Le 2 février 2025, le règlement européen sur l'intelligence artificielle (EU Artificial Intelligence Act, KI-VO) est partiellement entré en vigueur. Ce règlement établit pour la première fois des règles contraignantes à l'échelle européenne pour l'utilisation de l'intelligence artificielle. L'une des premières obligations déjà applicables concerne Compétence en matière d'IA découlant de l'article 4 du règlement sur l'IALes entreprises et les organismes publics doivent veiller à ce que toutes les personnes qui développent, exploitent ou utilisent des systèmes d'IA disposent de connaissances et de compétences suffisantes en matière d'IA. La Commission européenne vient de publier une FAQ sur l'article 4 du règlement sur l'IA, qui devrait lever certaines ambiguïtés.
Base juridique : article 4 du règlement sur les IC et définitions
L'article 4 du règlement sur l'IA ("compétence en matière d'IA") oblige les fournisseurs et les exploitants de systèmes d'IA à, "faire tout leur possible pour s'assurer que leur personnel et les autres personnes impliquées dans le fonctionnement et l'utilisation de systèmes d'IA en leur nom possèdent un niveau suffisant de compétences en matière d'IA".. Pour faire simple, toute entreprise ou administration qui développe des systèmes d'IA ou doit s'assurer que son personnel et les autres personnes impliquées (comme les prestataires de services externes) ont suffisamment de connaissances pour utiliser ces systèmes d'IA. Cela inclut tous les acteurs de la chaîne de valeur de l'IA, quelle que soit la taille de l'organisation. Ainsi, outre les fournisseurs d'IA (fabricants/développeurs), les opérateurs d'IA (utilisateurs de systèmes d'IA dans un contexte professionnel) sont également concernés. Au final, donc, presque toutes les entreprises et les organismes publicsLes entreprises qui utilisent l'IA. Même les commerçants ou les importateurs peuvent être concernés dans la mesure où ils utilisent ou intègrent des systèmes d'IA dans leurs activités.
Qui est inclus dans la catégorie "autres personnes qui traitent des systèmes d'IA en leur nom" ?
L'article 4 du règlement sur les IC parle expressément non seulement du personnel propre, mais aussi des personnes qui "au nom de" du fournisseur ou de l'exploitant de systèmes d'IA. Il s'agit par exemple de les contractants externes, les prestataires de services ou même les clientsles personnes qui effectuent des activités avec des systèmes d'IA pour l'organisation. Ces groupes de personnes ne sont certes pas liés par un contrat de travail, mais ils relèvent de la responsabilité organisationnelle de l'utilisateur de l'IA. En pratique, cela signifie que si une entreprise confie l'exploitation d'un système d'IA à un prestataire de services informatiques, elle doit s'assurer que les collaborateurs de ce dernier sont également qualifiés en conséquence (le cas échéant, par le biais d'un contrat).
Définition des "compétences suffisantes en matière d'IA
Le règlement sur les IC fournit, à l'article 3, point 56, une définition légale de ce terme "Compétence en IA" ("AI literacy"). Selon cette définition, les compétences en IA comprennent toutes les "les compétences, les connaissances et la compréhension permettant aux fournisseurs, aux opérateurs et aux personnes concernées de fournir et d'utiliser des systèmes d'IA en connaissance de cause, compte tenu de leurs droits et obligations dans le cadre du présent règlement, et de prendre conscience des possibilités et des risques liés à l'IA et des dommages potentiels".. Concrètement, on peut en déduire les aspects suivants :
- Compétences et connaissances professionnelles: connaissance de celui-ci, ce qu'est l'IA, comment fonctionnent les systèmes d'IA (par ex. les bases de l'apprentissage automatique) et quels systèmes d'IA sont utilisés dans leur propre organisation. Cela implique également une compréhension des fonctionnement technologique et des concepts qui sous-tendent l'IA - tels que la base de données, les procédures d'entraînement, les limites des modèles - afin de pouvoir prendre des décisions éclairées sur l'utilisation et la gestion de l'IA.
- Prise de conscience des opportunités et des risques: compréhension de la Possibilitésque l'IA offre dans le domaine d'application concret. Mais aussi la Risques et dommages potentielsLes systèmes d'IA peuvent provoquer des problèmes. Par exemple, le personnel formé devrait reconnaître le risque de décisions erronées, de tendances à la discrimination ou d'"hallucinations" de l'IA générative (dépenses inventées). Cette prise de conscience des risques permet de prendre des mesures appropriées. Mesures de protection et contre-mesures de prendre des mesures.
