AI Act : la formation IA est-elle obligatoire ?

Vos équipes utilisent ChatGPT, Copilot ou Gemini au travail ? Alors la réponse courte est : oui, vous avez une obligation légale de maîtrise de l'IA depuis le 2 février 2025. C'est l'article 4 du règlement européen sur l'intelligence artificielle (l'« AI Act »), et il concerne la quasi-totalité des entreprises françaises qui utilisent l'IA, pas seulement les éditeurs de logiciels.
La réponse complète est plus nuancée, et plutôt rassurante : le texte n'impose ni programme standard, ni certification, ni quota d'heures. Il impose des mesures adaptées et démontrables. Dans ce guide, on vous explique ce que dit exactement le texte, qui est concerné, ce qui a changé avec le paquet « Digital Omnibus » adopté en juin 2026, ce que vous risquez vraiment, et comment vous mettre en règle sans transformer votre PME en cabinet juridique.
La réponse en 30 secondes
- Oui, il y a une obligation : l'article 4 du règlement (UE) 2024/1689 demande aux fournisseurs et aux déployeurs de systèmes d'IA de garantir « un niveau suffisant de maîtrise de l'IA » à leur personnel. Elle s'applique depuis le 2 février 2025.
- Non, ce n'est pas une formation certifiante imposée : la Commission européenne confirme qu'aucun format ni certificat n'est exigé. Ce qui compte : des actions proportionnées à vos usages, et des traces écrites.
- Le contrôle est possible depuis le 2 août 2026 : c'est la date à laquelle les autorités nationales de surveillance du marché peuvent vérifier ce point.
- Le report à décembre 2027 ne vous en dispense pas : il ne concerne que les obligations des systèmes à haut risque, pas l'article 4.
Qui est concerné ? Dès que vos équipes utilisent l'IA, vous l'êtes
L'AI Act distingue deux grands rôles. Le fournisseur développe ou commercialise un système d'IA. Le déployeur est défini par l'article 3 du règlement comme « une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d'IA sauf lorsque ce système est utilisé dans le cadre d'une activité personnelle à caractère non professionnel ».
Traduction concrète : si votre entreprise utilise un outil d'IA dans un cadre professionnel, vous êtes déployeur. Quelques exemples parlants :
- une assistante de direction qui rédige des comptes rendus avec ChatGPT ;
- un service RH qui pré-trie des candidatures avec un outil d'IA ;
- un service client qui répond via un chatbot ;
- un commercial qui prépare ses emails de prospection avec Copilot.
Il n'y a ni seuil d'effectif, ni seuil de chiffre d'affaires : la FAQ officielle de la Commission européenne sur la maîtrise de l'IA précise que l'obligation vise fournisseurs et déployeurs, y compris les PME, de façon proportionnée au contexte et au niveau de risque des systèmes utilisés. L'article 4 couvre votre personnel, mais aussi « les autres personnes » qui opèrent vos systèmes d'IA pour votre compte : prestataires, intérimaires, sous-traitants.
Ce que dit exactement l'article 4
Le texte est court. Le voici intégralement, tel que publié au Journal officiel de l'UE (règlement (UE) 2024/1689, EUR-Lex) :
« Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA pour leur personnel et les autres personnes s'occupant du fonctionnement et de l'utilisation des systèmes d'IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d'IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l'égard desquels les systèmes d'IA sont destinés à être utilisés. »
La « maîtrise de l'IA » est elle-même définie par le règlement (article 3, point 56) : les compétences, connaissances et la compréhension qui permettent de déployer les systèmes d'IA « en toute connaissance de cause » et de « prendre conscience des possibilités et des risques que comporte l'IA, ainsi que des préjudices potentiels qu'elle peut causer ».
Trois points à retenir de cette rédaction :
- C'est une obligation de moyens renforcée, pas de résultat absolu : « dans toute la mesure du possible » et « niveau suffisant » indiquent une exigence proportionnée, pas une perfection théorique.
- Le niveau attendu dépend des profils : le texte cite expressément les connaissances techniques, l'expérience et la formation des personnes. Un développeur qui intègre une API d'IA et une comptable qui utilise un assistant bureautique n'ont pas besoin du même contenu.
- Le niveau attendu dépend du contexte d'usage : utiliser l'IA pour reformuler un email interne ou pour pré-trier des candidatures, ce n'est pas le même niveau de risque, donc pas le même niveau de maîtrise exigé.
