L'article 4 du Règlement européen sur l'IA : un pilier de la régulation par les risques

Le Règlement (UE) 2024/1689, publié au Journal officiel de l'Union européenne le 12 juillet 2024 et entré en vigueur le 1ᵉʳ août 2024, est le premier cadre législatif mondial qui encadre le développement, la mise sur le marché et l'utilisation des systèmes d'IA. La Direction générale des Entreprises rappelle que ce texte s'appuie sur une approche basée sur les risques, catégorisant les systèmes d'IA en quatre niveaux.

Les quatre catégories de risque et leur impact sur l'article 4

Le règlement distingue les systèmes à risque inacceptable (interdits depuis le 2 février 2025 : notation sociale, exploitation de vulnérabilités, identification biométrique à distance en temps réel), les systèmes à risque élevé (biométrie, éducation, emploi, justice, santé, infrastructures critiques), les systèmes à risque limité (chatbots, IA génératives — obligation de transparence) et les systèmes à risque minimal.

L'article 4 s'applique à toutes ces catégories sauf la dernière dans sa forme la plus légère. Un cabinet d'avocats qui utilise un assistant juridique génératif déclenche l'obligation. Un service RH qui présélectionne des CV avec un module IA bascule en haut risque (annexe III §4 de l'AI Act) et déclenche une obligation de formation renforcée.

Le calendrier d'application

  • 1ᵉʳ août 2024 : entrée en vigueur du règlement.
  • 2 février 2025 : application des articles 1 à 5 — interdictions et obligation de maîtrise de l'IA (article 4).
  • 2 août 2025 : règles pour les modèles d'IA à usage général (GPAI) et désignation des autorités compétentes.
  • 2 août 2026 : application complète aux systèmes à haut risque listés en annexe III, et mise en place des bacs à sable réglementaires.
  • 2 août 2027 : extension aux systèmes à haut risque intégrés dans des produits réglementés (dispositifs médicaux, jouets, machines).

À retenir : l'article 4 est déjà pleinement applicable. Les amendes peuvent atteindre 7 % du chiffre d'affaires mondial annuel (article 99 du règlement) pour les manquements les plus graves, et même si le régime de sanctions n'entre en application qu'au 2 août 2025, l'opposabilité civile et prud'homale, elle, est immédiate.

Le modèle de plan de formation IA opposable : définition et enjeux

Un plan « opposable » n'est pas un document marketing : c'est un dossier juridique qui doit résister à trois types de contrôle — l'autorité de surveillance, le juge prud'homal en cas de licenciement pour faute liée à un mauvais usage d'IA, et le juge commercial en cas de contentieux client (décision automatisée contestée, biais discriminatoire, fuite de données).

Ce que dit exactement l'article 4

La FAQ officielle de la Commission européenne sur l'AI literacy précise : les fournisseurs et déployeurs doivent « prendre des mesures pour assurer, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA chez leur personnel et chez les autres personnes s'occupant du fonctionnement et de l'utilisation des systèmes d'IA en leur nom, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, ainsi que du contexte dans lequel les systèmes d'IA sont destinés à être utilisés ».

L'article 3(56) du règlement définit l'AI literacy comme « les compétences, connaissances et compréhension qui permettent aux fournisseurs, déployeurs et personnes concernées de procéder à un déploiement éclairé des systèmes d'IA, ainsi que de prendre conscience des possibilités et des risques de l'IA et des préjudices possibles qu'elle peut causer ».

Les six pièces du dossier opposable

  1. Un registre des systèmes d'IA utilisés dans l'entreprise (nom, fournisseur, cas d'usage, catégorie de risque).
  2. Une cartographie des profils exposés (salariés, prestataires, clients) et de leur niveau d'exposition.
  3. Une analyse des risques par cas d'usage (transparence, biais, supervision humaine, RGPD).
  4. Un programme de formation structuré par profil et par niveau (sensibilisation, opérationnel, expert).
  5. Les preuves de réalisation : feuilles d'émargement, attestations, supports, QCM corrigés.
  6. Un plan de mise à jour annuel signé par la direction.

