Conformité - 13 avril 2026

Formation conformité AI Act : le guide pratique pour DPO, DSI et juristes

Q: Un DPO déjà formé au RGPD doit-il suivre une formation AI Act ?

Oui. Le RGPD et l'AI Act partagent quelques principes (minimisation, finalité, responsabilité) mais divergent fortement sur la classification des risques, la documentation technique et les obligations spécifiques aux fournisseurs et déployeurs. Une formation dédiée est indispensable pour éviter les angles morts.

Q: À partir de quelle taille d'entreprise faut-il désigner un référent AI Act ?

L'AI Act ne fixe pas de seuil de taille pour la désignation d'un référent. Toute organisation qui déploie des systèmes à haut risque (Annexe III) ou à risque limité en contact avec le public devrait identifier un responsable interne. Dans les structures de moins de 50 salariés, ce rôle peut être cumulé avec la fonction DPO ou DSI.

Le Règlement UE 2024/1689 ne se résume pas à une obligation de formation pour tous les collaborateurs. Il crée un corpus d'obligations techniques, documentaires et organisationnelles que seuls les profils spécialisés - DPO, DSI, juristes, responsables conformité - peuvent piloter efficacement. Voici ce que contient une formation conformité AI Act à la hauteur de ces enjeux et comment construire votre programme.

Pourquoi la conformité AI Act ne peut pas se limiter à une sensibilisation générale

L'AI Literacy Article 4 s'adresse à tous les utilisateurs d'IA. Mais la conformité AI Act, au sens strict du terme, exige bien davantage : une lecture précise du règlement, une capacité à classer les systèmes IA selon leur niveau de risque, la maîtrise des exigences documentaires des Annexes III, IV et IX, et la compétence pour piloter un audit interne.

Ces compétences ne s'improvisent pas. Un DPO qui a excellé dans la mise en conformité RGPD dispose d'une base utile - notamment sur la responsabilisation, la documentation et les transferts de données - mais il fait face à des angles morts réels : la définition technique d'un système d'IA, la logique de classification des risques par secteur, les obligations propres aux fournisseurs GPAI, ou encore les interactions avec le marquage CE pour les systèmes à haut risque.

Point de vigilance clé

L'AI Act et le RGPD ne sont pas redondants - ils sont complémentaires. Un système d'IA de recrutement est simultanément soumis au RGPD (traitement de données personnelles), à l'AI Act Annexe III (haut risque, supervision humaine obligatoire) et potentiellement au Code du travail. La formation conformité doit couvrir ces trois dimensions, pas seulement l'une d'entre elles.

À qui s'adresse la formation conformité AI Act

Trois profils sont directement concernés par ce niveau de formation approfondie :

Profil	Rôle dans la conformité AI Act	Compétences prioritaires à acquérir
DPO	Extension du périmètre RGPD aux systèmes IA, articulation des deux règlements, registre des usages IA	Classification des risques, obligations déployeurs, interaction RGPD-AI Act, documentation de conformité
DSI / RSSI	Inventaire technique, évaluation des outils IA déployés, supervision des fournisseurs tiers, cybersécurité des systèmes IA	Définition technique d'un système d'IA, Annexe III, exigences robustesse et sécurité, gestion des incidents
Juriste / Responsable conformité	Analyse contractuelle (clauses fournisseurs IA), veille réglementaire, interface avec l'autorité nationale compétente	Lecture du règlement, sanctions, obligations contractuelles, délégation de conformité, contentieux IA

Les responsables RH, acheteurs et directeurs de business units qui déploient des systèmes IA dans leur périmètre bénéficient d'une version allégée de ce programme - orientée sur la classification des risques et les obligations des déployeurs dans leur secteur spécifique.

Le programme d'une formation conformité AI Act en deux jours

Un programme sérieux couvre six blocs thématiques. Voici le contenu détaillé de chacun, avec les éléments opposables en cas de contrôle.

Bloc 1 - Lire et comprendre le Règlement UE 2024/1689 (3 heures)

Avant toute chose, les participants doivent être capables de naviguer dans le texte lui-même. Le règlement compte 113 articles, 13 annexes et 180 considérants. Un DPO ou un juriste n'a pas besoin de les mémoriser - il a besoin de savoir où trouver l'information pertinente, comment lire une disposition et comment articuler le règlement avec les textes nationaux de transposition.

