AI Act et formation IA en entreprise : guide complet 2026
Obligations Article 4, échéances 2025-2027, sanctions et financement OPCO — pour PME et ETI françaises
L'AI Act a été partiellement reporté en mars 2026 : les obligations sur les systèmes à haut risque passent au 2 décembre 2027. Mais l'Article 4 sur la formation IA reste fixé au 2 août 2026. La formation est désormais la seule obligation à laquelle aucune entreprise utilisant l'IA générative ne peut échapper cette année. Ce guide détaille les obligations concrètes du Règlement (UE) 2024/1689, le calendrier mis à jour, les sanctions encourues et les solutions de financement OPCO. Par Jérôme Iavarone, formateur et consultant IA générative — 5+ ans d'expérience, 1 000+ professionnels formés.
Publié le 27 avril 2026 · Temps de lecture : 14 min · Sources officielles : Commission européenne, Conseil de l'UE, EUR-Lex
Avertissement : ce guide est rédigé par un formateur et consultant IA, non par un avocat. Il ne constitue pas un conseil juridique. Pour toute analyse de conformité contraignante, consultez un avocat spécialisé en droit du numérique.
Sommaire
- 1. Qu'est-ce que l'AI Act et qui est concerné ?
- 2. L'obligation d'AI literacy : Article 4 expliqué
- 3. Calendrier des échéances AI Act 2025-2027
- 4. Sanctions et risques en cas de non-conformité
- 5. Comment former vos équipes : 5 étapes concrètes
- 6. Spécificités PME et ETI : adaptations pratiques
- 7. Financement OPCO de la conformité AI Act
- 8. Cas d'usage IA générative à risque : checklist conformité
- 9. FAQ AI Act formation
Qu'est-ce que l'AI Act et qui est concerné ?
L'AI Act est le Règlement (UE) 2024/1689 du Parlement européen et du Conseil, adopté le 13 juin 2024 et entré en vigueur le 1er août 2024. Il établit le premier cadre réglementaire mondial harmonisé pour l'intelligence artificielle. Il s'applique à toute organisation, publique ou privée, qui développe, met sur le marché ou utilise un système d'IA dans l'Union européenne.
Le règlement définit quatre rôles, chacun avec ses obligations propres :
| Rôle | Définition | Exemple |
|---|---|---|
| Fournisseur (provider) | Développe un système d'IA et le met sur le marché sous son nom | OpenAI, Anthropic, Mistral AI |
| Déployeur (deployer) | Utilise un système d'IA sous sa propre autorité dans le cadre professionnel | PME utilisant ChatGPT, Copilot ou Gemini |
| Importateur | Importe sur le marché UE un système d'IA d'un fournisseur hors UE | Revendeur français d'une IA américaine |
| Distributeur | Met à disposition sur le marché UE un système d'IA tiers | Plateforme SaaS revendant une API d'IA |
La très grande majorité des entreprises françaises sont des « déployeurs » : elles n'ont pas développé l'IA elles-mêmes, mais elles l'utilisent au quotidien (ChatGPT pour rédiger des emails, Copilot dans Excel, Gemini dans Google Workspace, Claude pour analyser des documents). Cela ne les exonère d'aucune obligation.
À retenir
Si votre entreprise utilise ChatGPT, Copilot, Gemini, Claude ou tout autre outil d'IA générative dans son activité professionnelle, elle est déployeur au sens de l'AI Act. L'obligation de formation prévue à l'Article 4 s'applique sans exception, indépendamment de la taille ou du secteur.
L'obligation d'AI literacy : Article 4 expliqué
L'Article 4 du Règlement (UE) 2024/1689 instaure une obligation contraignante de maîtrise de l'IA (« AI literacy ») pour tout fournisseur ou déployeur d'un système d'IA. Texte officiel :
« Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour garantir, dans la mesure du possible, un niveau suffisant de maîtrise de l'IA pour leur personnel et les autres personnes s'occupant du fonctionnement et de l'utilisation des systèmes d'IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d'IA doivent être utilisés. »
Que signifie « niveau suffisant » concrètement ?
