Blog · Cadrage réglementaire · 28 mai 2026 · mis à jour le 14 juin 2026

AI Act 2026 : le vrai calendrier et l'obligation de former vos équipes

Par Miguel Ygonin, Architecte IA. Lecture : 8 min.

L'AI Act ne vise pas que les grands groupes ni que les administrations. L'obligation centrale de 2026 — former ses équipes à l'IA — s'impose à tout employeur, collectivité comme entreprise privée, sans seuil d'effectif. Voici le calendrier réel, ce que vous risquez, et comment vous mettre en conformité sans usine à gaz.

TL;DR

Le calendrier "2 août 2026" massivement communiqué depuis 2024 ne tient plus pour les systèmes IA à haut risque.
Un accord politique provisoire Conseil + Parlement européen (7 mai 2026) reporte ces obligations au 2 décembre 2027.
Ce qui reste applicable au 2 août 2026 : transparence (Art. 50), contrôles et sanctions sur l'obligation de formation (Art. 4), gouvernance.
Déjà applicable depuis le 2 février 2025 : l'obligation de littératie IA pour tout employeur, collectivités et entreprises comprises.
La priorité n'est plus la classification "haut risque", c'est former vos équipes et cadrer la transparence — puis le documenter.

Le calendrier de l’AI Act et de l’article 4

1er août 2024

Entrée en vigueur du règlement

2 février 2025

Article 4 — littératie IA en vigueur

2 août 2025

Modèles d’IA à usage général

2 août 2026

Sanctions — contrôles nationaux applicables

2 déc. 2027

Systèmes à haut risque (reporté)

L’article 4 est déjà en vigueur. Le 2 août 2026 marque le passage aux sanctions effectives.

1. Ce qui a changé en mai 2026

La Commission européenne a proposé en novembre 2025 un Digital Omnibus on AI visant à alléger le calendrier de l'AI Act. Le 7 mai 2026, un accord politique provisoire a été trouvé entre le Conseil et le Parlement européen.

Conséquence directe : les obligations applicables aux systèmes d'IA à haut risque listés à l'Annexe III du règlement (UE) 2024/1689 — qui devaient entrer en vigueur le 2 août 2026 — sont reportées au 2 décembre 2027.

Important : cet accord est encore provisoire à la date de mise à jour de cet article. L'adoption formelle par les deux institutions reste à confirmer. Tout document client ou note de service doit donc être vérifié contre la version finale au moment de sa rédaction.

2. Ce qui reste applicable au 2 août 2026

Le report concerne uniquement l'Annexe III (systèmes à haut risque). Plusieurs autres briques du règlement restent ancrées sur cette date et concernent autant les collectivités que les entreprises :

Article 50(1) — Transparence. Toute personne en interaction avec un système IA doit en être informée. Une mairie qui déploie un chatbot d'orientation pour ses administrés, comme une PME qui met un assistant conversationnel sur son site, doit le signaler explicitement comme étant une IA.
Article 4 — Contrôles et sanctions sur la littératie IA. L'obligation existe depuis février 2025, mais les contrôles et sanctions deviennent effectifs à partir du 2 août 2026.
Gouvernance et autorités nationales compétentes. En France, la CNIL est l'autorité de référence sur le volet données.

3. L'obligation qui vous concerne déjà : former vos équipes

C'est le point que beaucoup de dirigeants, de DRH et de DGS découvrent tardivement : l'Article 4 sur la littératie IA est en vigueur depuis le 2 février 2025.

Concrètement, tout employeur — collectivité comme entreprise — doit garantir un niveau suffisant de maîtrise de l'IA pour le personnel qui en fait usage, en tenant compte de ses missions, de ses publics et de l'usage prévu. Cette obligation existe indépendamment de la classification "haut risque" du système utilisé.

Et le problème n'est pas théorique : d'après l'enquête Salesforce sur l'IA au travail (« AI at Work », plus de 14 000 salariés interrogés), 55 % des salariés qui utilisent déjà l'IA générative le font avec des outils non validés par leur employeur. Autrement dit, l'IA est déjà dans vos services — souvent sans cadre, sans consigne et sans protection des données. La formation ne crée pas l'usage : elle le sécurise.

Pour une organisation qui utilise (ou commence à utiliser) ChatGPT, Claude, Gemini, Mistral ou Copilot, cela signifie :

Sensibilisation aux risques (biais, hallucinations, fuites de données).
Cadrage RGPD spécifique à l'IA générative (consentement, finalité, conservation).
Bonnes pratiques de rédaction de prompts adaptées aux métiers.
Politique d'usage explicite (ce qu'on fait, ce qu'on ne fait pas).

