L’obligation de former vos salariés à l’IA existe depuis le 2 février 2025, pas depuis 2026
J’entends depuis des mois dans les couloirs des entreprises et lors des événements RH : « On verra ça en 2026. » C’est faux. Et ce raccourci coûte cher.
L’article 4 du règlement européen sur l’intelligence artificielle – l’AI Act – est entré en application le 2 février 2025. Il impose aux fournisseurs et aux déployeurs de systèmes d’IA de garantir un niveau suffisant de « littératie IA » chez leurs équipes. Pas en 2026. En 2025. Depuis plus d’un an.
Ce qui change tout, c’est la distinction fournisseur/déployeur. Un fournisseur développe un modèle d’IA. Un déployeur l’utilise dans un contexte professionnel. Et là, le périmètre s’élargit considérablement. Une entreprise qui utilise un CRM prédictif, un outil de tri de CV automatisé ou un chatbot client alimenté par de l’IA tombe sous cette définition. Concrètement : si votre logiciel RH classe les candidatures tout seul, vous êtes concerné. Si votre outil de scoring client prend des décisions sans intervention humaine directe, vous êtes concerné. Si votre plateforme de formation adapte ses parcours via un algorithme, vous êtes concerné.
Sauf que la plupart des directions juridiques et RH françaises n’ont pas encore mesuré l’ampleur de ce périmètre. Selon Nerolia Formation, l’entrée en vigueur de l’obligation d’AI literacy en février 2025 est passée quasi inaperçue dans de nombreuses organisations. Ce n’est pas un sujet réservé aux techniciens ou aux juristes spécialisés. C’est un sujet de gouvernance d’entreprise – et l’heure de le traiter était il y a seize mois.
Le 2 août 2026 : la date qui transforme une obligation théorique en risque réel pour les entreprises
Pourquoi tout le monde parle de 2026 alors que l’obligation date de 2025 ? Parce que le 2 août 2026 marque un changement de nature. Selon le portail officiel Entreprendre.Service-Public.gouv.fr, cette date correspond au moment où les obligations renforcées s’appliquent aux entreprises qui déploient ou développent des produits intégrant des systèmes d’IA à haut risque.
Et « haut risque » recouvre un périmètre qu’on minimise régulièrement. L’AI Act place dans cette catégorie les systèmes utilisés dans le recrutement, l’octroi de crédit, l’accès à l’éducation, la gestion des infrastructures critiques et plusieurs domaines de santé. Un outil d’aide à la décision d’embauche utilisé par un DRH de PME suffit à faire basculer l’entreprise dans la catégorie « haut risque ».
Le tableau ci-dessous détaille les quatre niveaux de risque définis par l’AI Act et leurs implications :
| Niveau de risque | Exemples d’usage | Obligations principales | Échéance clé |
|---|---|---|---|
| Inacceptable | Scoring social, manipulation comportementale | Interdiction totale d’utilisation | 2 février 2025 |
| Élevé | Recrutement, crédit, éducation, santé | Conformité stricte, traçabilité, formation obligatoire, enregistrement | 2 août 2026 |
| Limité | Chatbots, deepfakes déclarés | Obligation de transparence envers les utilisateurs | 2 août 2026 |
| Minimal | Filtres anti-spam, jeux vidéo IA | Aucune obligation spécifique, bonnes pratiques recommandées | – |
C’est cette échéance du 2 août 2026 qui cristallise l’urgence ressentie aujourd’hui. Mais l’erreur de calendrier coûte cher : les entreprises qui attendent 2026 pour préparer les obligations « haut risque » ont déjà perdu dix-huit mois sur l’obligation de base.
Qui est vraiment concerné ? Le périmètre bien plus large que ne le croient les DRH
J’ai posé la question à plusieurs responsables RH lors d’un événement sectoriel en avril 2026. La réponse la plus fréquente : « Nous, on n’utilise que des logiciels standards. » C’est précisément là que le bât blesse.
Les catégories d’entreprises concernées par l’AI Act en tant que déployeurs incluent :
- PME utilisant des ATS (logiciels de tri de CV automatisé) – si l’outil filtre les candidatures sans passage humain préalable, vous êtes déployeur.
