Synthèse mise à jour le 6 juillet 2026.

Lorsqu'une entreprise utilise l'intelligence artificielle, l'AI Act ne lui demande pas de transformer tous ses salariés en ingénieurs. Il lui demande surtout d'organiser une maîtrise de l'IA proportionnée aux usages réels : connaître l'outil employé, comprendre ses limites, identifier les données qu'on peut lui confier et savoir quand un contrôle humain est indispensable.

Cette idée simple a une conséquence importante : une formation générale identique pour toute l'entreprise ne suffit pas nécessairement. La personne qui reformule un courriel, celle qui présélectionne des candidatures et celle qui surveille un dispositif médical assisté par IA n'ont ni les mêmes besoins ni les mêmes responsabilités.

À retenir : la compétence attendue dépend moins du titre du poste que de la tâche confiée à l'IA, de ses risques et des personnes susceptibles d'en subir les effets.

Ce que dit l'article 4 de l'AI Act

Dans sa version initiale, applicable depuis le 2 février 2025, l'article 4 du règlement européen 2024/1689 demande aux fournisseurs et aux déployeurs de systèmes d'IA de prendre des mesures afin de garantir, « dans toute la mesure du possible », un niveau suffisant de maîtrise de l'IA.

Le texte vise le personnel, mais aussi les autres personnes qui utilisent ou exploitent un système pour le compte de l'organisation : selon les situations, cela peut inclure un prestataire ou un sous-traitant.

Quatre éléments doivent guider les mesures prises :

  • les connaissances techniques de la personne ;
  • son expérience, son éducation et sa formation ;
  • le contexte dans lequel le système est utilisé ;
  • les personnes ou groupes de personnes sur lesquels son utilisation peut avoir un effet.

L'article 3 définit la maîtrise de l'IA comme les compétences, connaissances et compréhension permettant un déploiement éclairé, ainsi qu'une conscience des possibilités, des risques et des préjudices possibles. Il ne s'agit donc pas seulement de savoir écrire un prompt. Il faut aussi savoir interpréter, vérifier, refuser ou interrompre l'usage de l'outil lorsque la situation l'exige.

Pas de diplôme universel, de certificat obligatoire ni de test pour tous

La foire aux questions de la Commission européenne précise les limites de l'obligation :

  • il n'existe pas de programme unique valable pour toutes les organisations ;
  • l'article 4 n'impose pas de mesurer formellement les connaissances de chaque salarié ;
  • aucun certificat particulier n'est requis ;
  • aucun poste de « responsable IA » ni comité de gouvernance spécifique n'est imposé par cet article ;
  • une organisation peut conserver un registre interne des formations, consignes et autres actions réalisées.

La formation est un moyen, pas une fin en soi. Une démonstration pratique, un guide interne, une charte d'usage, des cas d'essai, des rappels intégrés dans l'outil ou un accompagnement par un référent peuvent être pertinents. En revanche, demander simplement de lire une notice risque d'être insuffisant, notamment pour un système à haut risque.

Le bon niveau de compétence dépend du cas d'usage

La méthode la plus solide consiste à partir de la décision ou de l'action assistée par l'IA.

Usage Compétences minimales à organiser Niveau de vigilance
Reformuler un courriel ou traduire un texte Ne pas saisir d'information confidentielle ; repérer une hallucination ; relire avant envoi Courant
Produire un article, une image ou une présentation Vérifier les faits et les sources ; contrôler les droits ; signaler l'origine artificielle lorsque nécessaire Courant à renforcé
Générer du code Tester le résultat ; rechercher les vulnérabilités ; vérifier les dépendances, licences et secrets exposés Renforcé
Trier des CV, évaluer un salarié ou décider d'un crédit Comprendre les biais ; connaître les critères interdits ; assurer une supervision humaine réelle et une voie de recours Élevé
Aider à un diagnostic ou piloter un système industriel Maîtriser les limites, procédures d'incident, seuils d'arrêt et responsabilités métier Très élevé
Développer ou intégrer un système d'IA Documenter les données, performances, limites, sécurité, surveillance et changements de version Spécialisé

Le cas de ChatGPT est révélateur. La Commission indique qu'une entreprise dont les salariés l'utilisent pour rédiger des publicités ou traduire des textes reste concernée. À ce niveau, la compétence attendue porte notamment sur les hallucinations, la confidentialité et la validation humaine. Il n'est pas nécessaire de connaître les mathématiques d'un réseau neuronal ; il est nécessaire de ne pas traiter une réponse plausible comme une vérité.

La CNIL formule une recommandation comparable : familiariser les utilisateurs avec le fonctionnement et les limites de l'outil, encadrer les usages autorisés et interdits, ne transmettre que les informations que l'on est autorisé à partager et contrôler l'exactitude, le plagiat et les biais des résultats.

