Référentiel v1 · version juridique 2026-07-09
Méthodologie & cadre réglementaire
Le KarmaScore est un modèle linéaire pondéré, choisi pour son explicabilité exacte : chaque point du score global est attribuable à un indicateur précis, et la somme des 24 contributions redonne le score. Pas de boîte noire — c’est vérifié par un selftest reproductible à chaque évolution du moteur.
Formule (version α)
valeur(indicateur) = réponse ÷ 4 × 100 · score(dimension) = moyenne de ses 6 indicateurs · score global = Σ poids sectoriel × score(dimension)
Seuil du label « Swiss Ethical AI Inside » : 70/100. Une pratique interdite par l’art. 5 de l’AI Act bloque le label quel que soit le score.
Pondérations sectorielles
Les quatre dimensions sont pondérées selon la famille sectorielle — aucun axe ne dépasse 40 % (plafond anti-sur-représentation). Les poids v1 sont fixés par expertise et seront recalibrés sur les données des pilotes.
| Famille | T | C | E | S |
|---|---|---|---|---|
| Industrie & Énergie | 25% | 25% | 30% | 20% |
| Services & Finance | 25% | 35% | 15% | 25% |
| Numérique & IA | 35% | 30% | 15% | 20% |
| Autre secteur | 30% | 30% | 20% | 20% |
Échéancier réglementaire
Calendrier post-« Digital Omnibus IA » (adoption définitive le 29 juin 2026 ; publication au Journal officiel de l'UE imminente à la date de vérification). Prochains jalons à surveiller : publication au JO, avant-projet de loi suisse sur l'IA attendu d'ici fin 2026, entrée en vigueur de la Convention-cadre du Conseil de l'Europe sur l'IA.
- 02.02.2025En vigueurUE
AI Act — pratiques interdites et maîtrise de l'IA
Art. 5 (manipulation, exploitation de vulnérabilités, social scoring, reconnaissance des émotions au travail et en éducation…) et art. 4 (maîtrise de l'IA, assouplie par l'omnibus en obligation de moyens). Sanctions jusqu'à 35 M€ / 7 % du CA mondial pour les pratiques interdites.
- 02.08.2025En vigueurUE
AI Act — modèles d'IA à usage général (GPAI) et gouvernance
Obligations des fournisseurs de GPAI (chap. V), mise en place des autorités et du régime national de sanctions.
- 02.08.2026À venirUE
AI Act — transparence (art. 50) : échéance MAINTENUE
Information des personnes qui interagissent avec un chatbot, marquage des contenus générés, étiquetage des deepfakes, information en cas de reconnaissance des émotions ou catégorisation biométrique. S'applique aux fournisseurs et aux déployeurs, y compris suisses dès que l'output est utilisé dans l'UE. Pouvoirs de sanction de la Commission sur les GPAI (art. 101).
- 02.12.2026À venirUE
AI Act — nouvelles interdictions et fin du sursis de marquage
Nouvelles interdictions art. 5 (générateurs d'images intimes non consenties, CSAM) ; fin du sursis de marquage machine-readable (art. 50(2)) pour les systèmes génératifs mis sur le marché avant le 2 août 2026.
- 31.12.2026À venirSuisse
Suisse — avant-projet de loi sur l'IA attendu
Mise en œuvre de la Convention-cadre du Conseil de l'Europe sur l'IA (signée en mars 2025) : transparence, protection des données, non-discrimination, surveillance. Consultation attendue d'ici fin 2026 ; premières modifications légales au plus tôt en 2027. Approche sectorielle, pas de loi transversale.
- 02.12.2027À venirUE
AI Act — obligations « haut risque » Annexe III (REPORTÉ par l'omnibus)
Systèmes autonomes des domaines Annexe III (recrutement et RH, crédit, tarification assurance vie/maladie, éducation, biométrie, services essentiels…) : obligations complètes des fournisseurs et des déployeurs (art. 26 : surveillance humaine compétente, contrôle des données d'entrée, logs ≥ 6 mois, information des travailleurs et des personnes concernées…). Date initiale du 2 août 2026 reportée de 16 mois.
- 02.08.2028À venirUE
AI Act — haut risque Annexe I (IA embarquée dans des produits réglementés)
Machines, dispositifs médicaux, jouets, etc. intégrant de l'IA soumise aux réglementations produit sectorielles.
L’applicabilité de l’AI Act à votre entreprise dépend de votre lien avec le marché UE — vérifiez-la cas d’usage par cas d’usage.
Les 24 indicateurs et leurs bases légales
Chaque indicateur est relié aux textes qui le motivent — repères d’information, pas un avis juridique. La dimension E relève d’une démarche volontaire : aucune obligation environnementale contraignante générale ne pèse à ce jour sur une PME suisse pour son numérique.
