AI Act Article 4 : obligations de littératie IA pour les PME françaises

Vous dirigez une PME française et vos salariés utilisent ChatGPT, Copilot, Gemini ou un autre outil d'intelligence artificielle au quotidien. Vous pensez probablement que l'AI Act vous concernera « en août 2026 ». C'est faux : depuis le 2 février 2025, l'Article 4 du Règlement (UE) 2024/1689 (EUR-Lex) vous impose une obligation de littératie IA pour votre personnel. Cette obligation existe dès aujourd'hui, et toute PME utilisant un outil d'intelligence artificielle dans son activité est concernée.

Cet article fait suite au premier de la série conformité TPE. Si la distinction entre Plateforme Agréée et Solution Compatible vous échappe encore, commencez par l'article #01 PA vs SC. Cet article-ci se concentre sur l'AI Act, ses obligations effectives, et les sanctions réelles — sans répéter les chiffres marketing alarmistes de 35 M€ que le texte officiel n'applique pas à l'Article 4.

Ce que dit exactement l'Article 4

Le texte officiel impose aux fournisseurs et déployeursde systèmes d'IA de « prendre des mesures pour assurer, dans toute la mesure du possible, un niveau suffisant de littératie en matière d'IA de leur personnel et des autres personnes s'occupant du fonctionnement et de l'utilisation des systèmes d'IA en leur nom » (Article 4 — texte commenté).

Le mot-clé pour les PME, c'est « déployeur ». La FAQ officielle de l'AI Office est explicite (AI Office FAQ) : une entreprise dont les salariés utilisent ChatGPT pour rédiger un texte publicitaire est qualifiée de déployeur. Cela englobe la quasi-totalité des TPE/PME françaises qui ont adopté un outil d'IA générative ces deux dernières années.

L'obligation s'applique depuis l'entrée en application de l'Article 4, prévue à l'Article 113(a) du Règlement, soit le 2 février 2025 (Règlement (UE) 2024/1689). Ce n'est ni une obligation future, ni un projet en cours : c'est une obligation en vigueur.

Ce que « littératie IA » veut dire concrètement

L'Article 3(56) du Règlement définit la littératie IA comme les « compétences, connaissances et compréhension permettant aux fournisseurs et déployeurs de prendre des décisions éclairées sur les systèmes d'IA, ainsi que d'être sensibilisés aux opportunités, aux risques et aux dommages potentiels » ( AI Office FAQ).

Pour une PME de 10 salariés, cela se traduit en pratique par :

Une sensibilisation documentéedu personnel aux risques de l'IA générative (hallucinations, biais, fuites de données vers les modèles).
Une politique interne d'usage précisant ce qui peut ou ne peut pas être saisi dans un prompt (données clients, secrets industriels, données RH).
Une traçabilitédes actions de formation : email récapitulatif, attestation de présence, mini-quiz interne suffisent à ce stade.
Une adaptation au métier : un comptable, un commercial et un développeur n'ont pas les mêmes risques IA.

Bonne nouvelle pour les PME sans DSI : l'Article 4 est une obligation de moyens, pas de résultat. La formule exacte « to the best extent » (dans toute la mesure du possible) reconnaît explicitement la contrainte ressource des petites structures. Aucun certificat, aucune formation standardisée, aucune durée minimale n'est imposée par le Règlement.

Pourquoi les sanctions citées partout sont (en partie) fausses

Vous avez probablement lu que l'AI Act prévoit des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial. Cette information est exacte — mais elle ne s'applique pasà l'Article 4.

L'Article 99 du Règlement (texte commenté) liste précisément les articles dont la violation déclenche les sanctions harmonisées :

Tableau 1 — Plafonds de sanction par catégorie d'infraction
Type d'infraction	Plafond de sanction	Source
Pratiques d'IA interdites (Article 5)	35 M€ ou 7 % du CA mondial	AI Act Art. 99
Manquements opérateurs (Art. 16, 22-24, 26, 31, 33-34, 50)	15 M€ ou 3 % du CA mondial	AI Act Art. 99
Informations incorrectes aux autorités	7,5 M€ ou 1 % du CA mondial	AI Act Art. 99
Article 4 (littératie IA)	Non listé — relève du droit national	AI Act Art. 99

L'Article 4 n'apparaît dans aucundes paragraphes de l'Article 99 fixant les plafonds harmonisés. La sanction effective pour une PME française non conforme à l'Article 4 relève donc des lois nationalesque chaque État membre devait adopter avant le 2 août 2025 selon le calendrier publié par l'AI Office (Market Surveillance Authorities).

Bonne nouvelle pour les PME : pour les sanctions Article 99 qui s'appliqueront aux autres articles, le Règlement précise que pour les petites entreprises, le montant retenu est le plus bas entre la valeur fixe et le pourcentage du CA — pas le plus haut comme c'est le cas pour les grandes entreprises (AI Act Art. 99).