Ce que l'article 4 n'impose pas
C'est le point qui déstresse la plupart des dirigeants : la Commission européenne écrit noir sur blanc dans sa FAQ qu'il n'existe pas d'approche unique et que le Bureau de l'IA « n'a pas l'intention d'imposer des exigences strictes ou des formations obligatoires » au sens d'un format imposé. Concrètement, l'article 4 n'exige :
- ni programme type défini par Bruxelles ;
- ni certification ou examen de vos salariés ;
- ni volume d'heures minimal.
En revanche, la même FAQ recommande de tenir un registre interne des formations et initiatives menées. C'est la logique de tout le règlement : pas de formalisme imposé, mais une capacité à démontrer ce que vous avez fait.
Ce que le Digital Omnibus change (et ne change pas)
Le paquet européen de simplification numérique dit « Digital Omnibus », proposé le 19 novembre 2025 et adopté par le Parlement européen le 16 juin 2026 puis approuvé par le Conseil fin juin 2026, modifie l'AI Act sur plusieurs points. À la date où nous publions cet article (19 juillet 2026), le texte final est signé mais pas encore publié au Journal officiel de l'UE : les éléments ci-dessous sont donc à confirmer à la publication.
Ce qui ressort des analyses du texte final :
- L'obligation de maîtrise de l'IA est maintenue. Selon les analyses juridiques de l'accord final, la formulation de l'article 4 serait assouplie dans le sens d'un devoir de soutenir et d'encourager le développement de la maîtrise de l'IA par des mesures proportionnées, plutôt que de la « garantir ». La rédaction exacte sera à vérifier dans le texte publié ; l'esprit ne change pas : des actions concrètes, proportionnées, documentées.
- Le report ne concerne que le haut risque : obligations des systèmes à haut risque de l'annexe III reportées au 2 décembre 2027, et au 2 août 2028 pour l'IA intégrée aux produits réglementés de l'annexe I.
- La transparence reste au 2 août 2026 (informer qu'on interagit avec une IA, marquer les contenus générés), avec un délai de grâce jusqu'au 2 décembre 2026 pour le marquage des contenus des systèmes déjà sur le marché.
Autrement dit : rien dans le Digital Omnibus ne reporte ni ne supprime votre obligation de former vos équipes.
Les échéances qui comptent pour une PME ou ETI
Voici le calendrier consolidé, tel qu'il résulte de l'article 113 du règlement et du Digital Omnibus :
- 1er août 2024 : entrée en vigueur de l'AI Act.
- 2 février 2025 : application de l'article 4 (maîtrise de l'IA) et des pratiques interdites (article 5). C'est déjà derrière nous.
- 2 août 2025 : règles sur les modèles d'IA à usage général et cadre des sanctions.
- 2 août 2026 : application générale du règlement, obligations de transparence, et début des pouvoirs de contrôle des autorités nationales, y compris sur l'article 4.
- 2 décembre 2026 : fin du délai de grâce pour le marquage des contenus générés par les systèmes mis sur le marché avant août 2026.
- 2 décembre 2027 : obligations des systèmes à haut risque de l'annexe III (recrutement, éducation, crédit, etc.), reportées par le Digital Omnibus.
- 2 août 2028 : obligations pour l'IA à haut risque intégrée aux produits réglementés (annexe I).
Si vous ne devez retenir qu'une chose : les deux dates qui concernent la formation sont déjà passées. L'obligation existe depuis février 2025, et elle est contrôlable depuis le 2 août 2026.
Sanctions : ce que vous risquez vraiment
Soyons précis, parce que beaucoup de contenus commerciaux agitent des chiffres qui font peur sans expliquer à quoi ils s'appliquent.
L'article 99 du règlement prévoit des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites (article 5), et 15 millions d'euros ou 3 % pour la violation d'une liste précise d'obligations (celles des fournisseurs, importateurs, distributeurs, déployeurs de systèmes à haut risque, et les obligations de transparence).
Point important, et honnête : l'article 4 ne figure pas dans cette liste. Il n'existe donc pas, à ce jour, d'amende européenne chiffrée attachée spécifiquement au défaut de formation. Ce sont les États membres qui déterminent le régime des sanctions pour les autres violations du règlement, avec une consigne du texte : des sanctions « effectives, proportionnées et dissuasives » qui tiennent compte « des intérêts des PME [...] et de leur viabilité économique ».
Faut-il en conclure que vous pouvez ignorer l'article 4 ? Non, pour trois raisons concrètes :
- Le contrôle est transversal : une autorité qui examine vos obligations de transparence ou un incident lié à l'IA regardera aussi ce que vous avez fait au titre de l'article 4. Un défaut de formation fragilise toute votre position.
