AI Act article 4 : que doit faire une PME en 2026 ?
L'article 4 du règlement européen sur l'intelligence artificielle (AI Act, règlement UE 2024/1689) impose à toute entreprise qui utilise des systèmes d'IA de garantir un "niveau suffisant de maîtrise de l'IA" pour son personnel. Cette obligation est en vigueur depuis le 2 février 2025. Elle concerne les PME autant que les grands groupes : dès lors que vos salariés utilisent ChatGPT, Copilot, ou n'importe quel assistant IA dans un cadre professionnel, votre entreprise est concernée. Le texte ne prescrit pas de méthode spécifique, mais il exige des mesures concrètes, documentées et adaptées au contexte de chaque organisation.
Ce que dit exactement l'article 4
«Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA pour leur personnel et les autres personnes s'occupant du fonctionnement et de l'utilisation des systèmes d'IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d'IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l'égard desquels les systèmes d'IA sont destinés à être utilisés.»
Source : Règlement (UE) 2024/1689, Journal officiel de l'Union européenne, 12 juillet 2024.
Trois choses à retenir de ce texte. Premièrement, l'obligation vise les "déployeurs", c'est-à-dire toute organisation qui utilise un système d'IA dans un cadre professionnel. Une PME dont les salariés utilisent ChatGPT est un déployeur au sens du règlement. Deuxièmement, le texte demande des "mesures" concrètes, pas juste une bonne intention. La FAQ de la Commission européenne (publiée en mai 2025) précise qu'il ne suffit pas de demander à ses salariés de lire les instructions d'utilisation d'un outil IA. Troisièmement, les mesures doivent être adaptées au contexte : le niveau de formation requis n'est pas le même pour un comptable qui utilise un assistant de rédaction et pour un développeur qui intègre des API.
Ce que ça implique concrètement pour une PME
Ce n'est pas un sujet réservé aux grands groupes. Le règlement ne prescrit pas de format, de durée ni de fréquence pour les formations. Il n'exige pas de certification. La Commission européenne le confirme dans sa FAQ officielle : les organisations peuvent simplement tenir un registre interne des formations et actions de sensibilisation entreprises.
Concrètement, pour une PME, ça se traduit par cinq actions.
1. Cartographier les usages IA dans l'entreprise
Quels outils sont utilisés, par qui, pour quoi faire. C'est le point de départ.
2. Évaluer le niveau de compétence IA des équipes
Pas avec un examen, mais avec un diagnostic simple : qui sait utiliser l'IA de manière pertinente dans son métier, qui n'a jamais touché un outil IA.
3. Mettre en place des actions de formation adaptées
Le mot clé est "adaptées". Le texte insiste sur la prise en compte des connaissances techniques, de l'expérience et du contexte d'utilisation. Une formation identique pour tous ne répond pas à l'exigence.
4. Documenter les actions entreprises
Tenir un registre des formations, des participants, des contenus abordés. C'est la preuve de conformité en cas de contrôle.
5. Nommer un référent
Le règlement ne l'impose pas explicitement, mais la Commission recommande de désigner une personne responsable de la conformité IA dans l'entreprise. Dans une PME, ça peut être le dirigeant lui-même, le DPO (qui connaît déjà le RGPD) ou un prestataire externe.
Ce qu'on constate sur le terrain (données Optimia)
Depuis 2024, Optimia a accompagné plus de 20 PME dans leur adoption IA. Voici ce qu'on constate systématiquement lors de nos audits.
En moyenne, on découvre 5,3 outils IA non déclarés par entreprise. Ce sont des outils que les salariés utilisent sans que la direction le sache : ChatGPT sur des comptes personnels, des extensions Chrome basées sur l'IA, des outils de transcription, de résumé ou de génération de contenu. C'est ce qu'on appelle le shadow AI.
68% des utilisateurs IA dans les PME que nous accompagnons ne sont pas identifiés comme tels par leur direction. Le dirigeant pense que "deux ou trois personnes testent l'IA". La réalité, c'est souvent la moitié de l'entreprise.
Les dépenses IA cachées représentent en moyenne 2 100 euros par mois et par entreprise. Abonnements personnels, doublons d'outils, licences inutilisées. La plupart des dirigeants sous-estiment leurs dépenses IA réelles de plus de 60%.
Et surtout : dans la quasi-totalité des PME que nous auditons, aucune action de formation IA n'a été documentée. L'obligation de l'article 4 est en vigueur depuis février 2025. Onze mois plus tard, la plupart des PME n'ont rien mis en place.
Nous détaillons ces constats et les scénarios les plus fréquents dans notre article dédié au shadow AI en PME.
Les 3 erreurs que font les PME face à l'article 4
Première erreur : penser que ça ne concerne que les systèmes "avancés"
L'article 4 s'applique à tous les systèmes d'IA, pas seulement aux systèmes à haut risque. Si vos salariés utilisent ChatGPT, Copilot, Gemini, Claude ou n'importe quel outil d'IA générative dans leur travail, vous êtes concerné. L'obligation de maîtrise IA est placée dans le chapitre "Dispositions générales" du règlement, en amont de la classification par niveaux de risque.
Deuxième erreur : confondre "formation" et "conformité"
Envoyer tous ses salariés à une journée de formation généraliste sur l'IA ne suffit pas à répondre à l'exigence de l'article 4. Le texte demande des mesures adaptées "aux connaissances techniques, à l'expérience, à l'éducation et à la formation" de chaque personne. Une formation identique pour le comptable et le commercial ne répond pas à cette exigence de personnalisation.