4. Ce que vous risquez vraiment

Soyons précis, car beaucoup d'articles exagèrent : l'article 4 n'a pas de sanction financière propre. Vous ne recevrez pas une amende "parce que vous n'avez pas formé". Le risque est ailleurs, et il est réel :

Le RGPD, lui, sanctionne. Un agent ou un salarié qui colle des données personnelles dans un outil IA grand public crée une fuite. En cas d'incident, la CNIL regardera si vous aviez formé et encadré vos équipes. Le défaut de formation devient une circonstance aggravante.
La responsabilité reste la vôtre. Une décision biaisée, un courrier erroné, un contenu discriminant produit par IA engage l'employeur, pas l'outil.
Contentieux et réputation. Côté public, un usage non maîtrisé sur des sujets sensibles (aides sociales, état civil) expose au contentieux administratif. Côté privé, l'enjeu est la qualité, la fuite de savoir-faire et l'image.

La formation n'est donc pas une case à cocher : c'est la première mesure de réduction du risque, et la moins chère.

5. Décembre 2026 : le marquage des contenus IA

Une autre échéance souvent oubliée : à partir du 2 décembre 2026, les contenus générés ou substantiellement modifiés par IA doivent être marqués comme tels (article 50(2-3)).

Bulletin municipal, page web, compte-rendu de conseil, visuels de communication, posts d'entreprise : si c'est assisté par IA, il faudra prévoir une indication. Pas nécessairement intrusive, mais explicite.

6. Les trois profils à former

L'obligation est proportionnée : on ne forme pas tout le monde au même niveau. En pratique, je distingue trois profils :

Profil A

Utilisateur occasionnel

Format

Sensibilisation ½ journée

Acquis

Reconnaître une hallucination
Bases de confidentialité
Respect de la charte d’usage

Preuve

Attestation de sensibilisation

Profil B

Utilisateur métier régulier

Format

Formation 1 à 2 journées

Acquis

Prompt engineering
Limites des modèles
Données sensibles

Preuve

Attestation de formation et évaluation

Profil C

Super-utilisateur / référent

Format

Parcours certifiant

Acquis

Stratégie d’implémentation
Évaluation des risques
Conformité avancée

Preuve

Parcours certifiant (ex. RS6776)

7. Combien ça coûte, concrètement

Une mise en conformité utile ne demande pas un budget de grand groupe. Deux repères de terrain :

Collectivité : une journée de formation, 10 agents, 1 200 € HT, mobilisable sur le budget formation de la collectivité (les agents territoriaux relèvent du CNFPT, pas d'un OPCO).
Entreprise : même format, une journée pour l'équipe concernée, finançable par votre OPCO au titre du plan de développement des compétences (formation dispensée par un organisme certifié Qualiopi).

Dans les deux cas, la dépense est faible au regard de ce qu'un seul incident RGPD peut coûter.

8. Ce que je recommande dès maintenant

La priorisation que je donne sur le terrain, valable pour une mairie comme pour une PME :

Cadrer l'usage interne par une note simple : qui peut utiliser quoi, sur quels documents, avec quelles données. Pas besoin d'une charte de 30 pages.
Former les équipes qui utilisent déjà l'IA. C'est l'obligation légale, et la mesure la plus immédiatement utile.
Identifier les usages sensibles (aides sociales, recrutement, scoring, contrôles). Ils basculeront en haut risque en décembre 2027, mais la gouvernance se construit maintenant.
Préparer la transparence sur les services exposés au public (chatbots, formulaires assistés, outils en ligne).
Documenter tout ce qui précède, même légèrement. C'est ce qui fait la différence en cas de contrôle.

9. Votre preuve de conformité tient dans un dossier

Bonne nouvelle pour finir : la Commission européenne a clarifié qu'aucun certificat n'est exigé pour démontrer la littératie IA. Ce qui compte, c'est de tenir un registre des actions de formation et de sensibilisation : feuilles d'émargement, supports utilisés, attestations de présence, note d'usage interne.

En clair, votre conformité au titre de l'article 4 tient dans un classeur — physique ou numérique. Encore faut-il l'avoir constitué avant le contrôle.

Sources et vérifications

Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle ("AI Act").
Communication de la Commission COM(2025) — proposition "Digital Omnibus on AI" du 19 novembre 2025.
Communiqué du Conseil de l'UE — accord politique provisoire du 7 mai 2026 (statut à revérifier en cas de réutilisation).
Recommandations CNIL sur l'IA — publications 2024-2026 (à consulter directement sur cnil.fr).
Salesforce, enquête "AI at Work" / Generative AI Snapshot Research (plus de 14 000 salariés, 14 pays) — chiffre de 55 % d'usage d'outils IA non approuvés.

Article publié le 28 mai 2026, mis à jour le 14 juin 2026. Les dates et statuts cités sont ceux disponibles à cette date. Si vous lisez cet article plusieurs mois après, vérifiez l'état d'adoption finale de l'accord Omnibus, qui pouvait encore évoluer.

Aller plus loin

ACCES IA forme vos équipes à l'IA générative en une journée, avec cadrage RGPD et AI Act, cas d'usage métiers concrets et un livret de 50 prompts remis à chaque participant. Deux formats selon votre structure :

Formation IA pour agents territoriaux — collectivités, financement CNFPT / budget formation.
Formation IA pour PME et TPE — entreprises, financement OPCO (plan de développement des compétences).
Discuter de votre besoin — on cale le format et le financement adaptés à votre cas.

← Retour au blog