- La responsabilité de droit commun s'applique : en cas de dommage causé par un usage mal maîtrisé de l'IA (fuite de données clients, discrimination dans un tri de candidatures, information erronée transmise à un client), l'absence de mesures de formation pèsera contre vous, y compris dans des recours privés selon le droit national.
- La France n'a pas encore fixé son régime national : la portée exacte des sanctions françaises applicables à l'article 4 reste incertaine à ce jour. S'exposer en pariant sur cette incertitude est un mauvais calcul, car les mesures correctives peuvent arriver avec le texte de désignation.
Qui contrôle en France ?
Le schéma officiel a été présenté par la Direction générale des Entreprises le 9 septembre 2025 : la DGCCRF assurerait la coordination opérationnelle et le rôle de point de contact unique auprès de l'UE ; la CNIL serait chargée de la majorité des systèmes à haut risque (biométrie, emploi, etc.) et des pratiques interdites liées aux données personnelles ; l'Arcom, l'ACPR, l'ANSSI et le PEReN interviendraient sur leurs périmètres respectifs.
À la date de rédaction, ce schéma n'a pas encore été définitivement adopté par le Parlement, mais une étape a été franchie : le Sénat a adopté le 17 février 2026 le volet numérique du projet de loi Ddadue, qui désigne une quinzaine d'autorités et confie un rôle central à la CNIL ; le texte doit maintenant être examiné par l'Assemblée nationale. Cela ne suspend pas vos obligations : un règlement européen s'applique directement, sans transposition. La CNIL rappelle d'ailleurs que l'AI Act s'ajoute au RGPD sans le remplacer : si vos usages IA touchent des données personnelles, les deux textes s'appliquent en même temps, et la CNIL est déjà pleinement compétente sur le volet données.
Ce qu'attend un contrôle : des preuves, pas des promesses
Puisque l'article 4 n'impose pas de format, la question pratique devient : comment démontrer un « niveau suffisant » le jour où on vous le demande ? En croisant le texte du règlement et la FAQ de la Commission, un dossier solide contient quatre choses :
- Un inventaire de vos systèmes d'IA : quels outils, utilisés par qui, pour quoi faire. C'est la base de tout, y compris pour repérer le « shadow AI » (les usages que vos salariés ne déclarent pas).
- Un registre des mesures de maîtrise de l'IA : formations suivies (dates, participants, programmes), guides internes, chartes d'usage, sessions de sensibilisation. La Commission recommande explicitement cette tenue de registre, sans exiger de certificat.
- Des contenus adaptés aux profils et aux usages : la même heure de sensibilisation générique pour tout le monde ne colle pas à la lettre de l'article 4, qui exige la prise en compte des connaissances, de l'expérience et du contexte d'usage de chacun.
- Une logique de mise à jour : les outils changent vite ; un plan qui date de 2024 et n'a jamais été revu se défend mal. Intégrez les nouveaux arrivants et les nouveaux outils.
Une formation dispensée par un organisme certifié Qualiopi coche naturellement les cases du registre : programme détaillé, feuilles d'émargement, attestations de fin de formation, évaluation des acquis. C'est un élément de preuve solide ; ce n'est pas, et personne ne peut vous le vendre ainsi, une garantie de conformité globale à l'AI Act.
Votre plan d'action en 5 étapes
Voici la séquence que nous recommandons à une PME ou ETI qui part de zéro :
1. Inventoriez vos usages IA réels
Interrogez chaque service : outils utilisés, fréquence, types de données manipulées. Incluez les usages non déclarés, souvent majoritaires. Sans cet inventaire, impossible de calibrer quoi que ce soit.
2. Qualifiez votre rôle et vos risques
Pour chaque usage : êtes-vous simple déployeur ou aussi fournisseur (si vous développez ou personnalisez un système) ? L'usage touche-t-il des données personnelles, des clients, des candidats ? Les usages RH et client méritent une attention particulière : c'est là que le règlement et le RGPD se croisent le plus.
3. Définissez le niveau de maîtrise cible par profil
Trois niveaux suffisent dans la plupart des entreprises : socle commun pour tous (comprendre ce qu'est l'IA générative, ses limites, les données à ne jamais y mettre), niveau opérationnel pour les utilisateurs quotidiens (bonnes pratiques métier, vérification des sorties), niveau renforcé pour les usages sensibles et les décideurs (risques juridiques, gouvernance).