La Commission européenne a publié des FAQ officielles précisant que l'Article 4 ne fixe ni format, ni durée, ni certification obligatoire. L'approche est proportionnée et contextuelle. Trois niveaux de maîtrise sont attendus :
- 1Niveau de base — tous les utilisateurs. Comprendre ce qu'est l'IA générative, ses limites (hallucinations, biais, dépendance aux données d'entraînement), les bonnes pratiques de prompt engineering et la confidentialité des données.
- 2Niveau opérationnel — utilisateurs avancés. Maîtrise des cas d'usage métier, capacité à concevoir des workflows IA, identification des risques juridiques (RGPD, propriété intellectuelle), supervision humaine effective des décisions.
- 3Niveau référent — pilotes IA internes. Compréhension des classifications de risque AI Act, capacité à documenter les usages, gestion des incidents, lien avec les autorités nationales de surveillance.
Personnes concernées par l'obligation
L'Article 4 s'étend au-delà des seuls salariés. Sont visés : employés permanents, intérimaires, prestataires, sous-traitants, freelances et tout tiers utilisant l'IA pour le compte de l'entreprise. Les ressources humaines doivent cartographier l'ensemble des personnes en contact avec un système d'IA, indépendamment de leur statut contractuel.
Pas de certification obligatoire, mais une traçabilité exigée
Les autorités nationales de surveillance — en France, ce sera vraisemblablement la CNIL en lien avec la DGE — pourront contrôler la documentation interne : programmes de formation suivis, listes de participants, supports utilisés, dates et durées. Conserver ces traces pendant au moins 5 ans est une bonne pratique recommandée.
À retenir
L'Article 4 est déjà en vigueur depuis le 2 février 2025. Son enforcement par les autorités nationales démarre le 2 août 2026. Une formation IA proportionnée par rôle, documentée et actualisée annuellement est le standard de conformité attendu.
Calendrier des échéances AI Act 2025-2027
Le calendrier d'application de l'AI Act a été partiellement modifié par le Conseil de l'Union européenne le 13 mars 2026, qui a accepté un report de 16 mois pour les obligations sur les systèmes à haut risque. La raison officielle : retard dans la production des standards techniques harmonisés et désignation incomplète des autorités nationales de surveillance (8 États membres sur 27 fin 2025).
| Date | Obligation | Statut |
|---|---|---|
| 2 février 2025 | Article 4 (AI literacy) + Article 5 (pratiques interdites : notation sociale, manipulation subliminale) | En vigueur |
| 2 août 2025 | Modèles d'IA à usage général (GPAI), gouvernance, sanctions hors GPAI | En vigueur |
| 2 août 2026 | Enforcement Article 4 (formation IA) + transparence (Article 50) | Échéance maintenue |
| 2 décembre 2027 | Systèmes IA à haut risque (Annexe III : RH, crédit, éducation, justice…) — reporté de 16 mois | Reporté (mars 2026) |
| 2 août 2028 | Systèmes IA à haut risque embarqués dans des produits régulés (Annexe II) | Reporté |
France vs UE : application territoriale
L'AI Act est un règlement et non une directive : il s'applique directement et uniformément dans les 27 États membres, sans transposition nationale. La France ne peut ni durcir ni assouplir le texte. Seules les autorités nationales de surveillance et les sanctions complémentaires éventuelles relèvent du législateur français.
À retenir
Le report de mars 2026 ne concerne que les systèmes IA à haut risque. L'Article 4 sur la formation IA reste fixé au 2 août 2026. La formation est désormais la seule obligation à laquelle aucune entreprise ne peut échapper cette année.