- Plateformes e-commerce avec moteur de recommandation algorithmique qui influe sur les achats.
- Établissements de santé utilisant des systèmes d’aide au diagnostic ou de gestion des priorités patients.
- Organismes de crédit dont les outils de scoring client intègrent des modèles prédictifs.
- Prestataires de formation dont les plateformes adaptent les parcours pédagogiques par IA.
Le règlement vise les déployeurs, pas uniquement les créateurs de modèles. Une TPE de dix personnes qui utilise un ATS du marché entre dans ce cadre.
Trois questions pour clarifier votre statut rapidement :
- Développez-vous ou modifiez-vous un système d’IA pour le mettre sur le marché ou dans un service ? → Fournisseur.
- Utilisez-vous un système d’IA tiers dans un contexte professionnel pour prendre ou appuyer des décisions sur des personnes (salariés, clients, candidats)? → Déployeur.
- Ce système affecte-t-il le recrutement, le crédit, l’accès à des services ou la sécurité des personnes ? → Haut risque, obligations renforcées au 2 août 2026.
Selon Capstan, un registre interne des formations constitue une preuve acceptable de conformité. Aucune certification externe n’est imposée pour l’obligation de base.
Ce que la loi exige concrètement : ni diplôme, ni certificat, mais une traçabilité rigoureuse
L’article 4 de l’AI Act n’exige pas de diplôme. Il n’exige pas de certification externe. Ce qui compte, c’est un niveau de « littératie IA » adapté au rôle de chaque salarié et proportionnel au risque des outils utilisés. La distinction importe.
Selon Capstan, un registre interne des formations suffit comme preuve de conformité. Ce registre doit contenir :
- Le nom du salarié concerné
- La date de la formation
- Le contenu couvert (fonctionnement de l’outil, limites, biais potentiels, procédure de supervision humaine)
- L’outil IA concerné et sa catégorie de risque
- Le niveau de risque associé selon la classification AI Act
Pour mettre cela en perspective : c’est ce qu’on fait déjà pour le RGPD ou la sécurité incendie. On tient un registre, on documente les formations, on met à jour quand les outils changent. Ce n’est pas une rupture administrative. C’est l’application d’une logique de traçabilité que les services RH et juridiques maîtrisent déjà.
Les risques en cas de manquement sont bien réels. L’AI Act prévoit des sanctions administratives pouvant atteindre 3% du chiffre d’affaires mondial annuel pour les déployeurs de systèmes à haut risque qui ne respectent pas les obligations. Et si un incident arrive – une décision de recrutement discriminatoire générée par un algorithme, par exemple – l’entreprise porte directement la responsabilité si elle ne peut pas démontrer qu’elle a formé ses équipes.
Comment les entreprises françaises se préparent (ou ne se préparent pas) en juin 2026
En juin 2026, le tableau est mixte. Quelques grandes entreprises ont mis en place des programmes dès 2025. La majorité des PME attend toujours.
Sur le terrain, les approches qu’on observe :
- E-learning interne rapide – modules de 30 à 90 minutes sur les bases de l’IA, intégrés aux systèmes de gestion existants. Déploiement rapide, traçabilité assurée, mais souvent trop générique pour couvrir les exigences liées à des outils spécifiques.
- Recours à des organismes Qualiopi – formations certifiées, finançables via l’OPCO, avec attestation pour chaque participant. Plus solide juridiquement, mais perçu comme coûteux par les TPE et PME.
- Mise à jour du Plan de Développement des Compétences (PDC) – les entreprises les plus avisées ont intégré la littératie IA dans leur PDC 2025-2026, avec cartographie des outils IA par métier.
Les mêmes obstacles reviennent : méconnaissance du texte, confusion entre « formation IA générique » et conformité spécifique et perception d’un coût excessif rapporté au risque estimé.
Mon entreprise est-elle vraiment concernée si elle n’utilise que ChatGPT ?
