AI-Karma

Référentiel v1 · version juridique 2026-07-09

Méthodologie & cadre réglementaire

Le KarmaScore est un modèle linéaire pondéré, choisi pour son explicabilité exacte : chaque point du score global est attribuable à un indicateur précis, et la somme des 24 contributions redonne le score. Pas de boîte noire — c’est vérifié par un selftest reproductible à chaque évolution du moteur.

Formule (version α)

valeur(indicateur) = réponse ÷ 4 × 100  ·  score(dimension) = moyenne de ses 6 indicateurs  ·  score global = Σ poids sectoriel × score(dimension)

Seuil du label « Swiss Ethical AI Inside » : 70/100. Une pratique interdite par l’art. 5 de l’AI Act bloque le label quel que soit le score.

Pondérations sectorielles

Les quatre dimensions sont pondérées selon la famille sectorielle — aucun axe ne dépasse 40 % (plafond anti-sur-représentation). Les poids v1 sont fixés par expertise et seront recalibrés sur les données des pilotes.

FamilleTCES
Industrie & Énergie25%25%30%20%
Services & Finance25%35%15%25%
Numérique & IA35%30%15%20%
Autre secteur30%30%20%20%

Échéancier réglementaire

Calendrier post-« Digital Omnibus IA » (adoption définitive le 29 juin 2026 ; publication au Journal officiel de l'UE imminente à la date de vérification). Prochains jalons à surveiller : publication au JO, avant-projet de loi suisse sur l'IA attendu d'ici fin 2026, entrée en vigueur de la Convention-cadre du Conseil de l'Europe sur l'IA.

  1. 02.02.2025En vigueurUE

    AI Act — pratiques interdites et maîtrise de l'IA

    Art. 5 (manipulation, exploitation de vulnérabilités, social scoring, reconnaissance des émotions au travail et en éducation…) et art. 4 (maîtrise de l'IA, assouplie par l'omnibus en obligation de moyens). Sanctions jusqu'à 35 M€ / 7 % du CA mondial pour les pratiques interdites.

  2. 02.08.2025En vigueurUE

    AI Act — modèles d'IA à usage général (GPAI) et gouvernance

    Obligations des fournisseurs de GPAI (chap. V), mise en place des autorités et du régime national de sanctions.

  3. 02.08.2026À venirUE

    AI Act — transparence (art. 50) : échéance MAINTENUE

    Information des personnes qui interagissent avec un chatbot, marquage des contenus générés, étiquetage des deepfakes, information en cas de reconnaissance des émotions ou catégorisation biométrique. S'applique aux fournisseurs et aux déployeurs, y compris suisses dès que l'output est utilisé dans l'UE. Pouvoirs de sanction de la Commission sur les GPAI (art. 101).

  4. 02.12.2026À venirUE

    AI Act — nouvelles interdictions et fin du sursis de marquage

    Nouvelles interdictions art. 5 (générateurs d'images intimes non consenties, CSAM) ; fin du sursis de marquage machine-readable (art. 50(2)) pour les systèmes génératifs mis sur le marché avant le 2 août 2026.

  5. 31.12.2026À venirSuisse

    Suisse — avant-projet de loi sur l'IA attendu

    Mise en œuvre de la Convention-cadre du Conseil de l'Europe sur l'IA (signée en mars 2025) : transparence, protection des données, non-discrimination, surveillance. Consultation attendue d'ici fin 2026 ; premières modifications légales au plus tôt en 2027. Approche sectorielle, pas de loi transversale.

  6. 02.12.2027À venirUE

    AI Act — obligations « haut risque » Annexe III (REPORTÉ par l'omnibus)

    Systèmes autonomes des domaines Annexe III (recrutement et RH, crédit, tarification assurance vie/maladie, éducation, biométrie, services essentiels…) : obligations complètes des fournisseurs et des déployeurs (art. 26 : surveillance humaine compétente, contrôle des données d'entrée, logs ≥ 6 mois, information des travailleurs et des personnes concernées…). Date initiale du 2 août 2026 reportée de 16 mois.

  7. 02.08.2028À venirUE

    AI Act — haut risque Annexe I (IA embarquée dans des produits réglementés)

    Machines, dispositifs médicaux, jouets, etc. intégrant de l'IA soumise aux réglementations produit sectorielles.

L’applicabilité de l’AI Act à votre entreprise dépend de votre lien avec le marché UE — vérifiez-la cas d’usage par cas d’usage.

Les 24 indicateurs et leurs bases légales

Chaque indicateur est relié aux textes qui le motivent — repères d’information, pas un avis juridique. La dimension E relève d’une démarche volontaire : aucune obligation environnementale contraignante générale ne pèse à ce jour sur une PME suisse pour son numérique.

