En bref — L’article 4 de l’AI Act (Règlement (UE) 2024/1689) impose depuis le 2 février 2025 à toute organisation utilisant l’IA de garantir un niveau suffisant de littératie IA de ses équipes, proportionné aux rôles. À partir du 2 août 2026, les sanctions nationales deviennent applicables — jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires mondial (le plus élevé s’applique, plafonds ajustés pour les PME). Aucun format de formation n’est imposé, mais l’entreprise doit prouver la formation dispensée — registre, émargements, supports, attestations. La méthode Sowaycom : 3 niveaux (utilisateur occasionnel / utilisateur métier / super-utilisateur-décideur) et des livrables Qualiopi qui répondent nativement à l’exigence de traçabilité. Cet article complète notre analyse sur la consultation du CSE et le déploiement d’IA en entreprise — les deux obligations se cumulent.
Article rédigé par Sylvain Gillet, fondateur de Sowaycom — organisme de formation IA générative certifié Qualiopi. Cet article est une note de veille informationnelle et ne constitue pas un conseil juridique ; pour un audit de conformité formel, faites appel à votre DPO ou à un cabinet spécialisé.
Que dit exactement l’article 4 de l’AI Act ?
L’AI Act — officiellement le Règlement (UE) 2024/1689 sur l’intelligence artificielle — est entré en vigueur le 1er août 2024. Son application est progressive : les interdictions et les dispositions générales s’appliquent tôt, les obligations pour les systèmes à haut risque plus tard.
L’article 4, intitulé « Maîtrise de l’IA » (AI literacy en anglais), s’applique depuis le 2 février 2025. Il dispose que les fournisseurs et les déployeurs de systèmes d’IA « prennent les mesures pour assurer, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA de la part de leur personnel et des autres personnes qui exercent des activités liées à l’exploitation et à l’utilisation de systèmes d’IA en leur nom ».
Ce qu’il faut retenir concrètement :
- Cible : tous les utilisateurs et déployeurs d’IA — pas seulement les fournisseurs. Une entreprise qui déploie ChatGPT, Claude, Copilot, Gemini, NotebookLM ou tout autre système IA dans ses process est concernée.
- Public : chaque collaborateur exposé aux outils IA dans le cadre de son travail.
- Niveau exigé : suffisant et proportionné aux rôles. Un dirigeant qui décide du déploiement, un utilisateur métier au quotidien et un utilisateur ponctuel n’ont pas les mêmes besoins.
- Facteurs à prendre en compte : le contexte, les connaissances techniques préalables, l’expérience, l’éducation, la formation, et les personnes affectées par le système.
Qu’est-ce que la littératie IA au sens de l’AI Act ?
L’AI Act définit la « maîtrise de l’IA » (article 3, point 56) comme « les compétences, les connaissances et la compréhension permettant aux fournisseurs, aux déployeurs et aux personnes concernées, en tenant compte de leurs droits et obligations respectifs dans le contexte du présent règlement, de procéder à un déploiement en toute connaissance de cause, ainsi que de prendre conscience des possibilités et des risques que comporte l’IA, ainsi que des préjudices potentiels qu’elle peut causer. »
En clair, les collaborateurs doivent :
- Comprendre ce que fait l’IA — les grandes familles (LLM, IA générative texte / image / audio, systèmes de recommandation, agents), ce que sait faire un modèle et ce qu’il ne sait pas faire.
- Comprendre ses limites — hallucinations, biais, dépendance aux données d’entraînement, absence de raisonnement au sens humain.
- Comprendre les risques — sécurité des données saisies dans les prompts, cadre RGPD, droit d’auteur, secret des affaires, biais dans les décisions.
- Savoir l’utiliser avec discernement — quand faire confiance, quand vérifier, quand ne pas utiliser, comment structurer un prompt utile.
Quelles sanctions à partir du 2 août 2026 ?
Depuis le 2 février 2025, l’obligation existe — mais aucun contrôle formel avec sanctions n’était possible au titre de l’AI Act. C’était une phase de transition. Le calendrier du régulateur européen : laisser 18 mois aux entreprises pour se mettre en conformité avant d’activer le régime de sanctions.
Le 2 août 2026, les sanctions prévues par l’article 99 de l’AI Act deviennent applicables. Pour l’article 4 (obligation de littératie IA), le manquement peut exposer à des amendes administratives pouvant atteindre :
- 15 millions d’euros
- ou 3 % du chiffre d’affaires annuel mondial de l’entreprise
- le montant le plus élevé s’applique.