L'enforcement réel ne démarre qu'en août 2026

La supervision effective des autorités nationales démarre à compter du 2 août 2026 (AI Office FAQ). Chaque État membre devait désigner son ou ses autorités de surveillance du marché avant l'été 2025.

Côté français, plusieurs autorités sont déjà identifiées par les services de l'État (DGE Bercy — autorités compétentes IA) :

DGCCRF : autorité coordinatrice nationale et point unique de contact, au titre de l'Article 70.2 du Règlement.
ARCEP + DGCCRF : périmètre des pratiques d'IA interdites (Article 5).
CNIL + DGCCRF : systèmes d'évaluation, de notation ou de classement sociaux.

La loi française de transposition complète— qui couvrira notamment le régime de sanctions national applicable à l'Article 4 — reste en cours d'examen parlementaire à la date de cet article (Vie-publique — AI Act). Pour les PME, deux conséquences pratiques :

L'obligation de littératie IA s'applique déjà depuis le 2 février 2025, quelle que soit l'avancée de la loi nationale.
Les sanctions effectives spécifiques à l'Article 4 en droit français ne pourront être prononcées qu'après publication du texte de transposition — ce qui décale leur entrée en vigueur, sans annuler l'obligation elle-même.

Concrètement, un contrôle DGCCRF ou CNIL portant aujourd'hui sur l'usage d'IA dans une PME pourrait déjà s'appuyer sur l'Article 4 pour qualifier un manquement, même en l'absence du barème de sanctions national finalisé.

Plan de conformité Article 4 en 3 étapes pour une PME

L'AI Office a publié un repository public de plus de 40 pratiques de littératie IA, mis à jour en novembre 2025 (Repository of AI Literacy Practices). Ressource libre, sans inscription, avec des exemples sectoriels concrets.

À partir de ces ressources officielles, voici un plan opérationnel minimal :

Étape 1 — Cartographier vos usages IA réels (1 jour)

Listez les outils d'IA générative utilisés dans l'entreprise : ChatGPT, Copilot, Gemini, Midjourney, Notion AI, etc. Identifiez qui les utilise et pour quels cas d'usage. Cette cartographie est la fondation de votre conformité documentée.

Étape 2 — Rédiger une charte IA interne (1-2 jours)

Document court (2-3 pages) précisant :

Les outils autorisés et la version (gratuite vs payante).
Les données qui ne doivent jamais être saisies dans un prompt (RGPD, secret industriel, données clients).
Le principe de vérification humaine systématique des outputs.
Le contact référent IA dans l'entreprise.

Étape 3 — Sensibiliser et documenter (1 demi-journée par équipe)

Réunion d'équipe (30-45 min) présentant la charte + risques typiques (hallucinations, biais, fuites). Recueillez les signatures ou les emails de validation. Conservez la trace : c'est ce document qui prouvera votre conformité Article 4 en cas de contrôle.

Une PME de 10 salariés peut construire une conformité Article 4 documentée en moins d'une semaine avec les ressources gratuites publiées par la Commission européenne.

Ce qui peut encore évoluer

Plusieurs paramètres restent à clarifier dans les prochains mois :

Loi nationale française de transposition complète fixant le régime de sanctions national applicable à l'Article 4 (les autorités coordinatrices et sectorielles sont identifiées, mais le barème de sanctions reste à finaliser par le législateur) — à surveiller sur Légifrance.
Lignes directrices opérationnellesde l'AI Office pour les déployeurs PME — la FAQ s'enrichit régulièrement.
Jurisprudence européennesur l'interprétation de « to the best extent » (dans toute la mesure du possible) pour les petites structures.
Articulation pratique CNIL / DGCCRF / ARCEP sur les cas mixtes (un système IA qui combine notation sociale, RGPD et pratiques commerciales).

Selon les éléments connus au 15 mai 2026, ces points restent en cours de clarification.

Pour aller plus loin

Sources et méthode. Texte officiel : EUR-Lex Règlement (UE) 2024/1689 (consulté le 15 mai 2026). Articles 4 et 99 commentés : artificialintelligenceact.eu. FAQ + Repository AI Office : digital-strategy.ec.europa.eu. Autorités compétentes FR : DGE Bercy. Statut transposition : Vie-publique. Cross-check Tier 1 effectué le 15 mai 2026 par APEX : 7/9 claims PASS verbatim, 1 nuance acceptée (2 vs 3 août 2026), 1 correction substantielle appliquée (autorités FR identifiées avant rédaction).

Transparence IA (EU AI Act, applicable au 2 août 2026). Cet article a été rédigé avec assistance d'un modèle de langage pour la recherche documentaire et la structuration initiale, puis cross-checké contre sources Tier 1 (EUR-Lex, AI Office, DGE, Vie-publique) puis vérifié, complété et signé par l'auteur (voir signature en pied de page). Chaque chiffre et chaque article cité a été contrôlé manuellement contre la source officielle indiquée. Elginux édite Nexus Auditor, produit d'audit conformité AI Act mentionné en fin d'article : cette mention est éditoriale, sans affiliation tierce.