- Connaissances techniques, juridiques et éthiques: Les compétences en IA vont au-delà de la formation purement technique et comprennent également une connaissance de base de la cadre juridique. Il s'agit notamment du règlement sur les IC lui-même , mais aussi des dispositions pertinentes telles que le RGPD. A cela s'ajoutent des principes éthiques dans le contexte de l'IA. Les collaborateurs doivent par exemple comprendre les obligations de transparence et de surveillance du règlement sur l'IA (articles 13 et 14), mais aussi les obligations éthiques. Lignes directrices (par ex. sur la gestion des biais ou sur l'IA centrée sur l'humain).
- Compétence d'application pratique: Enfin, la compétence en matière d'IA nécessite Capacité à mettre en pratique les connaissances acquises. Les collaborateurs doivent être en mesure d'utiliser les systèmes d'IA au quotidien en toute connaissance de cause, de classer correctement les résultats et de réagir correctement en cas de problèmes. Cela implique par exemple de vérifier de manière critique les sorties de l'IA au lieu de les accepter sans réfléchir. Ou encore de préparer des données d'entrée en garantissant leur qualité et de procéder à des vérifications humaines ("human-in-the-loop") en cas de besoin.
FAQ de la Commission européenne sur l'article 4 du règlement IA
Dans une FAQ, la Commission européenne a précisé que pour l'article 4 du règlement sur les IA pas de directives rigides sur le contenu ou le format des formations. Au contraire, une certaine flexibilité est nécessaire, car Les technologies d'IA évoluent rapidement et couvrent des champs d'application très différents. Toutefois, la Commission mentionne quelques Aspects minimauxLa Commission a également proposé une série d'initiatives de formation en matière d'IA, qui devraient être couvertes par une initiative de formation en matière d'IA afin de répondre aux exigences de l'article 4 :
- Compréhension de base de l'IA au sein de l'organisation - "Qu'est-ce que l'IA ? Comment fonctionne-t-elle ? Quels systèmes d'IA sont utilisés dans notre entreprise ? Quelles sont les opportunités et les menaces" ?. Tous les collaborateurs concernés devraient recevoir un socle commun de connaissances de base en matière d'IA, y compris une connaissance des applications d'IA utilisées dans l'entreprise et de leur impact potentiel.
- Prendre en compte le rôle de sa propre organisation - Est-on un fournisseur d'IA (c'est-à-dire que l'on développe soi-même des systèmes d'IA) ou un opérateur d'IA (utilise-t-on des systèmes d'IA externes) ?. Le contenu de la formation en dépend. Un développeur d'IA a besoin de connaissances approfondies sur le développement de modèles et les données, tandis qu'un pur utilisateur d'IA doit mettre l'accent sur l'utilisation correcte et les limites de l'outil.
- Analyse des risques des systèmes d'IA utilisés - "Quels sont les risques liés à nos systèmes d'IA ? Que doivent savoir les employés à ce sujet afin d'identifier et d'atténuer ces risques ?". Selon le Niveau de risque de l'IA (normale ou IA à haut risque selon le règlement sur l'IA), les formations doivent aborder de manière plus intensive les risques d'erreur potentiels, les biais, les failles de sécurité ou les questions de responsabilité. Le personnel qui travaille avec un système d'IA à haut risque (par exemple une IA pour la sélection du personnel ou le diagnostic médical) a besoin d'une formation plus détaillée que celui qui utilise un système d'assistance à faible risque.
Des mesures de qualification sur mesure
Sur la base de cette analyse, les mesures concrètes Formation sur mesure de l'entreprise. Les éléments suivants sont à prendre en compte "Différences dans les connaissances techniques, l'expérience, l'éducation et la formation des employés et des autres personnes". à prendre en compte, tout comme "le contexte dans lequel les systèmes d'IA sont utilisés et les personnes sur lesquelles ils sont utilisés"..
En pratique, cela signifie que : Le savoir-faire existant des différents groupes cibles doit être recensé (p. ex. expérience préalable avec l'IA, bagage technique) afin de ne pas surcharger ou sous-exploiter quiconque. En même temps, il faut Contexte d'utilisation doivent être prises en compte : Par exemple, le secteur et la fonction pour lesquels l'IA est utilisée, ainsi que la concernés groupe de clients ou population.
Par exemple, une experte en informatique a besoin d'autres contenus de formation (plus approfondis) qu'un gestionnaire qui ne fait qu'utiliser un logiciel d'IA. De même, les systèmes d'IA dans le domaine médical ont d'autres exigences (p. ex. en matière de sécurité des patients) que ceux du domaine de la santé. Marketing.
