AI Act et organismes de formation : ce qu’il faut faire avant que CNIL et DGEFP ne publient. Mise en conformité des OF avant le 2 août 2026

Au 2 août 2026, l’AI Act devient pleinement applicable aux systèmes d’IA à haut risque. La formation professionnelle figure explicitement dans cette catégorie. Et pourtant, à fin avril 2026, ni la CNIL ni la DGEFP n’ont publié de guidelines spécifiques aux organismes de formation. Beaucoup de dirigeants d’OF en concluent qu’il est trop tôt pour bouger. C’est l’inverse.

Quand les autorités françaises publieront, la fenêtre se sera réduite. Les OF qui auront déjà cartographié leurs usages et formé leurs équipes répondront en quelques semaines. Les autres reconstitueront leur conformité dans la précipitation, parfois sous contrôle. Cet article fait le point sur ce qui est déjà juridiquement applicable, sur les signaux que CNIL et DGEFP envoient, et sur les chantiers à structurer dès maintenant.

Pourquoi les organismes de formation sont au cœur de l’AI Act

Le règlement (UE) 2024/1689, dit AI Act, classe les systèmes d’IA selon quatre niveaux de risque. La formation professionnelle figure explicitement à l’Annexe III parmi les huit domaines à haut risque. Le texte vise quatre usages précis : déterminer l’accès ou l’admission à un parcours, évaluer les acquis d’apprentissage, orienter le niveau d’enseignement approprié, et surveiller les comportements lors d’examens.

Vous êtes concerné dans deux situations.

Si vous développez ou paramétrez vous-même une IA d’évaluation, d’orientation ou de surveillance, vous êtes fournisseur.

Si vous utilisez un outil tiers, ChatGPT, Copilot, un module d’évaluation automatisée intégré à votre LMS, vous êtes déployeur.

La majorité des OF français sont déployeurs, ce qui n’allège pas pour autant les obligations.
Cette classification n’est pas mécanique. L’article 6§3 prévoit une dérogation pour les systèmes qui exécutent une tâche procédurale étroite, qui améliorent une activité humaine sans autonomie décisionnelle, ou qui se contentent de détecter des schémas sans influencer la décision. Reformuler un support avec ChatGPT n’entre pas dans le haut risque. Décider d’admettre un candidat sur la base d’une analyse automatisée, oui. La frontière exige un examen au cas par cas, documenté avant la mise en service. Pour aller plus loin sur le cadre fournisseur de modèles, le premier volet de l’AI Act et ses conséquences sur les EdTech françaises traite la couche développeur, complémentaire à la lecture déployeur de cet article.

Ce que la CNIL prépare et ce qu’elle ne dit pas encore

La CNIL a publié son programme de travail 2026 le 7 avril 2026. Trois éléments concernent directement les organismes de formation, sans que la formation professionnelle ne soit nommée explicitement.
D’abord, la CNIL finalise ses fiches pratiques sur le déploiement de l’IA dans le secteur du travail, après avoir publié celles dédiées à l’éducation. Ces fiches abordent les biais algorithmiques et les garanties à mettre en place. La formation professionnelle se trouve à l’intersection des deux : un OF qui utilise une IA pour évaluer un apprenant relèvera du périmètre travail, un OF qui sélectionne des candidats pour un parcours certifiant se rapproche du périmètre éducation.

Ensuite, la CNIL se prépare à être désignée autorité de surveillance de marché au titre de l’AI Act, en plus de son rôle RGPD. La France a opté pour une gouvernance éclatée, avec plusieurs autorités sectorielles. La CNIL conservera le pilotage sur les systèmes haut risque qui traitent des données personnelles, ce qui couvre la quasi-totalité des cas d’usage en OF.

Enfin, la CNIL prévoit pour 2026 des travaux de clarification sur les responsabilités dans la chaîne IA : concepteur de modèle, intégrateur, déployeur. Pour un OF qui utilise un LMS intégrant une IA d’évaluation développée par un éditeur, savoir précisément qui répond de quoi est aujourd’hui flou. Ce document, attendu courant 2026, lèvera une partie de l’incertitude.

