La Suisse ne dispose pas encore d'une loi spécifique sur l'IA. L'approche retenue est celle de la neutralité technologique : les lois existantes s'appliquent. Cela signifie que trois corpus légaux encadrent directement l'usage de l'IA en entreprise.
La nouvelle Loi fédérale sur la protection des données (nLPD, entrée en vigueur en septembre 2023) est directement applicable aux traitements par IA. Elle impose transparence sur la finalité et les sources de données, analyse d'impact en cas de risques élevés, et droit à la révision humaine des décisions automatisées (art. 21 nLPD). Les sanctions peuvent atteindre 250'000 CHF et engagent la responsabilité personnelle des dirigeants.
Le Code des obligations (art. 41 CO) impose à l'entreprise utilisatrice de réparer tout dommage causé par un système IA qu'elle exploite. L'entreprise est responsable, pas le système. La Loi fédérale sur la responsabilité du fait des produits (LRFP) peut également s'appliquer si l'IA est qualifiée de composant défectueux.
L'AI Act européen, adopté en mars 2024 et entrant progressivement en application jusqu'en 2026, concerne directement les entreprises suisses qui opèrent sur le marché européen ou dont les systèmes IA sont déployés dans l'UE. Il classe les IA en quatre niveaux de risque (inacceptable, élevé, limité, minimal) et impose des obligations de documentation, d'audit et de marquage CE pour les systèmes à risque élevé.