L'AI Act rend la formation IA obligatoire : ce que ça change pour votre entreprise
L'article 4 du règlement européen sur l'intelligence artificielle, l'AI Act, impose à votre organisation de s'assurer que chaque personne qui utilise un outil IA dans le cadre de son travail dispose d'un niveau suffisant de compréhension de cette technologie. Cette obligation s'appelle l'« AI literacy ». Elle est active. Et les sanctions qui l'accompagnent entrent en vigueur le 2 août 2026.
Ce guide explique ce que la loi exige concrètement, qui est concerné dans votre entreprise, et comment organiser la mise en conformité sans y passer six mois.
Ce que dit l'article 4 de l'AI Act, sans le jargon
L'AI Act est souvent présenté comme un texte qui s'adresse aux grandes entreprises technologiques qui développent des modèles d'IA. Ce n'est pas faux. Mais il concerne aussi, et de façon bien plus immédiate, toute organisation qui utilise des systèmes d'IA dans son activité. On appelle ces organisations des « déployeurs » dans le texte du règlement.
Une PME qui utilise ChatGPT Enterprise pour ses équipes commerciales est un déployeur. Un cabinet de conseil qui utilise Copilot pour ses analyses est un déployeur. Une association qui utilise un outil de génération d'images est un déployeur. La taille de l'entreprise ne change pas le statut.
L'article 4 crée ce qu'on appelle une obligation de « maîtrise de l'IA », en anglais « AI literacy ». Le texte précise que les fournisseurs, les déployeurs et les responsables de systèmes d'IA doivent prendre des mesures pour s'assurer que leur personnel dispose d'un niveau suffisant de compétences, de connaissances et de compréhension pour exercer ses fonctions et assumer ses responsabilités vis-à-vis de l'IA.
Ce que le texte ne dit pas, c'est que tout le monde doit passer une certification. Il est intentionnellement souple sur le format. Ce qu'il exige, c'est que la formation soit :
Proportionnée au poste
Une assistante qui utilise Gemini pour rédiger des e-mails n'a pas les mêmes besoins qu'un directeur commercial dont les décisions s'appuient sur un outil de scoring client. Le niveau de formation doit correspondre au niveau d'implication avec l'IA.
Documentée
En cas de contrôle ou d'incident, l'entreprise doit pouvoir prouver que ses équipes ont été formées. Une trace écrite existe : programme, feuilles d'émargement, certificats de réalisation.
Mise à jour
Les outils IA évoluent vite. Une formation dispensée en 2023 sur une version de ChatGPT qui n'existe plus n'est pas suffisante pour couvrir les usages actuels.
Qui est concerné dans votre entreprise
La réponse courte : davantage de personnes qu'on ne le croit. L'AI Act identifie trois catégories de collaborateurs visés par l'obligation de formation.
Les utilisateurs directs
Tout collaborateur qui interagit avec un outil IA dans son travail quotidien. Cela inclut les outils évidents (ChatGPT, Gemini, Copilot) mais aussi les outils moins visibles : un CRM qui inclut des fonctions prédictives, un logiciel RH avec du tri automatique, un outil de traduction automatique, un assistant de planification.
Les décideurs
Les managers et dirigeants qui prennent des décisions basées sur des résultats générés par l'IA, même s'ils n'interagissent pas directement avec l'outil. Un directeur commercial qui valide des listes de prospects générées par un outil de scoring est concerné, même s'il n'ouvre jamais l'interface de cet outil.
Les personnes responsables du déploiement
Les DSI, responsables IT, DPO et chefs de projet qui décident quels outils sont mis en place et comment ils sont utilisés. Leur obligation de formation est plus importante : ils doivent comprendre les risques, les limites et les obligations réglementaires associés aux outils qu'ils déploient.
