L'Article 4 impose la maîtrise de l'IA pour l'ensemble du personnel. L'Article 50 impose la transparence lorsque des personnes interagissent avec l'IA. Les deux sont déjà applicables — voici exactement ce qu'il faut faire, avec des listes de contrôle, des cadres de formation et des calendriers de mise en œuvre.
La surveillance et l'application de l'Article 4 par les autorités nationales de surveillance du marché débutent le 2 août 2026.
L'EU AI Act comporte 113 articles et des dizaines d'annexes. La majeure partie de l'attention se porte sur les systèmes d'IA à haut risque relevant de l'Annex III, qui disposent désormais jusqu'à décembre 2027 pour se mettre en conformité. Mais deux articles sont déjà applicables et concernent toute organisation utilisant l'IA — pas seulement celles qui développent des systèmes à haut risque.
L'Article 4 (maîtrise de l'IA) et l'Article 50 (transparence) s'appliquent à toute entreprise qui utilise ChatGPT pour rédiger des e-mails, déploie un chatbot pour le service client, génère des images marketing avec l'IA, ou utilise des outils de recrutement basés sur l'IA. Si votre organisation touche à l'IA de quelque manière que ce soit, ces deux articles vous concernent.
Contrairement aux obligations de l'Annex III, il n'existe aucune exemption liée à la taille et aucun report possible. Et les sanctions en cas de non-conformité sont considérables : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial par article.
Ce que dit l'Article 4 : « Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour garantir, dans la mesure du possible, un niveau suffisant de maîtrise de l'IA de leur personnel et des autres personnes chargées de l'exploitation et de l'utilisation des systèmes d'IA pour leur compte, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, ainsi que du contexte dans lequel les systèmes d'IA doivent être utilisés, et en tenant compte des personnes ou groupes de personnes sur lesquels les systèmes d'IA doivent être utilisés. »
À toute organisation qui fournit ou déploie des systèmes d'IA. Il n'existe aucune exemption liée à la taille. Une start-up de cinq personnes utilisant ChatGPT pour le support client est un « déployeur » au sens du règlement. Une multinationale entraînant son propre modèle de langage est un « fournisseur ». Toutes deux doivent garantir que leur personnel dispose d'une maîtrise suffisante de l'IA.
Le règlement évite volontairement d'imposer des programmes de formation spécifiques. Il exige plutôt de prendre en compte cinq facteurs lors de la conception de votre approche :
| Facteur | Ce qu'il faut évaluer |
|---|---|
| Connaissances techniques | Que savent déjà vos collaborateurs sur l'IA ? Les ingénieurs ont besoin d'une formation différente de celle des commerciaux. |
| Expérience | Le personnel a-t-il déjà utilisé des outils d'IA ? Les nouveaux utilisateurs ont besoin de concepts fondamentaux. |
| Éducation et formation | Quel niveau d'éducation formelle le personnel possède-t-il ? Cela détermine la profondeur et le langage appropriés. |
| Contexte d'utilisation | Comment l'IA est-elle utilisée dans votre organisation ? L'IA orientée client requiert une sensibilisation différente de l'analyse interne. |
| Personnes concernées | Qui est affecté par les décisions de l'IA ? Le personnel prenant des décisions de recrutement assistées par IA a besoin d'une formation plus approfondie que celui utilisant l'IA pour la correction orthographique. |
Sur la base de ces facteurs, une approche proportionnée pour la plupart des organisations suit trois niveaux :
| Niveau | Qui | Durée | Sujets principaux |
|---|---|---|---|
| Niveau 1 : Sensibilisation | Tout le personnel utilisant des outils d'IA à quelque titre que ce soit | 2 à 3 heures | Ce qu'est et n'est pas l'IA, risques et limites courants, la politique IA de votre entreprise, comment identifier le contenu généré par IA, quand et comment signaler des préoccupations |
| Niveau 2 : Opérateurs | Personnel exploitant quotidiennement des systèmes d'IA ou prenant des décisions basées sur des sorties d'IA | 4 à 6 heures | Capacités et limites spécifiques au système, interprétation correcte des sorties de l'IA, détection et atténuation des biais, qualité des données d'entrée, exigences de journalisation et de documentation |
| Niveau 3 : Gouvernance | Responsables IA, responsables conformité, direction générale ayant une supervision de l'IA | 8 à 12 heures | Obligations détaillées de l'EU AI Act, classification et évaluation des risques, documentation et tenue de registres, procédures de signalement d'incidents, responsabilités de la supervision humaine (Article 14), obligations des déployeurs (Article 26) |
L'Office IA de la Commission européenne a explicitement déclaré : « Il n'existe pas d'approche unique en matière de maîtrise de l'IA et l'Office IA n'entend pas imposer des exigences strictes ou des formations obligatoires. » Cela signifie que vous disposez d'une flexibilité en matière de format — cours en ligne, ateliers, sessions internes ou programmes externes conviennent tous. Ce qui compte, c'est que la formation soit documentée, appropriée et actualisée.