Probablement oui, mais avec des obligations légères. ChatGPT relève de la catégorie « risque limité »: l’obligation porte surtout sur la transparence avec les utilisateurs et une sensibilisation aux limites du modèle. L’obligation se renforce si l’outil sert à prendre des décisions sur des personnes – rédiger des évaluations, filtrer des candidatures, rédiger des réponses clients qui engagent contractuellement l’entreprise.
Un seul module e-learning suffit-il pour être conforme ?
Oui pour les systèmes à risque minimal. Non pour les systèmes à haut risque. La formation doit être proportionnée au risque de l’outil et au rôle du salarié. Un module générique de 45 minutes ne satisfait pas aux exigences de traçabilité et de compréhension technique attendues pour qui déploie un système à haut risque.
Que risque-t-on concrètement si l’on n’a rien fait avant le 2 août 2026 ?
Pour les systèmes à risque minimal ou limité, le risque immédiat reste faible. Pour les entreprises déployant des systèmes à haut risque sans avoir constitué de preuve de conformité, l’exposition est directe : sanctions administratives par l’AI Act et responsabilité engagée en cas de sinistre. Le risque augmente dans les secteurs RH, crédit et santé.
Le vrai enjeu derrière la conformité : transformer une contrainte réglementaire en avantage opérationnel
En mars 2026, j’ai discuté avec une responsable achats d’un groupe industriel régional. Elle m’a expliqué que ses fournisseurs stratégiques devaient justifier d’une politique de formation IA documentée pour être référencés. Pas une certification. Une documentation.
C’est le signal le plus tangible que j’aie observé. La compétence IA tracée devient un critère dans les appels d’offres – secteur public comme grands comptes industriels. Les entreprises qui ont anticipé construisent aussi un atout concret : adoption meilleure des outils, moins de défauts d’usage, confiance renforcée de clients et partenaires.
Et la marque employeur joue un rôle non négligeable. Les salariés formés et accompagnés sur l’IA exprimaient une satisfaction professionnelle plus marquée – parce qu’ils comprenaient les outils plutôt que de les subir.
Pour construire un plan proportionné, trois niveaux de maturité s’imposent :
- Sensibilisation – tous les collaborateurs, module court, appréhender ce qu’est l’IA et ses limites.
- Formation métier – les utilisateurs réguliers d’outils IA spécifiques, formation ciblée sur cet outil et son niveau de risque.
- Expertise technique – équipes IT, data et juridiques, formation approfondie sur gouvernance, traçabilité et conformité.
Chaque niveau doit figurer dans le registre de formation. C’est la base d’une gouvernance IA structurée.
Mon verdict : 2026 est moins une révolution qu’un révélateur des entreprises qui ont choisi de ne pas voir venir
L’expression « formation IA obligatoire en 2026 » simplifie la réalité. L’obligation existe depuis février 2025. Ce que 2026 change, c’est le prix de l’inaction – pas la nature de l’obligation.
Le vrai problème : des directions qui ont traité l’AI Act comme un dossier de juristes. Ce n’en est pas un. C’est un enjeu de management opérationnel, de politique RH et de gouvernance. Les DRH qui découvriront ce sujet après le 2 août 2026 ne pourront pas invoquer l’ignorance : le texte est public, les sources officielles comme Entreprendre.Service-Public.gouv.fr sont accessibles et les organismes de formation ont largement communiqué.
La formation IA n’est pas une case à cocher chaque année. C’est le socle d’une utilisation responsable des outils qui prennent ou influencent des décisions sur des personnes. Attendre la prochaine échéance réglementaire pour agir revient à parier que rien ne surviendra entre-temps. Ce pari me semble risqué.
Le règlement européen sur l’intelligence artificielle (AI Act, règlement UE 2024/1689) est entré en vigueur le 1er août 2024. Son article 4 sur la littératie IA s’applique depuis le 2 février 2025. Les obligations renforcées pour les systèmes à haut risque s’appliquent à partir du 2 août 2026, selon Entreprendre.Service-Public.gouv.fr. Aucune certification externe n’est requise : un registre interne de formation suffit comme preuve de conformité, d’après Capstan citant la Commission européenne.