À retenir
- L'AI Act est déjà partiellement en vigueur — les pratiques interdites sont sanctionnables depuis le 2 février 2025 ; les systèmes à haut risque (Annexe III) entrent en jeu le 2 décembre 2027
- ChatGPT, Claude et Copilot en usage courant (rédaction, analyse, emails) ne relèvent PAS du haut risque au sens de l'Annexe III — ils sont encadrés par le Chapitre V de l'AI Act (modèles GPAI), avec des obligations de transparence distinctes, moins contraignantes
- Trois formations gratuites certifiantes existent en 2026 : Elevify (certification MEC en version Pro à 37 USD, 42 leçons), Heure IA (référentiel UNESCO, 5 modules), BPI Université (webinaire institutionnel) — aucune n'est encore CPF-éligible
- Le levier de financement le plus accessible : l'OPCO pour les salariés (ex. KPMG Academy, 650 € finançable), le Diag Data IA BPI pour les PME (40 % pris en charge depuis le 17 juin 2026)
Un cabinet d'expertise comptable de 12 personnes utilise un ATS pour trier les candidatures. Le DRH pensait que son seul sujet réglementaire IA, c'était le RGPD. Il a découvert en mars 2026 que son outil de tri automatisé est classé « haut risque » par l'AI Act — et qu'il a jusqu'au 2 décembre 2027 pour documenter ses processus, désigner un référent et activer la supervision humaine. Pas le RGPD. L'AI Act.
Ce guide vous donne tout ce qu'il faut pour comprendre où vous en êtes, ce qui s'applique à vous en 2026, et comment vous former — gratuitement ou presque.
Qu'est-ce que la conformité IA ? L'AI Act en cinq minutes
La conformité IA désigne l'ensemble des obligations légales qui s'imposent à une organisation dès lors qu'elle développe, déploie ou utilise un système d'intelligence artificielle. En Europe, le texte de référence est le Règlement (UE) 2024/1689, dit « AI Act », entré en vigueur le 1er août 2024.
L'AI Act ne remplace pas le RGPD — il s'y ajoute. Être conforme RGPD ne suffit pas si votre système IA relève de l'AI Act. Un logiciel de scoring bancaire peut ne traiter aucune donnée personnelle (donc hors RGPD) et pourtant être soumis aux obligations « haut risque » de l'AI Act. La CNIL l'a précisé dès l'entrée en vigueur : les deux textes sont cumulatifs, chacun avec son autorité de contrôle propre.
💡 Bon à savoir : L'AI Act et le RGPD sont cumulatifs, pas alternatifs. Une entreprise qui déploie un ATS de recrutement peut être soumise simultanément au RGPD (traitement de données personnelles des candidats) et à l'AI Act (système à haut risque Annexe III). Les deux autorités de contrôle — CNIL et Bureau de l'IA UE — sont distinctes.
Qui est concerné par l'AI Act ?
L'AI Act distingue quatre rôles, chacun avec ses propres obligations :
Fournisseur
Déployeur
Importateur / Distributeur
Personne concernée
Un salarié qui utilise ChatGPT pour rédiger ses emails est un déployeur — obligations légères. Une PME industrielle qui intègre un module IA dans son processus de recrutement devient fournisseur d'un système haut risque — obligations lourdes.
Votre entreprise est-elle concernée ? Les 4 niveaux de risque
L'immense majorité des professionnels qui utilisent ChatGPT, Claude ou Copilot au quotidien ne sont pas soumis aux obligations haut risque. Ces outils, en usage courant (rédaction, analyse, emails), ne relèvent PAS du haut risque au sens de l'Annexe III — ils sont encadrés par le Chapitre V de l'AI Act (modèles GPAI), avec des obligations de transparence distinctes, moins contraignantes. Ce qui change si vous intégrez un ATS ou un outil de scoring financier, c'est une autre histoire.
C'est la question que tout le monde évite de poser franchement. L'AI Act structure les obligations autour d'une pyramide à quatre niveaux, selon l'impact potentiel du système sur les droits fondamentaux.
Selon la Direction générale des Entreprises, les modèles d'IA à usage général comme ChatGPT, Gemini ou Mistral sont soumis depuis le 2 août 2025 aux obligations de transparence et de respect du droit d'auteur — c'est l'affaire des fournisseurs (OpenAI, Google, Anthropic), pas des utilisateurs professionnels.
