Brief du jour
AI Act : former ses salariés à l'IA avant août 2026, l'obligation oubliée
AI Act : former ses salariés à l’IA avant août 2026, l’obligation oubliée
Pendant que les débats se focalisent sur les systèmes IA à haut risque et les obligations de transparence des chatbots, une obligation de l’AI Act est passée sous le radar de la plupart des PME : l’article 4 sur l’AI literacy. En vigueur depuis le 2 février 2025, il impose à tout fournisseur et déployeur de systèmes d’IA de garantir un niveau suffisant de compétences IA parmi ses collaborateurs. Et les sanctions deviennent applicables dès le 3 août 2026 (source : EU AI Act).
Il reste moins de deux mois pour se mettre en conformité.
Ce que dit exactement l’article 4
« Les fournisseurs et les déployeurs de systèmes d’IA prennent des mesures pour garantir, dans la mesure du possible, un niveau suffisant de maîtrise de l’IA de leur personnel et des autres personnes qui s’occupent du fonctionnement et de l’utilisation de systèmes d’IA pour leur compte. »
Les points clés
- Applicable depuis le 2 février 2025 — ce n’est pas une obligation future, elle est déjà en vigueur
- Concerne TOUS les fournisseurs et déployeurs, quel que soit le niveau de risque du système IA utilisé (source : Commission européenne)
- Pas de seuil de taille : une PME de 5 personnes utilisant ChatGPT pour le service client est concernée au même titre qu’un grand groupe
- La supervision et l’application des sanctions relèvent des autorités nationales de surveillance des marchés, à partir du 3 août 2026
Ce que « AI literacy » signifie concrètement
L’obligation vise les compétences, les connaissances et la compréhension nécessaires pour utiliser les systèmes d’IA de manière responsable. La formation doit être adaptée au contexte d’utilisation et au rôle du collaborateur. Un commercial qui utilise un outil de génération d’emails n’a pas besoin de la même formation qu’un développeur qui intègre une API LLM.
Les sanctions : que risque une PME non conforme
Les autorités nationales peuvent imposer des sanctions basées sur les lois nationales que chaque État membre devait adopter avant le 2 août 2025. En France, la CNIL a été désignée comme autorité compétente pour l’AI Act.
Le barème général des sanctions AI Act :
| Type d’infraction | Amende maximale |
|---|---|
| Pratiques interdites (art. 5) | 35 M€ ou 7 % du CA mondial |
| Non-conformité GPAI / haut risque | 15 M€ ou 3 % du CA mondial |
| Informations incorrectes aux autorités | 7,5 M€ ou 1 % du CA mondial |
L’article 4 ne fait pas partie des infractions les plus lourdement sanctionnées, mais les autorités nationales ont la latitude d’appliquer des mesures correctives (mise en demeure, injonction, amendes proportionnées).
Plan d’action en 5 étapes pour une PME
1. Cartographier les systèmes IA utilisés
Listez tous les outils IA utilisés dans l’entreprise : chatbots, assistants de rédaction, outils d’analyse, agents de service client, CRM augmentés, outils de développement (Claude Code, Codex, GitHub Copilot).
2. Identifier les collaborateurs concernés
Tout collaborateur qui utilise, supervise ou est affecté par un système d’IA est concerné. Cela inclut les utilisateurs finaux, les managers qui prennent des décisions basées sur des sorties IA, et les équipes techniques.
3. Définir les niveaux de formation par rôle
| Rôle | Niveau requis | Contenu type |
|---|---|---|
| Utilisateur final | Sensibilisation | Fonctionnement de base, limites, biais, quand ne pas faire confiance à l’IA |
| Manager / décideur | Intermédiaire | Gouvernance IA, risques, cadre réglementaire, supervision humaine |
| Développeur / intégrateur | Avancé | Sécurité des agents, prompt injection, tests, monitoring |
4. Documenter les actions entreprises
L’AI Act exige des mesures « dans la mesure du possible ». Documentez vos actions de formation : dates, contenus, participants, mises à jour. Cette documentation est votre preuve de conformité en cas de contrôle.
5. Planifier des mises à jour régulières
L’IA évolue vite. Un collaborateur formé en janvier 2026 n’a pas la même base de connaissances qu’en juin. Prévoyez des sessions de mise à jour trimestrielles, particulièrement quand vous adoptez un nouvel outil ou changez de fournisseur.
Les erreurs courantes à éviter
- Penser que seules les entreprises qui développent de l’IA sont concernées : faux. Tout déployeur (= utilisateur en entreprise) est visé
- Se limiter à un email de sensibilisation : une information ponctuelle ne constitue pas une formation au sens de l’article 4
- Ignorer les mises à jour : former une fois ne suffit pas si les outils évoluent
- Oublier les sous-traitants : les personnes qui utilisent l’IA « pour le compte » de l’entreprise sont aussi couvertes
FAQ
L’article 4 de l’AI Act concerne-t-il les PME de moins de 10 salariés ?
Oui. L’obligation s’applique à tous les fournisseurs et déployeurs de systèmes d’IA, sans seuil de taille d’entreprise. Cependant, les mesures doivent être proportionnées au contexte : une TPE n’a pas besoin d’un programme de formation aussi élaboré qu’un grand groupe.
Quelles sanctions risque une PME qui n’a pas formé ses salariés avant août 2026 ?
Les sanctions sont définies par les lois nationales de chaque État membre. En France, la CNIL peut imposer des mesures correctives (mise en demeure, injonction). Les amendes pour l’article 4 ne font pas partie des barèmes les plus élevés de l’AI Act, mais une PME non conforme s’expose à des contrôles renforcés.
Faut-il faire certifier ses formations IA pour être conforme à l’AI Act ?
Non. L’AI Act n’exige pas de certification spécifique. Il demande de prendre des mesures « dans la mesure du possible » pour assurer un niveau suffisant de maîtrise. La documentation des actions de formation (dates, contenus, participants) constitue la preuve de conformité.