Obligations au titre du règlement sur l'IA pour les systèmes d'IA dans l'éducation : admissions, notation automatisée, surveillance des examens et plateformes d'apprentissage. Couvre la catégorie 3 de l'Annexe III et les protections spécifiques aux étudiants.

Le secteur de l'éducation et le règlement sur l'IA — Pourquoi les droits des étudiants sont au centre du dispositif

Le règlement sur l'IA (règlement (UE) 2024/1689) identifie l'éducation et la formation professionnelle comme un domaine de risque élevé, classant certaines applications d'IA en relevant comme à haut risque au titre de l'Annexe III, catégorie 3. Cette classification traduit un choix fondamental du législateur européen : les systèmes d'IA qui conditionnent l'accès aux opportunités éducatives ou déterminent les résultats académiques mettent en jeu des droits d'une importance individuelle considérable — le droit à l'éducation (Art. 14, Charte des droits fondamentaux de l'UE), le droit à la non-discrimination (Art. 21) et, pour la large proportion d'étudiants mineurs, les protections renforcées de l'Art. 8 du GDPR et des cadres internationaux incluant la Convention des Nations Unies relative aux droits de l'enfant (CIDE).

Le secteur de l'éducation présente un profil de conformité singulier. La plupart des établissements d'enseignement — universités, écoles et organismes de formation professionnelle — occupent la position de déployeur au titre du règlement sur l'IA : ils acquièrent et exploitent des systèmes d'IA développés par des fournisseurs EdTech, sans développer eux-mêmes de solutions d'IA. Cette distinction ne réduit pas leurs obligations. Les déployeurs de systèmes d'IA à haut risque au titre de l'Art. 26 sont soumis à des obligations légales indépendantes qui ne sauraient être satisfaites par le seul achat d'un produit portant le marquage CE. Parallèlement, les entreprises EdTech qui développent et mettent sur le marché de l'UE des systèmes d'IA sont des fournisseurs soumis au régime complet d'évaluation de la conformité prévu au Chapitre III, Section 2.

Le secteur se caractérise également par une concentration significative de données personnelles sensibles. Les données comportementales des étudiants, les dossiers d'évaluation, les patterns d'engagement, les difficultés d'apprentissage et les profils démographiques sont traités à grande échelle par les plateformes d'apprentissage adaptatif et les outils d'analyse. Cette concentration de données implique que la conformité au règlement sur l'IA dans l'éducation ne peut être conçue indépendamment du GDPR — les deux cadres doivent être traités comme une obligation de conformité intégrée.

L'IA à haut risque dans l'éducation — Admissions, notation et surveillance des examens

L'Annexe III, catégorie 3 définit deux catégories distinctes d'IA éducative à haut risque. La compréhension du champ d'application de chaque catégorie est indispensable aux décisions de classification.

IA pour les admissions — Déterminer l'accès aux établissements d'enseignement

L'Annexe III, catégorie 3(a) couvre les systèmes d'IA destinés à être utilisés pour la détermination de l'accès ou de l'affectation à des établissements ou programmes d'enseignement et de formation professionnelle. Cette catégorie recouvre les systèmes d'IA qui évaluent, classent ou filtrent les candidats dans les procédures d'admission universitaire, les systèmes qui apprécient les qualifications préalables ou la reconnaissance des titres professionnels, ainsi que ceux qui déterminent l'éligibilité à des filières académiques spécifiques ou à des programmes spécialisés.

La classification à haut risque s'applique dès lors que le résultat du système d'IA a un effet significatif sur l'accès d'un candidat à une opportunité éducative. Ce seuil est atteint par la plupart des systèmes d'admission déployés en conditions opérationnelles : un modèle de scoring dont les résultats sont examinés et exploités par les services d'admission sans réévaluation systématique de l'appréciation sous-jacente détermine effectivement les résultats, même si un humain approuve formellement chaque décision. Les fournisseurs de tels systèmes doivent se conformer aux Arts. 9 à 15 (gouvernance des données, documentation technique, journalisation, transparence, supervision humaine, précision et robustesse). Les établissements déployeurs doivent vérifier la conformité et mettre en œuvre les obligations du déployeur au titre de l'Art. 26 avant toute utilisation du système dans un cycle d'admission.