T · Technologique

IndicateurRepères juridiquesISO/IEC 42001
Inventaire des systèmes IA et numériquesAI Act art. 26 · Bonne pratique ISO/IEC 42001connaître ses systèmes est le préalable des devoirs de déployeur · inventaire des systèmes d'IAA.4 — ressources des systèmes d'IA
Explicabilité des décisions automatiséesAI Act art. 13, 26 · LPD art. 21notice et compréhension du système (si haut risque, dès déc. 2027) · décision individuelle automatisée : information et position de la personneA.8 — information des parties intéressées
Sécurité informatique de baseLPD art. 8 · RGPD art. 32sécurité des données proportionnée au risque · si le RGPD s'applique§6 — planification (avec ISO/IEC 27001)
Gouvernance des donnéesLPD art. 6, 8 · AI Act art. 26(4)exactitude et sécurité · contrôle des données d'entrée (déployeur haut risque)A.7 — données des systèmes d'IA
Supervision humaineAI Act art. 14, 26(2) · LPD art. 21surveillance humaine par personnes compétentes · droit d'obtenir une intervention humaineA.9 — usage responsable
Maîtrise des fournisseurs IALPD art. 9, 16 · AI Act art. 25sous-traitance et communication de données à l'étranger · rebrander ou modifier substantiellement un système IA rend fournisseurA.10 — relations avec les tiers

C · Conformité

IndicateurRepères juridiquesISO/IEC 42001
Registre des traitementsLPD art. 12 al. 5 · RGPD art. 30exemption < 250 collaborateurs, sauf traitements à risque élevé · exemption bien plus étroite si le RGPD s'applique§7.5 — informations documentées
Information des personnesLPD art. 19–21 · AI Act art. 50mention des interactions IA — dès le 2 août 2026A.8 — information des parties intéressées
Analyses d'impact (AIPD)LPD art. 22–23 · RGPD art. 35AIPD si risque élevé ; consultation du PFPDT · si le RGPD s'appliqueA.5 — analyses d'impact
Applicabilité et classification AI ActAI Act art. 2, 6, 26, 50 · Convention CdE Convention-cadre IAapplicabilité territoriale puis classification du risque · future base du droit suisse (avant-projet fin 2026)§4 — contexte · A.2 — politique IA
Droits des personnesLPD art. 25 · RGPD art. 15–22droit d'accès ; délai usuel de 30 jours · si le RGPD s'appliqueA.8 — information des parties intéressées
Formation du personnelAI Act art. 4 · LPD art. 8maîtrise de l'IA — obligation de moyens depuis fév. 2025 · mesures organisationnelles§7.2 — compétences

E · Environnemental

IndicateurRepères juridiquesISO/IEC 42001
Hébergement à faible empreinteBonne pratique sobriété numérique
Mesure de l'empreinte numériqueBonne pratique bilan carbone numérique
Cycle de vie du matérielBonne pratique économie circulaire IT
Sobriété des usagesBonne pratique sobriété numérique
Achats IT responsablesBonne pratique achats responsables
Objectifs de réductionBonne pratique objectifs climat suivis

S · Sociétal

IndicateurRepères juridiquesISO/IEC 42001
Accessibilité numériqueBonne pratique WCAG 2.1 AAobligatoire pour certains secteurs UE (European Accessibility Act)A.9 — usage responsable
Prévention des biaisAI Act art. 10, 26 · Convention CdE non-discriminationgouvernance des données et surveillance (haut risque)A.5 / A.7 — impact et données (biais)
Transparence sur l'usage de l'IAAI Act art. 50 · LPD art. 19chatbots, contenus générés, deepfakes — dès le 2 août 2026 · transparence des traitementsA.8 — information des parties intéressées
Impact sur l'emploi et compétencesAI Act art. 26(7) · AI Act art. 4information préalable des travailleurs et de leurs représentants (haut risque) · maîtrise de l'IA du personnel§7.2 — compétences · A.3 — rôles
Inclusion et diversitéConvention CdE égalité et non-discriminationA.5 — analyses d'impact
Voies de recoursAI Act art. 26(11), 86 · LPD art. 21information des personnes et explication des décisions (haut risque) · position de la personne sur une décision automatiséeA.8 / A.9 — information et usage responsable

Limites assumées de la version α

  • Benchmark synthétique : le panel de 30 PME est fictif, à valeurs figées et documentées ; il sera remplacé par les données réelles des pilotes.
  • Auto-déclaration : le score reflète les réponses données. Le niveau « Audité » du label (audit de sincérité par un tiers) est décrit dans la gouvernance du label.
  • Pondérations v1 fixées par expertise, pas encore calibrées sur données — la structure linéaire rend cette calibration future transparente et auditable.
  • Repères juridiques indicatifs : version juridique 2026-07-09, mise à jour à chaque jalon (publication du Digital Omnibus au JO, avant-projet suisse fin 2026, entrée en vigueur de la Convention du Conseil de l’Europe).

Le détail complet (justification scientifique, invariants du selftest, gouvernance des poids et du label) est versionné dans le dépôt : docs/METHODOLOGY.md et docs/LABEL_GOVERNANCE.md.