L'Article 50 contient quatre exigences de transparence distinctes. Chacune s'applique à différents types de systèmes d'IA et à différents rôles (fournisseur vs déployeur). Comprendre lesquelles s'appliquent à votre organisation est la première étape essentielle.
Si votre système d'IA est conçu pour interagir directement avec des personnes — chatbots, assistants virtuels, agents de service client basés sur l'IA — vous devez informer les utilisateurs qu'ils interagissent avec une IA. La notification doit avoir lieu avant ou au début de l'interaction.
Qui : Fournisseurs et déployeurs. Exception : Lorsque cela est « évident au vu des circonstances et du contexte d'utilisation » — mais le seuil est élevé. Un chatbot avec un nom ou un avatar à apparence humaine ne remplit presque certainement pas cette condition.
Les fournisseurs de systèmes d'IA générant du texte, des images, de l'audio ou de la vidéo synthétiques doivent marquer les sorties dans un format lisible par machine afin qu'elles soient détectables comme générées artificiellement. De plus, le texte généré par IA publié pour informer le public doit être visiblement étiqueté.
Qui : Principalement les fournisseurs. Norme : métadonnées C2PA (Coalition for Content Provenance and Authenticity) ou tatouage numérique équivalent. La Commission européenne a publié un projet de lignes directrices techniques en mai 2026.
Les déployeurs de systèmes de reconnaissance des émotions ou de catégorisation biométrique doivent informer les personnes exposées à ces systèmes de leur fonctionnement, y compris des données à caractère personnel traitées.
Qui : Déployeurs. Remarque : Cela s'applique même si le système est utilisé sur le lieu de travail. Les employés doivent être informés si leurs états émotionnels ou caractéristiques biométriques sont analysés.
Les déployeurs qui génèrent ou manipulent du contenu image, audio ou vidéo constituant un hypertrucage doivent divulguer que le contenu a été généré ou manipulé artificiellement.
Qui : Déployeurs. Exception : Contenu manifestement artistique, satirique ou clairement fictif. La divulgation doit être faite de manière claire et distinguable.
L'Article 4 garantit que vos collaborateurs comprennent l'IA. L'Article 50 garantit que les personnes affectées par votre IA comprennent qu'elles interagissent avec elle. Ensemble, ils créent une boucle de transparence : un personnel formé conçoit de meilleures divulgations de transparence, et des opérations transparentes renforcent la confiance avec les clients et les régulateurs.
Une entreprise ayant mis en œuvre un programme de formation approfondi conforme à l'Article 4 trouvera naturellement la conformité à l'Article 50 plus facile. Le personnel qui comprend ce que les systèmes d'IA peuvent et ne peuvent pas faire est mieux équipé pour rédiger des divulgations d'interaction IA pertinentes. Le personnel qui comprend les risques de biais est plus susceptible d'identifier quand les systèmes de reconnaissance des émotions nécessitent des garanties de transparence renforcées.
Ce n'est pas une coïncidence. Le règlement est conçu de telle sorte que la maîtrise (Article 4) constitue le fondement sur lequel reposent la transparence (Article 50), la supervision humaine (Article 14) et les obligations des déployeurs (Article 26).
