Article 4 de l'EU AI Act : qu'est-ce que cela implique concrètement pour votre organisation ?

Depuis le 2 février 2025, l’article 4 de l’EU AI Act est en vigueur. Cette disposition impose aux organisations de veiller à ce que leurs collaborateurs disposent d’un niveau suffisant de littératie en IA. Sur le papier, cela paraît simple. En pratique, beaucoup d’organisations se demandent encore ce que cela signifie réellement — et surtout ce qu’elles doivent faire, dès maintenant, en tant qu’employeur, responsable RH ou responsable IT.

L’essentiel : que dit l’article 4 ?

L’article 4 impose aux fournisseurs et aux utilisateurs professionnels de systèmes d’IA de veiller à ce que leur personnel dispose d’un niveau suffisant de littératie en IA. Le texte précise qu’il faut tenir compte des connaissances techniques, de l’expérience, de la formation et du contexte des personnes qui utilisent l’IA, ainsi que du contexte dans lequel les systèmes d’IA sont déployés.

La formulation est volontairement large. Le législateur n’a pas prévu une checklist rigide du type « voici exactement ce qu’il faut faire ». L’article 4 crée plutôt une obligation de résultat : votre organisation doit pouvoir démontrer que les personnes qui utilisent l’IA savent ce qu’elles font, comprennent les risques et agissent dans un cadre responsable.

Pourquoi ce n’est pas facultatif

L’EU AI Act n’est pas une directive, mais un règlement. Il est donc directement applicable dans tous les États membres de l’Union européenne, y compris en Belgique et aux Pays-Bas. Il n’y a pas de transposition nationale à attendre. L’obligation existe déjà aujourd’hui.

Les sanctions prévues ne sont pas symboliques. En cas de non-respect de l’article 4, les amendes peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial annuel, selon le montant le plus élevé.

Soyons réalistes : il est peu probable qu’un régulateur se présente demain dans une PME locale uniquement pour vérifier l’article 4. Mais ce n’est pas la bonne manière de regarder le sujet. La vraie question est la suivante : si un incident survient, pouvez-vous démontrer que votre organisation a pris la littératie en IA au sérieux ?

En cas de problème — décision biaisée, usage imprudent d’un outil d’IA, fuite de données, plainte d’un candidat — la première question sera simple : qu’avez-vous mis en place pour former vos collaborateurs ?

Qui est concerné ?

En pratique, presque toute organisation qui utilise déjà des outils d’IA est concernée. Et c’est souvent plus large qu’on ne le pense.

Votre organisation utilise Microsoft 365 Copilot ? Vous agissez alors comme déployeur d’un système d’IA. Vous utilisez un outil d’IA pour trier ou analyser des CV ? Vous êtes potentiellement face à un système d’IA à haut risque. Un collaborateur utilise un compte gratuit ChatGPT pour rédiger une réponse à un client ? Il s’agit déjà d’un usage de l’IA qui engage aussi la responsabilité de l’organisation.

La loi tient compte des rôles. Tous les collaborateurs ne doivent pas disposer exactement du même niveau de connaissance. Une personne à l’accueil qui utilise ponctuellement un outil d’IA n’a pas les mêmes besoins qu’un responsable RH qui utilise l’IA dans le recrutement. Mais dans les deux cas, il faut comprendre ce que l’on fait, connaître les limites de l’outil et savoir quand il faut demander de l’aide ou signaler un risque.

Ce que signifie concrètement un « niveau suffisant de littératie en IA »

La loi n’impose ni une formation précise, ni un certificat particulier. Mais le texte permet de déduire ce qui est attendu, au minimum, dans une organisation sérieuse.

Pour tous les collaborateurs qui utilisent l’IA :

- comprendre ce qu’est l’IA et comment elle fonctionne, à un niveau de base ;

- savoir quels outils d’IA ils utilisent et dans quel but ;

- connaître les principales limites : hallucinations, biais, risques liés à la confidentialité et à la vie privée ;

- savoir quelles données peuvent ou non être introduites dans un système d’IA ;

- reconnaître les signaux d’alerte et savoir à qui les signaler.