C'est exactement cette structure que nous documentons dans nos installations souveraines IAPRO, en complément du registre RGPD article 30. Pour un panorama plus large des obligations, consultez notre hub AI Act et le glossaire IA.

Les exigences de formation IA : de la théorie à la pratique

La Commission européenne, dans sa FAQ AI literacy, indique qu'à minima un plan conforme à l'article 4 doit couvrir quatre dimensions.

Les quatre dimensions minimales

  • Compréhension générale de l'IA : qu'est-ce qu'un système d'IA, comment fonctionne un modèle de langage, quelles IA sont utilisées dans l'organisation, quelles opportunités et quels dangers.
  • Rôle de l'organisation : fournisseur ou déployeur ? Cette qualification change radicalement les obligations (annexe IV pour les fournisseurs de haut risque, supervision humaine renforcée pour les déployeurs).
  • Risque des systèmes déployés : ce que les salariés doivent savoir face à chaque système, et les mesures d'atténuation à connaître.
  • Adaptation aux contextes : différences de connaissances techniques entre profils, secteur d'activité (santé, RH, finance), public concerné (consommateurs vulnérables, salariés, citoyens).

Trois niveaux de formation par profil

Niveau Public Durée indicative Contenu
Sensibilisation Tous salariés 2 à 4 h Définition IA, AI Act, RGPD, bons réflexes, charte interne
Opérationnel Utilisateurs réguliers 7 à 14 h Prompt engineering, vérification des sorties, signalement d'incidents, cas métier
Expert Référent IA, DSI, DPO 21 à 35 h Article par article AI Act, gestion des risques, audit de modèles, supervision

La formation gratuite Bpifrance « IA et règlementation », diffusée par France Num le 5 septembre 2025 et animée par Sarah Lenoir (cabinet Alkeemia Avocat), constitue une excellente brique de sensibilisation pour les dirigeants de TPE-PME. Elle dure 26 minutes et couvre les obligations graduées par niveau de risque.

Pour adapter ces formations à votre secteur, consultez notre hub métiers qui détaille les obligations spécifiques aux experts-comptables, avocats, professions de santé, RH et établissements financiers.

La conformité comme levier d'innovation et de compétitivité

J'ai vu des dirigeants vivre l'article 4 comme une contrainte de plus. C'est une erreur de cadrage. Dans 70 % de nos missions IAPRO, le plan de formation devient le socle d'accélération du projet IA lui-même.

Trois bénéfices mesurables

D'abord, la réduction du shadow AI : sans plan formel, les collaborateurs utilisent ChatGPT, Gemini ou Claude via leur compte personnel, exposant l'entreprise à des fuites de données et à des violations RGPD. Un plan de formation clair, doublé d'une charte signée, ramène 90 % de ces usages dans un canal souverain et auditable.

Ensuite, l'amélioration du ROI : un salarié formé extrait deux à quatre fois plus de valeur d'un assistant IA qu'un utilisateur autodidacte. Sur des cas comptables, juridiques ou support client, le gain de productivité passe typiquement de 15 % (autodidacte) à 35 % (formé opérationnel). Notre calculateur ROI IA chiffre l'écart sur votre périmètre.

Enfin, la confiance client et appel d'offres : les acheteurs publics et les grands comptes commencent à exiger une preuve de conformité AI Act dans leurs RFP. Un plan article 4 documenté devient un argument commercial. La DGE et France Num insistent sur ce levier : « la conformité devient un levier stratégique pour sécuriser les données, limiter les biais, assurer une supervision humaine et renforcer la confiance des utilisateurs ».

Le fonds de 400 M€ et la stratégie nationale

La Direction générale des Entreprises rappelle que la France a engagé un fonds de 400 millions d'euros dans neuf IA clusters et vise 100 000 personnes formées par an. Cela ouvre des cofinancements significatifs pour les plans article 4, en complément des OPCO classiques.

Cas pratiques : conformité et risques dans les systèmes à haut risque

Trois exemples tirés de mes missions IAPRO 2025 illustrent la différence d'intensité du plan selon le risque.

