Introduction : l’AI Act n’est plus une promesse, c’est une obligation
Pendant longtemps, la gouvernance de l’IA en entreprise relevait du bon vouloir. On publiait une charte éthique, on sensibilisait les équipes, on ajoutait une clause dans les CGU. C’était suffisant pour paraître sérieux.
Ce temps est révolu.
Depuis l’entrée en application progressive du règlement européen sur l’intelligence artificielle : l’EU AI Act, les organisations qui déploient ou utilisent des systèmes d’IA sont soumises à des obligations légales concrètes. Parmi elles, une passe souvent sous le radar des directions générales, alors qu’elle concerne potentiellement tous leurs collaborateurs : l’obligation d’AI Literacy définie à l’Article 4.
La question n’est plus « est-ce que nos équipes sont sensibilisées à l’IA ? » Elle est désormais : « Pouvons-nous prouver qu’elles la maîtrisent suffisamment ? »
Ce que dit vraiment l’Article 4 de l’AI Act
L’Article 4 du règlement européen sur l’IA impose aux fournisseurs et déployeurs de systèmes d’IA de prendre des mesures raisonnables pour garantir un niveau suffisant de littératie en IA (AI Literacy) pour leur personnel.
Concrètement, cela signifie que les collaborateurs qui interagissent avec des systèmes d’IA qu’ils les supervisent, les alimentent en données, en interprètent les résultats ou en prennent des décisions sur leur base doivent pouvoir démontrer une compréhension minimale de ce qu’ils manipulent.
Ce que l’Article 4 ne dit pas explicitement, c’est comment mesurer cette littératie. C’est précisément là que réside l’enjeu pour les entreprises : l’obligation est posée, mais la méthode pour y répondre de façon défendable reste à construire.
Et dans l’univers réglementaire, ce qui n’est pas documenté n’existe pas.
Qui est concerné dans votre organisation ?
L’obligation d’AI Literacy ne se limite pas aux profils techniques. Elle s’étend à toute personne qui, dans le cadre de ses missions, utilise ou supervise un système d’IA au sens du règlement.
En pratique, dans un grand groupe, cela peut couvrir des populations très larges :
Les équipes métiers qui utilisent des outils IA au quotidien, analyse de données, génération de contenus, aide à la décision, sans nécessairement en avoir conscience en tant que « systèmes d’IA ».
Les fonctions support (RH, Finance, Juridique, Achats) qui s’appuient sur des modules IA intégrés à leurs logiciels métiers, souvent sans formation spécifique sur les risques associés.
Les profils techniques (DSI, Data Scientists, ML Engineers) qui conçoivent, déploient ou maintiennent ces systèmes, et dont la responsabilité est la plus directement engagée en cas de contrôle.
Le management et la direction qui prennent des décisions stratégiques basées sur des outputs IA, et qui doivent pouvoir en évaluer la fiabilité et les limites.
La difficulté pour la plupart des organisations, c’est qu’elles ne savent pas précisément où elles en sont sur chacune de ces populations ni comment l’établir de façon fiable.
La différence cruciale entre formation et preuve de maîtrise
C’est le cœur du problème réglementaire, et il est souvent mal compris.
Beaucoup d’entreprises confondent participation à une formation et preuve de compétence. Or, sur le plan juridique et réglementaire, ce sont deux choses fondamentalement différentes.
Attester qu’un collaborateur a participé à un webinaire d’acculturation à l’IA, c’est prouver qu’il a été exposé à un contenu. Cela ne dit rien sur ce qu’il a compris, sur ce qu’il sait faire, ni sur sa capacité à identifier les risques liés aux outils qu’il utilise. En cas de contrôle réglementaire, ce type de documentation est fragile.
Ce que l’AI Act et plus largement la logique de conformité appelle « preuve », c’est une mesure objectivée, répétable et comparable du niveau de maîtrise réel. Une donnée, pas une déclaration.
Cette distinction n’est pas qu’un détail juridique. Elle a des conséquences très concrètes sur la façon dont les organisations doivent structurer leur approche de l’AI Literacy : non plus comme une action de communication interne, mais comme un processus de mesure rigoureux, documenté et auditable.
Les limites des approches déclaratives actuelles
Dans la grande majorité des organisations, la « preuve » de la maîtrise IA des équipes repose aujourd’hui sur trois types de documentation :
Les attestations de formation.
