RNCP Level 7 Title

Master pipelines, cloud & AI to become an operational Data Engineer.

DataScientist.fr
The teamThe platform
Companies Offer

🇬🇧

Mis à jour : juillet 2026. L'AI Act est un cadre en évolution rapide — cet article est révisé au fil des textes officiels (dernière évolution majeure : l'accord sur le Digital Omnibus, mai 2026).
Moins d'une entreprise sur quatre utilisant l'IA dans l'Union disposait, fin 2024, d'un programme formel de formation à l'IA — alors même qu'une obligation de littératie IA s'applique depuis février 2025. Autrement dit : la plupart des organisations sont concernées par l'AI Act et ne le savent pas encore.
Le règlement européen sur l'intelligence artificielle — l'« AI Act », ou « IA Act » — est le premier cadre juridique complet au monde sur l'IA. Mais pour une entreprise, la vraie question n'est pas « qu'est-ce que c'est ? » : c'est « qu'est-ce que ça change pour moi, et quand ? ». Ce guide y répond de façon opérationnelle et à jour — y compris des reports décidés en 2026 — et vous donne une feuille de route concrète.

À qui s'adresse ce guide ? Aux dirigeants, DRH, responsables conformité et managers d'entreprises et de PME qui utilisent ou développent de l'IA. Ce que vous saurez faire après l'avoir lu : situer votre organisation (fournisseur ou déployeur), classer vos usages par niveau de risque, identifier vos obligations réelles à date, et lancer un plan d'action.

L'AI Act en une phrase

Le règlement (UE) 2024/1689, entré en vigueur le 1er août 2024, encadre l'IA selon une logique de risque : plus un usage est risqué pour les droits et la sécurité des personnes, plus les obligations sont strictes. Il ne vise pas des technologies précises mais des usages, et sa portée est extraterritoriale — il s'applique dès qu'un système d'IA est mis sur le marché ou utilisé dans l'Union, quel que soit le pays du fournisseur (article 2).

Le calendrier d'application (à jour de l'Omnibus de mai 2026)

L'AI Act ne s'applique pas d'un coup : ses obligations arrivent par vagues. Et ce calendrier vient de bouger. Face à une mise en œuvre jugée trop lourde, la Commission a présenté le 19 novembre 2025 un « Digital Omnibus » de simplification ; un accord politique a été trouvé en mai 2026, puis le texte a été adopté — approbation du Parlement européen le 16 juin et feu vert final du Conseil de l'UE le 29 juin 2026. Les obligations les plus lourdes sont donc repoussées, la publication au Journal officiel finalisant ces reports (entrée en vigueur le troisième jour suivant la publication).

Frise chronologique d’application de l’AI Act de 2024 à 2028

Date Ce qui s'applique
1er août 2024 Entrée en vigueur (aucune obligation encore active)
2 février 2025 Pratiques interdites (art. 5) + obligation de littératie IA (art. 4)
2 août 2025 Obligations des modèles d'IA à usage général (GPAI) + gouvernance (AI Office, autorités nationales) ; les États devaient fixer leurs règles de sanctions
2 août 2026 La majorité des règles + obligations de transparence (art. 50) + pouvoirs d'application — date encore active
2 décembre 2027 Systèmes à haut risque de l'Annexe III (recrutement, crédit, éducation…) — repoussé par l'Omnibus (échéance initiale : 2 août 2026)
2 août 2028 IA intégrée aux produits réglementés (Annexe I : dispositifs médicaux, machines…) — repoussé par l'Omnibus
L'essentiel à retenir : l'Omnibus repousse surtout les obligations « haut risque » à fin 2027 et 2028. Mais deux exigences restent d'actualité immédiate — la littératie IA (depuis février 2025) et la transparence (2 août 2026). (Source : timeline officielle de la Commission / AI Act Service Desk ; analyses de l'accord Omnibus — voir Sources.)

Les 4 niveaux de risque : dans quelle case êtes-vous ?