Cas 1 — Cabinet RH, présélection de CV (haut risque, annexe III §4)

Un cabinet de recrutement de 22 salariés utilise un outil de scoring de CV. L'annexe III §4 du règlement (UE) 2024/1689 classe ce cas en haut risque. Le plan article 4 doit couvrir : compréhension des biais algorithmiques, droit à l'explication (article 86), supervision humaine effective (article 14), interaction avec le RGPD article 22 sur la décision automatisée. Volume : 14 h par recruteur, 35 h pour le référent. Coût brut : 28 000 € — financé à 80 % par l'OPCO Atlas.

Cas 2 — Cabinet médical, transcription de consultations (haut risque potentiel)

Trois médecins libéraux utilisent un assistant vocal qui transcrit les consultations et propose un brouillon de compte-rendu. La donnée de santé impose la conformité HDS (hébergement de données de santé) via l'Agence du Numérique en Santé. Le plan article 4 doit intégrer : RGPD article 9 (données sensibles), secret médical, hallucinations et vérification du compte-rendu, traçabilité. Volume : 7 h par praticien, 21 h pour le médecin référent IA.

Cas 3 — Cabinet d'avocats, recherche jurisprudentielle (risque limité à modéré)

Un cabinet de 12 avocats utilise un assistant génératif sur des bases de jurisprudence. Risque limité à modéré, mais l'avis CNB du 26 juin 2024 impose une supervision humaine systématique. Plan : 7 h pour les associés, 14 h pour les collaborateurs, 21 h pour le DPO. Le secret professionnel (article 226-13 du Code pénal) impose une IA souveraine on-premise — ce que nous installons typiquement avec Mistral ou Llama via Ollama et OpenWebUI.

Pour les autres métiers réglementés, voyez nos pages dédiées dans le hub métiers.

Les outils et mécanismes de soutien à la conformité

Vous n'êtes pas seul face à l'article 4. Plusieurs dispositifs publics structurent l'accompagnement.

Le Pacte IA et le service desk de l'AI Office

La Commission européenne a lancé l'AI Pact, une initiative volontaire qui permet aux entreprises de s'engager publiquement à respecter l'AI Act avant les échéances obligatoires. La page officielle de l'AI Pact recense un référentiel vivant (« living repository ») de bonnes pratiques en matière d'AI literacy, alimenté par les signataires. L'AI Office a également ouvert un service desk pour répondre aux questions des entreprises et publie régulièrement des lignes directrices non contraignantes mais juridiquement éclairantes.

Les bacs à sable réglementaires

L'article 57 du règlement (UE) 2024/1689 prévoit la mise en place de bacs à sable réglementaires dans chaque État membre d'ici le 2 août 2026. Ces espaces permettent aux PME et start-ups de tester leurs systèmes d'IA en conditions réelles, sous la supervision d'un régulateur, avec une souplesse temporaire. En France, le pilotage sera assuré par les autorités désignées le 2 août 2025.

Les guides ANSSI et CNIL

L'ANSSI publie des guides pratiques sur la cybersécurité des systèmes d'IA (cybersécurité de l'IA, par l'IA, face à l'IA) et participe à l'INESIA — l'Institut national d'évaluation et de sécurité de l'IA. La CNIL, de son côté, a publié plusieurs recommandations sur l'articulation entre AI Act et RGPD, notamment sur les bases légales du traitement et les analyses d'impact (AIPD).

Les financements à mobiliser

  • OPCO (Atlas pour les services financiers, 2i pour l'industrie, EP pour les professions libérales) : prise en charge jusqu'à 100 % pour les PME.
  • FNE-Formation : cofinancement pour les entreprises en mutation économique.
  • Bpifrance : crédit d'impôt formation des dirigeants, prêts innovation.
  • CPF : pour les certifications inscrites au RNCP/Répertoire spécifique.
  • France Num : diagnostics gratuits et chèques numériques régionaux.

Notre simulateur d'aides calcule le mix optimal pour votre situation.

