AI Act : report des systèmes à haut risque, maintien des obligations de literacy
L’accord politique dit « digital omnibus » sur l’AI Act, entériné par le Parlement européen et le Conseil le 13 mars 2024 (texte commun provisoire) puis précisé par un compromis technique du 7 mai 2024, réorganise le calendrier des obligations pour les entreprises européennes. Les systèmes d’intelligence artificielle classés à haut risque dans l’annexe III du règlement voient leurs exigences applicables repoussées, mais l’article 4 sur la formation et l’information des utilisateurs reste pleinement en vigueur. Pour un responsable formation, ce décalage crée un nouveau niveau de risque qui ne doit pas être sous-estimé, car les usages se déploient plus vite que les cadres de conformité et que les normes harmonisées attendues.
Le texte adopté politiquement par le Parlement européen et le Conseil le 13 mars 2024, puis ajusté par le compromis technique du 7 mai 2024 entre les institutions européennes, acte que les systèmes de gestion RH, d’éducation ou de crédit, considérés comme systèmes de risque élevé au sens de l’annexe III, ne seront soumis aux exigences complètes de conformité qu’à une date ultérieure fixée par ce compromis. Ce report vise à laisser le temps d’élaborer des normes harmonisées et des lignes directrices détaillées, mais il ne suspend ni le principe de mise en conformité progressive ni les sanctions prévues par le règlement, qui peuvent atteindre jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial selon la gravité des manquements. Les entreprises qui déploient déjà des modèles d’IA générative comme ChatGPT, Copilot ou Claude restent donc pleinement responsables de l’usage qui en est fait par leurs salariés, y compris pour les systèmes susceptibles d’être ultérieurement qualifiés de haut risque.
Le cœur de l’AI Act repose sur une approche par risques, avec quatre catégories allant du risque inacceptable au risque limité, puis au risque élevé et au risque minimal. Les systèmes présentant un risque systémique ou un risque de systèmes à impact large sur le marché sont encadrés plus strictement, notamment pour les fournisseurs de modèles de base. En parallèle, l’article 4 impose à toute entreprise européenne qui met ces modèles à disposition de ses équipes une formation adaptée, afin de réduire les risques liés aux données, à l’identification biométrique ou à l’application automatique de décisions sensibles ; dans la pratique, les premières recommandations issues des travaux préparatoires de la Commission européenne convergent vers un socle de formation initiale de quelques heures par collaborateur, complété par des mises à jour régulières. Un responsable formation peut ainsi bâtir un mini-échéancier interne : sensibilisation de base à l’IA et aux risques juridiques, module spécifique sur les systèmes de risque élevé visés par l’annexe III, puis sessions de recyclage alignées sur l’entrée en application complète du règlement.
Obligations de formation maintenues : un enjeu de conformité et de financement
Alors que les obligations relatives aux systèmes de risque élevé sont repoussées par le compromis technique du 7 mai 2024, l’obligation de literacy IA de l’article 4 s’applique déjà à toute entreprise qui autorise l’usage d’outils comme ChatGPT, Copilot ou Claude. Le baromètre Lefebvre Dalloz sur les pratiques numériques, publié en 2023, montre pourtant que 54 % des professionnels n’ont reçu aucune formation à l’IA, ce qui crée un écart préoccupant entre la lettre du règlement et la réalité des plans de développement des compétences. Dans ce contexte, l’horizon de mise en œuvre complète des obligations de formation autour de l’AI Act pour les entreprises à l’horizon 2026 devient un repère stratégique pour articuler conformité, pédagogie et financement de la montée en compétences, en particulier pour les métiers exposés aux systèmes de risque élevé listés à l’annexe III.