Les PME bénéficient-elles d'allègements AI Act ?
Oui — l'article 62 de l'AI Act prévoit explicitement des mesures dédiées aux PME et startups : accès prioritaire aux bacs à sable réglementaires, sanctions plafonnées au montant le plus bas entre le montant fixe et le pourcentage du CA, simplification documentaire pour certaines catégories. C'est une protection structurelle que le RGPD n'offre pas avec la même clarté.
Calendrier AI Act : les quatre échéances à ne pas rater
L'AI Act monte en charge progressivement sur quatre dates clés. Voici la séquence exacte, selon la CNIL et le service-public.fr :
1er août 2024 — Entrée en vigueur
L'AI Act est officiellement en vigueur. Les États membres commencent à désigner leurs autorités nationales de surveillance du marché. Le Bureau de l'IA (AI Office) de la Commission européenne est institué.
2 février 2025 — Pratiques interdites sanctionnables
L'interdiction des pratiques d'IA à risque inacceptable (art. 5) est applicable. Les premières amendes peuvent tomber pour notation sociale, manipulation subliminale ou identification biométrique en temps réel. C'est déjà derrière nous.
2 août 2025 — Modèles IA à usage général (GPAI)
Les obligations s'appliquent aux fournisseurs de modèles d'IA à usage général (ChatGPT, Gemini, Mistral…) : transparence, respect du droit d'auteur, obligations renforcées pour les modèles à risque systémique (calcul supérieur à 10^25 FLOP).
2 décembre 2027 — Systèmes à haut risque (Annexe III)
Date critique pour les entreprises : tous les systèmes d'IA à haut risque listés à l'Annexe III (ATS de recrutement, scoring crédit, diagnostic médical IA, systèmes d'évaluation scolaire, gestion des migrations) doivent être en conformité complète. Documentation technique, supervision humaine, enregistrement dans la base de données UE. (Date mise à jour suite à l'adoption du Digital Omnibus on AI, PE-CONS 30/26, le 29 juin 2026 — source : AI Act Service Desk.)
Les sanctions AI Act : jusqu'à 35 millions d'euros
L'article 99 du Règlement (UE) 2024/1689 établit trois paliers d'amendes, selon l'AI Act Explorer de l'Institut Future of Life :
Pratiques interdites (art. 5)
Systèmes haut risque et GPAI
Informations inexactes
Pour ancrer l'enjeu dans le réel : une entreprise de télécommunications a été condamnée à 50 millions d'euros en 2024 pour non-conformité RGPD, selon BPI France Diag Data IA. L'AI Act ajoute une couche de risque supplémentaire pour les organisations qui déploient de l'IA.
Formations conformité IA gratuites : le comparatif 2026
En 2026, plusieurs formations existent pour se former à la conformité IA — aucune n'est CPF-éligible, mais elles constituent un excellent point de départ avant d'envisager une formation Qualiopi financée. Voici un comparatif structuré pour choisir selon votre situation réelle.
Notre lecture franche : si vous voulez comprendre l'AI Act en 30 minutes avant une réunion de direction, commencez par BPI Université. Si vous voulez une attestation partageable et un apprentissage structuré sur plusieurs semaines, Heure IA (alignée UNESCO) est le point d'entrée le plus solide pour les débutants — et le seul totalement gratuit avec certificat. Elevify convient à un profil intermédiaire qui veut aller dans le détail technique des obligations et est prêt à débourser 37 USD pour la certification MEC.
Quand les formations payantes valent-elles l'investissement ?
Quand le gratuit ne suffit plus — parce que vous avez un audit en vue, une documentation technique à produire ou une équipe à former — deux acteurs se distinguent :
La formation Work with AI de The Intelligence Academy intègre un module dédié aux agents IA, à l'automatisation et au cadre réglementaire (RGPD + AI Act) dans le contexte professionnel quotidien — un angle que les formations purement juridiques n'abordent pas. Finançable à 100 % via CPF.
Utiliser ChatGPT ou Copilot au travail : ce que dit l'AI Act
En usage professionnel standard, ChatGPT, Claude et Microsoft Copilot ne relèvent PAS du haut risque au sens de l'Annexe III de l'AI Act. Ces outils, en usage courant (rédaction, analyse, emails), sont encadrés par le Chapitre V de l'AI Act (régime des modèles GPAI — obligations de transparence distinctes, moins contraignantes). L'obligation principale pour les entreprises : informer les utilisateurs finaux qu'ils interagissent avec une IA, et indiquer l'origine IA des contenus potentiellement perçus comme entièrement humains.
