AI Act en 2026 : repères concrets pour les entreprises et la formation

ParPatricia L

Décidément, le monde de la formation bouge !

En 2025, je rédigeais un article sur la directive européenne sur l’accessibilité numérique (European Accessibility Act, directive 2019/882), entrée en application en juin 2025. Sans être en désaccord avec cette avancée, qui peut favoriser une meilleure inclusivité des contenus numériques, j’y soulignais déjà les points de vigilance concrets et les sanctions encourues en cas de non-respect. Aujourd’hui, je reprends la plume pour évoquer l’AI Act et sa mise en œuvre sur le terrain.

L’AI Act n’est pas sorti du chapeau comme par magie. Adopté en 2024, il constitue le premier cadre juridique horizontal contraignant au monde consacré à l’intelligence artificielle. Mais son application ne s’est pas faite d’un seul bloc : elle est progressive. Le règlement est entré en vigueur le 1er août 2024, les pratiques interdites ainsi que l’obligation de littératie IA (acculturation) s’appliquent depuis le 2 février 2025, les règles concernant certains modèles d’IA à usage général s’appliquent depuis le 2 août 2025, et la majeure partie des autres obligations entrera en application à partir du 2 août 2026. Certaines dispositions iront même jusqu’en 2027. (digital-strategy.ec.europa.eu)

Autrement dit, nous sommes déjà entrés dans l’ère de l’AI Act, mais toutes les obligations ne se déclenchent pas au même moment. C’est précisément ce calendrier progressif qui rend le sujet parfois difficile à lire pour les entreprises : certaines règles sont déjà applicables, d’autres approchent, et toutes demandent d’anticiper plutôt que d’attendre le dernier moment. (digital-strategy.ec.europa.eu)

Dans cet article, je vous propose donc de revenir sur le contexte d’émergence de l’AI Act, sur son articulation avec le RGPD, et sur les actions concrètes que les entreprises — et plus particulièrement les acteurs de la formation — ont intérêt à engager dès maintenant. Il s’agit ici d’une approche de vulgarisation et de mise en perspective : aussi complet que possible, cet article n’a pas vocation à épuiser tous les aspects d’un texte aussi dense.

Chronologie de la mise en place de l'AI Act

L’émergence, rapide peut-être trop rapide de l’intelligence artificielle

En 2022 le grand public découvre massivement les LLM (Large Language Models), avec le bien nommé ChatGPT. Bien entendu les algorithmes ont inondé notre monde bien avant son apparition mais l’effet conversationnel en a bluffé plus d’un, certain s’en sont amusés, d’autre s’en sont méfiés et puis certains technophiles l’ont inconditionnellement adopté. D’ailleurs, les géants de la « tech » se font une guerre sans merci pour remporter des parts de marché : Claude, Gemini, Mistral (cocorico), DeepSeek , GroK, pour n’en citer que quelques-uns, sont engagés dans une course effrénée à l’innovation. D’ailleurs, il est surprenant de voir qu’en si peu de temps on arrive à une IA agentive, il est possible de créer aujourd’hui des armées d’agents qui vont effectuer des tâches afin de nous soulager. Bon en toute honnêteté je n’en ai testé que très peu la fiabilité. Bref, en quatre ans on a pu voir des évolutions spectaculaires qui vont certainement être encore plus bluffantes dans le domaine de la science et de la médecine.

Derrière des outils connus comme ChatGPT, Gemini, Claude ou DeepSeek, on retrouve souvent ce que l’AI Act appelle des modèles d’IA à usage général (GPAI), c’est-à-dire des modèles généralistes réutilisables dans de nombreux contextes. (digital-strategy.ec.europa.eu)

C’est un sujet qui reste clivant mais, qui jusqu’à maintenant n’avait pas été régulé, à tel point qu’on parle de « Far West de l’IA » dans certaines lectures que j’ai pu faire. On parle de « Shadow IA » dans les entreprises avec risque de perte de données sensibles ou stratégiques.

Alors l’Europe a mis la main à la pâte et a construit un outil d’utilisation autant que de régulation : L’AI act en 2024, qui constitue le premier cadre légal contraignant au monde pour encadrer les usages de l’IA.

