Imaginez recevoir un courrier de la CNIL vous informant d'un contrôle sur l'usage de l'IA dans votre entreprise. Vous utilisez un outil de recrutement IA depuis deux ans, votre CRM intègre du scoring prédictif, et votre service client tourne sur un chatbot. Aucun de vos collaborateurs n'a jamais été formé aux risques associés. Vous n'avez aucune documentation sur ces usages.
Ce scénario, qui aurait relevé de la fiction il y a encore dix-huit mois, devient une réalité concrète à compter du 2 août 2026. Ce jour-là, le règlement européen sur l'intelligence artificielle — l'AI Act — entre pleinement en vigueur pour la très grande majorité des entreprises françaises. Et contrairement à ce que beaucoup de dirigeants pensent encore, il ne concerne pas seulement ceux qui développent de l'IA. Il concerne quiconque l'utilise.
Dans cet article, on ne va pas vous assommer de jargon juridique. On va vous expliquer concrètement ce que vous devez faire, dans quel ordre, avec quels budgets, pour arriver au 2 août 2026 en ordre de marche. La formation de vos équipes est au cœur du dispositif — et c'est là que tout commence.
Ce guide couvre
- Ce qu'est l'AI Act et qui est vraiment concerné en France
- La timeline des obligations (avec les dates qui comptent)
- L'obligation d'AI literacy : ce que la loi dit sur la formation
- Les niveaux de risque et leurs implications concrètes
- Les secteurs les plus exposés en France
- Les sanctions réelles en cas de non-conformité
- Les 3 étapes pour se mettre en conformité avant août 2026
- Comment financer la formation IA via l'OPCO ou le CPF
L'AI Act en 5 minutes : ce que vous devez savoir
Le règlement européen sur l'intelligence artificielle (Regulation EU 2024/1689) a été adopté définitivement en juillet 2024. C'est le premier cadre réglementaire mondial complet sur l'IA. Son objectif : encadrer le développement et l'usage de l'intelligence artificielle pour protéger les droits fondamentaux, la sécurité et la démocratie, tout en permettant à l'innovation de se déployer.
L'AI Act s'applique à toute organisation qui développe, met sur le marché ou utilise des systèmes d'IA dans l'Union européenne. Ce dernier point est crucial : vous n'avez pas besoin de développer de l'IA pour être concerné. Si vous achetez un logiciel qui intègre de l'IA — et la plupart des outils professionnels en intègrent désormais — vous êtes ce que le règlement appelle un "déployeur", et vous avez des obligations.
L'application du règlement est progressive. Certaines dispositions sont déjà en vigueur depuis février 2025. La majorité des obligations, notamment pour les systèmes à haut risque, entre en vigueur le 2 août 2026. C'est votre deadline principale.
La timeline que vous devez connaître
Entrée en vigueur du texte
Publication au Journal officiel de l'UE. Le règlement entre officiellement dans le droit européen.
Interdictions des pratiques à risque inacceptable
Les systèmes d'IA de manipulation comportementale, de notation sociale (social scoring) et de surveillance biométrique de masse sont interdits. Ces pratiques sont déjà illégales. L'obligation d'AI literacy pour les personnels entre également en vigueur.
Obligations pour les modèles d'IA à usage général (GPAI)
Les fournisseurs de grands modèles de langage (LLM) et autres modèles GPAI doivent respecter des exigences de transparence et de documentation. Impacte principalement OpenAI, Anthropic, Google, Mistral.
Fenêtre de préparation — Il vous reste 3,5 mois
C'est maintenant qu'il faut cartographier vos usages IA, classifier les risques et mettre en place les formations. Les entreprises qui agissent maintenant seront conformes en août. Celles qui attendent prendront des risques.
Application complète pour les systèmes à haut risque
Obligations de documentation technique, supervision humaine, enregistrement dans la base EU, conformité totale pour les déployeurs. Les autorités de contrôle françaises (CNIL, DGCCRF) peuvent sanctionner.
