Un an d'« obligation de maîtrise de l'IA » : ce que l'article 4 de l'AI Act a changé, ou pas, dans les PME
Il y a un an tout juste, le 2 février 2025, les premières obligations du règlement européen sur l’IA entraient en application. Tout le monde a retenu l’interdiction de certaines pratiques : notation sociale, manipulation exploitant des vulnérabilités. Presque personne n’a retenu l’autre disposition entrée en vigueur le même jour : l’article 4, qui demande aux fournisseurs et aux déployeurs de systèmes d’IA de garantir « un niveau suffisant de maîtrise de l’IA » à leur personnel.
Déployeur, c’est vous. Dès que vos équipes utilisent un assistant IA dans leur travail (et elles l’utilisent, qu’un cadre l’ait décidé ou non), votre organisation entre dans le champ de cette obligation.
Un an après, qu’est-ce qui a changé dans les PME ? D’après ce que j’observe : une charte, et un grand impensé.
Ce que dit le texte, sans dramatiser
Restons factuel. L’article 4 n’exige ni certification, ni programme homologué, ni volume d’heures. Il demande que les personnes qui utilisent des systèmes d’IA pour le compte de l’organisation en aient une maîtrise suffisante, en tenant compte de leur rôle, du contexte d’usage et des personnes concernées par ces systèmes. C’est une obligation souple dans sa forme, réelle dans son principe.
Je précise tout de suite ce que je ne suis pas : juriste. Pour la portée exacte de vos obligations, votre conseil habituel est le bon interlocuteur. Ce que je constate en revanche, sur le terrain, c’est l’écart entre ce que ce texte suppose et ce que les organisations ont réellement mis en place.
Le bilan que j’observe : la charte-alibi
Dans la plupart des PME où le sujet a été traité, il l’a été ainsi : une charte d’usage de l’IA, souvent adaptée d’un modèle trouvé en ligne, diffusée par mail, parfois signée. Et c’est tout.
Une charte n’est pas rien : elle pose des limites, elle protège juridiquement. Mais elle ne produit aucune maîtrise. Savoir qu’il est interdit de coller des données clients dans un outil grand public ne vous apprend ni à reconnaître une réponse hallucinée, ni à évaluer si une tâche se prête à l’IA, ni à formuler une demande qui produise un résultat exploitable. La charte dit « ne faites pas n’importe quoi » ; elle ne dit jamais comment bien faire.
Pendant ce temps, l’usage réel prospère en dehors de tout cadre : les études se succèdent pour montrer qu’une part importante des salariés utilise l’IA sans en informer leur hiérarchie. L’obligation de maîtrise existe, l’usage existe, et entre les deux : rien.
Pourquoi la demi-journée de sensibilisation ne produit rien
La réponse réflexe des organisations mieux intentionnées, c’est la session de sensibilisation : deux heures, un slideshow, les grands concepts, trois démonstrations. J’en ai animé, je sais exactement ce que ça produit : de l’enthousiasme le jour même, et plus rien trois semaines après.
La raison est simple, et elle vaut pour toute formation : une compétence ne s’installe que si elle s’exerce sur les problèmes réels de la personne formée. Une démonstration de ChatGPT sur des exemples génériques ne transfère rien vers le quotidien d’une assistante de gestion, d’un chargé de clientèle ou d’une juriste, vers leurs documents, leurs contraintes, leurs risques spécifiques. La sensibilisation cochera peut-être une case ; elle ne créera pas la maîtrise dont parle le texte, et surtout pas celle dont votre organisation a besoin.
À quoi ressemble une maîtrise réelle
Vingt ans de formation professionnelle, de l’université aux écoles de design, d’OpenClassrooms aux équipes en entreprise, m’ont appris qu’une formation qui tient s’appuie sur trois ancrages.
Les cas d’usage réels des participants. On ne forme pas « à l’IA », on forme des personnes précises à traiter leurs tâches précises : ce courrier type, ce rapport mensuel, cette synthèse de réunion. C’est là que la question de la fiabilité, des limites et de la vérification prend un sens concret.
Les données et les risques de l’entreprise. Quelles informations peuvent alimenter quel outil, lesquelles ne le peuvent jamais, et pourquoi. Ce volet-là relie directement la formation à vos obligations, RGPD compris, au lieu d’en faire un sujet à part.
Un ancrage dans la durée. Une pratique s’installe par répétition accompagnée : des cas travaillés en session, puis repris à distance de quelques semaines, avec un espace pour les questions qui n’émergent qu’à l’usage. C’est moins spectaculaire qu’un grand séminaire de lancement ; c’est ce qui reste.
J’ai construit mes formations sur ce modèle, y compris dans des contextes de transmission à grande échelle comme OpenClassrooms, où la question n’était pas « montrer l’outil » mais rendre des apprenants durablement autonomes.
Honnêteté : la formation n’est pas un talisman
Deux précisions dues. D’abord, former vos équipes ne vous rend pas « conforme à l’AI Act » d’un coup de tampon : le règlement couvre bien d’autres obligations selon ce que vous déployez, et l’analyse juridique de votre situation ne relève pas de moi. Ensuite, si votre usage de l’IA se limite à trois personnes qui reformulent des mails, un programme de formation structuré serait disproportionné ; une session courte et un cadre clair suffisent probablement. Je préfère vous le dire ici que vous le facturer.
Mais si l’IA est en train de s’installer dans vos processus, officiellement ou en douce, l’écart entre la charte signée et la pratique réelle est exactement le genre de dette qui se paie plus tard, au prix fort.
L’anniversaire est une bonne échéance
Un an après l’entrée en application de l’article 4, la question à poser à votre organisation n’est pas « a-t-on une charte ? » mais : si un client, un auditeur ou un régulateur demandait demain comment nos équipes sont formées à l’IA qu’elles utilisent, qu’aurions-nous à montrer ?
Si la réponse tient sur un post-it, parlons-en : une formation ancrée dans vos cas d’usage se construit en quelques semaines, et elle sert votre productivité bien avant de servir votre conformité.