L'EU AI Act utilise le mot « proportionné » tout au long du texte. Les petites et moyennes entreprises ne sont pas censées mettre en place la même infrastructure de conformité que les multinationales. Voici à quoi ressemble la proportionnalité en pratique :
| Exigence | Grande entreprise | PME (moins de 250 employés) |
|---|---|---|
| Programme de formation à l'Article 4 | Programme à plusieurs niveaux avec évaluations externes, système de gestion de l'apprentissage, révisions trimestrielles | Une session de sensibilisation documentée de 2 heures, un simple registre de présence et une actualisation annuelle |
| Inventaire des systèmes d'IA | Registre à l'échelle de l'entreprise avec classifications des risques, flux de données et cartographie des intégrations | Une feuille de calcul listant chaque outil d'IA, son objectif et qui l'utilise |
| Divulgation au titre de l'Article 50 | Avis d'interaction IA personnalisés, pipeline automatisé de marquage du contenu, équipe dédiée à la transparence | Un avis textuel clair sur votre chatbot, une étiquette visible sur le contenu généré par IA, documenté dans une politique d'une page |
| Coordinateur de la maîtrise de l'IA | Responsable ou équipe de gouvernance IA dédié(e) | Un rôle existant (responsable conformité, responsable informatique ou responsable RH) avec la maîtrise de l'IA ajoutée à ses responsabilités |
| Documentation | Cadre de gouvernance complet avec de multiples pistes d'audit | Programme de formation, registres de présence, inventaire des outils d'IA et avis de transparence — le tout peut tenir dans un dossier partagé |
L'Office IA a confirmé : « Il n'existe pas d'approche unique en matière de maîtrise de l'IA. » Pour une entreprise de 10 personnes, un atelier d'équipe de deux heures, un journal de formation d'une page et une divulgation IA claire sur votre chatbot peuvent suffire — à condition qu'ils soient documentés, actualisés et véritablement adaptés aux systèmes d'IA que vous utilisez.
| Infraction | Amende maximale | Article |
|---|---|---|
| Pratiques d'IA interdites | 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial | Article 5 |
| Non-conformité à la maîtrise de l'IA | 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial | Article 4 |
| Non-conformité à la transparence | 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial | Article 50 |
| Non-conformité relative à l'IA à haut risque | 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial | Articles 14, 26 |
| Fourniture d'informations incorrectes aux autorités | 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial | Article 99(5) |
Pour les PME et les start-ups, le montant le plus bas des deux (montant fixe ou pourcentage) s'applique. Les autorités nationales de surveillance du marché peuvent également prendre des mesures non pécuniaires avant de recourir à des amendes : avertissements, ordres de mise en conformité dans un délai déterminé, ou suspension temporaire du déploiement du système d'IA.
Il est important de noter que l'Article 4 et l'Article 50 sont appliqués de manière indépendante. Une organisation qui ne respecte ni l'un ni l'autre pourrait faire face à des sanctions distinctes pour chaque infraction.
Oui. En vertu de l'Article 2, l'EU AI Act a une portée extraterritoriale. Si les résultats de votre système d'IA affectent des résidents de l'UE, l'Article 4 s'applique à votre organisation quel que soit le lieu de votre siège. Une entreprise américaine utilisant l'IA pour traiter des candidatures d'emploi provenant de candidats de l'UE est un déployeur soumis à l'Article 4.
L'Article 3(1) définit un système d'IA comme un système basé sur une machine, conçu pour fonctionner avec un niveau d'autonomie variable, pouvant faire preuve d'adaptabilité après son déploiement, et qui, à partir des données d'entrée qu'il reçoit, déduit la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels. Cette définition couvre ChatGPT, Copilot, Gemini, Claude, Midjourney et la plupart des outils d'IA modernes utilisés en entreprise.
Oui. L'utilisation de tout outil d'IA — y compris ChatGPT, Copilot ou Gemini pour des tâches internes — fait de votre organisation un déployeur au sens de l'EU AI Act. Votre personnel a besoin d'au moins une formation de base à la maîtrise de l'IA. Une session de sensibilisation de deux à trois heures couvrant ce qu'est l'IA, ses limites, la politique IA de votre entreprise et le moment où signaler des préoccupations satisferait les exigences de niveau 1 pour la plupart des organisations.
Probablement pas. Le seuil de l'exception est élevé — il doit être véritablement évident pour toute personne raisonnable qu'elle interagit avec une IA. Un chatbot avec un nom, un avatar ou un style conversationnel à apparence humaine ne remplit presque certainement pas cette condition. L'approche la plus sûre et la plus pratique consiste à toujours divulguer l'interaction avec l'IA, quel que soit le degré d'évidence que vous estimez.
