Un an depuis la signature du traité mondial sur l'IA par la Suisse — qu'est-ce qui a changé depuis ?

Le 27 mars 2025, le conseiller fédéral Albert Rösti a signé à Strasbourg la Convention-cadre du Conseil de l’Europe sur l’intelligence artificielle, les droits de l’homme, la démocratie et l’État de droit. La Suisse — qui avait joué un rôle déterminant dans la rédaction du traité — est devenue le 15e signataire du premier accord international juridiquement contraignant sur l’IA.

La signature s’accompagnait d’engagements clairs. Le Conseil fédéral avait déjà décidé en février 2025 de ratifier la convention et de préparer les modifications nécessaires de la législation suisse d’ici fin 2026. Les principes étaient sans ambiguïté : transparence, non-discrimination et respect des droits de l’homme dans les systèmes d’IA deviendraient des obligations exécutoires.

Un an plus tard, la question mérite d’être posée : que s’est-il réellement passé depuis ?

La convention : signée par beaucoup, ratifiée par personne

En mars 2026, aucun pays n’a ratifié la convention. Elle reste signée mais non ratifiée par toutes les parties, et son entrée en vigueur requiert cinq ratifications. Le traité existe comme une déclaration d’intention, pas encore comme un droit contraignant.

Il y a cependant une dynamique. Le 11 mars 2026, le Parlement européen a approuvé la conclusion de la convention par l’UE — une étape significative vers la ratification au niveau européen, qui compterait parmi les cinq nécessaires. Le Canada et le Japon ont signé au Sommet de l’IA à Paris en février 2025. La communauté des signataires s’élargit, même si la ratification reste lente.

Le calendrier législatif suisse : en bonne voie, mais serré

La Suisse a explicitement choisi de ne pas adopter une «loi suisse sur l’IA» calquée sur l’approche européenne. Le Conseil fédéral poursuit plutôt une stratégie réglementaire sectorielle et légère — des règles transversales uniquement pour les domaines juridiques fondamentaux tels que les droits fondamentaux et la protection des données.

Deux chantiers sont en cours :

• Le Département fédéral de justice et police (DFJP), en collaboration avec le DETEC et le DFAE, prépare un projet de loi pour la procédure de consultation, attendu d’ici fin 2026.
• Le DETEC élabore séparément un plan de mise en œuvre pour les mesures juridiquement non contraignantes, également prévu d’ici fin 2026.

Aucun projet n’a encore été publié. Compte tenu du processus législatif suisse — consultation, débat parlementaire, éventuel référendum — la loi ne devrait pas entrer en vigueur avant 2029 au plus tôt.

Dans l’intervalle, le droit existant s’applique. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) considère que la loi fédérale sur la protection des données (LPD), en vigueur depuis septembre 2023, est directement applicable aux systèmes d’IA traitant des données personnelles. Les organisations ne peuvent pas attendre une nouvelle législation pour satisfaire leurs obligations de transparence et de protection des données — celles-ci existent déjà.

L’UE n’attend pas

Pendant que la Suisse délibère, le règlement européen sur l’IA entre déjà en vigueur par étapes — et les entreprises suisses opérant sur le marché de l’UE doivent s’y conformer indépendamment du calendrier national.

• Février 2025 : Les pratiques d’IA interdites ont été proscrites et les obligations de culture IA sont entrées en vigueur.
• Août 2025 : Les obligations relatives aux modèles d’IA à usage général ont débuté ; les États membres ont désigné les autorités nationales compétentes ; le Bureau européen de l’IA est devenu pleinement opérationnel.
• Août 2026 : La majorité des règles entrent en vigueur, y compris les obligations pour les systèmes d’IA à haut risque, les exigences de transparence et l’application intégrale.

Pour les institutions financières suisses, les prestataires de santé et toute organisation servant des clients européens, août 2026 est une échéance plus contraignante que tout ce qui figure dans le calendrier national.