Ces plafonds sont ajustés à la baisse pour les PME. Les amendes ne sont pas automatiques : elles tiennent compte de la nature, gravité, durée du manquement, du caractère intentionnel ou négligent, de la coopération avec l’autorité, et des mesures prises pour atténuer le préjudice.
Les autorités nationales appliquent les sanctions. Le mécanisme est comparable à celui du RGPD : chaque État membre désigne ses autorités compétentes qui contrôlent et sanctionnent.
Qui contrôle la conformité en France ?
La France a désigné plusieurs autorités compétentes pour l’AI Act. Le paysage est en cours de stabilisation, mais deux acteurs se dégagent nettement :
- La CNIL (Commission nationale de l’informatique et des libertés) joue un rôle central sur tous les aspects touchant aux droits fondamentaux et aux données personnelles — ce qui recouvre la plupart des usages professionnels d’IA générative en entreprise (données saisies dans les prompts, décisions automatisées affectant des personnes, tri de CV, scoring client…).
- La DGE (Direction générale des entreprises) et d’autres autorités sectorielles (ANSM pour la santé, autorités financières pour la banque, etc.) interviennent pour des aspects techniques et sectoriels spécifiques.
Pour l’article 4 (littératie IA), la CNIL est en pratique en première ligne : elle peut vérifier la formation dispensée dans le cadre de ses contrôles habituels (audits RGPD, plaintes de collaborateurs, incidents IA). Un contrôle RGPD élargi à l’AI Act peut demander les preuves de formation IA au même titre que les preuves de conformité RGPD.
À ne pas oublier — le rôle du CSE. Pour les entreprises d’au moins 50 salariés, la consultation du Comité social et économique (CSE) est une obligation distincte et complémentaire, prévue par l’article L. 2312-8 du Code du travail. Elle ne relève pas de l’AI Act mais du droit du travail français. La jurisprudence 2025-2026 (tribunaux judiciaires de Nanterre et Paris) confirme que cette consultation s’applique aux projets d’IA générative, dès la phase d’expérimentation. Une entreprise peut donc être en conformité AI Act (formation dispensée, littératie assurée) et en défaut sur la consultation CSE — les deux obligations sont indépendantes. Nous détaillons ce cadre dans Consultation du CSE et déploiement d’IA en entreprise.
Comment prouver qu’on est en conformité ?
L’AI Act n’impose aucun format de formation. Ni durée minimale, ni programme obligatoire, ni certification imposée. Mais l’entreprise doit pouvoir prouver, en cas de contrôle, que ses collaborateurs ont été formés. La traçabilité est donc l’obligation opérationnelle centrale.
Les éléments de preuve à conserver :
- Registre des formations dispensées — dates, publics, thèmes, formateur, format.
- Feuilles d’émargement des sessions présentielles ou visioconférence.
- Supports pédagogiques utilisés — slides, mémos, fiches pratiques, éventuellement chartes.
- Attestations individuelles de formation délivrées à chaque participant.
- Charte d’usage IA signée par les collaborateurs concernés (2 à 4 pages suffisent).
- Suivi des recyclages — l’IA évolue vite, un recyclage annuel ou biennal est raisonnable.
Bonne nouvelle : ces livrables recoupent exactement ce qu’un organisme certifié Qualiopi produit dans le cadre normal de ses formations. Convention de formation, programme détaillé, feuille d’émargement, attestation individuelle sont des livrables Qualiopi standard. La formation via un organisme Qualiopi apporte donc nativement les éléments de preuve requis par l’article 4.
Comment se mettre en conformité : la méthode Sowaycom en 3 niveaux
Sowaycom propose une approche adaptée aux 3 grands profils d’utilisateurs IA en entreprise. La segmentation est utile pour éviter deux écueils fréquents : (1) former « tout le monde de la même façon » (inefficace et coûteux), (2) ne former que les techniques (impossible à défendre en contrôle).
Niveau 1 — Utilisateur occasionnel
Cible : la majorité des collaborateurs — ceux qui utilisent l’IA quelques fois par semaine, sur des cas d’usage ponctuels (rédaction d’un email, résumé d’un document, brainstorming).
Objectifs de littératie : comprendre ce qu’est l’IA générative, ce qu’elle peut faire, ce qu’elle ne fait pas, les risques principaux (hallucinations, données confidentielles, biais), les bonnes pratiques d’usage courant.
Format Sowaycom : sensibilisation courte de 2 à 3 heures, format e-learning éligible + charte d’usage IA à signer. Adapté à un déploiement de masse (100 à plusieurs milliers de collaborateurs).