Approche basée sur les risques à l'article 4 du règlement sur les IC
L'obligation découlant de l'article 4 du règlement sur les IC est consciente évolutif est conçu. Les organisations doivent soumettre leur programme de compétences en IA au son propre profil de risque s'adapter à la situation. Si une entreprise ne dispose que de outils d'IA à faible risque (par ex. une simple assistance textuelle IA dans le Marketing), des mesures de formation simples suffisent pour garantir une utilisation appropriée. Toutefois, si une entreprise a Systèmes d'IA à haut risque en cours d'utilisation (voir définition à l'article 6 et à l'annexe III du règlement sur l'IA, par exemple les systèmes d'IA pour la sélection des candidats ou la gestion des ressources humaines), alors "des mesures supplémentaires peuvent être pertinentes pour s'assurer que les travailleurs savent comment utiliser le système et comment éviter ou réduire les risques".. Dans de tels cas, l'article 26 du règlement sur les infrastructures critiques exige déjà expressément que les exploitants veillent à ce que leur personnel soit en nombre suffisant. formés est nécessaire pour utiliser correctement le système à haut risque et assurer la supervision humaine. Une simple remise du manuel aux collaborateurs ne suffit alors en aucun cas.
Format et méthodes de formation à l'IA en entreprise
L'article 4 du règlement sur l'IC n'impose pas de format particulier - par exemple, séminaire en classe contre apprentissage en ligne. De même, une un "nombre minimum d'heures" rigide on cherche en vain. La Commission souligne qu'il "pas de solution unique" et que l'AI Office n'imposera pas de type de formation spécifique. Les entreprises peuvent donc choisir des approches variées : séminaires classiques, ateliers, webinaires, formations pratiques sur le tas, tutoriels, bases de connaissances internes ou sessions de coaching régulières.
Dans de nombreux cas, un Mélange de mesures pour s'adresser à différents types d'apprenants et assurer une formation continue. L'important est que les formats choisis soient efficaces. La commission fait remarquer qu'une approche purement passive ("Faire lire les collaborateurs") ne suffit généralement pas et des formations actives et des instructions sont nécessaires. Ce qui est décisif en fin de compte, c'est que Objectifs d'apprentissage - l'acquisition des compétences décrites ci-dessus - doit être atteint. La mise en œuvre concrète doit s'appuyer sur la situation de départ et les besoins des groupes cibles orienter.
Article 4 du règlement sur l'IA : exemples et meilleures pratiques
Afin d'aider les organisations à concevoir leurs programmes de formation à l'IA, la Commission européenne a créé un "Living Repository" des pratiques de littératie en IA a été lancée. Cette base de données en ligne librement accessible présente des exemples pratiques et des initiatives de différents fournisseurs et opérateurs - de différents secteurs, tailles et pays - sur la manière dont ils abordent la formation à l'IA. Les exemples montrent, entre autres, comment les concepts de formation sont conçus pour différents groupes de collaborateurs (des développeurs aux collaborateurs administratifs) et comment partenaires externes (p. ex. fournisseurs, clients) peuvent être inclus. Bien que le simple fait de copier ces exemples ne garantisse pas automatiquement la conformité juridique, le recueil doit servir à Apprendre et échanger de stimuler la réflexion. La commission gère la base de données en permanence et examine les exemples de pratique soumis pour vérifier Transparence et de fiabilité avant d'être listés publiquement.
En complément, le AI Office dans le cadre du "Pacte pour l'IA des webinaires, des ateliers et des événements communautaires permettant aux parties prenantes de partager leurs expériences et d'obtenir des conseils d'experts. Dans l'ensemble, le thème des compétences en IA est très dynamique ; d'autres Guides et Mesures de sensibilisation sont annoncés ou en cours de développement, notamment un site web dédié aux compétences et aux professionnels de l'IA. Les organisations feraient bien de garder un œil sur ces développements et de profiter des nouvelles connaissances et ressources.
Conseil de lecture : Règlement sur l'IA - ce qui s'appliquera aux entreprises à partir de février 2025
Documentation et l'intégration organisationnelle
Bien que l'article 4 ne mentionne pas explicitement Obligation de documentation de la formation, il est conseillé, du point de vue de la conformité, d'organiser les formations en interne. de les consigner par écrit. La Commission européenne confirme qu'aucun certificat formel n'est obligatoire et qu'il appartient aux organisations de fournir des preuves. Dans la pratique, il est recommandé Listes de participants, certificats ou preuves de formation interne et de les conserver. En cas de contrôle administratif ultérieur, voire de litige, l'entreprise pourra ainsi prouver quelles mesures ont été prises pour se conformer à l'article 4.