Sanctions et risques en cas de non-conformité
L'Article 99 du Règlement (UE) 2024/1689 établit l'un des régimes de sanctions les plus sévères jamais adoptés par l'UE en matière technologique. Trois paliers d'amendes administratives sont prévus :
| Palier | Type d'infraction | Amende maximale |
|---|---|---|
| 1 | Pratiques d'IA interdites (Article 5) | 35 M€ ou 7 % du CA mondial |
| 2 | Manquements aux obligations des opérateurs (Articles 16, 22, 23, 24, 26, 50) | 15 M€ ou 3 % du CA mondial |
| 3 | Information incorrecte ou trompeuse aux autorités | 7,5 M€ ou 1 % du CA mondial |
Sanctions spécifiques à l'Article 4 (AI literacy)
L'Article 99 ne désigne pas explicitement l'Article 4 dans les paliers d'amendes. Les sanctions liées au non-respect de l'AI literacy seront définies par les autorités nationales de surveillance, dans le cadre général des amendes administratives prévues par le Règlement. Les premiers commentaires juridiques publiés en 2025 considèrent qu'une absence totale de formation expose au palier des manquements administratifs (jusqu'à 7,5 M€ ou 1 % du CA mondial pour les manquements résiduels), voire au palier 2 si l'absence d'AI literacy contribue à une faute opérateur plus large.
Risques réputationnels et opérationnels
Au-delà des sanctions financières, les conséquences réelles d'une non-conformité incluent :
- Perte de marchés publics : les acheteurs publics conditionnent désormais leurs appels d'offres à la conformité AI Act des soumissionnaires.
- Refus de couverture par les assureurs cyber : exclusion des sinistres liés à un usage IA non documenté.
- Action en responsabilité civile en cas de préjudice causé par une IA mal supervisée (rédaction d'une décision RH discriminante par exemple).
- Inéligibilité aux financements européens : Horizon Europe, France 2030 et certains dispositifs régionaux exigent la conformité AI Act.
À retenir
L'Article 99 prévoit des amendes administratives jusqu'à 35 M€ ou 7 % du CA mondial selon la gravité. Les sanctions précises pour défaut d'AI literacy seront déterminées par les autorités nationales de surveillance à partir du 2 août 2026 — sans formation documentée, l'entreprise s'expose au palier des manquements administratifs.
Comment former vos équipes : 5 étapes concrètes
La méthodologie ci-dessous a été appliquée chez plus de 30 entreprises françaises (PME, ETI et grands groupes) accompagnées par Jérôme Iavarone. Elle est conçue pour répondre directement aux exigences de l'Article 4 et produire la documentation attendue par les autorités de surveillance.
Étape 1 — Cartographier l'exposition à l'IA
Durée : 2-3 jours
Identifiez tous les systèmes d'IA utilisés dans l'entreprise : abonnements payants (ChatGPT Enterprise, Copilot, Claude Pro, Gemini Advanced), outils intégrés (Notion AI, Salesforce Einstein), agents IA développés en interne, et usages individuels non déclarés (« shadow AI »).
Livrable : registre des systèmes d'IA avec rôle (fournisseur ou déployeur), niveau de risque estimé et population exposée.
Étape 2 — Définir les niveaux de maîtrise par rôle
Durée : 1 semaine
Segmentez les collaborateurs en trois groupes : utilisateurs occasionnels (sensibilisation 0,5 jour), utilisateurs réguliers (formation opérationnelle 2 jours), référents IA (formation avancée 3-5 jours incluant les aspects Article 4).
Livrable : matrice rôle × niveau d'AI literacy attendu, alignée sur les recommandations de la Commission européenne.
Étape 3 — Former par groupe homogène
Durée : 2-6 semaines
Déployez les sessions de formation par cohorte de 6-12 participants, avec un programme adapté au niveau cible. La formation IA générative en entreprise couvre les fondamentaux Article 4 + maîtrise opérationnelle des outils. Pour les profils techniques, la formation Claude Code approfondit les agents IA et les enjeux de supervision automatisée.
