L'AI Act est un règlement européen qui s'applique à tout déployeur d'IA, y compris une entreprise qui utilise simplement ChatGPT, Microsoft Copilot ou encore Claude au quotidien.

Il introduit, parmi d'autres obligations, une exigence très opérationnelle : tous vos collaborateurs qui touchent à un système d'IA doivent atteindre un niveau de maîtrise suffisant.

Concrètement, l'AI Act change la donne sur le terrain bien plus que dans le bureau du juriste. Voici comment.

AI Act : ce que dit le règlement et qui est concerné

L'AI Act, adopté en juin 2024 et entré en vigueur le 1er août 2024, est le premier cadre juridique mondial sur l'intelligence artificielle. Son application est progressive : interdictions des IA à « risque inacceptable » et obligation de maîtrise de l'IA (article 4) en vigueur depuis février 2025, obligations sur les modèles d'IA à usage général depuis août 2025, application complète pour les IA à haut risque au 2 août 2026.

Le règlement classe chaque système d'IA selon son niveau de risque, puis impose des obligations proportionnées : du simple devoir d'information jusqu'au marquage CE (Conformité Européenne) pour les usages les plus sensibles.

Qui est concerné ?

Beaucoup plus d'organisations qu'on ne le pense. Le texte couvre les fournisseurs d'IA (ceux qui développent et commercialisent), mais aussi les déployeurs : toute organisation qui intègre un système d'IA dans son activité. Cela inclut une entreprise française qui utilise un outil RH pour trier des CV, un chatbot pour son service client, ou simplement ChatGPT, Copilot ou Claude au sein de ses équipes. L'application est aussi extraterritoriale : un éditeur américain qui vend une solution IA à des clients européens est lui aussi soumis au règlement.

En France, la CNIL a été désignée autorité nationale de référence pour la surveillance de l'AI Act, aux côtés de la DGCCRF, de l'Arcom et de l'Anssi sur leurs périmètres respectifs.

Les 4 niveaux de risque et ce qu'ils changent pour vos équipes

Le règlement définit quatre niveaux. À chacun correspondent des obligations distinctes.

Risque inacceptable : interdit depuis le 2 février 2025

Ce sont les usages jugés contraires aux droits fondamentaux : scoring social généralisé, exploitation des vulnérabilités, reconnaissance d'émotions au travail ou à l'école, scraping massif d'images faciales. Ces systèmes sont interdits sur le marché européen. Une violation expose à une amende pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

Haut risque : application complète au 2 août 2026

Huit domaines sont visés :

Pour ces systèmes, le fournisseur doit obtenir un marquage CE avant la mise sur le marché de l'IA. Le déployeur, lui, doit mettre en place une gestion des risques, valider la qualité des données, garantir un contrôle humain, et conserver une documentation technique. Sanctions : jusqu'à 15 millions d'euros ou 3 % du CA mondial.

Risque limité : transparence obligatoire

C'est la catégorie qui concerne le plus de cas concrets en entreprise : chatbots, assistants conversationnels, IA générative grand public. L'obligation est simple : informer l'utilisateur qu'il interagit avec une IA ou qu'un contenu a été généré par elle. L'obligation devient pleinement applicable au 2 août 2026, en même temps que le régime de sanctions (jusqu'à 15 millions d'euros ou 3 % du CA mondial en cas de manquement aux obligations de l'article 50).

Risque minime : code de conduite volontaire

Filtres anti-spam, correcteurs orthographiques, IA de jeux vidéo. Pas d'obligation, mais un code de conduite reste recommandé. C'est la catégorie majoritaire des usages actuels.

Article 4 de l'AI Act : l'obligation de formation (AI literacy)

C'est probablement l'aspect le plus sous-estimé du règlement. L'article 4 impose à tout déployeur d'IA une obligation de maîtrise de l'IA (« AI literacy ») : les fournisseurs et les déployeurs doivent prendre des mesures pour garantir un niveau suffisant de maîtrise de l'IA pour leur personnel.

Concrètement, dès qu'un de vos collaborateurs utilise un outil d'IA dans le cadre de son travail, vous êtes tenu de l'avoir formé à un niveau approprié à son usage.

Pourquoi l'AI literacy est un sujet opérationnel, pas juridique

L'article 4 ne se traite pas avec une note de service. Il se traite avec un programme d'acculturation réel, ancré dans les usages métiers. Trois raisons :

Cartographier les usages réels avant tout

Beaucoup d'entreprises découvriront, en faisant l'exercice, qu'elles ont déjà des dizaines d'usages d'IA dans leurs équipes, souvent sous forme de Shadow AI (outils utilisés sans validation de la DSI). La première étape de conformité n'est pas une formation : c'est une cartographie des outils, des cas d'usage et des collaborateurs concernés, métier par métier.

Former par cas concrets, pas par catalogue

Une formation IA qui fonctionne part des irritants quotidiens des équipes (relire un contrat, préparer une réponse à un appel d'offres, traiter un mail récurrent), pas du catalogue de fonctionnalités d'un outil.

C'est précisément l'approche que nous décrivons dans notre guide complet pour réussir l'adoption de l'IA en entreprise : partir du terrain, identifier les cas concrets, former par la pratique, mesurer les gains.

Conclusion

Les entreprises qui prendront l'AI Act au sérieux ne se contenteront pas d'éviter les sanctions : elles ressortiront avec une cartographie de leurs usages IA, des équipes acculturées, et des cas d'usage concrets déjà identifiés.

L'AI Act n'est pas une contrainte. C'est une mise au niveau collective.

Transformer l'obligation de l'article 4 en levier d'adoption IA

Vous voulez aller plus loin que la conformité et faire de l'AI Act un accélérateur ? Découvrez comment Teamstarter accompagne vos équipes : cartographie des usages IA, formation par cas concrets, mesure des gains.