Elles prouvent la participation, pas la compétence. Un collaborateur peut avoir complété un parcours e-learning sans en avoir intégré les enjeux fondamentaux.
Les auto-évaluations.
Elles reposent sur la perception que le collaborateur a de son propre niveau ce qui est, par définition, subjectif, non comparable d’un individu à l’autre, et difficilement défendable face à un auditeur externe.
Les questionnaires de satisfaction post-formation.
Ils mesurent l’expérience d’apprentissage, non la compétence acquise. Leur valeur probatoire est quasi nulle.
Aucune de ces approches ne permet de répondre à la question centrale que posera un régulateur : « Comment savez-vous que vos équipes maîtrisent suffisamment l’IA qu’elles opèrent ? »
Ce qu’une preuve auditable de l’AI Literacy doit contenir
Pour être défendable en cas de contrôle, qu’il s’agisse d’un audit interne, d’un contrôle réglementaire, ou d’une exigence d’un donneur d’ordre sur un marché régulé, une preuve d’AI Literacy doit réunir plusieurs caractéristiques.
Elle doit être standardisée.
La mesure doit s’appuyer sur un référentiel reconnu, pas sur une grille construite en interne. En France, le cadre de référence est l’AFNOR SPEC 2401, la spécification nationale pour la mesure des compétences IA. Une évaluation alignée sur ce standard bénéficie d’une légitimité institutionnelle immédiate.
Elle doit être objectivée.
Les résultats doivent être issus d’une évaluation externe, non déclarative, c’est-à-dire mesurés par un dispositif tiers, selon un protocole reproductible et comparable dans le temps.
Elle doit être contextualisée par métier.
L’AI Literacy d’un juriste ne se mesure pas avec les mêmes critères que celle d’un data scientist ou d’un responsable achats. Une preuve crédible distingue les populations et leurs niveaux d’exposition aux systèmes IA.
Elle doit être traçable.
Les résultats doivent pouvoir être archivés, historisés et produits à la demande, sous forme de rapports individuels et consolidés, opposables à tout tiers.
AICET : une preuve auditable, adossée aux standards de référence
C’est précisément la logique sur laquelle a été construit AICET. La solution propose une évaluation standardisée des compétences IA en entreprise, alignée sur l’AFNOR SPEC 2401 et conçue pour répondre directement aux exigences de l’Article 4 de l’AI Act.
Son fondateur, Arnault Ioualalen, est lui-même contributeur direct à la rédaction de la SPEC 2401 et rédacteur principal de la norme internationale ISO/IEC 24029 sur la robustesse de l’IA, ce qui confère à la méthodologie AICET une légitimité scientifique et normative rare sur le marché.
Le diagnostic AICET produit des rapports de compétences individuels et consolidés par métier, exploitables à trois niveaux : en interne pour piloter la montée en compétences, vis-à-vis des régulateurs comme preuve d’AI Literacy, et en option avec une attestation officielle délivrée par l’organisme APAVE tiers de confiance reconnu dans la certification professionnelle en France.
Ce n’est pas un baromètre. C’est une mesure rigoureuse, reproductible et défendable, construite dès l’origine pour répondre à une logique de preuve, pas de communication.
Conclusion : l’AI Literacy, d’obligation réglementaire à actif stratégique
L’AI Act s’applique progressivement, mais les obligations pour les déployeurs de systèmes IA à haut risque sont déjà actives. Les organisations qui attendent la mise en demeure pour structurer leur preuve d’AI Literacy se retrouveront dans une position de rattrapage coûteuse, stressante, et difficilement défendable.
À l’inverse, les directions qui anticipent disposent d’un avantage double : elles sécurisent leur conformité tout en gagnant une connaissance précieuse sur le niveau réel de leurs équipes. Une information directement actionnable pour prioriser leurs investissements formation.
La bonne nouvelle, c’est qu’il est possible d’obtenir cette cartographie en moins d’un mois. Et que les mêmes données qui servent la conformité servent aussi la stratégie RH, la transformation IA et le pilotage budgétaire.
La preuve de l’AI Literacy n’est pas une contrainte réglementaire de plus. C’est un actif stratégique à condition d’être construit sur les bons fondements.
Vous souhaitez structurer la preuve d’AI Literacy de vos équipes avant votre prochain audit ? Échanger avec un expert AICET