Plusieurs niveaux de risque identifiés par l’AI Act

Le principe central de l’AI ACT est celui du niveau de risque associé à un système d’IA. On distingue 4 catégories de niveaux de risques :

  • Risque inacceptable — Interdit, point final
  • Risque élevé — Autorisé mais très encadré
  • Risque limité — Autorisé avec obligation de transparence
  • Risque minimal — Libre d’usage

Nous allons voir de quoi il en retourne ci-dessous.

Risque inacceptable — Interdit, point final

Certains systèmes sont interdits parce que dangereux. On retrouve parmi eux :

  • La notation sociale : un système qui attribue un score de « fiabilité citoyenne » à des personnes pour leur accorder ou refuser des droits (accès à un prêt, à un logement, à des services publics). C’est ce que fait le système chinois de social credit — explicitement visé par le texte.
  • La manipulation comportementale : une IA qui exploite les vulnérabilités psychologiques d’une personne — anxiété, solitude, addiction — pour influencer ses décisions à son insu. Pensez à une IA de vente qui détecte qu’un utilisateur est en état de détresse émotionnelle et en profite pour pousser un achat.
  • La reconnaissance faciale en temps réel dans les espaces publics à des fins de surveillance de masse — avec des exceptions très encadrées pour les forces de l’ordre dans des cas extrêmes.
  • La reconnaissance des émotions sur le lieu de travail ou dans les établissements scolaires. Une IA qui analyserait les expressions faciales des élèves pour détecter leur niveau d’attention ou d’engagement est explicitement interdite.

Risque élevé — Autorisé mais très encadré

C’est la catégorie la plus dense et la plus importante. L’idée centrale est la suivante : ces outils sont autorisés, mais une erreur peut avoir des conséquences graves sur la vie des personnes. Ils sont donc soumis à un cadre de conformité renforcé : documentation technique, gestion des risques, supervision humaine, traçabilité, transparence et possibilité de contrôle. Les règles applicables aux systèmes d’IA à haut risque entreront, pour l’essentiel, en application à partir du 2 août 2026, avec certaines échéances complémentaires en 2027 selon les cas. (digital-strategy.ec.europa.eu)

Dans les RH :

  • Un ATS (Applicant Tracking System) qui classe et filtre automatiquement des CV
  • Un outil d’évaluation de performance qui influence une décision de promotion ou de licenciement

Dans l’éducation et la formation :

  • Un système de scoring qui détermine l’accès à une certification ou une formation diplômante
  • Un outil de surveillance d’examen en ligne (proctoring) qui détecte automatiquement la triche

Dans le crédit et la banque :

  • Un scoring de crédit automatisé qui décide de l’octroi ou du refus d’un prêt

Dans la santé :

  • Un outil de diagnostic assisté par IA qui recommande un traitement médical

Dans la justice :

  • Un système d’aide à la décision utilisé par un juge pour évaluer le risque de récidive

A retenir : dès qu’une IA peut changer concrètement la vie de quelqu’un — son emploi, son accès à un crédit, sa santé, sa liberté — on est en risque élevé.

Risque limité — Autorisé avec obligation de transparence

Ces outils sont moins intrusifs mais sont quand même soumis à l’obligation d’information.

  • Un chatbot de service client : exemple très sûr. Si une personne échange avec un assistant conversationnel, elle doit être informée qu’elle interagit avec une IA, sauf si c’est évident pour une personne raisonnablement attentive. (digital-strategy.ec.europa.eu)
  • Un avatar conversationnel ou assistant virtuel sur un site web : même logique : si l’interface donne l’impression d’un échange humain alors qu’il s’agit d’une IA, la transparence est attendue. (digital-strategy.ec.europa.eu)
  • Une vidéo publicitaire générée par IA avec visage ou voix synthétiques : très bon exemple pour la transparence sur les contenus artificiels ou manipulés, surtout si le réalisme peut induire en erreur. Les obligations sur les deepfakes sont explicitement visées par les règles de transparence. (digital-strategy.ec.europa.eu)
  • Une image ou une fausse interview générée par IA diffusée au public : là encore, c’est bien plus robuste comme exemple que les recommandations personnalisées, parce qu’on est dans le cœur des obligations de transparence sur les contenus synthétiques ou manipulés. (digital-strategy.ec.europa.eu)

A retenir : pas de risque grave, mais un risque de tromperie — d’où l’obligation d’informer.

Risque minimal — Libre d’usage

Ces outils sont jugés non dangereux et demeurent libres d’usage sans obligation particulière.

