AI Act : ce que la réglementation européenne change pour les métiers de l'IA

L'Europe s'est dotée de la première loi au monde encadrant l'intelligence artificielle. Au-delà du texte juridique, l'AI Act redessine concrètement des métiers, en fait émerger de nouveaux, et impose dès aujourd'hui une obligation de formation à presque toutes les entreprises. Voici ce qui change vraiment, et pourquoi un calendrier mouvant ne doit pas vous faire attendre.
L'AI Act, le « RGPD de l'intelligence artificielle »
Le règlement européen sur l'IA, officiellement le Règlement (UE) 2024/1689, est entré en vigueur le 1er août 2024. C'est le premier cadre juridique mondial dédié à l'intelligence artificielle. Son principe est simple : plus un usage de l'IA présente de risques pour les personnes, plus les obligations qui l'encadrent sont lourdes.
Le texte classe les systèmes en quatre niveaux : risque inacceptable (interdit), haut risque, risque limité et risque minimal. Comme pour le RGPD, l'AI Act ne s'applique pas à une entreprise « en bloc » mais à chaque système d'IA selon son usage. Une même organisation peut donc avoir un outil à risque minimal et un autre à haut risque, soumis à des obligations très différentes.
Autre point essentiel : la loi s'applique dès qu'un système d'IA est commercialisé ou utilisé dans l'Union, peu importe où l'éditeur est implanté. Une entreprise américaine qui vend un logiciel de tri de CV à des entreprises françaises y est soumise.
Un calendrier en mouvement (et ce qui ne bouge pas)
C'est le point le plus délicat à la mi-2026, et il faut le présenter honnêtement. L'application est progressive :
- 2 février 2025 : les pratiques interdites (scoring social, manipulation subliminale, certains usages biométriques) sont effectives. L'obligation de littératie IA (article 4) entre aussi en vigueur.
- 2 août 2025 : les obligations pour les modèles d'IA à usage général (GPAI, comme les grands modèles de langage) s'appliquent aux fournisseurs.
- 2 août 2026 : date légalement contraignante pour la majorité des obligations, dont celles des systèmes à haut risque de l'annexe III et les règles de transparence (article 50). Les pouvoirs de sanction nationaux deviennent opérationnels.
Mais un paquet législatif baptisé Digital Omnibus vient brouiller ce calendrier. Proposé par la Commission en novembre 2025, il prévoit de reporter les obligations des systèmes à haut risque de l'annexe III du 2 août 2026 au 2 décembre 2027, le temps que les normes techniques harmonisées soient publiées. Un accord politique provisoire entre le Conseil et le Parlement a été trouvé le 7 mai 2026.
À retenir : tant que ce texte n'est pas formellement publié au Journal officiel de l'UE, le 2 août 2026 reste la date légale. Et surtout, le report ne concerne qu'une partie des obligations. Les interdictions, l'obligation de formation et les règles de transparence ne sont, elles, pas repoussées. Le report déplace une échéance, il ne suspend pas le risque : un tri de CV discriminatoire piloté par IA tombe déjà sous le coup du RGPD et du droit de la non-discrimination, Omnibus ou pas.
Les sanctions : un cadre qui se met en place
L'AI Act prévoit des amendes à plusieurs niveaux selon la gravité du manquement :
- jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour le recours à une pratique interdite ;
- jusqu'à 15 millions d'euros ou 3 % pour un manquement aux obligations des systèmes à haut risque ;
- des plafonds réduits et proportionnés sont prévus pour les PME.
Ce sont les autorités nationales qui contrôlent, pas un régulateur unique européen. En France, la CNIL fait partie des autorités désignées. En janvier 2026, la Finlande est devenue le premier État membre à rendre ces pouvoirs pleinement opérationnels, d'autres suivent.
L'obligation déjà en vigueur qui concerne (presque) tout le monde
C'est la disposition la plus directement liée à l'emploi et à la formation, et beaucoup d'entreprises l'ont ignorée. L'article 4 impose, depuis le 2 février 2025, à tout « déployeur » de systèmes d'IA d'assurer un niveau suffisant de littératie IA à son personnel.
« Déployeur », c'est vous dès que votre équipe utilise un outil d'IA dans un cadre professionnel, même un simple assistant de rédaction ou un chatbot. L'obligation s'applique :
- sans seuil d'effectif : une PME de cinq salariés est concernée comme un grand groupe ;
- quel que soit le niveau de risque de l'outil utilisé ;
- aux salariés comme aux prestataires qui opèrent l'IA pour le compte de l'entreprise.