Point d'attention souvent mal compris
L'obligation d'AI literacy (formation des équipes) est déjà applicable depuis février 2025, pas août 2026. Si vos collaborateurs utilisent des outils IA sans avoir été formés aux risques associés, vous êtes déjà potentiellement en infraction. Le 2 août 2026 n'est pas le point de départ — c'est le point de non-retour.
L'obligation d'AI Literacy : de quoi parle-t-on concrètement ?
L'article 4 de l'AI Act est sans ambiguïté : "Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour garantir, dans la mesure du possible, un niveau suffisant d'IA literacy de leur personnel et de toutes les autres personnes qui, en leur nom, font usage de systèmes d'IA."
En français : vous êtes responsable de vous assurer que les personnes dans votre entreprise qui utilisent ou supervisent des outils d'IA ont les compétences nécessaires pour le faire de manière sûre et éclairée.
"AI literacy" ne signifie pas que tout le monde doit savoir coder un algorithme. Il s'agit d'un niveau de compréhension fonctionnel qui permet à l'utilisateur de :
- Comprendre ce que fait le système d'IA qu'il utilise et ses limites
- Identifier les situations où l'IA peut produire des résultats erronés ou biaisés
- Exercer une supervision humaine adéquate sur les décisions assistées par l'IA
- Reconnaître les risques éthiques et les biais potentiels
- Savoir à qui remonter un problème lié à l'IA dans l'organisation
Ce que la loi n'impose pas directement, c'est un format particulier de formation. Elle impose le résultat : des collaborateurs capables d'utiliser l'IA de façon responsable. C'est à l'employeur de choisir le dispositif (présentiel, e-learning, coaching) et d'en apporter la preuve documentaire.
Preuve de conformité : ce que vous devrez montrer
En cas de contrôle par la CNIL ou la DGCCRF, vous devrez produire : la liste des outils IA utilisés dans votre organisation, la liste des collaborateurs formés avec les dates et durées de formation, les supports pédagogiques utilisés, et si possible une attestation de l'organisme de formation. Les formations certifiées Qualiopi sont particulièrement adaptées car elles produisent automatiquement ces documents.
Votre entreprise est-elle vraiment concernée ?
La réponse courte est : très probablement oui. Et la question n'est pas vraiment de savoir si vous êtes concerné, mais de comprendre à quel niveau.
L'AI Act distingue plusieurs catégories d'acteurs. En tant qu'entreprise française qui utilise des outils du marché, vous êtes typiquement un déployeur : vous achetez ou louez un système d'IA à un fournisseur et vous l'utilisez dans vos opérations. Vos obligations sont moins lourdes que celles d'un fournisseur qui développe de l'IA, mais elles sont réelles.
Concrètement, si votre entreprise utilise l'un des outils suivants, vous êtes déployeur au sens de l'AI Act :
- Un logiciel de recrutement avec tri automatique des CV ou scoring de candidats (Workday, SAP SuccessFactors, Talentsoft, etc.)
- Un CRM avec scoring prédictif ou recommandations IA (Salesforce Einstein, HubSpot AI, etc.)
- Un outil de détection de fraude ou d'anomalies (secteur bancaire, assurance, e-commerce)
- Un chatbot ou assistant IA pour votre service client
- Des outils d'IA générative utilisés par vos équipes (ChatGPT Enterprise, Copilot M365, etc.)
- Des outils de surveillance ou d'analyse de productivité des employés
- Un système de notation ou d'évaluation des performances assisté par IA
Si vous cochez plusieurs cases dans cette liste, il est urgent de démarrer votre démarche de conformité.
Les niveaux de risque : comprendre la grille AI Act
L'AI Act classe les systèmes d'IA en quatre niveaux de risque. Chaque niveau correspond à un régime d'obligations différent. Comprendre dans quelle catégorie tombent vos outils est la première étape de toute démarche de conformité.
