La Confédération a écarté le 12 février 2025 l'adoption d'une loi globale calquée sur le modèle européen. Elle s'appuie sur la nLPD entrée en vigueur le 1er septembre 2023, sur ses régulateurs sectoriels (FINMA, Swissmedic, ASR, OFCOM), sur la Convention du Conseil de l'Europe sur l'IA et sur une culture d'affaires fondée sur la discrétion. Cette singularité réglementaire et culturelle crée des enjeux de gouvernance qui appellent une grille de lecture proprement helvétique.
Le Conseil fédéral a tranché le 12 février 2025. Pas de loi IA horizontale. Approche sectorielle, ratification de la Convention du Conseil de l'Europe sur l'intelligence artificielle, mesures juridiques non contraignantes complémentaires. Le DETEC et le DFJP, avec le DFAE et le DEFR, doivent présenter un plan de mise en œuvre d'ici fin 2026. Cette voie diverge structurellement du modèle européen.
L'asymétrie est lourde de conséquences. Une entreprise suisse opérant exclusivement sur le marché intérieur s'appuie sur le droit civil, pénal et sectoriel existant. Dès qu'elle exporte vers l'Union européenne, qu'elle traite des données de citoyens européens, ou qu'elle déploie des systèmes d'IA affectant le marché commun, elle entre dans le champ extraterritorial de l'AI Act. Les multinationales et les ETI helvétiques doivent gouverner à double vitesse, ce qui suppose une cartographie exhaustive de leurs systèmes d'IA par juridiction et par cas d'usage.
Le point de bascule est ailleurs. La nLPD révisée individualise la sanction. Là où le RGPD cible la personne morale par des amendes administratives, la loi suisse cible la personne physique par une sanction pénale qui vise la personne physique. L'inscription au casier judiciaire est automatique dès un seuil bas, et la prise en charge de cette amende par l'entreprise ou par l'assurance D&O est interdite. Le déploiement d'un outil d'IA non maîtrisé devient un risque personnel et réputationnel pour les administrateurs.
Dans ses quatorze premiers mois d'application, le Préposé fédéral à la protection des données et à la transparence a enregistré près de 1 183 dénonciations et 293 notifications de violations de sécurité. 86 dossiers ont déjà donné lieu à des interventions officielles. Le rythme est soutenu, la jurisprudence se construit, le devoir de diligence des conseils se précise.
L'erreur stratégique la plus commune consiste à aborder la Suisse comme un marché monolithique. L'adoption de l'IA, la tolérance au risque et la structuration de la gouvernance varient profondément selon le tissu industriel, la culture linguistique et le positionnement mondial des trois grandes plaques économiques.
Place financière mondiale, hub assurantiel (Zurich Insurance, Swiss Re), pharma (Roche), tech et fintech, premier centre de recherche de Google hors des États-Unis. La gouvernance IA y est mathématique et industrielle, axée sur la validation quantitative des modèles, la lutte contre les biais algorithmiques dans la tarification du risque et l'octroi de crédit, et la maîtrise des architectures cloud. La Communication FINMA 02/2026 sur les hypertrucages, après la 08/2024 sur la gouvernance algorithmique, impose une vigilance accrue. Zoug prolonge cette dynamique avec une tolérance au risque supérieure et l'intégration de l'IA dans le trading algorithmique et les infrastructures de la Crypto Valley.
Pharma mondiale (Roche, Novartis, Lonza, dsm-firmenich), chimie, Life Sciences Basel, Pharmavalley rhénane transfrontalière. La gouvernance IA est indissociable de la protection de la propriété intellectuelle. Le risque industriel majeur est la contamination des données de recherche propriétaires par des modèles open-source ou des LLM mal configurés, susceptible d'entraîner la perte de brevetabilité d'une molécule. Swissmedic exige une traçabilité absolue des modèles dans la découverte de molécules et la libération de lots, alignée sur l'EMA, la FDA et les standards CIOMS. Les conseils d'administration des groupes bâlois exigent des architectures cloisonnées, des accords de non-entraînement avec les fournisseurs cloud, et une supervision humaine continue sur les processus GxP.
Banque privée (Pictet, Lombard Odier, UBP, Mirabaud), organisations internationales (OMS, OMC, CICR, HCR), trading de matières premières, family offices, horlogerie de prestige. La promesse fondatrice est la discrétion absolue et la préservation intergénérationnelle du patrimoine. La gouvernance IA s'y concentre sur l'hyper-personnalisation de la relation client sans sacrifice du secret professionnel protégé par l'article 321 CP, sur la maîtrise du Cloud Act sur les données des clients à haute valeur nette, et sur l'hébergement souverain. La présence de l'OMS infuse une exigence éthique forte sur les modèles multimodaux. Lausanne et l'arc lémanique prolongent cet ensemble avec l'EPFL AI Center, le CHUV et le transfert technologique académique-industrie.
