L'essentiel en 30 secondes
- L'Article 4 du Règlement (UE) 2024/1689 impose une obligation de littératie en IA pour tous les collaborateurs exposés à un système d'IA.
- Le Code du travail français (art. L. 2312-8 et L. 2312-38) oblige le DRH à informer et consulter le CSE avant tout déploiement d'IA modifiant les conditions de travail.
- Les PME de 10 à 250 salariés doivent documenter les actions de formation et leur traçabilité avant le 2 août 2026.
- Les sanctions de l'Article 99 du Règlement (UE) 2024/1689 peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour manquement aux obligations transversales.
- L'application de l'Article 4 est entrée en vigueur le 2 février 2025 — l'obligation est déjà active.
- Une cartographie des usages d'IA et un plan de formation horodaté constituent le socle minimum exigible en cas de contrôle.
1. Contexte juridique : l'Article 4 de l'AI Act
L'Article 4 du Règlement (UE) 2024/1689 (ci-après « AI Act ») introduit une obligation transversale, applicable à tous les fournisseurs et déployeurs de systèmes d'IA, indépendamment du niveau de risque. Cette obligation porte un nom : la literacy in AI ou littératie en IA.
Le texte officiel dispose : « Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA pour leur personnel et les autres personnes s'occupant du fonctionnement et de l'utilisation des systèmes d'IA pour leur compte. »
Pour une PME française de 10 à 250 salariés, cela signifie trois choses concrètes :
- Identifier tous les collaborateurs qui utilisent un système d'IA dans leur travail quotidien.
- Mettre en place une formation adaptée à leurs missions, à leurs compétences et au niveau de risque du système.
- Documenter cette formation pour pouvoir la prouver en cas de contrôle par l'autorité compétente.
L'Art. 4 ne fixe ni durée minimale ni format imposé. Le texte parle d'un « niveau suffisant », laissant à chaque organisation la responsabilité de définir ce qui est proportionné. Cette flexibilité est aussi un piège : sans cadre interne formalisé, l'employeur ne peut pas démontrer qu'il a satisfait à l'obligation.
L'Art. 4 s'applique depuis le 2 février 2025, conformément au calendrier d'entrée en application progressive prévu à l'Art. 113 du Règlement. Les PME qui n'ont pas encore engagé de plan de formation sont déjà en situation de non-conformité. Pour le calendrier complet, voir le pilier AI Act PME France.
2. Information et consultation du CSE : le cadre français
L'AI Act ne se substitue pas au droit du travail français. Le DRH doit donc articuler deux corpus juridiques :
- L'Article 4 de l'AI Act — formation des utilisateurs.
- Les articles L. 2312-8 et L. 2312-38 du Code du travail — information et consultation du Comité social et économique (CSE) sur les décisions impactant les conditions de travail.
L'introduction d'un système d'IA modifiant l'organisation, la charge de travail, l'évaluation des salariés ou les méthodes de recrutement constitue un projet soumis à consultation préalable du CSE. Cette obligation découle du droit français, pas de l'AI Act, mais les deux se renforcent mutuellement.
| Obligation | Source juridique | Délai | Sanction en cas de manquement |
|---|---|---|---|
| Information préalable du CSE | Art. L. 2312-8 Code du travail | Avant décision de déploiement | Délit d'entrave (art. L. 2317-1) — amende jusqu'à 7 500 € |
| Consultation du CSE | Art. L. 2312-14 Code du travail | Avis dans un délai conventionnel ou réglementaire (1 mois par défaut, 2 mois avec expert) | Nullité de la décision et délit d'entrave |
| Formation des collaborateurs | Art. 4 AI Act | Avant utilisation du système | Sanctions Art. 99 AI Act — jusqu'à 15 M€ ou 3 % du CA mondial |
| BDESE — mise à jour | Art. L. 2312-18 Code du travail | Permanente | Délit d'entrave |
Le contenu minimum de l'information à transmettre au CSE doit couvrir : la finalité du système d'IA, les données traitées, les catégories de salariés concernés, l'impact sur les conditions de travail, les mesures de formation prévues et le cadre de gouvernance.
Note importante : le « délai de 15 jours » parfois évoqué pour les PME ne figure pas en tant que tel dans le Code du travail. Le délai de droit commun est d'un mois à compter de la communication des informations, prolongé à deux mois en cas de recours à un expert (art. R. 2312-6). Un accord d'entreprise peut prévoir un délai différent. [à vérifier selon votre accord collectif]
3. Cartographier les systèmes d'IA utilisés en PME
Avant toute formation, le DRH doit savoir quels systèmes d'IA sont effectivement utilisés dans l'entreprise. Cette cartographie est souvent absente dans les PME, où les outils d'IA sont introduits de manière diffuse : ChatGPT par un commercial, Copilot par un développeur, un outil de tri de CV par un recruteur.