Il existe une catégorie supplémentaire que le texte ne nomme pas explicitement mais que les autorités de contrôle surveillent : les personnes qui utilisent l'IA de façon non déclarée. C'est ce qu'on appelle la Shadow AI. Un collaborateur qui utilise son compte personnel ChatGPT pour traiter des données d'entreprise reste sous la responsabilité de l'employeur en cas d'incident. L'obligation de formation couvre aussi ces usages informels.
Ce qui change le 2 août 2026
L'obligation de formation existe depuis février 2025. Ce qui change en août 2026, c'est l'activation du cadre répressif national.
L'AI Act prévoit des amendes proportionnées à la gravité de l'infraction et à la taille de l'entreprise. Pour les infractions les plus graves, comme l'utilisation d'un système IA interdit (notation sociale généralisée, analyse d'émotions au travail), les sanctions peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Pour les autres obligations, dont l'obligation de formation, le plafond est à 15 millions d'euros ou 3 % du CA.
Ces chiffres correspondent aux cas extrêmes. En pratique, il est peu probable qu'une PME française soit sanctionnée uniquement parce qu'elle n'a pas organisé une session de formation IA. Mais l'absence de formation documentée devient un facteur aggravant dans deux situations précises.
La première : un incident impliquant un outil IA. Une fuite de données confidentielles via un outil public, une décision automatisée contestée par un salarié, une erreur factuelle grave dans un document généré par IA et communiqué à un client. Dans ce cas, les autorités examineront si vos équipes avaient été correctement formées et si des procédures étaient en place.
La seconde : un contrôle déclenché pour une autre raison. La CNIL a annoncé qu'elle intensifierait ses contrôles sur les systèmes RH à partir de l'automne 2026. Si un contrôle RGPD révèle des usages IA non encadrés, l'absence de formation sera documentée dans le rapport.
Le parallèle avec le RGPD est éclairant. En 2018, peu d'entreprises ont été sanctionnées pour l'absence d'un registre des traitements. Mais toutes celles qui n'en avaient pas lors d'un contrôle déclenché pour autre chose ont eu des problèmes. L'AI Act suit la même logique.
Ce que l'obligation ne vous impose pas
Avant d'aller plus loin, il faut corriger deux idées reçues qui circulent dans les articles juridiques sur ce sujet.
L'AI Act n'impose pas une certification spécifique. Il n'existe pas de certification officielle « AI literacy » obligatoire. Une formation interne bien documentée, une session avec un organisme certifié Qualiopi, un e-learning structuré avec une évaluation finale : tous ces formats peuvent répondre à l'obligation dès lors qu'ils sont adaptés aux postes concernés et qu'ils laissent une trace.
L'AI Act n'impose pas de former tout le monde au même niveau. Une assistante administrative qui utilise Gemini pour organiser ses e-mails a besoin d'une sensibilisation d'une heure sur les limites de l'IA, les bonnes pratiques de confidentialité et les réflexes à avoir face à une réponse incorrecte. Ce n'est pas la même formation qu'un responsable RH dont l'entreprise utilise un outil de matching de candidatures classifié à « haut risque » par l'AI Act.
La proportionnalité est le principe central. Le niveau de formation doit correspondre au niveau de risque de l'usage.
Quatre étapes pour se mettre en conformité
La mise en conformité avec l'article 4 ne nécessite pas six mois de projet ni un cabinet d'avocats spécialisé. Pour la majorité des PME et ETI, cela se fait en quelques semaines avec une méthode structurée.
Étape 1 : faire l'inventaire des outils IA utilisés
Listez tous les outils IA présents dans votre organisation. Ne vous limitez pas aux outils officiellement déployés. Incluez les usages informels si vous en avez connaissance.
Pour chaque outil, notez : son nom et son fournisseur, la fonction exacte de l'IA (génération de texte, tri automatique, scoring, recommandation), les données qu'il traite (données clients, données RH, données financières, données publiques), et les personnes qui l'utilisent ou qui prennent des décisions basées sur ses résultats.