Le risque de biais est particulièrement aigu dans les systèmes d'IA pour les admissions. Les systèmes entraînés sur des données historiques d'admission et de réussite académique peuvent encoder des inégalités existantes — écarts de genre dans certaines disciplines, disparités socioéconomiques dans la préparation académique, différences de performance entre candidats nationaux et internationaux. L'Art. 10 impose que les données d'entraînement soient soumises à des pratiques de gouvernance traitant les biais connus, et l'Art. 9 impose des mesures de gestion des risques calibrées à la gravité du préjudice potentiel, qui inclut en l'espèce le refus d'accès à l'éducation pour des candidats qualifiés issus de groupes défavorisés.

IA pour l'évaluation automatisée — Notation et orientation dans les parcours académiques

L'Annexe III, catégorie 3(b) couvre les systèmes d'IA qui évaluent les étudiants, notamment les outils de notation automatisée et les systèmes qui affectent les étudiants à des filières académiques différenciées, dès lors que ces systèmes ont un effet significatif sur leurs parcours éducatifs. Un outil de notation automatisée de dissertations qui produit des notes finales déterminant si un étudiant réussit ou échoue à un cours, obtient une qualification, ou accède au niveau académique suivant est à haut risque. De même, un système d'IA qui oriente les étudiants vers des filières de remédiation, standard ou avancées sur la base de données de performance a un effet significatif sur leurs parcours éducatifs et relève de cette catégorie.

La frontière s'agissant des outils d'évaluation formative — outils utilisés exclusivement pour fournir des retours aux étudiants lorsqu'un enseignant conserve un contrôle plein et effectif sur tous les résultats notés — est plus étroite. Ces outils peuvent ne pas relever de la catégorie 3(b), mais cette classification doit être documentée et justifiée, et les établissements doivent s'assurer que la supervision humaine est réellement substantielle plutôt qu'une simple validation formelle des résultats générés par l'IA.

IA de surveillance à distance des examens

Les systèmes de surveillance à distance des examens qui contrôlent le comportement des étudiants pendant les épreuves par analyse vidéo, suivi oculaire, verrouillage du navigateur, enregistrement des frappes clavier ou détection d'anomalies comportementales constituent l'une des applications d'IA les plus complexes sur le plan juridique dans l'éducation. Dès lors que ces systèmes signalent ou disqualifient des étudiants sur la base de leur analyse automatisée — ou que leurs résultats sont utilisés par des examinateurs humains d'une manière qui détermine substantiellement les résultats —, ils constituent des systèmes d'IA à haut risque au titre de l'Annexe III, catégorie 3, en tant que systèmes d'IA qui évaluent les étudiants et ont des effets significatifs sur leurs parcours académiques.

Les systèmes d'IA de surveillance engagent également l'interdiction posée à l'Art. 5(1)(d) concernant l'identification biométrique à distance en temps réel dans des espaces accessibles au public. Lorsque les systèmes de surveillance utilisent la reconnaissance faciale pour vérifier en continu l'identité de l'étudiant pendant un examen en temps réel, cela constitue une identification biométrique interdite, sauf application d'une exception législative nationale très étroite au titre de l'Art. 5(2) à (6). Les établissements déployant des systèmes d'IA de surveillance doivent soigneusement distinguer la vérification d'identité au moment de l'accès à l'examen (potentiellement licite lorsqu'elle est conforme) de la surveillance biométrique en temps réel tout au long de la session d'examen (soumise à l'interdiction de l'Art. 5).

Fournisseur ou déployeur — Entreprises EdTech et établissements d'enseignement

Le règlement sur l'IA répartit les obligations de manière asymétrique entre fournisseurs et déployeurs. La compréhension de cette répartition est fondamentale pour la planification de la conformité, tant pour les fournisseurs EdTech que pour les établissements qui utilisent leurs produits.

Obligations des fournisseurs EdTech

Les entreprises EdTech qui développent et mettent sur le marché de l'UE des systèmes d'IA à haut risque sont des fournisseurs au titre de l'Art. 3(3) et doivent se conformer à l'ensemble des exigences applicables aux systèmes d'IA à haut risque prévues au Chapitre III, Section 2 :

Les fournisseurs doivent également fournir aux établissements déployeurs des instructions d'utilisation suffisamment précises pour leur permettre de s'acquitter de leurs propres obligations en tant que déployeurs — y compris des informations sur les sous-groupes de la population étudiante pour lesquels le système a été testé, les limites de performance connues, les résultats des tests de biais et les procédures de gestion des journaux.

