Article 4, littératie IA et obligation de formation : le faux répit pour les CDO
Le report de l’application complète des exigences relatives aux systèmes à haut risque à décembre 2027 a fait baisser la garde dans plus d’une entreprise. Pourtant, l’Article 4 du règlement (UE) 2024/1689 du Parlement européen et du Conseil relatif à l’intelligence artificielle (AI Act) est déjà en vigueur et consacre la littératie en IA comme obligation transversale pour tous les déployeurs de systèmes d’intelligence artificielle. Dès qu’un collaborateur utilise des outils de type ChatGPT, Claude ou Copilot, même pour un usage ponctuel, l’entreprise devient déployeur de systèmes et doit pouvoir démontrer un niveau suffisant de compétences en IA pour les personnels exposés.
Le texte ne prévoit aucun seuil de taille d’entreprise et ne distingue pas les usages exploratoires des usages en production. Pour un Chief Digital Officer, cela signifie que les systèmes d’IA générative utilisés en back office, les modèles d’usage intégrés dans les CRM ou les copilotes bureautiques déclenchent les mêmes obligations de formation, de documentation technique et de gouvernance que des projets plus visibles. Juridiquement, le « déployeur » est l’acteur qui met un système d’IA à disposition ou l’intègre dans ses processus, y compris lorsqu’il s’agit d’un service tiers fourni en mode SaaS ou via une API. Les autorités nationales de contrôle, désignées comme autorités de surveillance du marché, pourront exiger à tout moment un registre des personnels, une évaluation des compétences, un plan de formation annuel et les matériaux pédagogiques associés pour vérifier la conformité à l’AI Act, en cohérence avec les lignes directrices publiées par la Commission européenne et les autorités comme la CNIL.
Les sanctions prévues par le règlement peuvent atteindre jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial en cas de manquement caractérisé aux obligations, y compris celles liées à la formation et à la gouvernance des systèmes d’IA. Pour un groupe réalisant 3 milliards d’euros de chiffre d’affaires, un plafond de 3 % représente jusqu’à 90 millions d’euros, bien au-delà du budget de tout programme de formation structuré. À l’inverse, un dispositif de littératie IA correctement dimensionné coûte généralement quelques centaines de milliers d’euros sur plusieurs années, ce qui illustre le rapport coût/risque. À titre d’ordre de grandeur, un plan de formation couvrant 1 000 collaborateurs avec des modules de base, des ateliers métiers et un parcours avancé pour 50 décideurs peut représenter entre 250 000 et 400 000 euros sur trois ans. Le report des exigences détaillées pour les systèmes à haut risque ne modifie pas ces obligations de montée en compétences, ni l’interdiction de certaines pratiques prohibées, qui restent pleinement applicables aux usages quotidiens de l’intelligence artificielle dans les entreprises françaises.
Structurer la littératie IA comme un dispositif de conformité, pas comme un MOOC de plus
Les CDO qui traitent la littératie IA et l’obligation de formation issue de l’AI Act comme un simple sujet RH passeront à côté de l’enjeu de conformité. L’Article 4 impose un dispositif structuré de formation avec trois niveaux : sensibilisation pour les usages occasionnels, formation approfondie pour les utilisateurs réguliers, certification pour les décideurs et super utilisateurs qui pilotent les systèmes à risque ou les cas d’usage sensibles. Dans ce cadre, l’entreprise doit articuler un organisme de formation interne ou externe, des contenus pédagogiques adaptés aux métiers et une documentation technique qui relie clairement les usages d’IA aux processus métiers et aux risques associés, y compris en matière de protection des données et de non-discrimination.
Concrètement, les déployeurs de systèmes doivent pouvoir démontrer que chaque population a reçu une formation proportionnée au risque, avec des attestations individuelles, une traçabilité des sessions et une évaluation des acquis. Un organisme certifié Qualiopi ou un organisme de formation certifié Qualiopi peut sécuriser la partie exécution, mais la responsabilité de la conformité à l’AI Act reste chez les fournisseurs déployeurs et les déployeurs de systèmes internes. Un modèle d’attestation peut par exemple comporter l’intitulé du module, la durée, la date, le nom du formateur, le format (présentiel ou distanciel), le score obtenu à l’évaluation finale et le niveau de maîtrise attendu. Les CDO ont intérêt à travailler avec leur direction juridique sur une charte d’usage de l’intelligence artificielle, intégrant les pratiques interdites, les règles de gestion des données et les obligations de documentation imposées par le règlement européen, en s’appuyant sur les communications officielles de la CNIL pour les systèmes RH et les algorithmes de scoring.