Le cœur de l'AI Act est sa classification par risque. Chaque usage tombe dans l'une de quatre catégories, avec des obligations croissantes.

Pyramide des quatre niveaux de risque de l’AI Act

  • Risque inacceptable (interdit) — notation sociale, manipulation, exploitation des vulnérabilités. Interdits depuis février 2025. (L'Omnibus ajoute une interdiction des contenus intimes non consentis générés par IA et des contenus pédocriminels.)
  • Haut risque — IA de recrutement, d'octroi de crédit, d'éducation, d'accès aux services essentiels… Obligations lourdes (gestion des risques, gouvernance des données, documentation technique, supervision humaine). Applicables au 2 décembre 2027 pour l'Annexe III.
  • Risque limité — chatbots, IA générative grand public. Obligation de transparence : signaler qu'on interagit avec une IA, marquer les contenus générés (art. 50). À partir du 2 août 2026.
  • Risque minimal — la grande majorité des usages (anti-spam, recommandations, correcteurs…). Aucune obligation spécifique.
Pour rendre cela concret, voici comment se classent des usages courants en entreprise :
Usage réel Rôle typique Niveau de risque Obligation principale
Tri automatisé de CV (recrutement) Déployeur Haut risque (Annexe III) Supervision humaine, documentation
Scoring de crédit / solvabilité Déployeur Haut risque Gestion des risques, transparence
Chatbot de service client Déployeur Risque limité Informer l'utilisateur qu'il parle à une IA
Génération de visuels / textes marketing Déployeur Risque limité Marquer les contenus générés
Filtre anti-spam, moteur de recommandation Déployeur Risque minimal Aucune (littératie recommandée)
Notation sociale des personnes Interdit Usage prohibé

Fournisseur ou déployeur ? Le rôle qui détermine vos obligations

C'est la distinction la plus mal comprise — et la plus structurante. L'AI Act ne s'adresse pas qu'à ceux qui construisent de l'IA :
  • Un fournisseur développe un système d'IA (ou un modèle) et le met sur le marché sous son nom.
  • Un déployeur utilise un système d'IA dans le cadre de son activité professionnelle.
La quasi-totalité des entreprises sont des déployeurs — dès lors qu'elles utilisent un CRM à fonctions prédictives, un assistant génératif, un outil de tri de candidatures, etc. Et une même organisation peut être les deux à la fois.

Arbre de décision : suis-je fournisseur ou déployeur au sens de l’AI Act ?

Comparatif des obligations : fournisseur vs déployeur

L'Article 4 : la littératie IA, l'obligation qui vous concerne déjà

Si un seul point de l'AI Act concerne presque toutes les entreprises aujourd'hui, c'est celui-ci. L'article 4 impose, depuis le 2 février 2025, que fournisseurs et déployeurs prennent des mesures pour garantir un niveau suffisant de « littératie IA » de leur personnel et des personnes qui utilisent l'IA pour leur compte, en tenant compte de leurs connaissances, du contexte d'usage et des personnes concernées.
Le règlement définit la littératie IA (art. 3, §56) comme les compétences, connaissances et compréhension permettant un usage éclairé de l'IA et une prise de conscience de ses opportunités, de ses risques et des préjudices possibles.
Qui est concerné ? Fournisseurs et déployeurs ; le personnel et les prestataires, quel que soit le niveau de séniorité. La Commission interprète même largement les « autres personnes » agissant pour le compte de l'organisation (contractants, prestataires, voire clients dans certains cas). En pratique : si vos équipes utilisent des outils d'IA, vous êtes concerné.
Que signifie « niveau suffisant » ? La Commission a publié en mai 2025 une FAQ dédiée : il n'y a pas de curriculum unique, l'approche doit être flexible et proportionnée. Mais elle fixe un socle minimal : garantir une compréhension générale de l'IA, clarifier le rôle de l'organisation (fournisseur ou déployeur), identifier les risques des systèmes utilisés, tenir compte du contexte, et adapter la formation au niveau réel des équipes. La Commission souligne qu'il est en général insuffisant de simplement demander aux salariés de lire la notice d'un outil.
Un exemple de plan de littératie différencié par profil :
Profil Objectif de littératie Contenu type
Dirigeants / décideurs Comprendre les enjeux, risques et obligations Panorama IA, cadre AI Act, gouvernance, risques stratégiques
Métiers (marketing, RH, finance…) Utiliser l'IA de façon éclairée et responsable Cas d'usage métier, limites (hallucinations, biais), bonnes pratiques, confidentialité
Équipes techniques / data Concevoir et opérer des systèmes conformes Documentation, supervision humaine, sécurité, MLOps, obligations fournisseur