Niveau 2 — Utilisateur métier
Cible : les fonctions qui utilisent l’IA au quotidien — marketing, commerciaux, RH, achats, communication, support client, dirigeants opérationnels.
Objectifs de littératie : maîtrise du prompt engineering, cas d’usage métier prioritaires, cadre sécurité et RGPD spécifique, plan d’action personnel 30/60/90 jours.
Format Sowaycom : formation 1 journée sur un outil (ChatGPT, Claude, Gemini, NotebookLM…) ou par métier (marketing, RH, commerciaux, achats…). C’est le cœur du catalogue Sowaycom. Finançable OPCO. Attestation individuelle délivrée.
Niveau 3 — Super-utilisateur / décideur
Cible : dirigeants, chefs de projet IA, responsables de la gouvernance IA, DPO, référents IA internes.
Objectifs de littératie : cadre AI Act détaillé, gouvernance IA en entreprise, choix des outils par cas d’usage, déploiement à l’échelle, mesure du ROI, éthique et anticipation des risques.
Format Sowaycom : formation approfondie 2 journées (par exemple Formation IA Dirigeants, Formation Data Marketing IA ou formation sur-mesure). Finançable OPCO.
Chaque niveau livre les documents de preuve (attestations, émargements, supports, charte) qui répondent à l’exigence de traçabilité de l’article 4.
Ce qu’il faut faire d’ici le 2 août 2026
Il reste environ six mois avant l’activation des sanctions. Voici la checklist opérationnelle Sowaycom :
- Cartographier les usages IA de vos collaborateurs — déjà là ? attendus ? interdits ? Une simple enquête interne de 5 questions suffit à démarrer.
- Segmenter en 3 niveaux — utilisateur occasionnel, utilisateur métier, super-utilisateur / décideur. Un tableau Excel ou une base Notion suffit.
- Consulter le CSE (si votre entreprise a 50 salariés ou plus) — obligation distincte du droit du travail français, applicable dès la phase d’expérimentation IA. Voir notre article Consultation du CSE et déploiement d’IA pour le détail du cadre juridique et les livrables à produire.
- Rédiger une charte d’usage IA — 2 à 4 pages qui couvrent : outils autorisés / interdits, types de données admissibles ou non, obligation de vérification, référent IA interne, sanctions internes. La charte est signée par chaque collaborateur concerné.
- Planifier les formations selon chaque niveau — sur les 6 mois qui viennent, ou dès que l’année budgétaire le permet.
- Archiver les preuves — registre, émargements, supports, attestations, chartes signées, procès-verbaux de consultation CSE. Bien conservés dans votre GED ou un dossier dédié.
Sowaycom vous accompagne sur les points 2 à 5. Nous sommes certifiés Qualiopi et nos formations produisent nativement les preuves requises. Nous fournissons également un template de charte d’usage IA aux stagiaires, adaptable à votre organisation.
Note importante : la conformité à l’article 4 n’est pas qu’une contrainte réglementaire. C’est aussi un moyen de sécuriser vos usages IA au quotidien — réduire les risques d’hallucinations mal détectées, cadrer les données que les collaborateurs saisissent dans les outils, éviter les incidents de fuites de données confidentielles.
Aller plus loin
- Formation IA générative — pivot du catalogue Sowaycom : les 3 formats (inter, intra, e-learning), les 11 métiers, les 9 outils, la méthode Sowaycom.
- Formation ChatGPT — programme, tarif, OPCO : la formation cœur du niveau 2, adaptée métier par métier.
- Formation Claude AI : rigueur documentaire, mode Cowork, analyse de dossiers longs.
- ChatGPT en entreprise : ce que dit le RGPD : le cadre RGPD complémentaire à l’AI Act.
- Former ses équipes à ChatGPT : par où commencer : la méthode en 5 étapes pour un déploiement réussi.
- Contact Sowaycom : devis conformité AI Act sous 48 h ouvrées, dossier OPCO préparé avec vous.
Article rédigé par Sylvain Gillet — Sowaycom, organisme de formation IA générative certifié Qualiopi. Éditorial de veille réglementaire, actualisé au fil des évolutions du cadre AI Act et des décisions des autorités nationales (CNIL en France). Cet article ne constitue pas un conseil juridique ; pour un audit de conformité formel, faites appel à votre DPO, à un juriste spécialisé ou à un cabinet d’avocats.
Références utiles : Règlement (UE) 2024/1689 sur l’intelligence artificielle (EUR-Lex), publications de la CNIL sur l’IA générative.