Le financement OPCO peut absorber une partie significative du coût de la montée en compétences, à condition de structurer un plan de formation pluriannuel aligné sur les usages réels des outils d’IA. Les programmes qui combinent ateliers sur les usages de ChatGPT et Copilot, cas d’usage métiers et analyse de systèmes à risque obtiennent de meilleurs taux d’adoption que les modules théoriques déconnectés des enjeux opérationnels. Pour cadrer ce chantier, de nombreux CDO s’appuient sur des méthodes de veille structurée, comme la démarche en quatre horizons décrite dans l’analyse sur la veille technologique pour CDO, afin de distinguer les effets de mode des signaux réglementaires forts. Un socle minimal de dispositif peut inclure :
- un référentiel de rôles exposés (utilisateurs occasionnels, réguliers, décideurs) ;
- un catalogue de modules de formation IA reliés aux risques identifiés ;
- un modèle d’attestation mentionnant l’intitulé du module, la durée, la date, le formateur et le niveau de maîtrise attendu.
Registre, preuves et contrôles : ce que les autorités pourront exiger dès le 2 août
À partir du 2 août, les autorités nationales de supervision de l’AI Act pourront contrôler la mise en œuvre de la littératie IA et des obligations de formation au même titre que les autres volets de conformité. Les CDO doivent donc anticiper des demandes de preuves portant sur le registre des personnels exposés aux systèmes d’IA, la cartographie des usages, les évaluations de risque et la cohérence entre les formations suivies et les responsabilités effectives. Les systèmes à risque, même en dehors de l’annexe haut risque, comme les outils de tri de CV ou les modèles d’usage pour la notation interne, seront particulièrement scrutés, dans la lignée des signaux envoyés par la CNIL sur les systèmes RH et les algorithmes de recrutement.
Un dispositif robuste repose sur une documentation technique à jour, une gouvernance claire entre fournisseurs et déployeurs et une articulation précise avec le règlement européen sur les pratiques interdites. Les CDO doivent s’assurer que les contrats avec les fournisseurs d’outils d’intelligence artificielle prévoient l’accès aux informations nécessaires pour l’évaluation des risques, la gestion des données et la conformité à l’AI Act, y compris pour les systèmes de risque intermédiaire. Les équipes doivent aussi intégrer les recommandations opérationnelles détaillées dans la check-list haut risque publiée pour l’AI Act, accessible via la ressource dédiée à la préparation à l’échéance d’août, même si leurs cas d’usage actuels ne relèvent pas encore du haut risque. Un schéma minimal de registre peut par exemple comporter :
- l’identification du collaborateur (fonction, entité, pays) ;
- les systèmes d’IA utilisés (type d’outil, fournisseur, finalité) ;
- le niveau de risque associé et les modules de formation suivis avec dates et résultats.
Les contrôles porteront enfin sur la cohérence entre les chiffres d’affaires, les budgets de formation et le niveau de risque déclaré, notamment pour les groupes affichant plusieurs centaines de millions d’euros de chiffre d’affaires annuel. Une entreprise qui revendique une stratégie IA ambitieuse, avec des systèmes déployés dans plusieurs pays et un chiffre d’affaires en forte croissance, mais qui ne consacre que quelques dizaines de milliers d’euros au financement OPCO et à la montée en compétences, enverra un signal négatif aux régulateurs. À l’inverse, une société de 500 millions d’euros de chiffre d’affaires qui investit 0,5 % de sa masse salariale dans la formation IA, documente ses plans et suit les recommandations de la CNIL sur les systèmes RH pourra démontrer un effort proportionné. Pour les CDO, l’enjeu n’est plus de lancer un POC de plus, mais de prouver que la littératie IA est devenue un actif organisationnel mesurable, piloté et aligné sur les risques concrets des usages d’intelligence artificielle dans l’entreprise, y compris pour les systèmes RH ciblés par la CNIL comme expliqué dans l’analyse sur les systèmes RH et les outils de tri de CV.
Références
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil relatif à l’intelligence artificielle (AI Act), notamment l’Article 4 sur la littératie en IA et les obligations de formation, tel que publié au Journal officiel de l’Union européenne.
- Commission européenne, documents de travail et lignes directrices sur la mise en œuvre nationale de l’AI Act et la désignation des autorités de surveillance du marché, incluant les précisions sur le rôle des déployeurs de systèmes d’IA.
- CNIL, communications officielles sur les systèmes d’IA en ressources humaines, la régulation des algorithmes et les recommandations en matière de transparence, de non-discrimination et de gouvernance des traitements automatisés.