La méthode recommandée pour une PME de 50 salariés :
- Adresser un questionnaire à chaque manager pour recenser les outils utilisés.
- Croiser avec la liste des abonnements SaaS payés par l'entreprise.
- Auditer les extensions navigateur installées sur les postes professionnels.
- Documenter chaque système dans un registre interne : nom, fournisseur, finalité, catégorie de risque AI Act, utilisateurs.
Cette cartographie sert deux objectifs : alimenter le dossier de consultation du CSE et calibrer le plan de formation par profil d'utilisateur.
| Catégorie de risque | Exemple en RH | Obligations Art. 4 renforcées |
|---|---|---|
| Risque inacceptable (Art. 5) | Notation sociale, reconnaissance émotionnelle au travail | Interdit depuis le 2 février 2025 |
| Risque élevé (Annexe III) | Tri de CV, évaluation de candidats, attribution de promotions | Formation approfondie + documentation Art. 26 |
| Risque limité (Art. 50) | Chatbot RH interne | Information des utilisateurs + formation de base |
| Risque minimal | Correcteur orthographique, traduction automatique | Formation générale à la littératie IA |
Les systèmes utilisés dans le recrutement et la gestion des ressources humaines figurent explicitement à l'Annexe III, point 4, du Règlement (UE) 2024/1689. Cela inclut les outils de tri de candidatures, d'analyse de performance et de prise de décision sur les conditions de travail.
Constituez votre dossier de conformité Article 4 en 48 heures
regulia met à disposition un pack documentaire complet : registre des systèmes d'IA, modèle de consultation CSE, support de formation par profil, attestation de conformité Art. 4. Adapté aux PME françaises de 10 à 250 salariés.
Recevoir le pack documentaire DRH4. Construire un plan de formation conforme à l'Article 4
L'Art. 4 ne prescrit pas de format. La pratique professionnelle, étayée par les recommandations du Bureau européen de l'IA (AI Office) publiées en mai 2025, fait émerger un standard à trois niveaux.
Niveau 1 — Sensibilisation générale (1 à 2 heures)
Public : tous les salariés. Contenu : définition de l'IA, principaux risques, droits des personnes concernées par une décision automatisée, points de contact internes. Cette base couvre l'obligation pour les utilisateurs occasionnels.
Niveau 2 — Formation métier (3 à 6 heures)
Public : utilisateurs réguliers d'un système d'IA dans leurs missions. Contenu : fonctionnement du système, limites, biais connus, procédures de vérification humaine, escalade en cas d'anomalie. Adaptée par fonction : recruteurs, managers, équipe support.
Niveau 3 — Formation approfondie (1 à 2 jours)
Public : référents IA, DPO, RSSI, IA Lead, opérateurs de systèmes à haut risque. Contenu : cadre juridique complet de l'AI Act, articulation avec le RGPD, ISO/IEC 42001:2023, gestion des incidents, audit de conformité.
La CNIL n'a pas publié à ce jour de recommandation chiffrée explicite sur la durée minimale de formation des utilisateurs finaux à l'IA. Les durées indiquées ici reflètent la pratique observée et les orientations de l'AI Office EU. [à vérifier pour chiffres précis CNIL]
Le plan de formation doit être documenté avec : la liste des salariés formés, la date, le contenu, la durée, le formateur et un mécanisme de validation des acquis (quiz, attestation signée). Ce dossier est l'élément probant principal en cas de contrôle.
5. Contenus pédagogiques recommandés par profil
Une formation Art. 4 efficace ne se contente pas d'un module générique. Elle s'adapte au contexte d'usage.
Pour les recruteurs utilisant un outil de tri de CV (système à haut risque, Annexe III) :
- Cadre légal : Art. 26 (déployeurs de systèmes à haut risque) et Art. 27 (analyse d'impact sur les droits fondamentaux).
- Connaissance des biais possibles dans les modèles de scoring de candidats.
- Procédure de revue humaine systématique avant décision finale.
- Droit du candidat à une explication (Art. 86 du Règlement).
- Articulation avec l'article L. 1221-6 du Code du travail (loyauté de la collecte d'informations).
Pour les managers utilisant un outil d'évaluation de performance :
- Différence entre aide à la décision et décision automatisée au sens de l'art. 22 du RGPD.
- Obligation d'information du salarié évalué.