Les responsables formation doivent intégrer ces obligations applicables dans leurs entretiens professionnels, leurs accords GEPP et leurs plans de développement des compétences, en s’appuyant sur les droits à la formation existants comme le CPF ou les budgets OPCO. La mise en conformité ne se limite pas à une charte d’usage ; elle suppose une documentation technique minimale, des procédures de gestion des risques et une traçabilité des formations suivies par les salariés. Les sanctions prévues par le règlement peuvent atteindre plusieurs millions d’euros ou un pourcentage du chiffre d’affaires mondial, y compris pour des manquements à l’obligation de formation et d’information des utilisateurs, ce qui justifie d’investir quelques centaines d’euros par personne et par an dans des parcours structurés plutôt que de s’exposer à des pénalités massives. Un exemple concret : une entreprise de services de 500 salariés qui déploie un assistant conversationnel pour la relation client peut planifier un budget annuel dédié à la formation IA, documenter les sessions suivies et intégrer un module obligatoire dans le parcours d’intégration des nouveaux collaborateurs pour démontrer sa diligence raisonnable en cas de contrôle.
Les dispositifs de financement de la formation peuvent être mobilisés pour structurer cette montée en compétences, à condition de bien cadrer les objectifs pédagogiques et les usages visés des systèmes d’IA. Un module de sensibilisation aux risques liés aux données personnelles, à l’identification biométrique ou aux biais des modèles d’IA peut par exemple être intégré à un parcours plus large sur la transformation digitale, avec un calendrier de déploiement étalé sur douze à dix-huit mois pour couvrir l’ensemble des populations exposées. Pour approfondir la logique de coûts et d’investissements, un responsable formation peut utilement analyser la structure des budgets présentée dans un article sur la compréhension des tarifs d’une école professionnelle, puis transposer cette grille de lecture aux projets IA en distinguant coûts de conception des modules, temps de formation des salariés et dépenses de mise à jour liées aux évolutions du cadre réglementaire européen.
Priorités opérationnelles pour les responsables formation : cartographie des usages et droits à la formation
La première priorité consiste à cartographier les usages actuels et prévus des systèmes d’IA dans l’entreprise, en distinguant les usages à risque limité, les usages à risque inacceptable et les usages potentiellement classés à haut risque par le règlement européen. Cette cartographie doit couvrir les systèmes de risque liés aux ressources humaines, à la relation client, à la production ou à la cybersécurité, en identifiant pour chaque système le niveau de risque et les besoins de formation associés. Les responsables formation peuvent s’appuyer sur les lignes directrices publiées par la Commission européenne pour structurer cette analyse et préparer la mise en conformité, par exemple en priorisant les métiers qui prennent des décisions automatisées à fort impact sur les individus. Une check-list opérationnelle peut inclure : identification des cas d’usage, rattachement à une catégorie de risque, vérification de la présence dans l’annexe III, définition des compétences minimales attendues et planification des sessions de mise à niveau.
Sur cette base, il devient possible de définir des parcours différenciés selon les profils, en mobilisant les droits à la formation existants et les dispositifs de financement adaptés. Les collaborateurs en contact direct avec des modèles d’IA générative auront besoin d’un module spécifique sur les risques de systèmes liés aux données sensibles, aux erreurs de modèle et au risque systémique, tandis que les managers devront être formés à l’évaluation des risques et à la documentation technique minimale exigée par le règlement. Les responsables formation peuvent aussi intégrer ces enjeux dans les entretiens professionnels, en s’appuyant sur une check list d’entretien professionnel pour rester en conformité et relier les projets IA aux parcours de carrière, en prévoyant par exemple une actualisation annuelle des compétences numériques clés. Dans une entreprise industrielle, cela peut se traduire par un parcours de trois niveaux : sensibilisation générale pour tous, formation approfondie pour les équipes projet IA et module de pilotage des risques pour les managers impliqués dans les décisions automatisées.
Enfin, la gouvernance de la formation IA doit être pensée comme un processus continu, avec des mises à jour régulières des contenus au fil des évolutions du marché, des modèles et des lignes directrices européennes. Les entreprises qui anticipent ces obligations de formation, plutôt que d’attendre la pleine application des règles sur les systèmes de risque élevé, réduiront significativement leurs risques juridiques et opérationnels. Elles renforceront aussi la confiance des salariés dans l’usage des systèmes d’IA, condition indispensable pour tirer parti des opportunités offertes par le nouveau cadre européen sur l’intelligence artificielle et les obligations de formation associées à l’AI Act d’ici 2026, tout en démontrant, en cas de contrôle, qu’elles ont pris en compte l’article 4, l’annexe III et le calendrier issu de l’accord politique du 13 mars 2024 et du compromis technique du 7 mai 2024.