Cet inventaire est la base de votre dossier de conformité. Il sert aussi à identifier vos usages à haut risque, qui déclenchent des obligations plus lourdes que la simple formation.
Étape 2 : identifier les niveaux de risque
L'AI Act classe les usages IA en quatre niveaux : interdit, haut risque, risque limité, risque minimal.
La grande majorité des usages en entreprise relèvent du risque minimal ou limité : rédaction assistée, analyse de données, génération de contenu, traduction automatique. Ces usages déclenchent principalement l'obligation de formation et, dans certains cas, une obligation d'informer l'utilisateur qu'il interagit avec une IA.
Deux catégories méritent une attention particulière pour les entreprises françaises.
Les usages RH : un outil de tri automatique de CV, un système de scoring des candidats, un logiciel d'évaluation des performances basé sur l'IA. Ces outils sont classés à haut risque par l'AI Act (Annexe III). Ils impliquent des obligations supplémentaires : documentation technique, supervision humaine obligatoire, enregistrement des décisions. Si votre entreprise utilise ce type d'outil, consultez votre DSI et votre DPO pour une conformité complète.
Les chatbots en contact avec les clients ou les collaborateurs : depuis le 2 août 2026, tout système qui interagit avec des humains doit clairement indiquer qu'il s'agit d'une IA. Cette obligation de transparence s'applique quel que soit le niveau de risque.
Étape 3 : construire le programme de formation par niveau d'implication
Trois niveaux suffisent pour couvrir la majorité des situations.
| Niveau | Public | Contenu type |
|---|---|---|
| Sensibilisation générale (1 à 2 h) | Tous les collaborateurs exposés à l'IA | Ce que fait un outil IA, comment il peut se tromper, ce qu'on ne lui envoie pas, comment signaler un résultat suspect |
| Formation pratique par métier (1 jour) | Utilisateurs réguliers | Prompts adaptés au poste, bonnes pratiques de confidentialité, limites spécifiques à leur usage |
| Formation approfondie (2 jours) | Décideurs, DSI, DPO, DRH, dirigeants | Niveaux de risque AI Act, obligations par type d'outil, supervision humaine, gestion des incidents |
Ce découpage correspond à ce que Masteria propose dans ses formations par métier : les cas d'usage de la session RH ne sont pas les mêmes que ceux de la session marketing.
Étape 4 : documenter et tenir à jour
Conservez pour chaque session de formation : le programme avec les objectifs pédagogiques, les feuilles d'émargement ou les preuves de participation, et les certificats de réalisation. Si vous passez par un organisme certifié Qualiopi, ces documents sont produits automatiquement dans le bon format.
Prévoyez une mise à jour annuelle. L'AI Act exige que la formation reste pertinente au regard des évolutions des outils. Une session de sensibilisation en 2025 sur ChatGPT 4 ne couvre pas les usages des agents IA de 2026.
Obligation de formation et financement OPCO : un point important
L'obligation de formation issue de l'AI Act et le financement via les OPCO sont deux choses distinctes, mais elles se combinent bien.
Une formation IA dispensée par un organisme certifié Qualiopi, adaptée aux postes concernés et documentée, remplit à la fois l'obligation légale de l'article 4 et les conditions d'éligibilité au financement OPCO. Les deux objectifs se satisfont avec la même action.
Ce n'est pas un hasard. Le cadre de la formation professionnelle français a été pensé pour encourager exactement ce type de montée en compétences. Utiliser son budget OPCO pour financer la mise en conformité avec l'AI Act, c'est faire d'une contrainte réglementaire un investissement neutre sur la trésorerie. Pour les détails pratiques, notre article sur le financement OPCO d'une formation IA détaille la séquence complète.
Questions fréquentes
Mettre votre entreprise en conformité avec l'AI Act
Les formations Masteria sont construites par métier, certifiées Qualiopi et documentées dans le format attendu par les OPCO et les autorités de contrôle. Chaque session inclut une attestation de formation adaptée aux exigences de l'article 4.