Livrable : attestations individuelles de fin de formation, supports pédagogiques et grille d'évaluation.
Étape 4 — Documenter la conformité
Durée : continue
Constituez un dossier de conformité Article 4 : registre des formations (qui, quand, contenu, durée), politiques internes IA (charte d'usage, validation des prompts, supervision humaine), journal des incidents et plan d'action correctif.
Livrable : dossier numérique opposable aux autorités de surveillance, conservé 5 ans minimum.
Étape 5 — Réviser annuellement
Durée : 2-3 jours par an
L'IA générative évolue rapidement (nouveaux modèles, nouvelles capacités, nouveaux risques). Une revue annuelle de la cartographie + mise à jour des formations est attendue par les autorités. Désignez un référent IA chargé du pilotage.
Livrable : rapport annuel d'AI literacy avec indicateurs (% collaborateurs formés, nombre d'incidents, évolution des cas d'usage).
Une mission de conseil IA de 3 à 5 jours permet de structurer cette démarche complète avec un livrable opérationnel par étape.
Spécificités PME et ETI : adaptations pratiques
L'AI Act ne fixe pas d'exemption pour les PME et ETI. Il impose en revanche un principe de proportionnalité : l'effort de formation doit être adapté à la taille, aux moyens et aux usages réels de l'entreprise. La Commission européenne a confirmé que les petites structures peuvent s'appuyer sur le réseau des European Digital Innovation Hubs (EDIH) — 251 hubs en Europe, dont 80 % proposent déjà des formations IA gratuites ou subventionnées.
Programme allégé PME (-50 salariés)
- 1 demi-journée de sensibilisation collective pour l'ensemble des collaborateurs (Article 4 + bonnes pratiques).
- 2 jours de formation opérationnelle pour les utilisateurs réguliers (3-8 personnes maximum).
- 1 référent IA désigné avec une formation complémentaire de 2-3 jours.
- Charte d'usage IA simplifiée (1-2 pages) signée par chaque collaborateur.
Budget cible : 4 000 € à 8 000 € HT, finançable à 100 % via OPCO pour les PME -50 salariés.
Programme structuré ETI (250-5000 salariés)
- Diagnostic AI literacy initial : audit des usages IA + cartographie des populations exposées.
- Plan de formation en cascade : sensibilisation collective + formation par métier + 3-5 référents IA par direction.
- Comité IA transverse : DRH, DSI, juridique, métier — pilotage de la conformité Article 4.
- Outillage de traçabilité : LMS interne ou plateforme tierce pour journaliser les formations.
Pour les implantations multi-sites, une formation IA générative à Paris, formation AI Act sur mesure à Strasbourg, capitale du Parlement européen, ou en distanciel est possible selon les besoins.
À retenir
Une PME de 20 collaborateurs peut atteindre la conformité Article 4 en 3 jours de formation cumulés et 4 000 € HT. Une ETI de 500 collaborateurs prévoit 30-50 jours sur 6 mois. Le facteur clé n'est pas le budget mais la documentation traçable du dispositif déployé.
Financement OPCO de la conformité AI Act
Les formations IA conformes à l'Article 4 entrent dans le cadre du plan de développement des compétences. Plusieurs dispositifs cofinancent la mise en conformité :
| Dispositif | Cible | Prise en charge |
|---|---|---|
| OPCO (11 opérateurs) | Toutes entreprises cotisantes | 100 % PME -50 salariés ; 30-70 % PME 50-300 |
| FNE-Formation | Entreprises en transition (numérique, écologique) | 50-70 % du coût pédagogique |
| CPF (compte personnel) | Salariés et indépendants | Variable (solde individuel) |
| Subventions régionales | PME selon territoire | Jusqu'à 50 % complémentaire |
France compétences, autorité nationale de régulation et de financement, recense les certifications éligibles. Les formations doivent être dispensées par un organisme certifié Qualiopi pour ouvrir droit aux financements OPCO.