L'IA literacy : un pilier de la gouvernance éthique et technique

L'article 4 ne se résume pas à un plan de formation. Il est interconnecté avec d'autres articles structurants du règlement.

Articulation avec les articles 13, 14 et 26

L'article 13 impose une obligation de transparence : les fournisseurs doivent fournir une documentation suffisante pour permettre aux déployeurs de comprendre et d'utiliser le système. L'article 14 exige une supervision humaine effective sur les systèmes à haut risque — ce qui suppose des humains formés à cette supervision (donc article 4). L'article 26 détaille les obligations des déployeurs de systèmes à haut risque : surveillance du fonctionnement, conservation des journaux, information des personnes concernées. Sans article 4, aucun de ces trois articles ne peut être respecté en pratique.

Réduction des biais et protection des droits fondamentaux

La FAQ AI literacy précise que la maîtrise de l'IA contribue à « la protection des droits fondamentaux, de la santé et de la sécurité » et « au contrôle démocratique ». Un salarié formé aux biais algorithmiques détectera plus facilement une discrimination indirecte dans un outil de tri de CV ou de scoring crédit. Un médecin formé aux hallucinations refusera de signer un compte-rendu sans relecture intégrale. Un avocat formé connaîtra les limites du modèle face à un raisonnement juridique complexe.

Cybersécurité et IA literacy

La posture ANSSI distingue trois angles : sécurité de l'IA (vulnérabilités spécifiques comme l'empoisonnement de données ou l'injection de prompt), sécurité par l'IA (détection de menaces), sécurité face à l'IA (attaques automatisées). Un plan article 4 sérieux intègre ces trois dimensions, notamment pour les profils techniques et les utilisateurs avancés. Notre partenaire Regulia.fr couvre l'audit AI Act et l'analyse d'impact RGPD en complément de notre installation souveraine.

L'impact économique et stratégique de la conformité à l'article 4

Combien coûte un plan article 4 ? Combien rapporte-t-il ?

Le coût brut

Pour une PME de 50 salariés avec un déploiement IA modéré (1 outil génératif, 1 outil métier), le coût brut d'un plan complet article 4 se situe entre 8 000 € et 18 000 € la première année (audit, conception, formations, documentation), puis 2 000 € à 5 000 € par an pour les mises à jour. Pour une ETI de 500 salariés avec des systèmes à haut risque, comptez 35 000 € à 90 000 € la première année.

Le coût d'une non-conformité

L'article 99 du règlement (UE) 2024/1689 prévoit des amendes jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les manquements aux pratiques interdites, et 15 millions d'euros ou 3 % pour les manquements aux obligations des fournisseurs et déployeurs de systèmes à haut risque. À cela s'ajoutent les risques civils : indemnités prud'homales pour licenciement abusif lié à une décision IA non supervisée, indemnités clients pour décision discriminatoire, atteinte à la réputation.

Le ROI réel

Sur les missions IAPRO 2025, le ROI moyen d'un plan article 4 bien construit est de 3,5 à 6 sur 18 mois : gains de productivité des salariés formés, réduction du shadow AI, accès à des marchés publics exigeant la conformité, valorisation lors d'une levée ou d'une cession (due diligence IA). Notre calculateur ROI IA précise ces ordres de grandeur sur votre périmètre.

Les défis et perspectives de l'IA literacy dans le cadre de l'AI Act

Trois obstacles dominent dans mes missions de terrain.

Résistance au changement managérial

Beaucoup de dirigeants pensent encore que « ce n'est pas pour nous, on est trop petits ». L'article 4 ne fait aucune exception PME. Une charte interne signée par tous les salariés, doublée d'un kit de 4 h de sensibilisation, suffit à couvrir le minimum opposable pour un usage basique d'IA générative.

Complexité technique et fragmentation des outils

Les organisations cumulent souvent 5 à 15 outils IA (ChatGPT, Copilot, Gemini, Notion AI, Otter, etc.) sans cartographie consolidée. La première étape de tout plan article 4 est le registre des systèmes d'IA — équivalent du registre RGPD article 30 mais pour l'IA. Sans ce socle, aucune formation ne peut être bien ciblée.