Le texte n'impose ni format ni certification : une sensibilisation documentée et proportionnée au poste suffit. La Commission a précisé dans une FAQ qu'un simple registre des formations menées constitue une preuve en cas de contrôle. Les sanctions nationales spécifiques à cet article démarrent au 2 août 2026, avec un plafond évoqué autour de 7,5 millions d'euros ou 1,5 % du chiffre d'affaires.
Pour donner une idée de l'enjeu réel : selon une étude Salesforce de septembre 2024, 49 % des salariés utilisent déjà des outils d'IA non approuvés par leur employeur. L'article 4 répond donc autant à un risque juridique qu'à une réalité d'usage déjà installée sans cadre.
Les métiers que l'AI Act fait émerger
La conformité ne se fait pas toute seule : elle crée des besoins de compétences. Plusieurs fonctions montent en puissance avec l'application du règlement :
- AI Compliance Officer / AI Risk Manager : pilote la cartographie des systèmes d'IA, leur classification par niveau de risque et la documentation associée. Souvent rattaché au DPO ou au responsable conformité existant.
- AI Auditor : vérifie la robustesse, l'absence de biais et la traçabilité des systèmes à haut risque.
- AI Ethicist : veille à l'usage responsable des modèles, à l'articulation entre droit, éthique et technique. Profils souvent issus du droit, des sciences sociales ou d'un double cursus.
- Référent gouvernance IA : au sein d'un comité interdisciplinaire, il assure la politique documentaire et la conformité des fournisseurs.
Côté rémunération, les fourchettes restent à manier avec prudence (elles varient fortement selon la région, le secteur et la taille de l'entreprise). Pour un profil type AI Ethicist ou compliance, on trouve des estimations autour de 50 à 70 k€ en début de carrière et 80 à 110 k€ pour un profil confirmé selon des panoramas sectoriels mi-2026. Ces chiffres sont indicatifs et concernent surtout les grandes structures.
Une nuance importante : ces métiers très spécialisés restent encore peu nombreux en volume, et plusieurs ne sont pas des postes « juniors » accessibles directement après une formation courte. Ils s'ouvrent souvent à des profils ayant déjà une première expérience en droit, conformité, data ou cybersécurité. C'est d'ailleurs un point commun avec la cybersécurité : la gouvernance et la conformité IA empruntent beaucoup aux logiques GRC déjà bien installées côté cyber.
Le recrutement, terrain le plus directement touché
Si un secteur illustre l'impact concret de l'AI Act, c'est bien le recrutement. Les outils de tri de CV, de scoring et de présélection automatisée sont classés à haut risque : l'accès à l'emploi est un droit fondamental, et toute technologie susceptible d'influencer une embauche est présumée sensible.
À l'échéance haut risque, ces outils devront faire l'objet d'évaluations des risques, de tests de biais, d'une supervision humaine, d'une documentation technique et d'une information des candidats. Et la responsabilité pèse sur l'entreprise qui déploie l'outil, même si elle l'a acheté à un éditeur tiers. L'affaire Amazon de 2018, dont l'algorithme interne pénalisait les CV féminins, reste le cas d'école que ce cadre vise précisément à prévenir.
Pourquoi se former à l'IA dès maintenant
Le calendrier mouvant peut donner envie d'attendre. Ce serait une erreur, pour trois raisons : l'obligation de formation est déjà active, plusieurs échéances proches ne sont pas reportées, et bâtir une vraie gouvernance prend du temps. La compétence IA, technique comme réglementaire, devient un atout d'employabilité transversal, dans la data, la cybersécurité et bien au-delà.
Chez KLE Formations, nos parcours en intelligence artificielle (bientôt disponibles) intègrent cette double dimension : maîtrise opérationnelle des outils et compréhension du cadre dans lequel ils s'inscrivent. Comme nos formations cyber, déjà accessibles et finançables (CPF, France Travail, OPCO, Transitions Pro), ils sont pensés pour des profils en reconversion ou en montée en compétences. Si le sujet de la conformité vous parle, notre article sur NIS2 et l'emploi en cybersécurité explore une dynamique réglementaire très proche, et notre panorama des nouveaux métiers de l'IA générative complète ce tour d'horizon.
L'AI Act n'est pas qu'une contrainte juridique : c'est un signal fort que l'IA entre dans l'âge de la responsabilité, et que les compétences pour l'encadrer seront recherchées durablement.
Sources : Commission européenne et AI Act Service Desk (calendrier de mise en œuvre, FAQ littératie IA) ; texte du Règlement (UE) 2024/1689, article 4 ; Service Public Entreprendre ; CCI Paris Île-de-France ; analyses Naaia, Studeria, Proactive Academy, et panoramas métiers Fox'Up. Chiffres et calendrier à jour à la mi-2026 ; le paquet Digital Omnibus susceptible de modifier certaines échéances haut risque.