🚫 Risque inacceptable — Interdit
- Manipulation comportementale inconsciente
- Exploitation des vulnérabilités (âge, handicap)
- Notation sociale (social scoring)
- Surveillance biométrique de masse en temps réel
- Reconnaissance d'émotions sur le lieu de travail
⚠️ Haut risque — Obligations lourdes
- IA de recrutement et de gestion RH
- IA de scoring crédit ou assurance
- IA d'évaluation scolaire
- IA médicale ou en soins de santé
- IA judiciaire ou application de la loi
- IA de gestion des migrations et frontières
ℹ️ Risque limité — Obligations de transparence
- Chatbots et assistants conversationnels
- IA génératrice de contenu (deepfakes, textes)
- Systèmes de recommandation de contenu
- Outils d'IA générative (ChatGPT, Claude, etc.)
✅ Risque minimal — Pas d'obligation spécifique
- Filtres anti-spam
- Jeux vidéo avec IA
- Outils de productivité basiques
- IA de correction orthographique
La difficulté pour la plupart des entreprises françaises, c'est qu'elles utilisent souvent un mix : des outils à risque limité (ChatGPT pour rédiger des emails) et des outils à haut risque (logiciel RH avec scoring IA). Les obligations diffèrent selon la catégorie, mais la formation des équipes, elle, s'applique dans tous les cas.
Les secteurs français les plus exposés
Certains secteurs sont structurellement plus exposés que d'autres, non pas parce qu'ils utilisent plus d'IA en volume, mais parce que les outils qu'ils utilisent tombent fréquemment dans la catégorie "haut risque" de l'AI Act.
Ressources humaines et recrutement
C'est probablement le secteur le plus directement touché. Tout logiciel qui assiste, influence ou automatise des décisions de recrutement, d'évaluation de performance, de promotion ou de licenciement est classé "haut risque" par l'AI Act (Annexe III, point 4). Concrètement, si votre ATS (Applicant Tracking System) fait du tri ou du scoring de CV avec de l'IA, vous êtes en zone haut risque.
Cela concerne une part significative des entreprises françaises de plus de 50 salariés qui utilisent des solutions RH modernes : Workday, SAP SuccessFactors, Oracle HCM, Lucca, Talentsoft… La quasi-totalité de ces solutions intègre désormais des fonctionnalités IA. Avez-vous vérifié lesquelles sont activées et lesquelles relèvent du haut risque ?
Services financiers et assurance
Les banques et assureurs utilisent depuis longtemps des modèles prédictifs pour le scoring crédit, la détection de fraude, l'évaluation des risques. Ces systèmes tombent presque tous dans la catégorie haut risque de l'AI Act. Le secteur est déjà habitué aux réglementations (RGPD, DORA, directives BNS), mais l'AI Act ajoute une couche spécifique : la supervision humaine documentée et la formation des opérateurs.
Santé et secteur médical
Les dispositifs médicaux intégrant de l'IA (aide au diagnostic, lecture d'imagerie, systèmes de prescription) relèvent du haut risque. Les hôpitaux et cliniques qui déploient ces solutions ont des obligations de formation très strictes : les professionnels de santé qui supervisent ces outils doivent être formés à interpréter leurs outputs et à identifier leurs limites.
Retail et e-commerce
Les systèmes de recommandation produit (Amazon-style) relèvent généralement du risque limité. Mais les outils de pricing dynamique, de détection de comportements frauduleux à la caisse, ou d'analyse vidéo en magasin peuvent relever du haut risque selon leur usage exact.
Tous les secteurs : l'IA générative
ChatGPT, Claude, Copilot M365, Gemini… Ces outils sont utilisés dans pratiquement toutes les entreprises françaises, souvent sans politique formelle d'usage. Ils relèvent du risque limité (obligation de transparence), mais l'obligation d'AI literacy s'applique à tous ceux qui les utilisent dans un cadre professionnel.
Cas concret : la PME de 30 salariés
Une PME parisienne de 30 salariés dans le conseil utilise HubSpot avec IA pour le scoring commercial, ChatGPT Enterprise pour la rédaction, et un outil RH avec matching IA pour ses recrutements. Elle est déployeur de systèmes à risque limité (ChatGPT) ET à haut risque (outil RH). Elle doit former ses équipes à l'AI literacy, documenter ses usages, et vérifier la conformité de son logiciel RH auprès de l'éditeur. Budget estimé par la DGE : entre 2 000 et 8 000 euros par an pour une démarche complète.