Utilisez la norme C2PA (Coalition for Content Provenance and Authenticity) ou une technologie de tatouage numérique équivalente. La Commission européenne a publié en mai 2026 un projet de lignes directrices sur la mise en œuvre de l'Article 50, fournissant des spécifications techniques détaillées. Pour le contenu textuel publié afin d'informer le public, une étiquette visible indiquant que le contenu a été généré avec l'assistance de l'IA est également requise.
Vous êtes classé comme « déployeur ». L'Article 4 (maîtrise de l'IA) s'applique pleinement aux déployeurs. Concernant l'Article 50, les déployeurs sont responsables de : la divulgation de l'interaction avec l'IA aux utilisateurs (50.1), l'information des personnes sur les systèmes de reconnaissance des émotions ou biométriques (50.3), et la divulgation du contenu hypertruqué (50.4). L'Article 50(2) — l'obligation de marquage du contenu lisible par machine — relève principalement de la responsabilité du fournisseur.
Au minimum annuellement. De plus, la formation doit être actualisée lorsqu'un nouveau système d'IA est introduit, que la réglementation change (comme de nouvelles mesures nationales de mise en œuvre), qu'un incident lié à l'IA se produit, que les rôles du personnel changent significativement, ou que les systèmes d'IA utilisés sont substantiellement mis à jour par leurs fournisseurs.
Oui. L'Office IA a confirmé qu'aucun format n'est prescrit. Les cours en ligne, ateliers en présentiel, sessions de formation internes ou programmes externes conviennent tous — à condition qu'ils soient documentés, adaptés au contexte et aux rôles, et que leur achèvement soit enregistré. Ce qui compte, c'est que la formation soit suffisante pour les systèmes d'IA et les rôles spécifiques de votre organisation.
Vous devez conserver : un programme de formation décrivant les sujets abordés à chaque niveau, des registres d'achèvement par employé avec dates, les résultats d'évaluation si vous effectuez des vérifications de connaissances, un calendrier d'actualisation documenté, des preuves que le contenu de la formation correspond aux systèmes d'IA réellement utilisés, et des registres de toute mise à jour de formation déclenchée par des changements de système ou des incidents.
Les obligations de maîtrise de l'IA de l'Article 4 s'appliquent depuis le 2 février 2025. Les autorités nationales de surveillance du marché commencent leur supervision et leur application active à partir du 2 août 2026. Les obligations de transparence de l'Article 50 s'appliquent à partir du 2 août 2025. Les sanctions en cas de non-conformité à l'un ou l'autre article peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Êtes-vous prêt pour l'AI Act ?
Réalisez notre évaluation gratuite de 3 minutes pour savoir où en est votre organisation.
Faire l'évaluation gratuiteUNE NOTE DE L'AUTEUR
“J'ai passé plus de 20 ans à examiner la conformité réglementaire au sein du gouvernement préfectoral d'Hiroshima. La plus grande erreur que je vois les entreprises commettre est de penser que la conformité commence par la paperasse. Elle commence par des habitudes quotidiennes. Instaurez d'abord l'habitude, et la paperasse suivra.”
— Takayuki Sawai, Gyoseishoshi (行政書士)
Les Articles 4 et 50 sont déjà en vigueur. ClearAI Trust OS automatise la formation à la maîtrise de l'IA, la conformité en matière de transparence et la collecte de preuves prêtes pour l'audit — afin que votre équipe reste conforme au quotidien.
Ce guide est relu par Takayuki Sawai, Gyoseishoshi (行政書士) certifié ayant passé plus de 20 ans dans le domaine réglementaire au sein du gouvernement préfectoral d'Hiroshima et ayant rédigé plus de 100 ouvrages sur la conformité dans 14 pays. Le contenu s'appuie sur l'EU AI Act (règlement (UE) 2024/1689), l'accord Omnibus de mai 2025 modifiant le calendrier de l'Annex III, le projet de lignes directrices de la Commission européenne sur les obligations de transparence de l'Article 50 (mai 2026), la FAQ sur la maîtrise de l'IA de l'Office IA, et des cadres de gouvernance de l'IA reconnus. Ce guide fournit des informations générales et ne constitue pas un conseil juridique pour votre situation spécifique. La réglementation peut évoluer ; vérifiez les exigences les plus récentes auprès de votre autorité nationale. Dernière mise à jour : juin 2026.