Ce bloc couvre : la structure générale du règlement, les définitions clés (système d'IA selon l'Article 3, déployeur, fournisseur, utilisateur, risque inacceptable), le champ d'application territorial et personnel, et les exclusions notables (IA militaire, recherche, usage personnel).

Exemple concret

La définition d'un "système d'IA" au sens du règlement est plus large qu'on ne le pense. Elle couvre tout système qui, à partir d'objectifs définis, génère des sorties - recommandations, prédictions, décisions, contenus - susceptibles d'influencer des environnements physiques ou virtuels. Un algorithme de scoring de crédit, un outil de détection de fraude et un système de recommandation produit rentrent tous dans ce périmètre.

Bloc 2 - Classification des risques et cartographie interne (4 heures)

C'est le coeur opérationnel du programme. Les participants apprennent à classer chaque système IA utilisé dans leur organisation selon les quatre niveaux de risque. Ce travail de cartographie est à la fois un exercice pédagogique et un livrable de conformité concret.

Les quatre niveaux de risque en pratique :

Risque inacceptable : pratiques interdites depuis le 2 février 2025. Notation sociale, manipulation subliminale, identification biométrique de masse en temps réel dans les espaces publics. Ces usages doivent être identifiés et supprimés immédiatement.
Haut risque (Annexe III) : 8 domaines concernés - recrutement et gestion RH, crédit et assurance, éducation, accès aux services essentiels, application de la loi, gestion des frontières, administration de la justice, infrastructures critiques. Ces systèmes exigent une supervision humaine, une documentation technique complète et un enregistrement dans la base EU AI Office.
Risque limité (Article 50) : chatbots, IA génératives, systèmes de génération de contenus synthétiques. Obligations de transparence et d'information des utilisateurs finaux.
Risque minimal : filtres anti-spam, recommandations, jeux. Aucune obligation spécifique au titre de l'AI Act.

La formation inclut un atelier pratique : à partir d'un inventaire anonymisé d'outils IA courants en entreprise (outil de recrutement, chatbot RH, outil de génération de rapports, système de détection de fraude), les participants s'exercent à la classification et identifient les obligations applicables à chaque cas.

Bloc 3 - Obligations des déployeurs et des fournisseurs (4 heures)

La plupart des entreprises françaises sont des déployeurs - elles utilisent des systèmes IA conçus par des tiers. Leurs obligations sont distinctes de celles des fournisseurs mais restent substantielles.

Pour les déployeurs de systèmes à haut risque :

Mettre en place des mesures de surveillance humaine (Article 26) - le recruteur qui utilise un ATS doit pouvoir ignorer ou contester la recommandation algorithmique
S'assurer que les données d'entrée sont pertinentes et suffisantes
Tenir un registre automatisé des opérations (journaux de logs)
Informer les personnes affectées par une décision automatisée
Signaler les incidents graves à l'autorité nationale compétente (l'ARCOM en France pour la plupart des secteurs)
Effectuer une évaluation d'impact sur les droits fondamentaux avant déploiement

Pour les déployeurs de systèmes à risque limité :

Informer les utilisateurs qu'ils interagissent avec un système d'IA (Article 50)
Étiqueter les contenus générés par IA (images, vidéos, audio, texte) de manière détectable

Exemple concret - secteur assurance

Une compagnie d'assurance qui utilise un système de scoring automatisé pour évaluer les demandes de prêt immobilier opère un système à haut risque (Annexe III, catégorie "accès aux services essentiels"). Elle doit réaliser une évaluation d'impact sur les droits fondamentaux, documenter les mesures de supervision humaine, et s'enregistrer dans la base de données EU AI Office. Son DPO doit maîtriser ces trois obligations avant août 2026.

Bloc 4 - Documentation obligatoire et registre des usages IA (3 heures)

La documentation est la colonne vertébrale de la conformité AI Act. Sans elle, aucune preuve opposable en cas de contrôle. Ce bloc couvre la constitution du dossier de conformité et l'articulation avec les registres RGPD existants.