C'est le gap que tous les comparatifs laissent de côté. Voici le verdict net, sourcé, pour les deux cas de figure les plus courants en entreprise.
Un professionnel de la communication utilise Claude pour synthétiser des rapports clients. Est-il concerné par l'AI Act ? Oui, mais hors du périmètre haut risque. Son obligation : informer les destinataires finaux qu'un contenu a été généré ou assisté par IA, si ce contenu est présenté comme entièrement humain. Pas de documentation technique, pas de supervision humaine formalisée.
Un DRH d'une PME industrielle utilise un ATS avec IA pour scorer les CV. Même question. Réponse radicalement différente : l'ATS est classé haut risque (Annexe III de l'AI Act). Obligations applicables à partir du 2 décembre 2027 : supervision humaine documentée, politique de non-discrimination, enregistrement dans la base de données UE, information des candidats.
Pour approfondir l'usage des outils IA en contexte professionnel et maîtriser leur cadre réglementaire, consultez notre guide complet sur la formation IA gratuite en 2026.
Financer sa formation conformité IA : CPF, OPCO, France Travail
Le mot « gratuite » dans votre recherche peut vouloir dire deux choses : soit vous cherchez une ressource en accès libre, soit vous cherchez à ne rien payer de votre poche. Les deux chemins sont différents.
💡 Bon à savoir : Via le CPF, tout actif en France accumule 500 €/an de droits formation (plafonné à 5 000 €), selon moncompteformation.gouv.fr. Une formation Qualiopi certifiante conformité IA peut être intégralement financée par ce dispositif — sans débourser un euro de sa poche.
Vérifiez votre solde CPF
Sur moncompteformation.gouv.fr, tout actif accumule des droits CPF (500 €/an plafonné à 5 000 €). Cherchez « conformité IA » ou « intelligence artificielle » pour voir les formations RNCP éligibles. Les formations Qualiopi certifiantes sont les plus accessibles via ce dispositif.
Identifiez votre OPCO
Les 11 OPCO (Opérateurs de Compétences) financent les formations professionnelles des salariés. Identifiez le vôtre selon votre convention collective, soumettez une demande avant la formation — pas après. Pour KPMG Academy (650 €), c'est la procédure standard : demande OPCO → accord → transfert à l'organisme.
PME ? Activez le Diag Data IA de BPI France
Bpifrance propose un accompagnement Diag Data IA pris en charge à 40 % (depuis le 17 juin 2026 — nouveau tarif : 10 000 € HT, reste à charge : 6 000 € HT) pour aider les entreprises à identifier leurs usages IA et leurs obligations réglementaires. C'est le premier point d'entrée institutionnel pour une PME qui part de zéro.
Demandeur d'emploi ? CPF + France Travail
Vous pouvez mobiliser votre CPF et demander une prise en charge complémentaire via votre conseiller France Travail pour des formations certifiantes ou qualifiantes. La formation Work with AI de TIA est finançable dans ce cadre.
Pour aller plus loin sur les dispositifs de financement, consultez notre guide dédié sur le financement de la formation IA via CPF et OPCO.
Démarrez votre mise en conformité AI Act en 2026 : 7 étapes
La mise en conformité AI Act commence par un inventaire de vos usages, pas par un audit juridique coûteux. Voici une séquence opérationnelle pour ne pas rater les étapes dans le désordre — sans passer par un cabinet spécialisé à chaque étape.
Inventoriez vos usages IA
Listez tous les systèmes d'IA utilisés dans votre organisation : outils achetés (ATS, chatbot client, scoring), APIs intégrées (OpenAI, Azure AI), outils des collaborateurs (ChatGPT, Copilot). Vous ne pouvez pas gérer ce que vous ne connaissez pas.
Classifiez le niveau de risque de chaque usage
Pour chaque système listé, vérifiez s'il figure dans l'Annexe III (haut risque) ou s'il implique une pratique interdite. Utilisez l'AI Act Service Desk de la Commission européenne comme outil de référence.
Désignez un référent conformité IA
Nommez une personne (DPO, juriste, ou responsable IA) en charge du suivi de l'AI Act. Cette personne doit être formée — c'est là qu'une formation gratuite comme Heure IA ou BPI Université a du sens comme première étape.
