Andrea Margiovanni .it
ITENFRDE
Une carte du monde ancienne en deux hémisphères couleur sépia, avec une boussole de laiton posée dessus. La métaphore de l'essai : une norme de profil professionnel est une carte, ce n'est pas le territoire, et il faut la lire comme telle.
Accueil / Tous les articles / AI Act Intelligence artificielle Compliance Réglementation européenne Marché IT Travail Numéro № 67

Douze métiers en quête de marché

La première norme nationale européenne sur les profils professionnels de l'IA est parue le 30 avril. Elle mérite d'être prise au sérieux, et mérite aussi qu'on s'en méfie de la bonne manière.

Andrea Margiovanni par Andrea Margiovanni
· 13 mai 2026 · 7 min de lecture · 1 396 mots

La norme paraît le 30 avril 2026

La première réaction à la publication de la UNI 11621-8, la norme italienne qui définit les douze profils professionnels de l’intelligence artificielle, devrait être la méfiance. Standardiser les métiers d’un champ qui change tous les six mois est un exercice presque paradoxal, et le faire avant le reste de l’Europe revient à assumer le risque de se tromper en premier. La norme est parue le 30 avril 2026, signée par UNINFO avec la coordination du Dipartimento per la Trasformazione Digitale, le département italien pour la transformation numérique. L’ancrage normatif renvoie au Règlement UE 2024/1689, c’est-à-dire l’AI Act, et à la loi italienne 132/2025 sur l’IA. La loi italienne 4/2013 sur les professions non réglementées sert de rampe à la certification.

Un mot en quête de mesure depuis février

Pour qui fait de la compliance au quotidien, c’est la fermeture d’un cercle resté ouvert depuis le 2 février 2025. Ce jour-là, l’article 4 de l’AI Act a imposé aux fournisseurs et aux déployeurs de garantir un niveau d’alphabétisation suffisant du personnel, sans expliquer ce que voulait dire, exactement, l’adjectif « suffisant ». Ces derniers mois, en travaillant sur des projets de compliance pour des clients dans des secteurs très réglementés, ce mot revenait dans chaque conversation comme une question sans réponse. Aucun kit documentaire, aucun modèle d’AIPD ne parvenait à en fixer le sens sans recourir à des périphrases. Que veulent dire, exactement, « des compétences suffisantes » ? Quand la demande d’un client est-elle raisonnable, et quand devient-elle une exigence sans mesure ? La UNI 11621-8 offre cette mesure, et l’offre en italien, avec des noms que l’acheteur d’une société de santé ou d’un département régional peut lire sans les traduire.

Douze profils, du CAIO au chercheur

Les douze profils couvrent le spectre de la gouvernance à la recherche. On va du Chief AI Officer à l’AI Research Scientist. Pour chaque profil, la norme précise mission et tâches, ainsi qu’une carte des compétences requises avec le niveau attendu et les indicateurs de performance associés. La méthodologie est celle, consolidée, de la UNI 11621-1, et l’ancrage est à l’e-Competence Framework européen, la UNI EN 16234-1. Techniquement, le travail est solide, et il est important de le dire avant de passer aux problèmes.

Une matière qui se codifie alors qu’elle bouge encore

Les problèmes commencent par la matière que la norme essaie de figer. Une profession se codifie quand elle a atteint un degré suffisant de stabilité, et l’IA d’aujourd’hui ne l’a pas. Le Prompt Engineer, présent dans la liste comme profil séparé, est déjà un cas intéressant. Quand il a existé comme rôle distinct, il a eu une vie brève, et a été rapidement absorbé par les développeurs et les product managers qui travaillent directement avec les modèles génératifs. Le garder comme profil dédié revient à courir après une pratique déjà passée ailleurs. Il en va de même, à un autre degré, pour la séparation nette entre Data Scientist et Machine Learning Engineer, deux rôles qui dans la pratique réelle se chevauchent largement. Les contours des figures professionnelles codifiées sont bien plus nets que les contours des compétences que les gens exercent vraiment. Un bon Data Scientist touche au ML engineering, et un ML engineer compétent sait se déplacer dans la pipeline de données. Quand un AI Security Specialist ne comprend pas les modèles à la racine, il cesse d’être un professionnel de la sécurité et devient un relecteur de documents.