FINMA : orientations publiées, application en attente

En décembre 2024 — trois mois avant la signature du traité — la FINMA a publié la communication sur la surveillance 08/2024 sur la gouvernance et la gestion des risques liés à l’utilisation de l’IA dans les institutions financières surveillées. Elle exige des institutions qu’elles tiennent un inventaire des outils d’IA, classifient leurs risques, assurent l’explicabilité et forment adéquatement leur personnel.

Aucune circulaire ou mesure d’application spécifique à l’IA n’a été publiée depuis. La FINMA a signalé que des orientations supplémentaires suivront au fil de l’évolution du paysage, mais pour l’instant la communication 08/2024 reste la référence principale pour le secteur financier suisse.

Parlement : un appétit sélectif pour la réglementation

Le Parlement suisse a adopté une position prudente. En avril 2025, le Conseil national a rejeté une motion pour une réglementation spécifique aux deepfakes par 111 voix contre 70. Le gouvernement a fait valoir que le droit pénal et civil existant couvre déjà l’utilisation abusive des deepfakes, et qu’une réglementation plus large de l’IA est en préparation.

Sur le front de la propriété intellectuelle, le Conseil des États a adopté en mars 2025 une motion réclamant une meilleure protection des œuvres protégées par le droit d’auteur contre l’entraînement d’IA — un débat qui se poursuit au Conseil national mais qui ne devrait pas aboutir à une législation avant 2027.

Entre-temps, les menaces que la convention devait traiter se sont intensifiées

Les principes de la convention — transparence, responsabilité, protection contre la manipulation — ne sont pas des aspirations abstraites. Ils décrivent précisément les capacités qui sont exploitées dans le monde réel, en ce moment même, en Suisse.

L’Office fédéral de la cybersécurité (OFCS) a documenté une augmentation de près de cinq fois de la fraude à l’investissement par deepfake au premier semestre 2025 — de 729 à 3'485 cas signalés. Des vidéos deepfake de personnalités publiques, dont la présidente de la Confédération Karin Keller-Sutter, ont été utilisées pour attirer les victimes vers des plateformes frauduleuses. Toutes formes d’escroquerie à l’investissement en ligne confondues, environ CHF 250 millions ont été volés en Suisse en 2025.

En janvier 2026, un entrepreneur du canton de Schwyz a perdu plusieurs millions de francs suisses au profit d’attaquants qui avaient cloné la voix d’un partenaire commercial grâce à l’IA — une fraude maintenue pendant deux semaines d’appels téléphoniques. L’Association suisse des banquiers a reconnu que la fraude est entrée dans une nouvelle ère définie par les attaques pilotées par l’IA.

Ce ne sont pas des cas isolés. C’est la réalité opérationnelle que les principes de la convention sont censés traiter. L’écart entre les ambitions du traité et le rythme de la mise en œuvre nationale se creuse — et il est comblé par des criminels qui ne connaissent pas de tels délais.

Ce qui vient ensuite

Les douze prochains mois seront décisifs :

• Fin 2026 : Le projet de loi du DFJP est attendu. Son ampleur et son ambition révéleront dans quelle mesure la Suisse entend traduire les principes de la convention en droit exécutoire.
• Août 2026 : Les obligations de l’UE en matière d’IA à haut risque et de transparence entrent pleinement en vigueur — une échéance de conformité de facto pour toute organisation suisse exposée au marché européen.
• Juillet 2026 : La première session du Dialogue mondial des Nations Unies sur la gouvernance de l’IA se tient à Genève, offrant à la Suisse un rôle d’hôte sur la scène internationale.
• Rapport de décembre 2025 : L’évaluation du Conseil fédéral selon laquelle l’IA amplifie les cybermenaces existantes sans changer fondamentalement le paysage sera mise à l’épreuve des faits.

La signature de la convention par la Suisse il y a un an était une déclaration d’intention claire. La question est désormais de savoir si l’intention se traduira en action à un rythme qui corresponde à la menace.