Documentez vos systèmes à haut risque
Pour chaque système haut risque : produire la documentation technique, décrire les mécanismes de supervision humaine, créer le registre des incidents. Échéance : avant le 2 décembre 2027.
Activez la supervision humaine
Pour tout système haut risque, la supervision humaine doit être réelle — pas nominale. Quelqu'un doit pouvoir comprendre, contester et corriger les décisions du système. Formez ces personnes.
Mettez en place la transparence envers les utilisateurs
Pour tous vos systèmes en risque limité (chatbots, contenus IA) : informez les utilisateurs finaux qu'ils interagissent avec une IA. Pour les contenus générés, indiquez l'origine IA quand ils pourraient être perçus comme entièrement humains.
Planifiez une veille réglementaire
L'AI Act aura des actes délégués et des lignes directrices sectorielles jusqu'en 2027. Abonnez-vous aux newsletters de la CNIL et de France Num. L'échéance de 2027 pour les systèmes de l'Annexe I (dispositifs médicaux, machines) n'est pas loin.
💡 Bon à savoir : La formation Work with AI de The Intelligence Academy est conçue pour des professionnels non-juristes qui veulent comprendre comment utiliser les outils IA de façon productive et réglementairement saine — des agents IA au prompting avancé, en passant par le cadre RGPD/AI Act dans le contexte professionnel quotidien. Finançable CPF à 100 %, 31 heures de formation (e-learning + sessions live).
Sources et références
- France Num — IA et réglementation : faire de la conformité un outil de confiance (2025) — Formation institutionnelle gratuite BPI Université relayée
- CNIL — Entrée en vigueur du règlement européen sur l'IA : premières questions-réponses (2024-2025) — Calendrier, niveaux de risque, cumul avec RGPD
- Direction générale des Entreprises — Le Règlement européen sur l'intelligence artificielle (2025) — Publics concernés, obligations par rôle
- Service-public.fr — AI Act : quels changements pour les entreprises ? (2025) — Synthèse officielle pour les entreprises françaises
- AI Act Explorer — Article 99 : Sanctions (Institut Future of Life) — Montants exacts des amendes
- BPI France Diag Data IA — IA et RGPD (2025) — Obligations légales, accompagnement PME
- BPI France — Diag Data IA (offre officielle) — Tarifs à jour (40 % pris en charge depuis le 17 juin 2026)
- AI Act Service Desk — Timeline — Calendrier officiel mis à jour (Digital Omnibus on AI)
- Heure IA — Certification gratuite référentiel UNESCO (2026) — Formation certifiante gratuite, 5 modules
- Elevify — Formation Conformité EU AI Act (2026) — Formation 8 chapitres 42 leçons, certification MEC en version Pro (37 USD)
FAQ
Qu'est-ce que l'AI Act et qui est concerné ?
L'AI Act (Règlement UE 2024/1689) est le premier cadre légal mondial sur l'IA, entré en vigueur le 1er août 2024. Il concerne toute organisation qui développe (fournisseur), déploie (déployeur), importe ou distribue un système d'IA sur le territoire européen — qu'elle soit française, américaine ou asiatique. Les obligations varient selon le niveau de risque du système (inacceptable, élevé, limité, minimal) et le rôle de l'organisation.
Quelles sont les sanctions prévues par l'AI Act ?
Trois paliers selon l'infraction : jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les pratiques interdites (manipulation, biométrie temps réel) ; jusqu'à 15 millions d'euros ou 3 % du CA pour les violations des obligations systèmes haut risque ; jusqu'à 7,5 millions d'euros ou 1 % du CA pour les informations inexactes fournies aux autorités. Pour les PME, c'est le montant le plus bas des deux qui s'applique — protection structurelle explicite dans l'article 99 du règlement.
ChatGPT et Copilot au travail sont-ils soumis à l'AI Act ?
En usage professionnel standard (rédaction d'emails, synthèse de documents, génération de contenu), ChatGPT, Claude et Microsoft Copilot ne relèvent PAS des obligations haut risque de l'AI Act. Ces outils sont encadrés par le Chapitre V de l'AI Act (régime GPAI — modèles d'IA à usage général), avec des obligations de transparence distinctes, moins contraignantes que le régime haut risque. L'obligation principale pour les entreprises déployeuses : informer les utilisateurs finaux quand ils interagissent avec une IA générative, et indiquer l'origine IA des contenus qui pourraient être perçus comme entièrement humains. En revanche, si vous intégrez un de ces modèles dans un processus RH (tri de CV) ou financier (scoring), les obligations haut risque s'appliquent.