  • Les filtres anti-spam dans les messageries
  • Les correcteurs orthographiques classiques
  • Les IA dans les jeux vidéo
  • Les chatbots de divertissement sans enjeu décisionnel
Image montrant les 4 niveaux de risues déterminé par AI Act européen

Les mesures concrètes à prendre pour les outils IA à risque élevé, en parallèle et en complément du RGPD

Concernant ces outils à risque élevé les mesures à prendre dans le cadre de l’entreprise se décomposent en plusieurs étapes détaillées ci-dessous.

A noter que cette vigilance ne concerne pas seulement les solutions achetées à un fournisseur externe. Une entreprise qui développe, assemble ou met en service sa propre IA pour un usage interne ne sort pas automatiquement du champ de l’AI Act : selon les cas, elle peut cumuler un rôle de déployeur et de fournisseur du système qu’elle utilise elle-même.

L’inventaire des outils — la première étape indispensable

Nombreux sont les dirigeants qui découvrent tardivement que leurs outils métiers intègrent des composantes d’IA relevant du risque élevé. Un logiciel de gestion RH qui inclut un module de scoring des candidats, une solution de crédit-scoring, un outil de détection de fraude interne : autant d’exemples concrets où l’entreprise déployeuse devient responsable au sens de l’AI Act. L’inventaire des outils utilisés est donc la première étape indispensable de toute démarche de conformité sérieuse.
Il s’agit d’un « référentiel outils ».

La documentation — prouver, pas seulement déclarer

La conformité ne se limite pas à l’adoption d’une charte interne. Elle suppose la production de preuves vérifiables : dossiers techniques, tests, journaux d’activité, procédures, mesures de protection. L’objectif est de pouvoir prouver la conformité, pas seulement la déclarer.

Concrètement, pour chaque outil à haut risque, l’entreprise doit documenter : l’usage prévu, les limites du système, les critères de décision, et tenir à jour ce dossier au fil des évolutions.

Les logs — une obligation souvent méconnue

Les déployeurs doivent conserver les journaux générés par le système d’IA pendant au moins six mois. Si un risque est identifié, le fournisseur et les autorités compétentes doivent être immédiatement informés. (Article 26 : Obligations des déployeurs de systèmes d’IA à haut risque)

C’est un point que beaucoup d’entreprises ignorent : il ne suffit pas d’utiliser l’outil, il faut en garder la trace.

La supervision humaine — l’obligation centrale

Les déployeurs confient la surveillance humaine à des personnes physiques qui ont les compétences, la formation et l’autorité nécessaires. (Article 26 : Obligations des déployeurs de systèmes d’IA à haut risque)

Ce n’est pas une formalité — c’est la personne qui peut réellement comprendre, questionner et si nécessaire contredire la décision de l’IA.

Nommer un référent

Contrairement au RGPD qui impose la nomination d’un DPO dans certains cas, l’AI Act ne requiert pas que les entreprises désignent des « AI Officers ».

Mais dans la pratique, les déployeurs de systèmes d’IA à haut risque devront adapter leur organisation pour instaurer des mécanismes de surveillance et d’évaluation de la conformité, former leurs équipes à l’interprétation des résultats IA, et collaborer avec les éditeurs de solutions IA. Ce qui rend la désignation d’un référent interne très fortement recommandée, même si elle n’est pas légalement obligatoire.

Le RGPD vous demande de protéger les données et de nommer quelqu’un pour ça. L’AI Act vous demande de maîtriser vos outils IA et de le prouver — mais vous laisse choisir comment vous organisez en interne

AI Act, les obligations de formation pour l’entreprise

Le cadre général

L’article 4, entré en application le 2 février 2025, pose le cadre général de la littératie IA : il concerne les organisations qui fournissent ou déploient des systèmes d’IA, avec un niveau de formation à adapter aux usages, aux risques et au contexte.

Le texte de cet article pose ainsi les bases de « AI literacy » ou littéralement « alphabétisation de l’IA » dans les termes suivants :

Providers and deployers of AI systems shall take measures to ensure, to their best extent, a sufficient level of AI literacy of their staff and other persons dealing with the operation and use of AI systems on their behalf, taking into account their technical knowledge, experience, education and training and the context the AI systems are to be used in, and considering the persons or groups of persons on whom the AI systems are to be used.