Qui écrit la norme, et pourquoi

Il y a ensuite une question plus subtile, et qui touche à l’origine des normes de profil professionnel en Italie. Elles sont produites par des commissions où siègent des organismes de certification et des prestataires de formation, en plus des associations professionnelles. Acteurs légitimes, tous, et tous avec un intérêt économique au résultat final. Cela ne rend pas la norme moins utile, cela change la manière dont elle devrait être lue. Sous la surface technique, il y a la construction d’un marché. Le marché de la certification professionnelle et de la formation accréditée. Les cursus ITS Academy, l’enseignement supérieur technique italien, s’alignent en ce moment, et les organismes de certification préparent leurs propres schémas. La loi italienne 4/2013 fournit l’accroche, celui qui peut certifier un profil professionnel gagne de cette certification. La question n’est pas de savoir si le système est légitime, il l’est. La question est ce que nous achetons réellement lorsque nous payons pour certifier un Chief AI Officer interne.

L’effet de substitution, comme avec le DPO

Une troisième précaution concerne l’effet de substitution, qui est probablement le risque le plus sérieux. Avoir des profils conformes UNI ne signifie pas avoir une gouvernance IA compétente. L’histoire récente du RGPD est pleine d’organisations qui avaient un DPO certifié et des processus désastreux, parce que le DPO était une case administrative, pas une fonction opérationnelle. La même chose peut arriver au Chief AI Officer et au Security Specialist. La compliance par checklist produit du confort organisationnel et peu de sécurité réelle. Si la UNI 11621-8 est lue comme une obligation documentaire, nous aurons des entreprises avec des tableaux propres et des systèmes IA fragiles. Si elle est lue comme une ossature autour de laquelle bâtir une pratique réelle, nous aurons quelque chose d’utile.

Une trajectoire déjà vue

Cela étant dit, la publication de la norme mérite d’être prise au sérieux. Pour une raison qui a peu à voir avec la technique, et beaucoup avec le timing du marché régulé. Le schéma, en Italie, nous l’avons déjà vu. La Stratégie Cloud Italia de 2021 a généré un cadre de classification des données et des services pour l’administration publique. Ce cadre est ensuite devenu règlement de l’Agenzia per la Cybersicurezza Nazionale entre 2022 et 2023. Le catalogue des services cloud qualifiés est enfin entré dans les procédures d’achat de la PA, jusqu’à Consip MEPA, la plateforme italienne de centrale d’achat. Les clauses sur la sécurité des services cloud, vagues au départ, sont devenues des exigences techniques vérifiables et des conditions de participation. Les arrivants tardifs ont concouru comme fournisseurs génériques contre des fournisseurs déjà qualifiés, et ont perdu des marchés significatifs. La UNI 11621-8, appliquée dans le cadre de l’AI Act, suit une trajectoire analogue. La norme part comme référence volontaire et finit dans les cahiers des charges. Le passage par les actes d’orientation du Dipartimento est presque un détail administratif. La fenêtre utile s’ouvre maintenant, et se referme quand le premier appel d’offres significatif citera la norme.

Dans un kit de compliance multi-framework

Pour qui, comme nous chez Oltrematica, fait de la compliance multi-framework, la norme est d’abord un outil de documentation défendable. La matrice RACI d’un projet IA à haut risque, construite sur les profils UNI, devient une preuve qui tient en audit. Le plan de formation interne d’entreprise, mappé sur les profils, cesse d’être un coût administratif et devient partie intégrante du programme de gestion du risque IA. La forme que nous donnons à nos kits documentaires internes absorbe la norme sans effort, parce qu’elle parle la même langue que les frameworks que nous utilisons déjà, du RGPD au Cyber Resilience Act.