La nLPD est neutre sur le plan technologique. Elle s'applique directement aux traitements de données fondés sur l'IA, et le PFPDT l'a confirmé dès novembre 2023. Trois différences structurelles avec le RGPD changent la conduite des dossiers IA en Suisse.
Première différence, la cible de la sanction. Le RGPD frappe la trésorerie de l'entreprise par une amende administrative. La nLPD frappe le patrimoine personnel et la liberté du dirigeant par une amende pénale visant la personne physique. La D&O n'intervient pas. Aucune transposition d'un livrable RGPD français ne couvre cette réalité.
Deuxième différence, le périmètre du droit. Les données des personnes morales sont exclues du champ de la nLPD, contrairement au RGPD. Le profilage à risque élevé exige un consentement exprès. L'approche est fondée sur des règles plutôt que sur des principes, avec des mesures techniques et organisationnelles énumérées. Le délégué à la protection des données reste facultatif pour le secteur privé, ce qui fait remonter la responsabilité directement vers le conseil d'administration au titre de son devoir de haute surveillance (art. 716a CO) et de diligence (art. 717 CO).
Troisième différence, la doctrine fédérale sur l'IA. La Suisse a choisi de ne pas reprendre l'AI Act intégral. La feuille de route du 12 février 2025 privilégie l'adaptation du droit existant, la régulation sectorielle (FINMA, Swissmedic, ASR, OFCOM) et la ratification de la Convention du Conseil de l'Europe. Les dirigeants suisses gouvernent donc leur IA selon une matrice qui combine devoir fiduciaire au titre des articles 716 et 717 CO, exigences sectorielles helvétiques, contraintes extraterritoriales européennes lorsque la chaîne de valeur traverse l'UE, et standards internationaux pour les industries régulées. Cette matrice appelle une grille de lecture suisse, pas une adaptation d'un cadre français.
Le paysage d'affaires helvétique fonctionne par consensus, par recommandations entre pairs et au travers de réseaux professionnels d'une extrême densité. Les décisions IA structurantes se forment dans des cercles identifiables.
Le Swiss Board Forum et le Swiss Board Institute portent la doctrine de la responsabilité élargie des administrateurs. Leurs publications sur les articles 716 et 717 CO ont scellé une lecture désormais incontournable : l'IA n'est plus un domaine R&D ; c'est une fonction vitale qui engage la responsabilité personnelle des dirigeants. La business judgement rule protège les conseils uniquement si la décision est documentée, rationnelle, libre de conflit d'intérêt et fondée sur une information suffisante.
Economiesuisse dicte la position économique d'ensemble. La faîtière soutient l'approche fédérale et exhorte à une régulation s'appuyant sur les instruments existants plutôt que sur un AI Act intégral. SwissHoldings représente les multinationales et porte le défi opérationnel le plus aigu : harmoniser des directives internes capables de satisfaire à la fois à l'AI Act pour les filiales européennes et au cadre libéral suisse pour le siège.
Les chambres de commerce jouent un rôle structurant. La CCIG, présidée par Isabelle Harsch et dirigée par Vincent Subilia (élu président de la CCIS en mai 2025, premier Genevois à présider la faîtière nationale), s'est emparée du sujet numérique. Les fiduciaires structurées par FIDUCIAIRE|SUISSE et EXPERTsuisse sont confrontées aux normes ISO/IEC 42001 sur l'intégrité des données traitées par l'IA. Avenir Suisse alimente la réflexion stratégique de l'écosystème.
Un pan critique reste sous-traité dans le débat public : le 2e pilier. Plus de 1 320 caisses de pension gèrent plus de 1 100 milliards de francs. L'article 52 LPP engage la responsabilité personnelle des membres du conseil de fondation sur leur fortune privée. L'usage de l'IA pour l'optimisation actuarielle, la gestion des sinistres ou l'évaluation des risques exige une gouvernance documentée à un niveau que peu de conseils de fondation ont aujourd'hui atteint.
