglementaire horizontale. Une telle approche définit des principes généraux pour l’utilisation transsectorielle de l’IA, dans le but de s’attaquer aux défis généraux de manière uniforme.

L’approche réglementaire fondée sur les risques telle qu’introduite par l’UE au travers de l’AI Act trouve un écho croissant au niveau international : le niveau de la réglementation doit dépendre de l’ampleur des risques (potentiels). Cette approche devrait également être intégrée dans les travaux législatifs en Suisse. 

En Suisse, des règles sectorielles plutôt que générales

Le 12 février 2025, le Conseil fédéral a décidé que la Suisse devait ratifier la Convention du Conseil de l’Europe sur l’IA (à l’élaboration de laquelle la Suisse a largement participé). Cet accord international fixe des normes éthiques et juridiques minimales pour l’utilisation de l’IA. La Suisse se positionne ainsi à l’international comme un partenaire fiable pour une IA digne de confiance.

Au lieu d’une loi générale sur l’IA, la Suisse privilégie une réglementation sectorielle : concrètement, cela se traduit par une adaptation ciblée des lois existantes et par l’élaboration de règles spécifiques à chaque secteur individuel – par exemple la santé, la finance ou les transports. Selon le Conseil fédéral, cette approche permet de réagir avec souplesse aux risques et aux opportunités des différents domaines d’application sans porter atteinte à la capacité d’innovation de l’économie suisse. Une réglementation générale et transsectorielle doit se limiter aux domaines centraux relevant des droits fondamentaux, tels que la protection des données. 

Prochaines étapes

D’ici fin 2026, le Département fédéral de justice et police (DFJP) élaborera un projet de consultation en collaboration avec le Département fédéral de l’environnement, des transports, de l’énergie et de la communication (DETEC) et le Département fédéral des affaires étrangères (DFAE). Ce projet vise à transposer la convention du Conseil de l’Europe sur l’IA en définissant les mesures légales nécessaires, notamment dans les domaines de la transparence, de la protection des données, de la non-discrimination et de la surveillance.

Innover en misant sur des méthodes éprouvées : les systèmes de management de l’IA 

Quelle que soit la forme que prendra la réglementation suisse en matière d’IA, elle aura un impact important sur l’économie et devra donc être appropriée et applicable dans la pratique – également, et en particulier, pour les PME. Une réglementation trop complexe ou trop exigeante pourrait dissuader les PME d’exploiter le potentiel de l’IA par crainte des risques juridiques. 

Du point de vue de la SQS, l’objectif consiste donc à garantir la sécurité juridique et à instaurer la confiance sans freiner l’innovation ni exclure les PME. Un objectif certes ambitieux, mais tout à fait à portée de main. En effet, l’opposition entre normalisation et innovation est souvent en trompe-l’œil : en effet, les normes pointent précisément du doigt les domaines dans lesquels des évolutions sont souhaitables et où l’utilisation de ressources limitées prend tout son sens pour l’innovation (à ce sujet, nous renvoyons à cet article dans notre ouvrage « Les rouages de la normalité »).

La réglementation de l’IA doit également être compatible au niveau international afin que la Suisse soit – ou devienne – compétitive sur le marché mondial de l’IA. À cet égard, le législateur devrait s’inspirer du système mondial éprouvé des normes ISO. Les normes ISO/CEI 27001 et ISO/CEI 42001 constituent d’ores et déjà des instruments qui peuvent contribuer de manière importante au respect des exigences légales dans le domaine de la réglementation de l’IA, tant en Suisse qu’à l’échelle internationale.

La norme ISO/CEI 27001 porte sur les systèmes de management de la sécurité de l’information. Si elle n’est pas spécifique à l’IA, elle constitue néanmoins une base solide pour la protection des données et, partant, une condition préalable à une utilisation sûre et efficace de l’IA. En effet, les systèmes d’IA reposent sur de gigantesques quantités de données. La norme ISO/CEI 27001 aide les entreprises à :

• garantir la confidentialité, l’intégrité et la disponibilité des données ; 

• identifier et minimiser systématiquement les risques liés au traitement d’informations sensibles ; 

• prouver leur conformité aux lois sur la protection des données (p. ex. la LPD, le RGPD). 

Dans la réglementation relative à l’IA – comme, par exemple, dans l’AI Act de l’Union européenne –, la sécurité des données est un critère clé, en particulier pour les applications à haut risque. La norme ISO/CEI 27001 peut servir ici de preuve attestant la robustesse d’un système de management de la sécurité.

La norme ISO/CEI 42001 a été spécialement élaborée pour les systèmes d’IA et vise à instaurer la confiance tant chez les clientes et clients que chez les utilisatrices et utilisateurs. La norme offre un cadre structuré pour :

• la gouvernance et la gestion des risques des applications d’IA ; 

• la transparence et la traçabilité des décisions basées sur l’IA ; 

• la conformité éthique et juridique avec les exigences internationales (p. ex. l’AI Act de l’UE, le RGPD) ; 

• la documentation et l’amélioration continue des processus d’IA.

Alors que la norme ISO/CEI 27001 porte principalement sur la sécurité de l’information et l’atténuation des risques et revêt donc à ce titre un caractère préventif, la norme ISO/CEI 42001 vise quant à elle à instaurer la confiance au travers d’une gouvernance systématique de l’IA et de la conformité éthique. Ensemble, les normes ISO 27001 et ISO 42001 constituent une base solide pour des systèmes d’IA éthiquement responsables et compatibles à l’échelle internationale.

Conclusions concernant une IA digne de confiance

À l’heure où l’IA progresse à vitesse grand V, le processus réglementaire associé n’en est qu’à ses débuts en Suisse. Certes, il faut du temps pour que les bonnes règles s’installent.  

La Suisse adopte une approche différenciée et pragmatique : elle ne tient pas à freiner l’innovation par une surréglementation, mais ne souhaite pas non plus faire l’impasse sur une réglementation. Le succès de ce modèle dépendra de la qualité de la collaboration entre la politique, l’économie, la science et la société civile. En tant qu’association agissant pour le compte des acteurs de l’économie, la SQS est disposée à faire profiter de son expertise dans les domaines de la sécurité de l’information, de l’IA et de l’évaluation de la conformité aux fins du processus réglementaire.