Comment le prouver ? L'esprit du texte est celui de la traçabilité. La Commission recommande de conserver une documentation des mesures de littératie mises en place. Concrètement, les autorités attendront un programme documenté — et non un événement de formation isolé — calibré par rôle, rafraîchi quand la réglementation ou les outils évoluent, avec la preuve que des personnes nommées ont bien suivi les modules pertinents. C'est là qu'une formation dont les compétences sont vérifiables — pas seulement attestées par une feuille de présence — fait la différence : elle produit la preuve exigée.

⚠️ Point de vigilance (Omnibus). L'article 4 s'applique aujourd'hui. Mais l'Omnibus, adopté en juin 2026, prévoit de le refondre : transférer aux États membres et à la Commission la mission de promouvoir la littératie IA, plutôt que d'imposer une obligation générale peu spécifique aux organisations. Ce qui ne bouge pas : pour les déployeurs de systèmes à haut risque, l'obligation de former le personnel à la supervision humaine (art. 26) reste en place ; la responsabilité civile en cas de dommage causé par un usage mal maîtrisé demeure ; et le besoin opérationnel de monter ses équipes en compétence ne disparaît pas. À suivre au fil de l'adoption du texte.

Que faire concrètement ? La feuille de route

Sans attendre les échéances les plus lointaines, voici les étapes de base — applicables à toute organisation.

Feuille de route de mise en conformité à l’AI Act en 6 étapes

  1. Inventorier tous vos systèmes d'IA, y compris les outils tiers et l'IA intégrée à vos logiciels. Dans la pratique, les audits révèlent souvent 5 à 12 outils d'IA non déclarés par entreprise, installés par les salariés eux-mêmes.
  2. Vérifier les pratiques interdites (art. 5) et cesser tout usage concerné.
  3. Classer chaque système par niveau de risque et par rôle (fournisseur/déployeur).
  4. Établir un plan de littératie IA adapté aux profils (voir tableau ci-dessus).
  5. Documenter : registres, instructions, gouvernance des données pour les systèmes à haut risque, et preuve des formations suivies.
  6. Mettre en place une gouvernance IA et un suivi continu (les textes évoluent).

3 cas concrets

Cabinet d'expertise comptable. Il utilise un logiciel de saisie automatisée et un assistant génératif pour rédiger des courriers. → Rôle : déployeur.Risque : limité à minimal (pas de système haut risque). → Obligations : littératie IA (les collaborateurs doivent comprendre les limites — hallucinations, confidentialité des données clients) + transparence si un chatbot répond aux clients. → Action : plan de formation documenté pour les équipes.
PME qui trie ses candidatures avec une IA. Le service RH utilise un outil de présélection automatique des CV. → Rôle : déployeur d'un système à haut risque (recrutement = Annexe III). → Obligations : supervision humaine (art. 26 — un humain compétent garde la main sur les décisions), documentation, information des candidats, et littératie renforcée pour les personnes en charge. → Action : encadrer l'outil, former les recruteurs à la supervision, tracer. (Échéance haut risque : 2 décembre 2027, mais la littératie et la responsabilité civile jouent déjà.)
Site e-commerce. Il déploie un chatbot d'assistance et un moteur de recommandation. → Rôle : déployeur.Risque : limité (chatbot → transparence) et minimal (recommandation). → Obligations : informer l'utilisateur qu'il dialogue avec une IA, marquer les contenus générés le cas échéant, littératie des équipes. → Action : bannière de transparence + formation des équipes support et marketing.