Modalité Jérôme Iavarone
Jérôme Iavarone propose ses formations via partenariats Qualiopi (Keepschool, Evolve), permettant l'éligibilité aux financements OPCO. Le partenariat Qualiopi est porté par les organismes partenaires, conformément à l'agrément en vigueur. Contactez Jérôme Iavarone pour un audit AI literacy et un montage administratif clé en main.
À retenir
Pour une PME -50 salariés, la conformité Article 4 peut être intégralement financée par l'OPCO (100 % du coût pédagogique). Le reste à charge se limite aux salaires des collaborateurs en formation.
Cas d'usage IA générative à risque : checklist conformité
Certains cas d'usage de l'IA générative en entreprise sont classés à haut risque par l'Annexe III de l'AI Act ou exposent à des obligations renforcées (RGPD, Code du travail, propriété intellectuelle). Voici les 10 points à vérifier avant tout déploiement opérationnel.
- 1Cartographie des données traitées
Aucune donnée personnelle, financière ou commerciale stratégique ne doit transiter par une IA grand public sans accord explicite et base légale RGPD.
- 2Information des collaborateurs
Les salariés doivent être informés des usages IA en place (Code du travail, Article L1222-4) — affichage clair des outils autorisés et interdits.
- 3Supervision humaine effective
Toute décision impactant un individu (recrutement, évaluation, scoring crédit) doit comporter une revue humaine documentée — exigence Article 14 AI Act.
- 4Journal des prompts sensibles
Conserver une trace des requêtes ayant porté sur des données stratégiques ou personnelles, pendant la durée légale de prescription applicable.
- 5Charte d'usage IA signée
Document interne décrivant les outils autorisés, les usages interdits et les responsabilités de chaque collaborateur.
- 6AI literacy par fonction
Niveau de formation Article 4 cohérent avec l'exposition réelle au risque (RH, juridique, finance = niveau renforcé).
- 7Validation des outputs critiques
Aucune communication officielle, contractuelle ou réglementaire générée par IA n'est envoyée sans relecture humaine et validation hiérarchique.
- 8Gestion des biais et de la discrimination
Audit régulier des sorties IA susceptibles d'introduire des biais (genre, âge, origine) — obligation renforcée pour usages RH.
- 9Plan de gestion des incidents
Procédure documentée en cas d'hallucination, de fuite de donnée ou de décision contestée — qui contacter, dans quels délais.
- 10Revue annuelle du registre IA
Mise à jour de la cartographie, des cas d'usage et du plan de formation — preuve de diligence opposable aux autorités.
Pour aller plus loin sur les agents IA autonomes (cas d'usage à supervision renforcée), consultez le guide des agents IA autonomes en entreprise et le glossaire de l'IA générative.
FAQ AI Act formation
Quelle est la date butoir de l'Article 4 sur la formation IA ?
L'Article 4 du Règlement (UE) 2024/1689 est applicable depuis le 2 février 2025. L'enforcement par les autorités nationales de surveillance démarre le 2 août 2026. Cette échéance n'a pas été modifiée par le report du Conseil de l'UE de mars 2026.
Mon entreprise utilise seulement ChatGPT, suis-je concerné par l'AI Act ?
Oui. Toute organisation utilisant un système d'IA générative dans le cadre professionnel — même un simple abonnement à ChatGPT — est qualifiée de « déployeur » au sens de l'AI Act. L'obligation de formation Article 4 s'applique sans exception, indépendamment de la taille ou du secteur.
Quelles sont les sanctions précises pour non-respect de l'Article 4 ?
L'Article 99 du Règlement ne désigne pas explicitement l'Article 4 dans les paliers d'amendes. Les sanctions seront définies par les autorités nationales de surveillance, dans le cadre général des amendes administratives (jusqu'à 7,5 M€ ou 1 % du CA mondial pour les manquements résiduels, jusqu'à 15 M€ ou 3 % pour les manquements opérateurs aggravés).