Aucun de ces chantiers ne mentionne nommément les organismes de formation. Mais tous les concernent.

Ce que la DGEFP signale et ce qu’elle prépare

La DGEFP a publié le 17 février 2026 sa circulaire fixant les priorités de contrôle 2026-2027 pour les services de DREETS. Le texte ne mentionne pas l’AI Act. Il fixe deux axes prioritaires (CPF et apprentissage représentant au minimum 75 % des contrôles) et maintient une attention particulière sur la formation à distance, classes virtuelles, e-learning, dispositifs asynchrones. Les enjeux opérationnels des contrôles DREETS sur les organismes de formation sont détaillés dans notre guide dédié.
Cette mention de la FOAD est le signal à lire attentivement. Les outils d’IA s’y sont massivement diffusés depuis deux ans : génération automatique de contenus, agents conversationnels pédagogiques, surveillance d’examens à distance, correction automatisée. Les services de contrôle DREETS sont demandés d’examiner la cohérence entre ce qui est annoncé dans le programme et ce qui est réellement délivré. Un OF qui aurait recours à de la génération IA non documentée pour produire ses supports s’expose à un constat d’incohérence.

La loi du 30 juin 2025 contre les fraudes aux aides publiques permet désormais à la DGEFP, France Travail, la Caisse des dépôts et les Opco d’échanger toutes les informations utiles à leurs missions. En clair, un signalement DGEFP sur des pratiques pédagogiques douteuses peut déclencher un contrôle de la Caisse des dépôts sur les dossiers CPF, et inversement.

La probabilité que la DGEFP publie en 2026 ou 2027 une note ou un addendum spécifique sur l’usage de l’IA dans les actions de formation est élevée. Le texte n’existe pas encore. Quand il existera, il s’imposera vite.

Les obligations qui s’appliquent déjà aux OF, sans report possible

Trois obligations sont en vigueur, indépendamment du Digital Omnibus voté par le Parlement européen le 26 mars 2026.

L’article 4 sur la maîtrise de l’IA est applicable depuis le 2 février 2025. Il impose à toute organisation utilisant un système d’IA de garantir un niveau suffisant de compétences IA chez les personnes qui le manipulent. Cela vaut pour vos formateurs qui s’appuient sur ChatGPT pour générer des supports, vos chargés de scolarité qui utilisent un outil de tri de candidatures, vos commerciaux qui automatisent des prospections. Aucun report sur ce point. Sur les usages métier en aval, notre article comment l’IA peut améliorer la gestion et le suivi des apprenants détaille les cas d’usage les plus matures côté pédagogique.

Les pratiques d’IA interdites sont également effectives depuis le 2 février 2025. Dans le contexte d’un OF, cela vise notamment la reconnaissance d’émotions sur le lieu de travail ou en formation, et la notation sociale. Le risque est faible pour la majorité des organismes, mais l’utilisation à mauvais escient d’outils marketing intégrant ce type de fonction expose à 35 millions d’euros d’amende ou 7 % du chiffre d’affaires mondial.

Les obligations de transparence pour les modèles d’IA à usage général (GPAI) sont applicables depuis le 2 août 2025. Elles concernent en premier lieu les fournisseurs comme OpenAI, mais elles ouvrent la voie aux obligations de marquage des contenus générés par IA. Le Parlement européen propose actuellement le 2 novembre 2026 pour ce volet watermarking, qui s’appliquera aux déployeurs.

Le Parlement européen a voté le 26 mars 2026 par 569 voix contre 45 le report des obligations haut risque au 2 décembre 2027. Ce vote ouvre les trilogues avec le Conseil, attendus avant fin avril 2026. Tant que le texte révisé n’est pas publié au Journal officiel de l’UE, la date du 2 août 2026 reste juridiquement opposable. Un OF qui parierait sur le report sans rien préparer prend un risque réel.

Quatre chantiers à structurer maintenant, avant les publications officielles

Ces chantiers sont indépendants du calendrier des trilogues et des futures publications CNIL ou DGEFP. Ils répondent à des obligations déjà en vigueur, et ils constitueront le socle sur lequel les futures guidelines viendront se greffer.