Document	Obligatoire pour	Contenu minimum	Délai de conservation
Registre des usages IA	Tous les déployeurs	Liste des systèmes IA, finalité, niveau de risque, fournisseur, mesures en place	Mise à jour continue
Évaluation d'impact droits fondamentaux	Déployeurs haut risque Annexe III	Description du système, populations affectées, risques identifiés, mesures d'atténuation	10 ans après déploiement
Journaux de logs	Systèmes haut risque	Traçabilité des décisions automatisées, interventions humaines, incidents	6 mois minimum
Politique AI Literacy	Tous les déployeurs (Article 4)	Programme de formation, publics, fréquence, attestations, révision annuelle	Durée de l'obligation
Contrats fournisseurs IA	Déployeurs haut risque	Clauses de conformité AI Act, accès à la documentation technique, obligations de signalement	Durée du contrat + 10 ans

Le bloc inclut un exercice de constitution d'un registre des usages IA à partir de cas réels, et la revue d'une clause contractuelle type pour les achats de solutions IA auprès de fournisseurs tiers.

Bloc 5 - Interaction AI Act et RGPD : les points de jonction (2 heures)

Pour les DPO, ce bloc est stratégique. L'AI Act et le RGPD se superposent sur plusieurs points sans être redondants. Les connaître permet d'éviter à la fois les doublons de documentation et les angles morts réglementaires.

Points de convergence : principe de responsabilité (accountability), évaluation d'impact (DPIA sous RGPD / évaluation droits fondamentaux sous AI Act), obligations de transparence envers les personnes concernées, signalement des incidents aux autorités.

Points de divergence : le RGPD cible les données personnelles, l'AI Act cible les systèmes IA indépendamment des données traitées. Un système IA entraîné uniquement sur des données agrégées et anonymisées n'est pas soumis au RGPD mais peut être soumis à l'AI Act. À l'inverse, un système de traitement de données personnelles sans composante IA relève du RGPD seul.

La règle pratique : quand un système IA traite des données personnelles, les deux règlements s'appliquent cumulativement. Le DPO doit alors croiser les deux grilles d'analyse et constituer un dossier de conformité qui satisfait aux deux exigences. Dans la pratique, le registre des usages IA peut être conçu comme une extension du registre des traitements RGPD - avec des colonnes supplémentaires pour le niveau de risque AI Act et les mesures spécifiques.

Bloc 6 - Pilotage de la mise en conformité et gouvernance IA (2 heures)

La conformité AI Act n'est pas un projet ponctuel - c'est un dispositif permanent à piloter. Ce dernier bloc couvre les éléments organisationnels : qui fait quoi, comment structurer le programme de mise en conformité, comment rendre compte à la direction et au conseil d'administration.

Définir la gouvernance IA interne : référent AI Act, comité IA, interface avec le DPO et le DSI
Construire un plan d'action priorisé : quick wins, chantiers structurels, dépendances fournisseurs
Piloter les indicateurs de conformité : taux de formation, couverture du registre, statut des contrats fournisseurs
Préparer l'interface avec l'autorité nationale compétente en cas de contrôle ou d'incident
Anticiper les mises à jour réglementaires : actes délégués de la Commission, lignes directrices EU AI Office

Les compétences distinctives que cette formation doit apporter

Un bon test pour évaluer la qualité d'une formation conformité AI Act : à l'issue du programme, le participant doit être capable de réaliser ces cinq tâches sans assistance externe :

Classer un système IA inconnu selon le bon niveau de risque en moins de 15 minutes
Lister les obligations applicables à un déployeur pour un système Annexe III donné
Identifier les clauses manquantes dans un contrat d'achat de solution IA
Rédiger le sommaire d'une évaluation d'impact sur les droits fondamentaux
Construire un plan de mise en conformité priorisé sur 12 mois

Si le prestataire pressenti ne peut pas garantir l'acquisition de ces cinq compétences, son programme n'est pas à la hauteur des enjeux réglementaires auxquels font face DPO, DSI et juristes.

Ce que révèle un audit AI Act réalisé après formation

Nos observations sur les organisations ayant suivi une formation conformité AI Act puis réalisé un audit AI Act font ressortir des résultats cohérents. Avant formation, les équipes ignorent en moyenne 60 à 70 % de leurs obligations réelles. Après formation :

Le registre des usages IA est constitué dans 80 % des cas dans les 60 jours suivant la formation
Les contrats fournisseurs IA sont révisés dans les 90 jours pour les systèmes à haut risque identifiés
Les équipes RH et opérationnelles reçoivent une formation AI Literacy adaptée dans les 6 mois
La gouvernance IA - référent désigné, comité de suivi - est en place avant la fin de l'année

Ces chiffres illustrent l'effet de levier de la formation conformité : elle ne produit pas seulement des connaissances, elle produit des actions. Un DPO ou un DSI qui comprend précisément ce qu'il risque et ce qu'il doit faire est le premier moteur de la mise en conformité de son organisation.

