C'est le seul article de l'AI Act qui s'applique déjà à toutes les entreprises, sans exception et sans seuil. Et c'est aussi celui que les dirigeants comprennent le moins bien. Voici ce que dit vraiment le texte, ce qu'en attendent les autorités, et ce qu'une PME doit pouvoir produire en cas de contrôle.
Depuis le 2 février 2025, l'article 4 du règlement européen 2024/1689 est juridiquement en vigueur. Il impose une obligation simple en apparence, redoutable en pratique : toute entreprise qui utilise un système d'IA doit s'assurer que les personnes concernées disposent d'un niveau suffisant de « littératie IA ». Le texte tient en quelques lignes, mais ces quelques lignes redéfinissent la manière dont la formation interne doit être pensée en PME.
L'article 4 est court. Nous le citons presque en entier parce que chaque mot compte :
« Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour garantir, dans la mesure du possible, un niveau suffisant de littératie en matière d'IA de leur personnel et des autres personnes s'occupant du fonctionnement et de l'utilisation des systèmes d'IA en leur nom, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d'IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l'égard desquels les systèmes d'IA sont destinés à être utilisés. »
Trois éléments sont à retenir : l'obligation pèse aussi sur les déployeurs, donc sur une PME qui utilise ChatGPT ; la littératie doit tenir compte du rôle, de l'expérience et du contexte ; et elle doit protéger les personnes affectées par le système, pas seulement celles qui s'en servent.
La définition officielle figure à l'article 3, paragraphe 56 : il s'agit des compétences, connaissances et compréhension qui permettent à une personne de déployer des systèmes d'IA en connaissance de cause, ainsi que de prendre conscience des opportunités, des risques et des préjudices potentiels.
En langage d'entreprise, un collaborateur a une littératie IA suffisante quand il peut répondre, sans hésiter, à six questions pratiques.
Aucune de ces questions ne demande de savoir coder, ni de comprendre un réseau de neurones. Elles demandent du discernement, rattaché à un rôle et à un contexte. C'est précisément ce que beaucoup de formations génériques n'apportent pas.
Depuis début 2025, les plateformes d'e-learning ont inondé le marché de modules « Littératie IA en 2 heures ». C'est tentant, c'est bon marché, et ça coche la case dans le tableau RH. Ce n'est pourtant pas ce que l'article 4 exige.
Le texte demande explicitement que la littératie soit calibrée selon l'expérience, le contexte et les personnes affectées. Or une formation e-learning est, par construction, identique pour tous. Elle ne peut pas démontrer qu'un commercial et un DRH, face au même ChatGPT, ont reçu un contenu adapté aux risques spécifiques de leur fonction. Nous détaillons ce point dans un article dédié.
Une vraie littératie IA se construit par rôle, par risque et par contexte — et s'appuie sur une politique IA interne, un registre des usages, et une procédure claire. C'est pour cela que nos parcours mêlent cadrage, modules adaptés, et documentation opposable, en partenariat avec un organisme Qualiopi.
Compréhension stratégique du cadre AI Act, capacité à arbitrer sur les usages à risque, connaissance des sanctions, lecture des engagements fournisseurs. Volume : 3 à 6 heures, idéalement en présentiel avec cas pratiques sur les outils réellement déployés dans l'entreprise.
Identification des usages autorisés, gestion des incidents, dialogue avec les collaborateurs, lien avec le référent IA. Volume : 4 à 6 heures, en présentiel ou distanciel synchrone.
Maîtrise pratique des outils utilisés quotidiennement, règles de confidentialité, vérification humaine, identification des cas à escalader. Volume : 4 à 8 heures selon le rôle, idéalement mixé entre théorie et ateliers outillés.
Sensibilisation aux risques principaux, règles de copier-coller, comportements interdits. Volume : 1 à 2 heures. Mais même à ce niveau, il faut une traçabilité individuelle.
L'AI Act ne fournit pas de liste officielle de preuves, mais les autorités nationales compétentes s'alignent sur la logique RGPD. En cas de contrôle, vous devez pouvoir produire :
C'est exactement ce que nous construisons dans nos missions de mise en conformité — ni plus, ni moins.
L'article 4 est, en lui-même, une obligation « molle » : il ne figure pas dans le régime de sanctions directement applicable à partir du 2 août 2025. Mais il devient l'une des pièces à charge les plus évidentes dès qu'un autre manquement est constaté. Si un salarié divulgue des données sensibles via ChatGPT, la première question de l'autorité sera : « Quelle formation avait-il reçue ? ». Sans preuve, vous cumulez une violation RGPD et une défaillance de littératie caractérisée.
À Montpellier comme ailleurs, les PME qui ont compris cela dès 2025 ont pris une longueur d'avance : leurs grands comptes leur demandent désormais les preuves de littératie dans leurs appels d'offres.
Wavoo construit des parcours de littératie IA adaptés à vos rôles, dispensés en partenariat avec un organisme Qualiopi, avec attestations individuelles opposables.
Réserver un appel de cadrage