En résumé, cet article précise que les entreprises qui créent et utilisent des systèmes d’IA doivent s’assurer que leurs employés et toute autre personne qui exploite ou utilise ces systèmes en leur nom sont bien formés à l’IA. Il s’agit notamment de tenir compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, ainsi que du contexte dans lequel les systèmes d’IA seront utilisés et des personnes ou des groupes qui les utiliseront.

Donc cela signifie qu’à partir du moment où une entreprise utilise une IA , qu’il s’agisse d’un LLM , d’un chatbot ou d’un logiciel RH de sélection des candidatures dans le cadre d’un recrutement, elle doit s’assurer que ses salariés ont assez de recul et de connaissances technologiques pour l’utiliser à bon escient.

Un mot particulier pour les centres de formation

Les centres de formation sont des entreprises comme les autres au regard de l’AI Act — et à ce titre, tout ce qui précède leur est pleinement applicable. Mais ils occupent une position particulière dans cet écosystème, et mérite qu’on s’y attarde un instant.

Un organisme de formation doit être particulièrement vigilant lorsque l’on ne se trouve plus seulement face à un LMS adaptatif fondé sur des règles pédagogiques définies à l’avance, mais face à un système d’IA qui analyse les données des apprenants pour orienter leur parcours, ajuster les contenus proposés, évaluer leurs acquis ou conditionner l’accès à certaines étapes de formation. Dans ce cas, l’IA ne traite pas seulement des résultats ou des comportements d’apprentissage : elle peut aussi faire émerger des fragilités cognitives, des difficultés persistantes, ou révéler des parcours de reconversion parfois liés à des situations de vulnérabilité professionnelle ou personnelle. C’est surtout lorsque l’IA influence concrètement l’évaluation, l’orientation ou l’accès à un parcours que le niveau de vigilance juridique augmente fortement. (digital-strategy.ec.europa.eu)

À cela s’ajoute un contexte sectoriel déjà dense : réformes du financement, recentrage des certifications, pression sur la qualité des dispositifs. L’AI Act constitue une couche réglementaire supplémentaire, mais aussi une opportunité : former ses propres équipes à l’IA literacy, c’est aussi, pour un organisme de formation, être en capacité de former ses apprenants à ces enjeux. Ce qui n’est pas anodin dans un monde professionnel où cette compétence devient incontournable.

Une formation appelée à se généraliser

À l’heure actuelle, on se pose encore plein de questions sur le déploiement de l’IA dans le monde de l’entreprise mais aussi de manière plus générale. Or on ne peut que constater que les outils sous l’impulsion des géants de la tech ne cessent de croître en nombre et en complexité et cela ne va pas s’arrêter puisque l’IA va aussi générer elle-même de la complexité de par sa rapidité notamment d’analyse.

Problème n° 1 : Les entreprises seront rattrapées par la réalité

Beaucoup d’entreprises se disent : « je ne suis pas concernée par ce phénomène parce que je n’utilise pas d’IA dans mon entreprise ». Mais c’est inévitable — elles vont intégrer des outils IA, ne serait-ce que parce que leurs logiciels métiers existants vont progressivement embarquer des fonctionnalités IA. Un CRM, un ERP, une suite bureautique comme Microsoft 365 avec Copilot : l’IA arrive dans les outils du quotidien sans que l’entreprise ait fait un choix délibéré de « déployer de l’IA ».

De plus, pour rester concurrentielles certaines entreprises vont être amenées à mettre en place aussi délibérément des outils pour rester performantes ou pour être plus productive face à la concurrence qui elle aura les outils qui lui permettront d’avancer plus vite et de proposer de meilleurs services.

Problème n°2 : Le shadow IA comme signal d’alarme

Le shadow IA — des salariés qui utilisent ChatGPT, Gemini ou d’autres outils en dehors de tout cadre officiel — est en réalité un indicateur très concret que le besoin est déjà là. Les salariés n’attendent pas que l’entreprise décide. Ils s’outillent seuls, parce que ces outils leur font gagner du temps.

Ce que cela signifie pour l’entreprise : si ses salariés utilisent déjà l’IA en shadow, c’est qu’elle est déjà de facto dans un contexte d’usage IA — sans cadre, sans formation, sans gouvernance.

Il peut en résulter une exposition des données sensibles qui peuvent se retrouver exposées mais aussi des informations qui peuvent être erronées dues notamment aux hallucinations et biais des intelligences artificielles, par exemple.