Évolution rapide des modèles

Un plan de formation gravé dans le marbre en mars 2025 sera obsolète en septembre 2025 (nouveaux modèles, nouvelles fonctionnalités, nouveaux risques). La FAQ AI literacy de la Commission insiste sur la flexibilité : « l'AI Office n'imposera pas d'exigences strictes (...) compte tenu de l'évolution rapide de la technologie ». Le plan doit donc inclure une clause de revue annuelle minimum, idéalement semestrielle.

Perspectives 2026-2027

Au 2 août 2026, les systèmes à haut risque listés en annexe III entrent en application complète, et les bacs à sable réglementaires nationaux s'ouvrent. Au 2 août 2027, l'extension aux produits réglementés (dispositifs médicaux, machines, jouets) entraîne une nouvelle vague d'obligations. Anticiper dès aujourd'hui le plan article 4 permet d'éviter une mise en conformité dans l'urgence en 2026.

L'avenir de la régulation IA : de l'Europe à la gouvernance mondiale

L'AI Act est étudié de près par les régulateurs américains, britanniques, canadiens, japonais et coréens. C'est le premier modèle mondial de régulation horizontale de l'IA.

Le réseau international des AI Safety Institutes

La France pilote l'INESIA (Institut national d'évaluation et de sécurité de l'IA), aux côtés de l'INRIA, du LNE et du PEReN, dans le cadre du réseau international des AI Safety Institutes. Ce réseau réunit le Canada, la Corée du Sud, les États-Unis, le Japon, le Kenya, Singapour, le Royaume-Uni et l'AI Office de la Commission européenne. Le sommet « AI Action Summit » de Paris (février 2025) a confirmé ce positionnement.

Compétitivité européenne face aux modèles américain et chinois

Le modèle européen — régulation et soutien à l'innovation — se distingue clairement du modèle américain (régulation sectorielle légère, marché libre) et du modèle chinois (régulation forte mais centrée sur le contrôle politique). Pour les entreprises françaises, l'AI Act est à la fois une contrainte et un avantage concurrentiel : un « label de confiance » exportable, particulièrement valorisé sur les marchés régulés (santé, finance, défense).

Souveraineté numérique et IA on-premise

C'est précisément la conviction qui guide notre méthode IAPRO : installer chez nos clients des IA souveraines, on-premise, basées sur Mistral, Llama 3 ou Qwen via Ollama et OpenWebUI, avec un plan article 4 documenté dès le jour 1. Cette approche élimine 90 % des risques de conformité par construction (pas de transfert hors UE, pas de dépendance hyperscaler, pas de partage de données d'entraînement).

FAQ — AI Act article 4 et plan de formation IA

Quels sont les risques juridiques liés à une non-conformité à l'article 4 du Règlement européen sur l'IA ?

Le règlement (UE) 2024/1689 prévoit, à son article 99, des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour les manquements aux obligations des déployeurs. S'y ajoutent les risques prud'homaux (licenciement contesté), civils (indemnisation d'un client lésé par une décision IA non supervisée) et réputationnels. Les sanctions s'appliquent depuis le 2 août 2025.

Comment mesurer l'efficacité d'un plan de formation IA opposable ?

Quatre indicateurs minimum : taux de participation, score moyen aux évaluations à chaud et à froid, nombre d'incidents IA déclarés (un chiffre qui monte est bon signe — il prouve que les salariés détectent), et taux d'utilisation des outils souverains versus shadow AI. La FAQ AI literacy de la Commission ne réclame pas de mesure de connaissance, mais une mesure d'adéquation entre formation et contexte.

Quels sont les secteurs les plus exposés aux obligations de l'article 4 ?