Pour les managers et les décideurs :

- connaître les grandes lignes des obligations prévues par l’EU AI Act ;

- savoir quels systèmes d’IA sont utilisés dans l’organisation ;

- encadrer l’usage responsable de l’IA par une politique claire ;

- pouvoir évaluer les risques liés aux usages concrets.

Pour les responsables RH qui utilisent l’IA dans le recrutement ou la sélection :

- savoir que ces usages peuvent relever du haut risque au sens de l’annexe III ;

- être capables d’identifier des biais dans les outils de sélection ;

- connaître les obligations de transparence vis-à-vis des candidats ;

- garantir une supervision humaine réelle.

Pour les administrateurs IT :

- comprendre la différence entre fournisseur et déployeur ;

- mettre en place la journalisation et la surveillance appropriées ;

- savoir à partir de quel moment un finetuning peut modifier le rôle de l’organisation ;

- détecter et encadrer le shadow AI.

Comment démontrer votre conformité ?

Comme l’article 4 repose sur une obligation de résultat, tout se joue sur la preuve. Votre organisation doit pouvoir démontrer qu’elle a réellement travaillé la littératie en IA de manière structurée.

Cela passe notamment par :

La documentation

Un aperçu clair de qui a suivi quelle formation, à quelle date, et avec quel résultat.

La certification

Un certificat par collaborateur indiquant les compétences évaluées et les thèmes couverts. Ce n’est pas une obligation légale explicite, mais c’est souvent la preuve la plus solide lors d’un audit ou d’un contrôle.

L’actualisation

L’IA évolue rapidement. Une formation suivie il y a deux ans ne suffit plus. Une recertification périodique — idéalement annuelle — montre que votre organisation reste à jour.

La différenciation

Tout le monde ne doit pas recevoir exactement la même formation. Vous devez pouvoir démontrer que vous avez réfléchi aux besoins réels de chaque groupe de collaborateurs en fonction de leur rôle et des systèmes d’IA qu’ils utilisent.

Ce que vous pouvez faire dès maintenant

Vous ne devez pas tout régler en un jour. En revanche, vous pouvez commencer immédiatement.

Étape 1 : inventorier

Quels outils d’IA sont utilisés dans votre organisation ? Par qui ? Pour quels usages ? N’oubliez pas les outils « informels » : comptes gratuits, extensions de navigateur, fonctions d’IA activées dans des logiciels existants.

Étape 2 : catégoriser

Quels collaborateurs utilisent quels systèmes ? Qui travaille avec des usages sensibles ou à haut risque ? Qui prend les décisions ? Qui gère techniquement les outils ?

Étape 3 : former

Assurez-vous que chaque collaborateur reçoive une formation adaptée à son rôle : claire, pratique, crédible et accompagnée d’une évaluation.

Étape 4 : documenter

Conservez les certificats, les listes de participation, les résultats et votre inventaire des systèmes d’IA. C’est cette documentation qui fait la différence entre une bonne intention et une démarche démontrable.

Étape 5 : répéter

Prévoyez une recertification annuelle. L’EU AI Act évolue, les outils évoluent, et les usages internes évoluent aussi.

En conclusion

L’article 4 n’est pas une formalité administrative de plus. C’est un point de départ. Il aide les organisations à structurer un usage plus sûr, plus responsable et plus efficace de l’IA.

Les organisations qui commencent tôt ne se contentent pas de mieux gérer leur conformité. Elles disposent aussi de collaborateurs qui utilisent l’IA avec davantage de discernement, moins de risques et plus d’impact.

La vraie question n’est donc pas de savoir si vous devez agir. La vraie question est : commencez-vous maintenant, ou attendez-vous qu’un incident vous oblige à le faire ?