Une démarche praticable en cinq étapes

1. Inventorier les usages, y compris les usages informels

Il faut recenser les outils fournis par l'organisation, mais aussi ceux que les équipes utilisent déjà de leur propre initiative. L'enjeu n'est pas seulement de dresser une liste de logiciels : il faut associer chaque outil à une tâche, à des données et à une décision éventuelle.

Outil IA -> tâche -> données saisies -> résultat produit -> décision prise -> personnes affectées

Cette chaîne permet de voir qu'un même assistant peut être peu sensible pour résumer un texte public et beaucoup plus risqué s'il reçoit un dossier médical, un contrat confidentiel ou les données de candidats.

2. Définir les profils de compétence

Une base commune peut couvrir le fonctionnement général de l'IA, ses limites, la confidentialité, les hallucinations et les règles internes. Elle doit ensuite être complétée selon les rôles : utilisateur occasionnel, utilisateur métier, valideur humain, administrateur, acheteur, développeur ou responsable de conformité.

Le cadre européen DigComp 3.0 peut servir de grille de départ. Il décrit les compétences comme une combinaison de connaissances, de savoir-faire et d'attitudes, avec des niveaux allant du plus élémentaire au plus avancé.

3. Former sur des situations réelles

Une sensibilisation devient utile lorsqu'elle fait travailler l'utilisateur sur ce qu'il rencontre vraiment : une fausse source, une donnée confidentielle dans un prompt, une réponse biaisée, une consigne ambiguë ou un résultat qui doit être refusé.

Pour les usages sensibles, l'organisation peut ajouter des cas pratiques, un seuil de réussite, une habilitation ou une supervision initiale. Le guide conjoint HAS-CNIL de février 2026 illustre cette gradation dans le domaine de la santé : socle général pour tous, formation approfondie des profils clés et formation spécifique préalable des utilisateurs du système.

4. Mettre les règles au point d'utilisation

Une politique stockée dans un dossier partagé sera vite oubliée. Les règles essentielles doivent apparaître là où l'action se produit : avertissement avant de saisir une donnée, modèle de prompt approuvé, liste des usages interdits, bouton de signalement, contrôle obligatoire avant diffusion ou procédure d'escalade en cas de doute.

5. Conserver des preuves et réviser le dispositif

Il est utile de dater l'inventaire, les supports, les participants, les consignes et les mises à jour. Cette traçabilité ne doit pas devenir une collection de certificats sans rapport avec le travail. Elle doit montrer que l'organisation a identifié les risques, choisi des mesures cohérentes et les a adaptées lorsque l'outil ou l'usage a changé.

Ce qui change après le Digital Omnibus de juin 2026

Le cadre est en cours d'évolution. Le 29 juin 2026, le Conseil de l'Union européenne a donné son feu vert définitif au Digital Omnibus sur l'IA, après l'adoption du texte par le Parlement européen le 16 juin.

Au 6 juillet 2026, le règlement modificatif est adopté mais n'est pas encore publié au Journal officiel de l'Union européenne. Il entrera en vigueur le troisième jour suivant cette publication. Jusque-là, la rédaction initiale de l'article 4 reste la référence applicable.

Le texte définitivement adopté, PE-CONS 30/26, apporte une nuance décisive. Le nouvel article 4 demandera aux fournisseurs et déployeurs de prendre des mesures pour soutenir le développement de la maîtrise de l'IA de leur personnel. Il précisera que cette obligation ne les contraint pas à garantir un niveau déterminé pour une personne donnée.

La logique reste donc celle d'une action adaptée au contexte, mais l'obligation de résultat est explicitement écartée. Cela ne signifie pas qu'une entreprise peut ne rien faire : elle doit toujours pouvoir expliquer comment elle soutient les compétences nécessaires. Pour les systèmes à haut risque, les exigences spécifiques de formation et de supervision humaine demeurent par ailleurs applicables selon les dispositions concernées.

Régulation ou censure : ce que demande réellement l'Union européenne

Le mot « censure » mélange plusieurs mécanismes différents. L'AI Act ne donne pas à l'Union européenne le pouvoir de définir une liste générale d'opinions qu'une IA serait autorisée à exprimer. Il encadre surtout les usages susceptibles de causer des préjudices graves, la transparence des contenus et la gestion des risques.

L'article 5 de l'AI Act interdit notamment certaines techniques de manipulation, l'exploitation de personnes vulnérables, la notation sociale, la constitution non ciblée de bases de reconnaissance faciale, certaines formes de reconnaissance des émotions et de catégorisation biométrique, ainsi que certains usages policiers prédictifs ou biométriques. Le Digital Omnibus adopté le 29 juin 2026 ajoute l'interdiction des systèmes destinés à produire des contenus sexuels non consentis ou des contenus pédocriminels.