Les sanctions : quel risque financier ?

Le régime de sanctions (art. 99) est plus sévère que celui du RGPD, et structuré en paliers :
  • Pratiques interdites (art. 5) : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial.
  • Non-conformité à la plupart des autres obligations (systèmes à haut risque, obligations des déployeurs…) : jusqu'à 15 M€ ou 3 %.
  • Informations incorrectes ou trompeuses aux autorités : jusqu'à 7,5 M€ ou 1 %.
Des plafonds proportionnés s'appliquent aux PME et start-up (le plus bas des deux montants). À noter : les États devaient fixer leurs règles de sanctions pour août 2025, mais l'essentiel des pouvoirs d'application ne s'active qu'à partir du 2 août 2026. En pratique, l'absence de formation sera surtout retenue comme facteur aggravant dans une procédure plus large, plutôt que sanctionnée isolément.

AI Act et financement : ne payez pas votre formation plein tarif

La formation IA de vos équipes — celle qui répond à l'enjeu de littératie — entre généralement dans les dispositifs finançables (OPCO, plan de développement des compétences). L'exigence devient alors une opportunité de montée en compétence financée. C'est d'autant plus pertinent que la Commission et les États membres sont appelés, via l'Omnibus, à promouvoir activement cette montée en compétence.

En résumé

L'AI Act n'est pas un mur qui tombe le 2 août 2026 : c'est un calendrier par vagues, dont l'Omnibus vient de repousser les obligations « haut risque » à fin 2027 et 2028. Mais deux exigences sont déjà là ou imminentes : la littératie IA (depuis février 2025, en cours de refonte mais toujours d'actualité pratique) et la transparence (août 2026). La bonne stratégie n'est pas d'attendre — c'est d'inventorier ses usages, de former ses équipes de façon démontrable, et de suivre l'évolution des textes.
Vous souhaitez sécuriser votre conformité ? Faites le point sur votre plan de littératie IA avec nos équipes.

Sources

FAQ

Take a moment to discuss your training project with an advisor.

Share with

💙 Thank you for reading the article until the end!

Photo de Dr. Hatim CHAHDI

Dr. Hatim CHAHDI

Directeur Data & IA, CEO AXI Technologies

Expert Data & IA et docteur en intelligence artificielle, Hatim cumule plus de 14 ans d'expérience professionnelle à la croisée de la R&D, l'industialisation et l'impact business. Microsoft Certified Trainer, il a dirigé l'industrialisation de l'un des tout premiers systèmes de machine learning déployés en production sur des données de transactions bancaires en France — du cadrage métier jusqu'à la conformité réglementaire. Fondateur d'AXI Technologies, il accompagne régulièrement de grands comptes dans la définition de leurs roadmaps IA et leurs stratégies de mise en production. Formateur en machine learning, cloud, MLOps et IA générative, il transmet au sein de DataScientist une pédagogie exigeante : Chaque apprenant est traité comme un professionnel en devenir, qui apprend en livrant des projets concrets et mesurables.

» Learn More

Associated trainings

All our trainings
Image de la formation Préparez la certification PL‑300
Préparez la certification PL‑300
24 heures
Beginner
Guarantee
Image de la formation Préparez la certification AZ-900
Préparez la certification AZ-900
10 heures
Beginner
Guarantee
Image de la formation Préparez la certification DP‑700
Préparez la certification DP‑700
24 heures
Beginner
Guarantee
Image de la formation Préparez la certification DP‑900
Préparez la certification DP‑900
10 heures
Beginner
Guarantee

DataScientist.fr

By AXI Technologies

128 Rue de la Boétie,
75008, Paris, France

Phone number :

WhatsApp :

© 2026 DataScientist.fr - AXI Technologies - All rights reserved