Contrairement au droit de la protection des données, le droit de l'IA n'a jusqu'à présent pas de définition précise. pas d'obligation de désigner un responsable de l'IC ou similaire (en d'autres termes, un "Agent AI" n'est pas prescrit par la loi). La Commission européenne a précisé que pour l'art. 4 pas de structure de gouvernance spécifique n'est pas obligatoire. Les entreprises peuvent décider elles-mêmes de la manière d'ancrer la responsabilité en interne. Dans la pratique, il apparaît toutefois que de nombreuses grandes organisations envisagent de créer une sorte de Responsables de l'IA ou un Équipe de compétence en IA afin de coordonner les nouvelles exigences. Cela peut être utile pour gérer de manière centralisée le programme de formation, garantir des mises à jour régulières et servir de point de contact pour les questions des collaborateurs. Il est par exemple envisageable de confier ce rôle au responsable de la conformité ou de la protection des données ou de créer de nouveaux postes comme un "Agent AI" Des certifications privées sont déjà proposées à cet effet. Contrairement au délégué à la protection des données, cela n'est pas obligatoire sur le plan juridique. RGPD - pas du tout.
Application et sanctions
L'obligation découlant de l'article 4 du règlement sur les infrastructures critiques s'applique déjà depuis le 2 février 2025 est obligatoire. Les entreprises et les autorités ne peuvent donc pas invoquer le fait que la réglementation n'a pas encore été mise en œuvre. De jure l'obligation de formation est entrée en vigueur. Toutefois, le législateur a prévu certaines périodes de transition pour les application de la législation prudentielle sont prévues. La surveillance et les sanctions en cas de non-respect sont du ressort des les autorités nationales de surveillance du marchéCes autorités doivent être désignées par chaque État membre de l'UE avant le 2 août 2025. Ces autorités (pour l'Allemagne, c'est la Bundesnetzagentur qui est prévue) devront alors, à partir du 3 août 2026 commencer par un contrôle et une application actifs. Les entreprises doivent certes déjà maintenant écoles, mais contrôles ou amendes de l'État ne sont pas attendus avant août 2026, date à laquelle les autorités commenceront à travailler.
Cette entrée en vigueur échelonnée soulève la question de savoir si une entreprise qui reste inactive jusqu'en 2025/26 n'a pas à craindre de sanctions. La prudence est de mise à cet égard : Certes, avant l'entrée en vigueur des dispositions nationales en matière de sanctions, il est possible de facto pas de sanctions administratives mais il serait risqué d'attendre. La Commission européenne souligne que les obligations - en particulier Interdiction de certaines pratiques d'IA - s'appliqueront à partir de 2025 et qu'une application coordonnée des règles sera assurée par l'AI Board (l'organe des autorités de surveillance). Les entreprises qui n'agiront que lorsque le régulateur sera à leur porte auront déjà a commis un manquement à ses obligations.
Sanctions possibles en cas de non-respect
Le règlement IC lui-même contient au chapitre 12 des directives générales sur les sanctions (art. 99 et suivants). Elle laisse toutefois les États membres libres de le faire, les infractions pénales et les amendes concrètes pour les infractions. Contrairement aux infractions à certaines obligations à haut risque par exemple (où le législateur européen prévoit des sanctions maximales allant jusqu'à 6% du chiffre d'affaires annuel), l'article 4 du règlement sur les IC n'est pas explicitement mentionné dans le catalogue des amendes de l'UE. Si et à quel niveau, par exemple, un Amende pour une formation insuffisante en IA dépendra de la mise en œuvre nationale. Jusqu'à présent (en mai 2025), l'Allemagne n'a pas encore pas de loi concrète qui sanctionne le non-respect de l'article 4. On peut s'attendre à ce que des dispositions correspondantes soient créées dans la future loi allemande d'application de l'IA, éventuellement dans le cadre de mesures générales de surveillance ou d'obligations de notification.