Une carte imparfaite, mais une carte

Il y a une ligne de travail plus intéressante que la pure conformité, et probablement moins rentable à court terme. La norme est une occasion d’intelligibilité interne. Elle permet aux organisations qui adoptent l’IA d’en parler avec un vocabulaire partagé, avant même de parler aux régulateurs ou aux organismes de certification. C’est un vocabulaire imparfait, en partie daté et construit autour d’intérêts économiques reconnaissables. Mais c’est le premier vocabulaire disponible, et son imperfection est inférieure à son utilité. La vraie question, celle qui décidera si la UNI 11621-8 sera une bonne norme ou une mauvaise norme, n’est pas écrite dans le texte. Elle s’écrira dans les prochains mois, dans les interprétations que les organisations en donneront, et dans les cahiers des charges qui s’en serviront pour filtrer les fournisseurs.

En attendant, il vaut la peine de la lire pour ce qu’elle est. Une carte imparfaite du territoire que nous traversons déjà, qui propose au moins une toponymie partagée pour que nous ne nous perdions pas tous de la même manière.

Ce qu'il faut retenir

  • La UNI 11621-8 codifie douze profils professionnels pour l’IA, arrimés à l’AI Act (Règl. UE 2024/1689) et à la loi italienne 132/2025. Publiée le 30 avril 2026, c’est la première norme nationale européenne sur les métiers de l’intelligence artificielle. Pour qui fait de la compliance, elle offre la mesure que l’article 4 de l’AI Act laissait indéfinie en exigeant une alphabétisation suffisante du personnel.

  • Techniquement, la norme est solide : méthodologie UNI 11621-1, ancrage à l’e-Competence Framework européen (UNI EN 16234-1), mission, tâches, niveau attendu et indicateurs pour chaque profil. Les douze profils vont du Chief AI Officer à l’AI Research Scientist.

  • La matière que la norme tente de figer reste mouvante. Le Prompt Engineer comme rôle distinct a déjà été absorbé par les développeurs et les product managers. Data Scientist et Machine Learning Engineer se chevauchent largement dans la pratique réelle. Les contours des figures codifiées sont plus nets que les contours des compétences que les gens exercent vraiment.

  • Sous la surface technique, on construit un marché. Les commissions de normalisation incluent des organismes de certification et des prestataires de formation, tous acteurs légitimes, tous avec un intérêt économique au résultat. La loi italienne 4/2013 sur les professions non réglementées fournit l’accroche commerciale pour certifier les profils.

  • Le risque le plus sérieux est l’effet de substitution, déjà vu avec le RGPD. Avoir un Chief AI Officer certifié ne signifie pas avoir une gouvernance IA compétente, comme avoir un DPO certifié n’a pas signifié avoir des pratiques de protection des données correctes. La compliance par checklist produit du confort organisationnel et peu de sécurité réelle.

  • La trajectoire est celle de la Stratégie Cloud Italia : référence volontaire en 2021, règlement de l’ACN entre 2022 et 2023, exigences techniques dans les appels d’offres Consip MEPA ensuite. Les arrivants tardifs ont concouru comme fournisseurs génériques contre des fournisseurs déjà qualifiés. La UNI 11621-8 suivra probablement le même chemin, accéléré par l’AI Act.

Questions & réponses

Qu'est-ce que la UNI 11621-8 change pour ceux qui font de la compliance ?

Depuis le 2 février 2025, l’article 4 de l’AI Act exige des fournisseurs et des déployeurs qu’ils garantissent une alphabétisation suffisante du personnel, sans dire ce que suffisante veut dire. La norme offre cette mesure, et l’offre en italien, avec des noms que l’acheteur d’une société de santé ou d’un département régional peut lire sans les traduire. Ce n’est pas la seule lecture possible de l’article 4, mais c’est la première disponible sur papier italien.

Quels sont les douze profils ?