- Documentation des écarts entre la suggestion de l'IA et la décision finale du manager.
Pour l'équipe IT et le RSSI :
- Mise en œuvre des mesures techniques de l'Art. 15 (robustesse, cybersécurité).
- Journalisation des événements (Art. 12) sur les systèmes à haut risque.
- Gestion des incidents et notification à l'autorité (Art. 73).
6. Échéances calendaires et niveau de risque réglementaire
Le calendrier d'application de l'AI Act s'étale jusqu'en août 2027. Les DRH doivent connaître les jalons qui les concernent directement.
| Date | Disposition | Conséquence opérationnelle DRH |
|---|---|---|
| 2 février 2025 | Art. 4 (littératie) et Art. 5 (pratiques interdites) applicables | Plan de formation à engager immédiatement. Retirer tout outil de reconnaissance émotionnelle au travail. |
| 2 août 2025 | Gouvernance, IA à usage général, sanctions Art. 99 applicables | Désigner un référent IA interne. |
| 2 août 2026 | Obligations sur les systèmes à haut risque (Annexe III) applicables | Documentation complète sur outils RH à haut risque. |
| 2 août 2027 | Obligations sur systèmes à haut risque intégrés à des produits réglementés | Audit final de conformité. |
Source du calendrier : Art. 113 du Règlement (UE) 2024/1689.
Pour les détails sur les sanctions financières applicables et leur calcul, consulter notre article dédié aux sanctions de l'AI Act pour les PME.
7. Articulation DRH — DPO — RSSI — IA Lead
L'Art. 4 implique une gouvernance partagée. Le DRH ne peut pas porter seul la conformité. Une matrice RACI claire est indispensable.
| Action | DRH | DPO | RSSI | IA Lead / Direction |
|---|---|---|---|---|
| Cartographie des systèmes d'IA | C | C | R | A |
| Consultation du CSE | R | C | I | A |
| Analyse d'impact (AIPD + FRIA) | C | R | C | A |
| Plan de formation | R | C | C | A |
| Animation de la formation | R | C | C | I |
| Documentation Art. 4 | R | C | I | A |
| Audit annuel de conformité | C | R | R | A |
R = Responsable | A = Approbateur | C = Consulté | I = Informé
Le DPO intervient au titre de son rôle de conseil prévu à l'art. 39 du Règlement (UE) 2016/679. Le RSSI couvre les exigences de cybersécurité de l'Art. 15 AI Act. L'IA Lead, lorsque l'entreprise en désigne un, pilote la cohérence globale et la responsabilité opérationnelle.
Pour les définitions des rôles et acronymes, voir le glossaire regulia.
8. Sanctions et risque contentieux
Le non-respect de l'Art. 4 s'inscrit dans le régime de sanctions de l'Article 99 du Règlement (UE) 2024/1689. Les manquements aux obligations autres que celles relatives aux pratiques interdites (Art. 5) sont sanctionnés par des amendes pouvant atteindre :
- 15 millions d'euros ou
- 3 % du chiffre d'affaires annuel mondial total de l'exercice précédent
Le montant retenu est le plus élevé des deux. Pour les PME, l'Art. 99 paragraphe 6 prévoit que le montant retenu est le plus faible des deux plafonds — un correctif important.
Précision : la mention d'un plafond de 7 % du chiffre d'affaires correspond aux sanctions applicables aux pratiques interdites de l'Art. 5 (Art. 99 §3) — plafond de 35 millions d'euros ou 7 % du CA mondial. L'Art. 4 relève du régime à 3 %/15 millions. La référence à un « Article 67 » est erronée : c'est bien l'Art. 99 qui régit les sanctions.
S'ajoutent les sanctions du droit français :
- Délit d'entrave au CSE — jusqu'à 7 500 € d'amende (Art. L. 2317-1 du Code du travail).
- Sanctions CNIL en cas de manquement RGPD couplé — jusqu'à 4 % du CA mondial.
- Risque prud'homal individuel en cas de décision discriminatoire fondée sur un système d'IA non encadré.
Le cumul de ces risques fait de la conformité Art. 4 un sujet de direction générale, pas uniquement RH.
9. Stratégie de mise en œuvre en cinq étapes
Pour une PME de 50 à 250 salariés disposant de ressources limitées, voici la séquence opérationnelle réaliste sur six mois.
- Mois 1 — Cartographier. Recenser tous les systèmes d'IA en usage. Classer par catégorie de risque AI Act. Désigner un référent IA interne.
- Mois 2 — Évaluer. Pour chaque système, mener une analyse d'impact (AIPD au titre du RGPD si données personnelles ; FRIA au titre de l'Art. 27 pour les systèmes à haut risque). Identifier les besoins de formation par profil.