T · Technologique
| Indicateur | Repères juridiques | ISO/IEC 42001 |
|---|---|---|
| Inventaire des systèmes IA et numériques | AI Act art. 26 · Bonne pratique ISO/IEC 42001connaître ses systèmes est le préalable des devoirs de déployeur · inventaire des systèmes d'IA | A.4 — ressources des systèmes d'IA |
| Explicabilité des décisions automatisées | AI Act art. 13, 26 · LPD art. 21notice et compréhension du système (si haut risque, dès déc. 2027) · décision individuelle automatisée : information et position de la personne | A.8 — information des parties intéressées |
| Sécurité informatique de base | LPD art. 8 · RGPD art. 32sécurité des données proportionnée au risque · si le RGPD s'applique | §6 — planification (avec ISO/IEC 27001) |
| Gouvernance des données | LPD art. 6, 8 · AI Act art. 26(4)exactitude et sécurité · contrôle des données d'entrée (déployeur haut risque) | A.7 — données des systèmes d'IA |
| Supervision humaine | AI Act art. 14, 26(2) · LPD art. 21surveillance humaine par personnes compétentes · droit d'obtenir une intervention humaine | A.9 — usage responsable |
| Maîtrise des fournisseurs IA | LPD art. 9, 16 · AI Act art. 25sous-traitance et communication de données à l'étranger · rebrander ou modifier substantiellement un système IA rend fournisseur | A.10 — relations avec les tiers |
C · Conformité
| Indicateur | Repères juridiques | ISO/IEC 42001 |
|---|---|---|
| Registre des traitements | LPD art. 12 al. 5 · RGPD art. 30exemption < 250 collaborateurs, sauf traitements à risque élevé · exemption bien plus étroite si le RGPD s'applique | §7.5 — informations documentées |
| Information des personnes | LPD art. 19–21 · AI Act art. 50mention des interactions IA — dès le 2 août 2026 | A.8 — information des parties intéressées |
| Analyses d'impact (AIPD) | LPD art. 22–23 · RGPD art. 35AIPD si risque élevé ; consultation du PFPDT · si le RGPD s'applique | A.5 — analyses d'impact |
| Applicabilité et classification AI Act | AI Act art. 2, 6, 26, 50 · Convention CdE Convention-cadre IAapplicabilité territoriale puis classification du risque · future base du droit suisse (avant-projet fin 2026) | §4 — contexte · A.2 — politique IA |
| Droits des personnes | LPD art. 25 · RGPD art. 15–22droit d'accès ; délai usuel de 30 jours · si le RGPD s'applique | A.8 — information des parties intéressées |
| Formation du personnel | AI Act art. 4 · LPD art. 8maîtrise de l'IA — obligation de moyens depuis fév. 2025 · mesures organisationnelles | §7.2 — compétences |
E · Environnemental
| Indicateur | Repères juridiques | ISO/IEC 42001 |
|---|---|---|
| Hébergement à faible empreinte | Bonne pratique sobriété numérique | — |
| Mesure de l'empreinte numérique | Bonne pratique bilan carbone numérique | — |
| Cycle de vie du matériel | Bonne pratique économie circulaire IT | — |
| Sobriété des usages | Bonne pratique sobriété numérique | — |
| Achats IT responsables | Bonne pratique achats responsables | — |
| Objectifs de réduction | Bonne pratique objectifs climat suivis | — |
S · Sociétal
| Indicateur | Repères juridiques | ISO/IEC 42001 |
|---|---|---|
| Accessibilité numérique | Bonne pratique WCAG 2.1 AAobligatoire pour certains secteurs UE (European Accessibility Act) | A.9 — usage responsable |
| Prévention des biais | AI Act art. 10, 26 · Convention CdE non-discriminationgouvernance des données et surveillance (haut risque) | A.5 / A.7 — impact et données (biais) |
| Transparence sur l'usage de l'IA | AI Act art. 50 · LPD art. 19chatbots, contenus générés, deepfakes — dès le 2 août 2026 · transparence des traitements | A.8 — information des parties intéressées |
| Impact sur l'emploi et compétences | AI Act art. 26(7) · AI Act art. 4information préalable des travailleurs et de leurs représentants (haut risque) · maîtrise de l'IA du personnel | §7.2 — compétences · A.3 — rôles |
| Inclusion et diversité | Convention CdE égalité et non-discrimination | A.5 — analyses d'impact |
| Voies de recours | AI Act art. 26(11), 86 · LPD art. 21information des personnes et explication des décisions (haut risque) · position de la personne sur une décision automatisée | A.8 / A.9 — information et usage responsable |
Limites assumées de la version α
- Benchmark synthétique : le panel de 30 PME est fictif, à valeurs figées et documentées ; il sera remplacé par les données réelles des pilotes.
- Auto-déclaration : le score reflète les réponses données. Le niveau « Audité » du label (audit de sincérité par un tiers) est décrit dans la gouvernance du label.
- Pondérations v1 fixées par expertise, pas encore calibrées sur données — la structure linéaire rend cette calibration future transparente et auditable.
- Repères juridiques indicatifs : version juridique 2026-07-09, mise à jour à chaque jalon (publication du Digital Omnibus au JO, avant-projet suisse fin 2026, entrée en vigueur de la Convention du Conseil de l’Europe).
Le détail complet (justification scientifique, invariants du selftest, gouvernance des poids et du label) est versionné dans le dépôt : docs/METHODOLOGY.md et docs/LABEL_GOVERNANCE.md.