Une formation IA en ligne suffit-elle pour être conforme ?
La Commission européenne ne fixe pas de format obligatoire. Une formation en ligne peut suffire pour le niveau de base, à condition d'être documentée (registre des participants, attestations) et adaptée au contexte de l'entreprise. Pour les utilisateurs réguliers et les référents IA, une formation présentielle ou hybride est recommandée pour traiter les cas d'usage métier spécifiques.
Combien de temps dure une formation conforme à l'Article 4 ?
Pour les utilisateurs occasionnels : une demi-journée de sensibilisation suffit. Pour les utilisateurs réguliers : 2 jours de formation opérationnelle. Pour les référents IA : 3 à 5 jours de formation avancée incluant les aspects réglementaires Article 4. Une revue annuelle est attendue par les autorités.
L'AI Act s'applique-t-il aux entreprises hors UE ?
Oui, par effet extraterritorial. L'AI Act s'applique à tout fournisseur ou déployeur dont les sorties d'IA sont utilisées au sein de l'UE, y compris les entreprises basées aux États-Unis, au Royaume-Uni ou en Suisse. Une filiale française d'un groupe étranger est concernée à 100 %.
Le report du Conseil de l'UE de mars 2026 change-t-il l'Article 4 ?
Non. Le report annoncé le 13 mars 2026 par le Conseil de l'UE concerne uniquement les obligations sur les systèmes d'IA à haut risque (Annexe III repoussée au 2 décembre 2027 ; Annexe II au 2 août 2028). L'Article 4 sur la formation reste inchangé : enforcement le 2 août 2026.
Faut-il être avocat pour conseiller sur l'AI Act ?
Le conseil juridique contraignant relève des avocats spécialisés en droit du numérique. Un formateur ou consultant IA peut former les équipes à la maîtrise opérationnelle des outils, structurer le dispositif AI literacy et produire la documentation interne — sans se substituer à un avocat pour l'analyse juridique de conformité.
La formation AI Act est-elle finançable par l'OPCO ?
Oui, lorsqu'elle est dispensée par un organisme certifié Qualiopi. Jérôme Iavarone propose ses formations via partenariats Qualiopi (Keepschool, Evolve). Pour une PME -50 salariés, la prise en charge OPCO peut atteindre 100 % du coût pédagogique. Contactez Jérôme Iavarone pour un montage administratif clé en main.
Comment documenter la conformité Article 4 ?
Constituez un dossier numérique conservé 5 ans minimum incluant : registre des systèmes d'IA utilisés, cartographie des populations exposées, programme de formation par niveau, attestations individuelles, charte d'usage IA signée, journal des incidents et plan d'action correctif. Consultez le guide complet pour former vos équipes à l'IA pour la méthodologie détaillée.
Prêt à mettre votre entreprise en conformité Article 4 ?
Jérôme Iavarone accompagne PME et ETI dans la formation IA conforme à l'AI Act — devis OPCO en 24 h.
Cet article ne constitue pas un conseil juridique. Pour toute analyse de conformité contraignante, consultez un avocat spécialisé en droit du numérique.
Sources officielles citées
- • Règlement (UE) 2024/1689 — texte intégral sur EUR-Lex
- • AI Act — Commission européenne, Shaping Europe's digital future
- • FAQ officielle AI Literacy — Commission européenne
- • Article 4 — référence académique (Future of Life Institute)
- • Article 99 — Sanctions et amendes
- • AI Act Service Desk — Commission européenne (Article 99)
- • Conseil de l'UE — Communiqué officiel du 13 mars 2026 sur le report
- • European Digital Innovation Hubs (EDIH) — réseau européen 251 hubs
- • France compétences — autorité nationale de financement
- • CNIL — Intelligence artificielle et RGPD