Quelle formation gratuite sur la conformité IA est certifiante ?
Une formation gratuite délivre une certification complète en 2026 : Heure IA (certificat numérique référentiel UNESCO, 5 modules, 100 % gratuit, partageable sur LinkedIn). Elevify propose également une certification MEC (8 chapitres, 42 leçons) mais uniquement en version Pro payante à 37 USD — la version gratuite donne accès au contenu sans délivrer de certificat. Ni l'une ni l'autre n'est CPF-éligible — elles ne sont pas inscrites au RNCP. Pour une formation certifiante finançable par CPF, il faut se tourner vers des organismes Qualiopi comme The Intelligence Academy.
L'AI Act s'applique-t-il aux PME ?
Oui, mais avec des mesures d'allègement explicites. L'article 62 de l'AI Act prévoit un accès prioritaire aux bacs à sable réglementaires (test en conditions réelles sous supervision), des sanctions plafonnées au montant le plus bas entre le fixe et le % du CA, et des simplifications documentaires. BPI France et France Num proposent des ressources gratuites dédiées aux PME, dont le Diag Data IA (40 % pris en charge par BPI depuis le 17 juin 2026, sur un coût plafonné à 10 000 € HT).
Quelle est la différence entre l'AI Act et le RGPD ?
Les deux textes sont cumulatifs, pas alternatifs. L'AI Act couvre les systèmes et modèles d'IA (avec ou sans données personnelles) ; le RGPD couvre tout traitement de données personnelles (avec ou sans IA). Un ATS de recrutement sans données personnelles (cas rare) n'est pas soumis au RGPD mais l'est à l'AI Act. Une base de données RH sans IA n'est pas soumise à l'AI Act mais l'est au RGPD. Les autorités de contrôle sont distinctes : CNIL pour le RGPD, autorités de surveillance du marché + Bureau de l'IA UE pour l'AI Act.
Comment financer une formation conformité IA (CPF, OPCO) ?
Trois voies principales. Via CPF : les formations RNCP certifiantes sur moncompteformation.gouv.fr (les formations gratuites Elevify et Heure IA ne sont pas éligibles). Via OPCO : toute formation Qualiopi chez un organisme reconnu (ex. KPMG Academy à 650 € finançable, ou les formations TIA) — soumettez la demande avant la formation. Via BPI France : le Diag Data IA est pris en charge à 40 % (depuis le 17 juin 2026) pour les PME qui démarrent leur démarche de conformité IA.
Qu'est-ce qu'un système IA à haut risque selon l'AI Act ?
L'Annexe III liste les catégories de systèmes à haut risque : biométrie et identification à distance, infrastructures critiques (eau, énergie), éducation et accès à la formation, emploi et gestion des ressources humaines (ATS, scoring de candidats), services essentiels (crédit, assurance, prestations sociales), application de la loi, gestion des migrations et de l'asile, administration de la justice. La règle : si votre système IA prend ou influence une décision qui affecte significativement les droits ou la vie d'une personne, il est probablement haut risque.
Conclusion
L'AI Act n'est pas un texte de plus à glisser dans un tiroir. Pour les professionnels qui utilisent déjà des outils IA au quotidien, la bonne nouvelle est que ChatGPT, Claude et Copilot en usage standard ne relèvent pas des obligations haut risque — le régime GPAI (Chapitre V) impose des obligations de transparence, pas des audits techniques. Pour ceux qui opèrent un ATS de recrutement, un outil de scoring financier ou un système de diagnostic médical, le compte à rebours vers décembre 2027 est enclenché.
Le point de départ concret : une heure sur Heure IA ou BPI Université pour saisir le cadre, puis l'inventaire de vos usages IA en interne. La conformité n'est pas une finalité — c'est une façon de déployer l'IA de façon durable, sans les risques qui font reculer les décideurs.
Pour intégrer la dimension réglementaire dans une montée en compétences IA plus large — prompting, automatisation, agents IA — la formation Work with AI de The Intelligence Academy couvre les deux dimensions en 31 heures, finançable CPF.