À retenir - L'essentiel sur la formation conformité AI Act

La formation conformité AI Act destinée aux DPO, DSI et juristes est un programme de deux jours couvrant six blocs : lecture du règlement, classification des risques, obligations déployeurs/fournisseurs, documentation, interaction RGPD et gouvernance IA. Elle produit des livrables de conformité concrets et donne aux référents internes la capacité de piloter la mise en conformité sans dépendance permanente à des conseils externes.

Comment sélectionner le bon prestataire de formation conformité AI Act

Quelques critères concrets, au-delà de la certification Qualiopi :

Juristes et praticiens dans l'équipe pédagogique : la conformité AI Act mêle droit, technique et organisation. Une équipe composée uniquement d'experts IA sans profil juridique laissera des angles morts réglementaires significatifs.
Programme actualisé en temps réel : les actes délégués de la Commission européenne et les lignes directrices de l'EU AI Office évoluent. Le prestataire doit démontrer qu'il suit ces mises à jour et les intègre dans ses contenus.
Exercices pratiques sectoriels : un juriste de l'assurance n'a pas les mêmes cas d'usage qu'un DPO d'un CHU. Exigez une personnalisation des exercices à votre secteur d'activité.
Livrables de conformité inclus : le programme daté, les attestations individuelles et les outils de travail (modèle de registre, modèle d'évaluation d'impact) doivent être fournis. Ce sont les pièces que vous produirez en cas de contrôle.
Suivi post-formation : la conformité AI Act est un processus continu. Un prestataire sérieux propose un suivi à 3 et 6 mois pour accompagner la mise en oeuvre et répondre aux questions opérationnelles qui émergent.

Questions fréquentes sur la formation conformité AI Act

Un DPO déjà formé au RGPD doit-il suivre une formation AI Act ?

Oui. Le RGPD et l'AI Act partagent quelques principes mais divergent fortement sur la classification des risques, la documentation technique et les obligations des fournisseurs et déployeurs. Une formation dédiée est indispensable pour éviter les angles morts. Notre page sur AI Act vs RGPD détaille les points de convergence et de divergence.

Quelle est la différence entre déployeur et fournisseur dans l'AI Act ?

Le fournisseur développe ou commercialise un système d'IA. Le déployeur l'utilise dans un contexte professionnel. La plupart des entreprises françaises sont déployeurs. Les obligations diffèrent : le fournisseur supporte la charge réglementaire la plus lourde, le déployeur doit superviser l'usage, former ses équipes et signaler les incidents. Voir notre guide sur les obligations AI Act.

Comment construire le registre des usages IA requis par l'AI Act ?

Le registre des usages IA recense tous les systèmes d'IA utilisés ou déployés, avec pour chacun : sa finalité, son niveau de risque, le fournisseur, les données traitées, les mesures de supervision et les personnes responsables. Il complète le registre des traitements RGPD. Notre page mise en conformité présente un modèle complet.

À partir de quelle taille d'entreprise faut-il désigner un référent AI Act ?

L'AI Act ne fixe pas de seuil. Toute organisation déployant des systèmes à haut risque (Annexe III) devrait identifier un responsable interne. Dans les structures de moins de 50 salariés, ce rôle peut être cumulé avec la fonction DPO ou DSI. Notre guide AI Act pour les PME détaille les obligations proportionnées aux petites structures.

La formation conformité AI Act est-elle finançable par l'OPCO ?

Oui, sous réserve que le prestataire soit certifié Qualiopi et que la formation figure dans son catalogue certifié. Les formations AI Act pour DPO et responsables conformité sont éligibles au plan de développement des compétences. Contactez votre OPCO de branche ou consultez nos programmes pour vérifier l'éligibilité.

Formez vos DPO, DSI et juristes à la conformité AI Act

Programme conformité AI Act certifié Qualiopi, finançable OPCO, personnalisé à votre secteur. Inclut tous les livrables de conformité. Réponse sous 48h ouvrées.

Demander un devis formation