Les sanctions réelles : de quoi parle-t-on ?
Les montants des amendes prévues par l'AI Act font tourner la tête. Jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires mondial pour les violations les plus graves. Ces chiffres ont tendance à faire penser que l'AI Act est une réglementation pour les grandes entreprises tech. C'est une erreur.
D'abord, les sanctions sont proportionnées à la taille de l'organisation. Une PME ne recevra pas la même amende qu'une multinationale. Mais surtout, il existe des sanctions intermédiaires que les PME et ETI doivent avoir en tête :
| Type de violation | Sanction maximale | Autorité en France |
|---|---|---|
| Utilisation de systèmes interdits (risque inacceptable) | 35 M€ ou 7% du CA mondial | CNIL / DGCCRF |
| Non-respect des obligations pour systèmes à haut risque | 15 M€ ou 3% du CA mondial | CNIL / DGCCRF |
| Informations incorrectes transmises aux autorités | 7,5 M€ ou 1% du CA mondial | CNIL / DGCCRF |
| Absence de documentation ou de formation (AI literacy) | Amende administrative + mise en demeure | CNIL / DGCCRF / Arcom |
Au-delà des montants, il y a d'autres risques concrets pour une PME ou une ETI :
- Risque réputationnel : une mise en demeure publique de la CNIL a des effets dévastateurs sur la réputation commerciale, notamment en B2B
- Risque contractuel : vos clients grands comptes commencent à intégrer des clauses de conformité AI Act dans leurs contrats fournisseurs. Ne pas être conforme, c'est potentiellement perdre des marchés
- Risque RH : en cas d'incident impliquant un outil IA dans une décision RH (licenciement, refus d'embauche), l'absence de formation documentée peut aggraver significativement la situation juridique
Les autorités françaises (CNIL, DGCCRF, Arcom) ont déjà annoncé qu'elles prioriseraient les contrôles sur les secteurs les plus exposés (RH, fintech, santé) à partir du second semestre 2026.
Ce que l'AI Act ne dit pas (mais que vous devez savoir)
L'AI Act est un règlement qui impose des obligations, mais il ne prescrit pas précisément comment les remplir dans le détail. C'est à la fois une bonne et une mauvaise nouvelle.
Bonne nouvelle : vous avez de la latitude pour adapter la mise en conformité à la réalité de votre organisation. Une PME de 15 personnes n'a pas besoin des mêmes dispositifs qu'un groupe de 5 000 salariés.
Mauvaise nouvelle : l'absence de prescriptions détaillées laisse beaucoup d'entreprises dans l'incertitude. Combien d'heures de formation suffisent ? Quel contenu exactement ? La réponse dépend des outils utilisés, des risques identifiés, et du niveau de maturité IA de vos équipes.
Ce que les juristes et experts en conformité s'accordent à dire, c'est qu'une formation sérieuse, documentée, dispensée par un organisme certifié, couvrant les fondamentaux de l'AI Act et les risques spécifiques aux outils utilisés, est une base solide. C'est exactement ce que propose Nerolia dans ses formations entreprises.
Atelier de mise en pratique : la formation IA en entreprise vue de l'intérieur
Une session de formation IA Nerolia en entreprise. Groupes de 6 à 10 personnes, exercices pratiques sur les outils réels utilisés par les participants.
Quand on demande aux DRH et responsables formation qui ont déjà déployé des formations IA quel a été leur principal enseignement, la réponse est presque toujours la même : "On pensait que c'était une formalité réglementaire. En réalité, ça a transformé la façon dont nos équipes utilisent ces outils."
Une bonne formation AI literacy, c'est bien plus qu'un cours sur l'AI Act. C'est l'occasion de remettre à plat les pratiques réelles de vos équipes face aux outils IA qu'elles utilisent au quotidien — souvent de façon informelle, parfois risquée. Comprendre pourquoi ChatGPT peut "halluciner", comment un outil de scoring RH peut reproduire des biais, ou comment vérifier les outputs d'une IA générative, c'est de la valeur ajoutée immédiate pour votre organisation.