Le marché du conseil aux conseils d'administration suisses est polarisé. D'un côté, les ESN locales (Zühlke, Adnovum, Inacta, ti&m) maîtrisent la complexité technique, mais leur modèle repose sur des partenariats massifs avec les hyperscalers et la vente de jours-hommes d'implémentation. De l'autre, les cabinets de stratégie internationaux et les Big4 sont eux-mêmes engagés dans des co-brandings et partenariats avec les éditeurs : PwC est le premier client d'OpenAI, McKinsey co-brande avec Amazon, BCG a neuf partenariats hyperscalers, Capgemini est Google Cloud Partner of the Year. L'objectivité technologique du conseil donné au board en est affectée.
VEIA.AI occupe l'espace vacant. Conseil structurellement indépendant, sans partenariat commercial avec aucun éditeur ou intégrateur. Adressage exclusif des conseils d'administration et des comités de direction. Maîtrise du cadre helvétique : nLPD, Communications FINMA 08/2024 et 02/2026, exigences Swissmedic alignées EMA/FDA/CIOMS, rapport ASR sur l'audit, articles 716, 716a, 717 et 754 CO, article 52 LPP, article 321 CP sur le secret professionnel.
L'ancrage à Colmar n'est pas accessoire. 45 minutes de Bâle, 1h30 de Zurich, 2h30 de Genève. Cette proximité transfrontalière permet une présence physique régulière auprès des conseils suisses tout en préservant l'understatement et la discrétion attendus dans la culture d'affaires helvétique. La Suisse est le marché prioritaire de VEIA, pas un marché secondaire.
La doctrine VEIA reformule la question de la souveraineté. La souveraineté technique totale est hors d'atteinte. La souveraineté décisionnelle est à construire. Gouverner la dépendance suppose une cartographie des dépendances critiques, des seuils de non-délégation, des plans de réversibilité, des stress-tests géopolitiques et un plan B européen documenté sur chaque choix d'outil. C'est cette grille que nous appliquons aux dossiers IA des dirigeants suisses.
Disponibilité en présentiel à Zurich, Bâle, Genève et Lausanne. Visioconférence pour les phases préparatoires et les jalons intermédiaires.
Lecture de la matrice de gouvernance IA en place, identification des dépendances critiques, qualification des risques au regard de la nLPD, des exigences sectorielles (FINMA, Swissmedic, ASR selon le périmètre) et des devoirs des administrateurs (art. 716, 717 CO ; art. 52 LPP le cas échéant). Restitution au conseil d'administration. Tenue d'un échange en présentiel à Zurich, Bâle, Genève ou Lausanne.
Voir le service →Format demi-journée ou journée. Cadre suisse de l'IA en 2026, doctrine fédérale, articulation nLPD/AI Act/Convention CoE, devoirs des administrateurs, cas pratiques d'arbitrage. Adapté aux conseils d'administration de sociétés cotées et non cotées, aux conseils de fondation de caisses de pension, et aux comités d'audit. Sessions tenues à Zurich, Bâle, Genève ou Lausanne.
Voir le service →Présence mensuelle ou bimensuelle auprès du comité de direction et du conseil. Préparation des arbitrages IA structurants, animation du comité IA interne, lecture des évolutions FINMA, Swissmedic, ASR et OFCOM, mise à jour de la cartographie des dépendances et des plans B européens. Format adapté aux ETI suisses sans CAIO à temps plein.
Voir le service →Le conseil d'administration documente sa diligence sur l'IA au sens des articles 716 et 717 CO et bénéficie de la business judgement rule en cas de contestation.
Les arbitrages IA majeurs sont pris avec une vue claire des dépendances critiques, des seuils de non-délégation et des plans B européens disponibles.
La cartographie à double vitesse (nLPD pour le marché intérieur, AI Act pour la chaîne de valeur européenne) est tenue à jour et lisible par le conseil.
Les exigences sectorielles (FINMA pour le financier, Swissmedic pour les sciences de la vie, ASR pour la révision) sont intégrées au pilotage, sans dépendance à un intégrateur partie prenante.
La culture d'affaires suisse (discrétion, sobriété, précision) est respectée à chaque étape de la mission.
Les dirigeants suisses gouvernent leur IA avec un conseil qui comprend la nLPD, la FINMA et la culture de la discrétion - de l'intérieur.
Séance de cadrage - identifier le format adapté à votre contexte.
VEIA.AI est le cabinet de conseil stratégique indépendant fondé par Christophe Picou. Spécialisation : gouvernance IA des dirigeants - COMEX, conseils d'administration, dirigeants institutionnels. Aucun partenariat commercial avec un éditeur ou un intégrateur.