Ils vont de la gouvernance à la recherche, et incluent Chief AI Officer, AI Architect, AI Engineer, AI Developer, Data Scientist, Machine Learning Engineer, AI Security Specialist, AI Auditor, AI Ethics Specialist, Prompt Engineer, AI Trainer, AI Research Scientist. Pour chacun, la norme spécifie mission, tâches, compétences requises avec niveau attendu et indicateurs de performance, selon la méthodologie UNI 11621-1 et l’ancrage à l’e-Competence Framework européen (UNI EN 16234-1).

Pourquoi se méfier de la codification de profils dans un champ qui change tous les six mois ?

Parce qu’une profession se codifie quand elle a atteint une stabilité, et l’IA d’aujourd’hui ne l’a pas. Le Prompt Engineer comme rôle distinct a eu une vie courte et a été rapidement absorbé par les développeurs et les product managers qui travaillent avec les modèles génératifs. La séparation nette entre Data Scientist et Machine Learning Engineer ne correspond pas à la pratique réelle, où les deux se chevauchent largement. La norme codifie des figures que les gens n’exercent pas sous cette forme.

Qui écrit ces normes, et qu'est-ce que cela change de le savoir ?

Elles sont produites par des commissions où siègent des organismes de certification, des prestataires de formation et des associations professionnelles. Tous acteurs légitimes, et tous avec un intérêt économique au résultat final. Cela ne rend pas la norme moins utile, cela change la manière dont elle devrait être lue. Sous la surface technique, on construit un marché de la certification professionnelle et de la formation accréditée. La question n’est pas de savoir si le système est légitime, il l’est. La question est ce que nous achetons réellement lorsque nous payons pour certifier un Chief AI Officer interne.

Le risque de substitution, en concret ?

Le RGPD est plein d’organisations avec un DPO certifié et des processus désastreux, parce que le DPO était une case administrative, pas une fonction opérationnelle. La même chose peut arriver au Chief AI Officer et au Security Specialist. Si la UNI 11621-8 est lue comme une obligation documentaire, nous aurons des entreprises avec des tableaux propres et des systèmes IA fragiles. Si elle est lue comme une ossature autour de laquelle bâtir une pratique réelle, nous aurons quelque chose d’utile.

Quand la norme entrera-t-elle dans les appels d'offres ?

La trajectoire probable est celle que nous avons déjà vue. La Stratégie Cloud Italia de 2021 est devenue règlement de l’Agenzia per la Cybersicurezza Nazionale entre 2022 et 2023, puis est entrée dans les procédures d’achat de l’administration publique italienne par Consip MEPA. Des clauses initialement vagues sur la sécurité des services cloud sont devenues des exigences techniques vérifiables et des conditions de participation. La UNI 11621-8, appliquée dans le cadre de l’AI Act, suit une trajectoire analogue. La fenêtre utile pour s’équiper s’ouvre maintenant et se referme quand le premier appel d’offres significatif citera la norme.

L'auteur

Andrea Margiovanni

Andrea Margiovanni

Je suis le rapport entre IA et régulation européenne comme un fait politique, pas comme un spectacle technique. Je travaille avec des équipes qui doivent la rendre compatible avec AI Act, CRA, NIS2 sans réduire la conformité à une liste à cocher.

Voir le parcours
À lire aussi
·11 MIN

L'humain est une position

Je suis athée, je viens de la philosophie, je travaille dans la compliance européenne. La première encyclique de Léon XIV sur l'intellige...

Intelligence artificielle · AI Act · Souveraineté numérique · Compliance · Éthique · Philosophie de la technique
·26 MIN

Le spectre que nous sommes

Une longue traversée de la réglementation européenne du numérique, vue de l'extérieur — par ceux qui la détestent — et une contre-lecture...

Souveraineté numérique · RGPD · AI Act · DSA · Politique de la technologie
·20 MIN

L'illusion du contrat

Pourquoi le contrat de fourniture de logiciel, tel que nous l'avons connu, a cessé d'être l'instrument principal de la relation entre fou...

Compliance · PLD · AI Act · CRA · Droit du numérique
© 2026 Andrea Margiovanni Fait avec soin, à la main