3 étapes pour se mettre en conformité avant le 2 août 2026
Cartographier vos usages IA — à faire en premier
Listez tous les outils utilisés dans votre organisation qui intègrent une composante IA. Incluez les outils achetés (logiciels métier, SaaS) ET les outils utilisés de façon autonome par vos équipes (ChatGPT, Claude, Copilot…). Pour chaque outil, identifiez : qui l'utilise, dans quel processus, avec quelles données. C'est le fondement de tout le reste. Sans cette cartographie, vous ne pouvez pas savoir quelles sont vos obligations exactes.
Classifier les risques selon la grille AI Act
Pour chaque outil identifié, déterminez son niveau de risque : interdit, haut risque, risque limité, ou risque minimal. Pour les systèmes à haut risque, contactez votre fournisseur pour obtenir la documentation technique (c'est son obligation). Pour les outils à risque limité, vérifiez que vous respectez les obligations de transparence (notamment informer les utilisateurs qu'ils interagissent avec une IA). Priorisez les actions sur les systèmes à haut risque.
Déployer la formation AI literacy — et documenter
Formez les collaborateurs qui utilisent des outils IA, en commençant par ceux qui utilisent des systèmes à haut risque. La formation doit couvrir les bases de l'AI Act, le niveau de risque des outils utilisés, les bonnes pratiques d'usage et les procédures de signalement des incidents. Conservez les preuves : attestations de formation, listes de présence, supports pédagogiques. Avec un organisme certifié Qualiopi comme Nerolia, toute cette documentation est produite automatiquement.
Bonne nouvelle pour votre budget
Les formations IA certifiées Qualiopi sont finançables à 70-100% via votre OPCO. En pratique, la mise en conformité AI Act via la formation peut vous coûter zéro euro de budget direct, si vous mobilisez les bons dispositifs de financement. Les démarches prennent 2 à 4 semaines — il faut les lancer maintenant pour être couvert avant août.
Financer la formation AI Act via l'OPCO : le mode d'emploi
La formation de vos équipes à l'AI literacy entre dans le cadre de la formation professionnelle continue. Elle est donc éligible aux financements OPCO (Opérateur de Compétences) qui couvrent la formation des salariés en entreprise.
Les OPCO ont été informés des obligations imposées par l'AI Act et ont globalement orienté une part de leurs budgets 2026 vers les formations IA réglementaires. C'est une opportunité directe pour votre entreprise.
Qui peut en bénéficier : tout salarié en CDI ou CDD dans une entreprise cotisant à un OPCO (ce qui est le cas de la quasi-totalité des entreprises françaises).
Conditions : la formation doit être dispensée par un organisme certifié Qualiopi, et vous devez justifier d'un lien entre la formation et les besoins métier de l'entreprise (la conformité AI Act est une justification parfaitement recevable).
Montants : pour une journée de formation en intra-entreprise (groupe de 6 à 12 personnes), les OPCO financent généralement entre 1 200 et 2 500 euros selon le secteur. Pour une formation multi-sessions sur l'AI Act et les pratiques IA, le financement peut couvrir l'intégralité du coût.
Pour les indépendants et auto-entrepreneurs qui n'ont pas accès aux OPCO, d'autres dispositifs existent : Agefice pour les commerçants et artisans, CPF pour certains parcours certifiants, ou encore les aides régionales à la formation.
Nerolia accompagne ses clients dans la totalité des démarches administratives OPCO, de la constitution du dossier jusqu'à la lettre d'accord. C'est un service inclus dans notre offre de formation entreprise.
Les 5 erreurs que les entreprises françaises commettent face à l'AI Act
❌ Erreur 1 — "On verra en juillet"
Les démarches OPCO prennent 2 à 6 semaines. La conception et le déploiement d'un programme de formation en intra prennent 3 à 4 semaines supplémentaires. Si vous attendez juillet pour démarrer, il sera trop tard pour être couvert le 2 août.