Tous les secteurs sont concernés, mais l'exposition est maximale pour ceux qui déploient des systèmes à haut risque listés en annexe III du règlement : RH et recrutement, éducation, services publics essentiels, application de la loi, justice, biométrie, gestion des migrations, infrastructures critiques. Le secteur de la santé, via le règlement Dispositifs Médicaux (UE) 2017/745, bascule en haut risque dès qu'une IA influence un diagnostic ou un traitement.

Quelle est la différence entre la formation IA et la formation en cybersécurité ?

La formation cybersécurité couvre la protection des systèmes d'information classiques (phishing, mots de passe, sauvegardes). La formation IA article 4 couvre les spécificités des systèmes d'IA : biais, hallucinations, supervision humaine, transparence, RGPD article 22. Les deux se complètent. L'ANSSI recommande explicitement de croiser les deux registres pour les déployeurs d'IA.

Les PME peuvent-elles s'adapter aux exigences de l'article 4 sans investissements importants ?

Oui. Pour une TPE-PME usant d'IA générative grand public, un kit de 4 heures de sensibilisation (couvert par la formation gratuite Bpifrance et complété par une charte interne) suffit à couvrir le minimum opposable. Le coût brut typique est de 2 000 € à 5 000 €, intégralement finançable par l'OPCO ou le crédit d'impôt formation du dirigeant.

Quels sont les outils disponibles pour évaluer le niveau de risque d'un système d'IA ?

Le règlement lui-même (annexes I à III) fournit la grille de qualification. La Commission a publié le 6 février 2025 des lignes directrices sur la définition de « système d'IA » et sur les pratiques interdites. La CNIL propose des fiches pratiques, l'AI Office un service desk, et des cabinets comme notre partenaire Regulia.fr conduisent des audits AI Act structurés en 4 à 8 semaines.

Comment l'IA literacy contribue-t-elle à la réduction des biais algorithmiques ?

Un salarié formé aux biais détecte des écarts statistiques entre groupes protégés dans les sorties d'un modèle. Il sait qu'un score de recrutement défavorisant systématiquement les femmes constitue une discrimination indirecte (code du travail article L. 1132-1) et qu'un score crédit biaisé sur un code postal peut violer l'article 9 RGPD. Sans cette formation, le biais reste invisible jusqu'au contentieux.

Quels sont les cas d'usage de la formation IA dans les secteurs de la santé et de la justice ?

En santé, la formation porte sur l'aide au diagnostic, la transcription de consultations, le compte-rendu médical, avec articulation HDS et RGPD article 9. En justice, elle porte sur la recherche jurisprudentielle, la rédaction d'actes et l'analyse de pièces, avec le respect du secret professionnel (article 226-13 du Code pénal) et l'avis CNB du 26 juin 2024. Dans les deux cas, la supervision humaine reste systématique.

Quelle est la place des clients dans la chaîne de conformité de l'article 4 ?

La FAQ AI literacy de la Commission inclut explicitement les clients dans le périmètre : « dependent on the specific risk, it can be useful to have literacy as well for customers/clients ». Concrètement, un chatbot grand public doit afficher une mention de transparence (article 50 du règlement), et un service B2B impliquant une IA décisionnelle doit informer le client par écrit du recours à l'IA et des modalités de recours humain.

Comment l'AI Act influence-t-il la compétitivité des entreprises européennes face aux modèles américains et chinois ?

L'AI Act crée un standard de confiance exportable. Les entreprises conformes à l'article 4 et au reste du règlement bénéficient d'un avantage sur les marchés régulés (santé, finance, défense, secteur public), où les acheteurs exigent désormais des preuves de conformité. La DGE et France Num positionnent ce cadre comme un standard international en construction.

Pour aller plus loin avec IAPRO

Vous voulez un plan article 4 prêt à signer, opposable, financé à 80-100 % par votre OPCO et adossé à une IA souveraine on-premise ? Nous proposons une formule Audit AI Act + Plan article 4 + Installation Mistral/Llama sur site, livrée en 4 à 6 semaines. Pour un cadrage de 30 minutes, contactez-moi directement via le formulaire IAPRO. J'audite votre exposition réelle et je vous remets une feuille de route chiffrée avec mix de financements publics.

Liens utiles