Nonobstant les amendes formelles, toute sanction doit être proportionnel doit être. Les autorités de contrôle examineront au cas par cas des facteurs tels que "la nature et la gravité de l'infraction ainsi que son caractère intentionnel ou involontaire". de la formation. Ainsi, le fait qu'une entreprise n'ait pas du tout pris de mesures préventives ou qu'elle ait mis en place des formations, mais que celles-ci soient peut-être lacunaires, fera une différence. La Commission laisse entendre qu'une sanction est particulièrement indiquée dans ce cas, "s'il est prouvé qu'un incident est dû à un manque de formation ou d'instructions appropriées".. Exemple : si l'utilisation incorrecte d'une machine d'IA par un personnel non formé entraîne un incident de sécurité devant être signalé, l'autorité devrait intervenir. En l'absence de dommages concrets, il faut s'attendre à une demande d'amélioration plutôt qu'à des sanctions draconiennes.
Conséquences civiles et pénales en cas de Violation contre KI-VO
Outre les sanctions administratives, la application privée jouer un rôle. Le règlement IC en lui-même ne crée certes pas de nouvelle base de responsabilité civile, ni même de droit à des dommages et intérêts. Toutefois, les règles générales de responsabilité civile peuvent s'appliquer : Si un tiers est lésé en raison d'un manque de qualification des employés, cela peut être considéré comme une violation de la loi. Violation contre les obligations de sécurité ou des obligations générales de diligence. Par exemple, un patient pourrait porter plainte si un hôpital utilise un logiciel de diagnostic par IA sans formation suffisante de l'équipe médicale et que cela entraîne un préjudice lié à une erreur de diagnostic. Ou encore, un employé fait valoir la responsabilité de son employeur si, en raison d'un manque de formation à l'IA, il commet une erreur qui entraîne un préjudice financier. Dans de tels cas, on pourrait argumenter que l'entreprise a manqué à son obligation au titre de l'article 4 du règlement sur les infrastructures critiques et qu'elle a donc également manqué à son devoir de diligence en droit civil, ce qui peut donner lieu à des demandes d'indemnisation. Les entreprises devraient utiliser ce Risque de responsabilité prendre au sérieux.
Droit pénal Les conséquences ne sont actuellement pas explicitement prévues. L'article 4 du règlement sur les infrastructures critiques n'établit pas d'infraction pénale et le règlement ne crée pas non plus de base directe pour une responsabilité pénale de l'employeur. En théorie, des infractions particulièrement graves (par exemple l'absence totale de mesures de sécurité dans le cas d'une IA à haut risque ayant entraîné des dommages corporels) pourraient toutefois tomber sous le coup d'infractions pénales nationales existantes (par ex. blessures involontaires par faute d'organisation). Il s'agirait toutefois de cas exceptionnels. L'accent est clairement mis sur préventif et l'application administrative.
Source : AI Literacy - Questions & Answers (Commission européenne)
Conclusion : la FAQ de l'UE sur les compétences en IA laisse de nombreuses questions en suspens
L'article 4 du règlement sur les IC place le Le facteur humain au cœur de la réglementation de l'IA. Outre les prescriptions techniques pour les systèmes d'IA, le législateur mise délibérément sur Éducation et responsabilisation de ceux qui travaillent avec l'IA. Il s'agit d'une approche préventive : les utilisateurs bien formés sont plus susceptibles d'utiliser correctement les systèmes d'IA, de connaître leurs limites et d'identifier les risques à un stade précoce. Les incidents et les violations des règles peuvent ainsi être évités avant qu'ils ne se produisent,
Les FAQ et les Lignes directrices de l'UE montrent que l'on mise sur la coopération et l'orientation plutôt que sur de simples sanctions. C'est pourquoi la FAQ sur les compétences en matière d'IA qui vient d'être publiée ne vise pas l'exhaustivité, bien au contraire. Les mois et les années à venir verront d'autres Clarifications et meilleures pratiques de l'industrie. Il apparaît d'ores et déjà que le thème des compétences en IA est en constante évolution. développé ne sera pas. Avec la dynamique, c'est mieux ainsi.
Agir dès maintenant : Préparer votre organisation à l'avenir de l'IA
Les exigences de l'article 4 du règlement sur l'IA ne sont pas de la musique d'avenir - elles sont déjà en vigueur. Les entreprises et les autorités sont désormais invitées à renforcer systématiquement les compétences de leurs collaborateurs en matière d'intelligence artificielle.
Saisissez cette opportunité :
Vérifiez votre niveau de formation actuel
Développer un concept de formation sur mesure
Sécurisez vos Conformité par une qualification ciblée
Vous avez besoin d'aide pour développer et mettre en œuvre un programme de compétences en IA ?
Contactez nos experts en Protection des données, Conformité & stratégie en matière d'IA : Nous vous conseillons individuellement et vous accompagnons dans la mise en œuvre conforme à la loi et pratique du règlement sur l'IC dans votre entreprise.
German 
English 
Italian 
French