4. Formez, et gardez toutes les preuves
Déployez la formation par vagues, en commençant par les usages les plus sensibles. Exigez de votre organisme les livrables documentaires : programme, émargements, attestations, évaluations. Si l'organisme est certifié Qualiopi, votre OPCO peut financer tout ou partie de la formation via le plan de développement des compétences.
5. Documentez et faites vivre le dispositif
Consolidez tout dans un registre unique : inventaire, formations, charte d'usage si vous en avez une. Prévoyez une revue annuelle et une intégration des nouveaux apprenants. C'est ce dossier, plus que n'importe quel discours, qui fera la différence en cas de contrôle.
Les 5 erreurs qui reviennent le plus
- Attendre décembre 2027. Le report du Digital Omnibus concerne les systèmes à haut risque, pas la maîtrise de l'IA. L'article 4 s'applique depuis février 2025.
- Se croire trop petit pour être concerné. Il n'y a aucun seuil de taille. Une TPE qui utilise ChatGPT pour ses devis est déployeur au sens du règlement.
- Faire une conférence d'une heure pour tout le monde et s'arrêter là. Le texte exige une prise en compte des profils et des contextes d'usage. Une sensibilisation unique et générique ne correspond pas à la lettre de l'article 4.
- Former sans garder de traces. Une formation sans programme, sans liste de participants et sans attestation n'a quasiment aucune valeur probante.
- Acheter une « certification AI Act » miracle. Aucune certification des salariés n'est exigée par le texte, et aucun prestataire ne peut vous « certifier conforme » à l'article 4. Méfiez-vous des offres qui promettent le contraire.
FAQ · Formation IA obligatoire et AI Act
La formation IA est-elle obligatoire pour toutes les entreprises ?
Dès que vous utilisez un système d'IA dans un cadre professionnel, vous êtes déployeur et l'article 4 s'applique, quelle que soit votre taille. Le format est libre ; l'obligation d'un niveau suffisant, adapté et démontrable, ne l'est pas.
Faut-il une certification pour être en règle ?
Non. La Commission européenne confirme qu'aucune formation type ni certification n'est imposée. Elle recommande de tenir un registre interne des actions menées : c'est lui qui prouve votre conformité.
Quelles sanctions si on ne fait rien ?
Il n'y a pas d'amende européenne chiffrée attachée directement à l'article 4 (il ne figure pas dans la liste de l'article 99). Les sanctions applicables relèvent des régimes nationaux, en cours de finalisation en France. Les vrais risques sont indirects : position fragilisée en cas de contrôle ou d'incident, responsabilité civile, dommage de réputation.
Le report de l'AI Act à 2027 me dispense-t-il de former mes équipes ?
Non. Le Digital Omnibus adopté en juin 2026 reporte les obligations haut risque à décembre 2027 (annexe III) et août 2028 (annexe I). L'article 4 reste applicable depuis février 2025 et contrôlable depuis août 2026.
Une formation financée par l'OPCO peut-elle servir de preuve ?
Oui. Une formation Qualiopi produit programme, émargements, attestations et évaluation des acquis : exactement le registre documentaire que la Commission recommande. Et elle peut être prise en charge par votre OPCO.
Former vos équipes : la première action sans regret
Quelle que soit l'évolution fine des textes (publication de l'Omnibus au Journal officiel, loi française de désignation des autorités), un fait ne bougera pas : une équipe formée à l'IA est à la fois votre meilleure mesure de conformité et votre meilleur levier de productivité. C'est la seule action qui reste valable dans tous les scénarios réglementaires.
Notre formation IA responsable et conformité (EU AI Act, RGPD) couvre précisément ce périmètre : comprendre le règlement, cartographier vos usages, bâtir votre registre de preuves et diffuser les bonnes pratiques à vos équipes. Pour le socle commun de vos collaborateurs, l'Introduction à l'IA générative constitue le premier niveau de maîtrise de l'IA au sens de l'article 4. Les deux sont éligibles au financement OPCO, et nous montons le dossier avec vous.
→ Demander un devis pour former vos équipes (financement OPCO possible)
Cet article est une synthèse d'information à jour au 19 juillet 2026 (sources principales : EUR-Lex, règlement (UE) 2024/1689 ; Commission européenne, FAQ maîtrise de l'IA ; Parlement européen, Digital Omnibus on AI ; DGE ; CNIL, consultées le 19/07/2026). Il ne constitue pas un avis juridique : pour une analyse de votre situation particulière, rapprochez-vous d'un avocat ou de votre conseil habituel.