❌ Erreur 2 — "On n'utilise pas vraiment d'IA"
Si vos équipes utilisent ChatGPT, Copilot, Google Workspace avec IA, ou si vos logiciels métier ont des fonctionnalités "IA" — et la quasi-totalité des SaaS modernes en ont — vous utilisez de l'IA. L'AI Act s'applique.
❌ Erreur 3 — Se contenter d'un e-learning générique de 30 minutes
Un quiz en ligne sur "les bases de l'IA" ne constitue pas une preuve de conformité AI literacy. La formation doit couvrir les obligations spécifiques du règlement, les risques liés aux outils réellement utilisés, et doit être documentée. La certification Qualiopi est votre meilleure garantie.
❌ Erreur 4 — Ne former que les équipes IT
L'obligation d'AI literacy s'applique à tous les utilisateurs de systèmes d'IA, pas seulement aux équipes techniques. Si vos commerciaux utilisent un CRM avec IA, vos RH un logiciel de recrutement IA, et votre service client un chatbot — ils doivent tous être formés.
❌ Erreur 5 — Oublier de documenter
La formation sans trace écrite est pratiquement invisible pour un contrôle. En cas d'audit, c'est à vous d'apporter la preuve que vos équipes ont bien été formées. Attestations, feuilles d'émargement, programmes de formation : conservez tout pendant au moins 5 ans.
Questions fréquentes
L'AI Act oblige-t-il vraiment les entreprises à former leurs salariés ?
Oui. L'article 4 de l'AI Act impose une obligation d'«AI literacy» pour toutes les personnes qui utilisent ou supervisent des systèmes d'IA dans le cadre professionnel. L'employeur est responsable de s'assurer que ses équipes disposent de ce niveau minimal de compétences, et doit pouvoir en apporter la preuve documentaire en cas de contrôle. Cette obligation est déjà en vigueur depuis février 2025.
Mon entreprise n'utilise pas d'IA : suis-je quand même concerné ?
Très probablement oui. Si vous utilisez un outil intégrant de l'IA (CRM, logiciel RH, outil de recrutement, chatbot, solution de détection de fraude, outil de scoring crédit…), vous êtes considéré comme «déployeur» au sens de l'AI Act. Cela vous soumet à des obligations de vérification du niveau de risque du système et à des exigences de formation de vos utilisateurs.
Quelles sont les sanctions en cas de non-conformité à l'AI Act en France ?
Les sanctions varient selon la gravité : jusqu'à 35 M€ ou 7% du CA mondial pour les violations les plus graves, jusqu'à 15 M€ ou 3% pour les violations des obligations principales, et jusqu'à 7,5 M€ ou 1% pour la fourniture d'informations inexactes. Pour les PME, les sanctions réelles seront proportionnées, mais les risques réputationnel et contractuel sont souvent plus immédiats.
La formation IA AI Act peut-elle être financée par l'OPCO ou le CPF ?
Oui, les formations IA certifiées Qualiopi destinées à répondre aux obligations de l'AI Act sont finançables via l'OPCO pour les salariés en entreprise. Nerolia Formation est certifiée Qualiopi (N° QUA009366) et accompagne les entreprises dans toutes les démarches de financement OPCO.
Quelle est la différence entre un système à haut risque et un système à risque limité ?
Un système à haut risque est utilisé dans des domaines sensibles listés en Annexe III : recrutement et gestion RH, évaluation scolaire, accès aux services essentiels (crédit, assurance), application de la loi. Ces systèmes font l'objet d'obligations lourdes. Les systèmes à risque limité (chatbots, IA génératives) ont des obligations de transparence plus légères, mais l'obligation de formation AI literacy s'applique dans les deux cas.
Par où commencer si je veux démarrer ma mise en conformité AI Act maintenant ?
Commencez par cartographier tous les outils IA utilisés dans votre entreprise, puis classez-les par niveau de risque selon la grille AI Act. Priorisez les systèmes à haut risque et démarrez la formation de vos équipes. Nerolia propose un audit de conformité IA gratuit en 15 minutes pour vous aider à identifier vos priorités et à lancer le financement OPCO.