L’intérêt de la formation dans ce contexte

Former ses équipes à l’IA n’est plus un simple choix d’opportunité : c’est une anticipation de plus en plus nécessaire pour les entreprises qui utilisent déjà ces outils ou qui seront rapidement confrontées à leur diffusion. On peut résumer les enjeux autour de deux axes complémentaires.

Les bonnes raisons de former dès maintenant

L’obligation légale déjà en vigueur. Dès qu’un outil IA est effectivement utilisé dans l’entreprise — et ça viendra, que ce soit un choix délibéré ou une fonctionnalité embarquée dans un logiciel métier existant — l’article 4 sur la littératie de l’IA Act entre en ligne de compte. Une entreprise qui aura formé ses équipes en amont ne sera pas prise de court.

Encadrer le shadow IA. Les salariés n’attendent pas que l’entreprise décide : ils utilisent déjà ChatGPT, Gemini ou d’autres outils en dehors de tout cadre officiel. Un salarié non formé qui utilise un LLM externe avec des données clients ou confidentielles expose l’entreprise à un risque RGPD réel, indépendamment de l’AI Act. La formation crée la conscience du risque — et pose un cadre là où il n’en existe pas encore.

La performance et la compétitivité. C’est l’argument qui parle le mieux aux dirigeants : un salarié formé à l’IA l’utilise mieux, avec plus de discernement, et en tire davantage de valeur. Dans un contexte où certains concurrents avancent plus vite grâce à ces outils, la formation n’est pas un coût de conformité — c’est un investissement de performance.

Les risques encourus sans formation

Le risque réputationnel. Lorsqu’un manquement lié à un usage irresponsable de l’IA devient public — une décision automatisée discriminatoire, un biais révélé par un candidat ou un salarié sur les réseaux sociaux — les dégâts sont immédiats et durables. Articles de presse, réactions sur LinkedIn, remise en cause par les clients et partenaires : le tribunal de l’opinion publique n’attend pas les autorités. Une amende se paie une fois. Une mauvaise réputation se gère pendant des années.

Les sanctions financières. Les sanctions de l’AI Act sont graduées selon le niveau de risque et dépassent celles du RGPD en termes de montants maximaux :

  • Utilisation d’une IA à risque inacceptable : jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial
  • Non-respect des obligations pour les IA à haut risque : jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires mondial
  • Manquement à l’obligation de transparence : jusqu’à 7,5 millions d’euros ou 1% du chiffre d’affaires mondial

Les sanctions prévues par l’AI Act s’inscrivent dans le calendrier progressif d’application du règlement : certaines obligations sont déjà entrées en vigueur, tandis que d’autres, notamment une large part du régime applicable aux systèmes à haut risque, s’appliqueront à partir du 2 août 2026. (digital-strategy.ec.europa.eu)

À noter : pour les PME y compris les start-up, le texte prévoit une certaine proportionnalité, le montant le plus bas entre le plafond en euros et le pourcentage du chiffre d’affaires étant retenu. Ce n’est pas une exonération — c’est un filet de sécurité qui ne dispense pas d’agir.

Pour conclure

J’ai bien conscience que cet article est un petit peu long. J’ai essayé de rester concise et d’exposer à peu près tous les éléments sans pour autant les développer parce que sinon cet article aurait pu faire l’objet d’un livre entier voire de plusieurs tomes !

L’AI Act n’est pas une réglementation de plus venue s’ajouter à une pile déjà lourde. C’est un signal clair que l’IA est désormais un sujet de gouvernance d’entreprise à part entière — au même titre que la protection des données ou la sécurité informatique.

Les niveaux de risque définissent le cadre. Les mesures concrètes — inventaire des outils, documentation, supervision humaine — posent les bases de la conformité. Et la formation des équipes, portée par l’article 4, est le fil qui relie tout le reste : sans elle, aucune obligation ne peut être réellement remplie.

Former ses équipes et documenter ses usages aujourd’hui, c’est éviter d’en payer le prix demain — financièrement et en termes d’image. Autant se poser les bonnes questions dès maintenant. C’est en tout cas mon avis.

Un projet de formation à concrétiser ?

Je conçois des contenus pédagogiques clairs, engageants et adaptés à vos objectifs.
Parlons ensemble de vos besoins !

Me contacter