Troisième erreur : attendre les sanctions pour agir
L'article 4 est en vigueur depuis février 2025. Les autorités nationales de surveillance commenceront à contrôler et sanctionner à partir d'août 2026. Il est vrai que l'article 99 du règlement ne prévoit pas d'amende directe spécifique à la violation de l'article 4. Mais la Commission européenne a précisé que le non-respect de l'obligation de maîtrise IA pourrait constituer un facteur aggravant en cas d'incident lié à l'utilisation de l'IA par un salarié insuffisamment formé. Et les États membres peuvent fixer leurs propres sanctions via l'article 99(1). Attendre, c'est prendre un risque.
Comment se mettre en conformité : plan d'action en 5 étapes
Étape 1 : Faire un diagnostic de vos usages IA
Avant de former qui que ce soit, il faut savoir ce qui se passe réellement avec l'IA dans votre entreprise. Combien de salariés utilisent des outils IA ? Lesquels ? Pour quels usages ? Ce diagnostic prend quelques jours et révèle souvent des surprises.
Étape 2 : Évaluer le niveau de chaque salarié
Pas un examen. Un entretien ou un questionnaire simple pour situer chaque personne : débutant (n'a jamais utilisé d'outil IA), utilisateur occasionnel (utilise ChatGPT de temps en temps), utilisateur régulier (a intégré l'IA dans son quotidien). Le règlement demande de prendre en compte le niveau de départ de chacun.
Étape 3 : Former de manière personnalisée
La clé est la personnalisation par poste et par niveau. Un commercial, un comptable et un responsable RH n'ont pas les mêmes usages possibles de l'IA. Chacun doit apprendre à identifier où l'IA peut l'aider dans son propre métier, avec ses propres outils et ses propres contraintes.
Étape 4 : Documenter tout
Créer un registre de conformité qui trace les formations dispensées, les participants, les contenus, les dates. C'est l'équivalent du registre de traitement du RGPD : la preuve que vous avez pris les mesures requises. Le règlement ne demande pas de certificat, mais il demande des preuves.
Étape 5 : Suivre dans le temps
L'IA évolue, les usages aussi. Une formation ponctuelle ne suffit pas. Il faut un suivi continu : nouveaux outils, nouveaux usages, nouveaux collaborateurs. C'est ce qui distingue une conformité de façade d'une véritable montée en compétence.
Le calendrier de l'AI Act pour les PME
1er août 2024
Entrée en vigueur du règlement (UE) 2024/1689.
2 février 2025
L'article 4 (maîtrise IA) et l'article 5 (pratiques interdites) sont applicables. L'obligation de formation IA est en vigueur.
2 août 2025
Les règles de gouvernance et les obligations pour les modèles d'IA à usage général (GPAI) deviennent applicables. Le régime de sanctions (article 99) entre en application.
2 août 2026
Application de la majorité des obligations, notamment pour les systèmes à haut risque et les exigences de transparence. Les autorités nationales de surveillance commencent à contrôler et sanctionner.
2 août 2027
Application complète pour certains systèmes à haut risque intégrés dans des produits réglementés.
Sanctions : ce que risque réellement une PME
Soyons précis. L'article 99 du règlement prévoit un système de sanctions à plusieurs niveaux. Les amendes les plus lourdes (jusqu'à 35 millions d'euros ou 7% du CA mondial) concernent les pratiques interdites de l'article 5, pas l'obligation de maîtrise IA de l'article 4.
L'article 99(3-5) ne prévoit pas d'amende directe spécifique pour la violation de l'article 4. C'est un point important que beaucoup d'articles de presse ou de blogs omettent. Pour les PME, les amendes sont plafonnées au montant le plus bas entre le pourcentage et le montant fixe (article 99(6)), ce qui constitue une protection.
Cependant, ce serait une erreur de penser que l'article 4 est sans conséquence. La Commission européenne a explicitement précisé dans sa FAQ que le manquement à l'obligation de maîtrise IA constitue un facteur aggravant en cas d'incident. Si un de vos salariés cause un préjudice en utilisant un outil IA sans formation adéquate, le fait de n'avoir rien mis en place aggravera votre responsabilité. Par ailleurs, les États membres peuvent fixer leurs propres sanctions via l'article 99(1), et la France n'a pas encore précisé son régime.
En pratique, le risque pour une PME n'est pas l'amende astronomique. C'est la responsabilité civile en cas d'incident, le facteur aggravant en cas de contrôle, et la perte de crédibilité face à des clients ou partenaires qui exigent de plus en plus la conformité IA de leurs prestataires.
Questions fréquentes
Sources et Références
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 (texte intégral)
- Commission européenne, FAQ AI Literacy (mai 2025)
- Commission européenne, page officielle AI Act
- Living Repository on AI Literacy (exemples de pratiques)
- Données terrain Optimia : audits réalisés auprès de +20 PME entre 2024 et 2025
Cet article a été rédigé par Julien Johann, fondateur d'Optimia et Ambassadeur du Plan national Osez l'IA pour la Nouvelle-Aquitaine. Optimia accompagne les PME dans leur adoption IA : diagnostic, formation personnalisée et agents IA sur mesure.