← Retour aux points de vue
PDF

Article 4 - L'Obligation Oubliée

9 min de lecture
AIActAILiteracyPMEComplianceResponsibleAI

ai-literacy-banner

Un directeur achats d'une entité essentielle vous transmet son questionnaire de due diligence fournisseur. À la page 7, une ligne nouvelle : "Décrivez votre plan de littératie en matière d'IA conformément à l'article 4 de l'AI Act. Joindre les preuves de mise en œuvre pour les rôles concernés par la prestation."

Vous avez 10 jours pour répondre. Et vous réalisez que rien n'a été formalisé en interne.

Ce scénario n'est pas exceptionnel. L'article 4 s'invite désormais dans les processus d'achat des grands comptes, en particulier dans les secteurs où NIS2 et DORA ont déjà industrialisé la diligence fournisseur.

Ce que dit exactement l'Article 4

Le texte est bref. La Commission le résume dans ses orientations de février 2025 : les fournisseurs et déployeurs de systèmes d'IA doivent "prendre des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA de leur personnel et des autres personnes intervenant pour leur compte", en tenant compte des connaissances techniques, de l'expérience, de la formation des personnes, ainsi que du contexte d'usage et des personnes affectées par le système.

Quatre précisions juridiques utiles avant d'aller plus loin.

(i) "Suffisant" n'est pas chiffré. Le législateur a choisi un standard de proportionnalité contextuelle. Il n'existe ni seuil horaire de formation, ni certification obligatoire imposée par le texte. La Commission, via le Bureau de l'IA, a publié début 2025 un Living Repository de pratiques d'AI Literacy de pratiques d'AI Literacy à valeur indicative, ainsi qu'une FAQ Ces ressources éclairent l'interprétation mais ne créent pas de nouvelles obligations.

(ii) Le déployeur est concerné autant que le fournisseur. Une PME qui n'édite aucun modèle mais déploie en interne un copilote, un agent SaaS de scoring ou un outil de génération de contenu devient deployer et entre dans le champ de l'article 4. Aucune dérogation pour les TPE/PME n'est prévue sur ce point.

(iii) Article 4 n'est pas dans la liste des amendes administratives de l'article 99. Il faut le dire honnêtement : un manquement isolé à l'article 4 n'expose pas, en l'état du texte européen, aux amendes spectaculaires (15 M€ / 3 % du CA mondial) prévues pour les violations des articles 16, 22 à 27 ou 50. En revanche, l'article 99, paragraphe 1, oblige les États membres à prévoir des sanctions nationales effectives, proportionnées et dissuasives pour les violations du règlement — y compris l'article 4. Les régimes nationaux sont en cours d'élaboration, en France notamment dans le cadre du futur projet d'adaptation au règlement IA.

(iv) Le risque juridique principal n'est pas l'amende directe. Il est ailleurs : (i) en responsabilité civile générale, où un défaut documenté de littératie peut constituer un élément de faute en cas d'incident ; (ii) en responsabilité du fait des produits défectueux, où la directive (UE) 2024/2853 introduit des présomptions facilitant la preuve pour la victime quand la complexité technique est en jeu — sans pour autant établir un lien direct et automatique avec l'article 4 ; (iii) en accès au marché, via la diligence fournisseur des entités régulées.

Pourquoi les PME sont dans l'angle mort

L'article 4 est entré en vigueur sans deadline médiatisée, contrairement aux systèmes à haut risque. Les PME engagées dans une démarche de conformité IA priorisent NIS2, DORA et les obligations de fournisseur sur l'usage interne.

Trois biais expliquent cet angle mort.

  • Le premier est la confusion avec la formation "digitale" existante. Sensibilisation RGPD, hygiène cyber, phishing : ces dispositifs ne couvrent pas la littératie IA telle que l'entend l'article 4. Celle-ci requiert une compréhension spécifique des limites des systèmes (hallucinations, biais, opacité), de la notion de supervision humaine effective au sens de l'article 14 du règlement, et des implications de déléguer une décision à un système probabiliste.

  • Le deuxième biais est l'illusion du fournisseur délégant. "Notre outil vient d'un SaaS certifié, c'est son problème." Cette analyse est erronée. Le fournisseur certifie son système ; le déployeur reste responsable de l'usage qu'en font ses équipes. Cette répartition est explicite dans le règlement et n'est pas modifiable contractuellement à l'égard des tiers.

  • Le troisième est économique. Le coût d'une absence de formation documentée comme la perte de référencement fournisseur, l'allongement des cycles de vente, l'exposition civile en cas d'incident, dépasse rapidement le coût d'une démarche minimale sérieuse.

Le nouveau critère de la diligence fournisseur

Les questionnaires de due diligence des entités régulées intègrent progressivement l'AI Literacy comme critère discriminant, à côté du SBOM, de la cartographie des systèmes IA, et de la documentation de gouvernance. La tendance n'est pas universelle, mais elle s'observe distinctement dans la finance (sous l'effet conjugué de DORA et de la supervision IA bancaire), la santé (MDR + AI Act), et l'énergie.

La question type qui apparaît : "Disposez-vous d'un plan documenté de littératie en matière d'IA, déployé par profil de rôle, couvrant les personnels qui opèrent ou supervisent les systèmes IA mobilisés dans le cadre de cette prestation ?"