- Mois 3 — Consulter. Préparer le dossier d'information du CSE. Convoquer la réunion. Recueillir l'avis. Documenter les ajustements consécutifs à la consultation.
- Mois 4 — Former. Déployer les modules de formation par niveau. Tracer les participations. Valider les acquis.
- Mois 5 — Documenter. Constituer le registre central de conformité Art. 4 : cartographie, supports, attestations, avis CSE, AIPD.
- Mois 6 — Auditer. Revue interne. Plan d'amélioration continue. Préparation du cycle annuel suivant.
Cette feuille de route est compatible avec les exigences de la norme ISO/IEC 42001:2023 sur les systèmes de management de l'IA, qui constitue la référence d'audit privilégiée pour démontrer la maturité de gouvernance.
Accélérez votre conformité Article 4 avec regulia
Notre pack DRH inclut les modèles de cartographie, les supports de formation par profil, le canevas d'information CSE et le registre central exigé en cas de contrôle. Livré en 48 heures, adapté à la taille de votre PME.
Demander un devis pour le pack DRHFAQ
Quels systèmes d'IA sont concernés par l'Article 4 pour les PME ?
L'Art. 4 du Règlement (UE) 2024/1689 s'applique à tous les systèmes d'IA, sans distinction de niveau de risque. Toute PME qui déploie ou utilise un système d'IA — y compris un chatbot interne, un outil de tri de CV, un assistant de rédaction — entre dans le périmètre. L'intensité de la formation requise varie selon le risque : sensibilisation pour les systèmes à risque minimal, formation approfondie pour les systèmes à haut risque listés à l'Annexe III (recrutement, évaluation des salariés, gestion des promotions et licenciements).
Quel est le délai pour informer le CSE ?
Le délai de consultation du CSE en droit français est en principe d'un mois à compter de la communication des informations (art. R. 2312-6 du Code du travail), porté à deux mois si le CSE recourt à un expert. Un accord d'entreprise peut prévoir des délais différents. L'employeur ne peut pas exécuter sa décision avant la fin de ce délai ou avant que le CSE ait rendu son avis. L'AI Act ne fixe pas de délai distinct.
Quelle est la durée minimale de la formation des collaborateurs ?
L'Art. 4 n'impose aucune durée minimale. La pratique observée et les orientations du Bureau européen de l'IA (mai 2025) suggèrent une approche graduée : 1 à 2 heures pour la sensibilisation générale, 3 à 6 heures pour les utilisateurs réguliers, 1 à 2 jours pour les profils à responsabilité. Le critère légal est le « niveau suffisant de maîtrise », évalué au regard du contexte d'usage, du risque du système et du profil de l'utilisateur.
Quelles sont les sanctions pour non-respect de l'Article 4 ?
Le manquement à l'Art. 4 relève du régime de sanctions de l'Art. 99 paragraphe 4 du Règlement (UE) 2024/1689 : amendes administratives jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le plus élevé des deux. Pour les PME, l'Art. 99 paragraphe 6 prévoit que le plus faible des deux plafonds est retenu. S'ajoutent en France les sanctions pour délit d'entrave au CSE (7 500 €) et les éventuelles sanctions CNIL en cas de manquement RGPD concomitant.
Comment le DPO peut-il aider le DRH dans cette démarche ?
Le DPO conseille le DRH dans l'identification des systèmes d'IA traitant des données personnelles, dans la conduite de l'AIPD prévue à l'art. 35 du RGPD et dans l'articulation avec l'AIA pour les systèmes à haut risque. Il aide à rédiger l'information du CSE et à concevoir les contenus de formation portant sur les droits des personnes (information, opposition, intervention humaine). Il assure la veille réglementaire et alerte la direction sur les évolutions de doctrine de la CNIL et de l'AI Office EU.
Sources officielles
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 — version consolidée : eur-lex.europa.eu/eli/reg/2024/1689
- Texte intégral annoté de l'AI Act : artificialintelligenceact.eu
- AI Act Service Desk (Commission européenne) : ai-act-service-desk.ec.europa.eu
- CNIL — Fiches pratiques sur l'intelligence artificielle : cnil.fr/fr/les-fiches-pratiques-ia
- ISO/IEC 42001:2023 — Systèmes de management de l'intelligence artificielle
- Code du travail — articles L. 2312-8, L. 2312-14, L. 2312-18, R. 2312-6 et L. 2317-1 : legifrance.gouv.fr
- Pour la liste consolidée des références utilisées dans nos publications, voir sources regulia
Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.