Pour les contenus licites, la logique européenne est d'abord celle de la transparence. À partir de l'application de l'article 50, certains contenus artificiels devront être identifiables et les deepfakes ou textes générés pour informer le public sur une question d'intérêt général devront être signalés. Une exception est prévue lorsqu'un texte a fait l'objet d'une révision humaine ou d'un contrôle éditorial et qu'une personne en assume la responsabilité. Les œuvres manifestement artistiques, créatives, satiriques ou fictives bénéficient également d'un régime adapté qui ne doit pas empêcher leur présentation. La Commission a publié un code de bonnes pratiques sur l'étiquetage des contenus générés par l'IA.

Les fournisseurs des modèles généralistes les plus puissants doivent par ailleurs évaluer et réduire leurs risques systémiques : détournement cyber, risques biologiques ou chimiques, manipulation à grande échelle, diffusion de contenus illégaux ou atteintes aux processus démocratiques. Ces obligations peuvent conduire les fournisseurs à installer des filtres et des mécanismes de refus. Toutefois, l'AI Act impose une gestion documentée des risques, pas une liste européenne universelle de réponses ou d'idées interdites.

Enfin, la modération opérée par les réseaux sociaux et les grandes plateformes relève principalement du Digital Services Act. Celui-ci organise le traitement des contenus déjà déclarés illégaux par d'autres lois, impose de justifier les décisions de retrait et prévoit des voies de recours. Il interdit également d'imposer aux plateformes une obligation générale de surveillance. Cette distinction est essentielle : réglementer un usage dangereux, exiger un étiquetage ou retirer un contenu illégal ne revient pas à interdire toute expression critique ou controversée.

L'Union européenne ne demande donc pas à l'IA de décider ce qui est moralement acceptable. Elle interdit certains usages causant des préjudices graves, impose la transparence et oblige les acteurs humains à organiser des garde-fous. La responsabilité finale reste humaine.

L'IA augmente les capacités humaines, elle ne porte pas la responsabilité

Une IA peut analyser rapidement un grand volume d'informations, proposer des pistes et automatiser certaines tâches. Mais elle ne possède ni conscience morale, ni jugement éthique propre, ni responsabilité juridique. Elle produit un résultat à partir de données et d'instructions, sans pouvoir en assumer les conséquences.

C'est pourquoi l'humain ne peut pas être simplement remplacé dès qu'une décision affecte une personne, un droit, une sécurité ou une responsabilité professionnelle. Il doit conserver la capacité de comprendre le contexte, de remettre en cause la réponse, de décider et de répondre de la décision prise.

Le modèle efficace n'est pas l'IA seule, mais le binôme humain–IA : la machine augmente les capacités d'analyse et d'action ; l'humain apporte le discernement, l'éthique et la responsabilité.

Cette complémentarité explique aussi l'importance de la maîtrise de l'IA : plus l'outil donne de puissance à son utilisateur, plus celui-ci doit savoir en reconnaître les limites et contrôler ses résultats.

L'essentiel n'est pas de former plus, mais de former juste

Une heure de sensibilisation générale peut suffire pour comprendre qu'un assistant conversationnel hallucine. Elle ne suffit pas pour confier à cet assistant une présélection de candidats, un avis clinique ou une commande industrielle.

La question utile n'est donc pas : « Avons-nous formé tout le monde ? » Elle est plus précise :

Chaque personne dispose-t-elle des connaissances et des réflexes adaptés à ce qu'elle fait réellement avec l'IA, aux données qu'elle manipule et aux conséquences possibles ?

C'est à ce niveau que l'AI Act devient concret : inventaire des usages, compétence proportionnée, contrôle humain, règles accessibles, preuves simples et mise à jour régulière.

FAQ

L'AI Act impose-t-il une formation certifiante à tous les salariés ?
Non. Aucun format unique, certificat ou test général n'est imposé. Les mesures doivent être adaptées aux connaissances des personnes, aux systèmes utilisés, au contexte et aux risques.

Utiliser ChatGPT uniquement pour rédiger ou traduire est-il concerné ?
Oui. La Commission cite explicitement ce cas : les utilisateurs doivent notamment connaître le risque d'hallucination et savoir contrôler les données saisies et les résultats produits.

Que change le Digital Omnibus adopté en juin 2026 ?
Le nouveau texte demande de soutenir le développement de la maîtrise de l'IA, mais précise qu'il ne faut pas garantir un niveau déterminé pour chaque personne. Au 6 juillet 2026, il attend encore sa publication au Journal officiel pour entrer en vigueur.

Une charte IA suffit-elle ?
Pas toujours. Une charte constitue une trace utile, mais elle doit être complétée par des consignes, démonstrations ou formations lorsque le risque et la complexité de l'usage l'exigent.


Synthèse SynapxLab arrêtée au 6 juillet 2026. Le calendrier réglementaire doit être revérifié après la publication du Digital Omnibus au Journal officiel de l'Union européenne.