Cartographie des usages IA. Recensez les outils utilisés dans votre organisme. ChatGPT pour la conception de supports. Outils de correction automatique. Modules de surveillance d’examens à distance. Tri automatisé de candidatures. Pour chaque usage, notez qui s’en sert, à quelle fréquence, sur quelles données. Sans cette cartographie, vous ne pouvez ni évaluer votre exposition au haut risque, ni démontrer une supervision humaine en cas de contrôle. C’est aussi le document de base que toute future guideline CNIL ou DGEFP attendra.

Politique interne d’usage de l’IA. Définissez par écrit qui valide les contenus générés par IA, sur quels critères, avec quelle traçabilité. Pour un programme pédagogique conçu avec l’aide d’une IA, qui en porte la responsabilité finale ? Comment archive-t-on le prompt et la version validée ? Cette documentation servira pour Qualiopi (critère 6 sur la veille pédagogique et l’amélioration continue) autant que pour l’AI Act. Elle s’articule également avec les bonnes pratiques RGPD pour les organismes de formation, dont les obligations se superposent à celles de l’AI Act dès qu’un système IA traite des données personnelles.

Plan de formation des équipes. L’article 4 ne fixe pas de format imposé. Une formation interne documentée, adaptée aux outils que vos équipes utilisent réellement, suffit. La CNIL et les autorités de surveillance attendent une preuve, pas un certificat précis. Une session de 3 à 4 heures avec attestation de suivi, mise à jour annuellement, constitue une baseline raisonnable. Les fournisseurs CNAM, AFNOR, Lefebvre Dalloz et plusieurs OF spécialisés proposent des modules dédiés, certains éligibles CPF.

Articulation avec Qualiopi. Le critère 6 du référentiel national qualité couvre la veille légale, sectorielle et pédagogique. Un auditeur peut légitimement vous demander en 2026 comment votre organisme intègre les évolutions liées à l’IA dans sa veille. La traçabilité doit exister, datée, archivée, accessible. C’est aussi à ce niveau que les futures publications DGEFP s’invitent : la circulaire de février 2026 demande aux services de contrôle de vérifier la cohérence entre ce qui est annoncé et ce qui est délivré. Si votre organisation ressent que certains critères Qualiopi mobilisent trop de temps, l’arrivée de l’AI Act dans le périmètre de la veille rend cette industrialisation encore plus stratégique.

En clair pour les dirigeants d’OF

Attendre les guidelines CNIL ou DGEFP avant de bouger, c’est se retrouver à reconstituer une cartographie et une politique interne en quelques semaines, parfois sous contrôle. Six mois de travail bien réparti coûtent moins cher qu’une mise en conformité accélérée si les trilogues échouent ou si la CNIL publie ses fiches IA-travail dès cet été.

Pour structurer cette démarche dans la durée, le logiciel de gestion pour centre de formation Fresh Management centralise vos preuves Qualiopi, vos process internes et votre documentation pédagogique, ce qui facilite la traçabilité que l’AI Act exigera de votre couche déployeur, quelle que soit la date finale d’application.

Réservez votre démo pour voir comment l’outil s’articule à votre organisation.

Sources : Règlement (UE) 2024/1689 (AI Act), Annexe III → https://artificialintelligenceact.eu/fr/annex/3/

CNIL, programme de travail 2026 (publié le 7 avril 2026) → https://www.cnil.fr/fr/accompagnement-des-professionnels-le-programme-de-travail-de-la-cnil-pour-2026

Circulaire DGEFP/MOC/2026/30 du 17 février 2026 → https://bulletins-officiels.social.gouv.fr/circulaire-ndeg-dgefpmoc202630-du-17-fevrier-2026-relative-aux-priorites-de-controle-dans-la-formation-professionnelle-pour-2026-et-2027

DGE, Le règlement européen sur l’intelligence artificielle → https://www.entreprises.gouv.fr/decryptages-de-nos-experts/le-reglement-europeen-sur-lintelligence-artificielle-publics-concernes

Service Public Entreprendre, AI Act : quels changements pour les entreprises → https://entreprendre.service-public.gouv.fr/actualites/A18475