Une réponse négative ou évasive ne déclenche pas un rejet, mais elle pèse sur le scoring fournisseur et alimente les renégociations contractuelles. À l'inverse, une réponse structurée (plan par profil, registre de formation, attestations datées) constitue un signal positif fort, particulièrement pour une PME face à des concurrents grands comptes.

Ce que "suffisant" peut signifier concrètement — grille par profil

L'absence de seuil légal est une contrainte interprétative. C'est aussi un levier : chaque organisation peut définir ses propres niveaux, à condition que la grille soit cohérente, proportionnée au risque, et documentée. Voici une trame opérationnelle inspirée des pratiques observées dans le Living Repository de la Commission.

Niveau 1 — Utilisateur occasionnel. Salariés utilisant un copilote bureautique, un chatbot interne, un générateur de documents sans enjeu décisionnel critique. Contenu : risques d'hallucination, règles d'usage acceptable, gestion des données sensibles et personnelles, signalement d'incident. Format type : 1 à 2 heures, support en ligne, quiz de validation, attestation nominative. Coût : marginal, mobilisable à partir de ressources publiques (FAQ Bureau de l'IA, guides CNIL, MOOC institutionnels).

Niveau 2 — Utilisateur métier d'un système IA décisionnel. Personnels exploitant des outils de scoring, d'analyse de candidatures, de recommandation, de génération de reporting régulé. Contenu : biais algorithmiques, supervision humaine effective au sens de l'article 14, traçabilité des décisions, droits des personnes concernées, articulation avec le RGPD. Format type : 3 à 4 heures, avec mise en situation et validation. Coût : quelques centaines d'euros par personne via prestataires spécialisés.

Niveau 3 — Développeur, intégrateur, prompt engineer, responsable conformité IA. Maîtrise du cadre AI Act selon le rôle (fournisseur ou déployeur), gestion de risque, exigences applicables aux systèmes à haut risque (articles 8 à 15 et 16 à 27), documentation technique (annexe IV), enregistrement dans la base de données européenne. Format : formation certifiante, idéalement adossée à un référentiel reconnu (ISO/IEC 42001 pour le management de l'IA, ISO/IEC 23894 pour la gestion de risque).

Effet collatéral non négligeable : construire cette grille oblige la PME à inventorier ses usages IA internes. Cet inventaire est par ailleurs un prérequis pour répondre aux obligations de l'article 26 lorsque l'un des systèmes utilisés relève du haut risque (supervision humaine, enregistrement, information du personnel et des représentants).

ai-literacy-banner

Transformer la démarche en actif opposable

Une démarche d'AI Literacy non documentée a la même valeur juridique qu'une démarche absente. Pour produire un effet — défensif en cas d'incident, offensif en réponse à un questionnaire fournisseur — elle doit être tracée et reproductible.

Quelques pratiques d'organisation qui font la différence :

  • Un registre de formation par collaborateur (identifiant, rôle, niveau validé, module suivi, date, date de prochaine revue). Le format importe peu — tableau structuré, GED, système RH — l'important est qu'il soit horodaté et auditable.
  • Une attestation nominative exportable, signée par un responsable identifié de l'organisation.
  • Un plan de mise à jour annuel, versionné, couvrant l'apparition de nouveaux systèmes IA dans l'organisation et l'évolution du cadre réglementaire (lignes directrices de la Commission, décisions du futur Comité IA, jurisprudence émergente).
  • Une articulation explicite avec la politique de supervision humaine, lorsqu'un système à haut risque est utilisé.

Cette documentation s'intègre naturellement dans le dossier de conformité globale : politiques de gouvernance IA, cartographie des systèmes, registre des traitements RGPD lorsqu'applicable, documentation technique des systèmes développés en propre. Elle complète, sans s'y substituer, les exigences de l'article 26 pour les déployeurs de systèmes à haut risque.

Pour le commercial qui prépare un rendez-vous grand compte, la formulation utile est sobre : "Nous tenons à disposition, sur demande, les attestations de littératie IA de nos équipes par profil de rôle, ainsi que notre plan de formation versionné." La preuve produite en 48 heures fait davantage que toute déclaration de principe.

Conclusion

L'article 4 est, à ce jour, l'une des obligations les moins sanctionnées et les plus opposables du règlement IA. Cette apparente contradiction est précisément ce qui en fait un point d'attention pour les dirigeants de PME : l'absence d'amende directe ne signifie pas absence de coût. Le coût est diffus — perte de référencement fournisseur, charge probatoire accrue en cas d'incident, allongement des cycles commerciaux — mais réel.

Les organisations qui anticipent ne le font pas par crainte d'un régulateur. Elles le font parce que la documentation de littératie IA est devenue, en quelques mois, un signal de maturité que leurs clients régulés savent désormais lire.

"Vos équipes savent-elles ce qu'elles supervisent, et pouvez-vous le démontrer ?" La réponse, écrite, datée, opposable, est aujourd'hui un actif commercial autant qu'une couverture juridique.

Lego IX

Les opinions exprimées dans cet article sont strictement personnelles et ne reflètent pas nécessairement celles de mon employeur. Les contenus sont fournis à titre informatif et ne constituent pas un conseil juridique individualisé. Les références au règlement (UE) 2024/1689 et à la directive (UE) 2024/2853 renvoient aux textes publiés au Journal officiel de l'Union européenne. Pour toute application à une situation particulière, le recours à un conseil qualifié est recommandé.