Obligations des établissements déployeurs

Les universités, écoles et organismes de formation professionnelle qui déploient des systèmes d'IA EdTech à haut risque au titre de l'Art. 26 doivent :

Articulation avec le GDPR, les droits de l'enfant et le droit national de l'éducation

GDPR et traitement des données étudiantes

Les systèmes d'IA éducatifs opèrent sur des données intrinsèquement sensibles. Les plateformes d'analyse de l'apprentissage, les systèmes de tutorat adaptatif et les outils de surveillance comportementale traitent des données pouvant inclure des dossiers de résultats académiques, des métriques d'engagement, des signaux comportementaux et des communications — le tout lié à des étudiants identifiables.

Lorsque les étudiants sont mineurs, l'Art. 8 du GDPR encadre le traitement des données personnelles fondé sur le consentement : les États membres ont fixé l'âge en deçà duquel le consentement parental ou du tuteur est requis entre 13 et 16 ans. Les plateformes EdTech qui s'appuient sur le consentement de l'étudiant comme base juridique de traitement doivent mettre en place une vérification de l'âge et des mécanismes de recueil et d'enregistrement du consentement parental lorsque requis. Les établissements agissant en qualité de responsables du traitement au titre du GDPR doivent s'assurer que leurs contrats avec les fournisseurs EdTech comprennent des accords de traitement des données appropriés au titre de l'Art. 28 du GDPR et que les données étudiantes ne sont pas transférées hors de l'EEE sans garanties adéquates.

Le traitement de catégories particulières de données — susceptible de se présenter lors d'évaluations des difficultés d'apprentissage, de bilans de santé mentale ou de profilage démographique — requiert une base juridique explicite au titre de l'Art. 9(2) du GDPR et, en règle générale, une analyse d'impact relative à la protection des données au titre de l'Art. 35.

Art. 50 — Transparence pour les chatbots de tutorat par IA

L'Art. 50 du règlement sur l'IA impose une obligation de transparence spécifique aux systèmes d'IA conçus pour interagir directement avec des personnes physiques. Les chatbots de tutorat propulsés par l'IA, les assistants d'apprentissage virtuels et les outils de retour générés par IA déployés dans des contextes éducatifs doivent clairement informer les étudiants de leur nature artificielle dès le début de chaque interaction. Lorsque le public étudiant comprend des mineurs, la divulgation doit être adaptée pour être compréhensible en fonction de l'âge et réellement intelligible. Les établissements déployant des outils de tutorat par IA doivent vérifier que la mise en œuvre retenue par le fournisseur satisfait à cette obligation et ne doivent pas configurer le système de manière à supprimer ou obscurcir la divulgation de la nature artificielle du système.

Droit national de l'éducation

La législation nationale en matière d'éducation dans les États membres de l'UE peut imposer des obligations supplémentaires concernant l'usage de l'IA dans les milieux académiques — par exemple, des exigences relatives à l'intégrité des examens, à la conservation des dossiers académiques et à l'équité procédurale dans les recours en matière d'admission. Les programmes de conformité des établissements d'enseignement doivent mettre en correspondance les obligations découlant du règlement sur l'IA et du GDPR avec le droit national applicable, y compris les orientations sectorielles émises par les ministères nationaux de l'éducation. Lorsque les résultats produits par des systèmes d'IA sont utilisés dans des procédures formellement réglementées (examens nationaux, qualifications accréditées), l'articulation entre les obligations du règlement sur l'IA et le droit national des examens nécessite une analyse juridique spécifique.

Contrôle — Autorités de protection des données et autorités de l'éducation

Le contrôle dans le secteur de l'éducation implique une structure stratifiée d'autorités compétentes. Les autorités nationales de surveillance de l'IA (désignées au titre de l'Art. 70) sont compétentes à titre principal pour le respect du règlement sur l'IA, notamment pour l'évaluation de la conformité, la surveillance du marché et les sanctions. Pour les établissements d'enseignement, cette autorité peut être une autorité générale de surveillance de l'IA ou, dans certains États membres, un organisme sectoriel désigné.

Les autorités de protection des données (APD) jouent un rôle de contrôle indépendant majeur. Compte tenu du volume et de la sensibilité des données étudiantes traitées par les systèmes d'IA éducatifs, les APD supervisent activement les déploiements d'IA dans les écoles et les universités. Les infractions au GDPR liées à l'IA éducative — traitement illicite de données d'enfants, accords de traitement des données insuffisants avec les fournisseurs EdTech, défaut de réalisation des analyses d'impact requises — exposent à des amendes APD pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial au titre de l'Art. 83 du GDPR. Les actions de contrôle des APD ont historiquement précédé le contrôle formel au titre du règlement sur l'IA dans les domaines réglementés, et les systèmes d'IA du secteur éducatif doivent être planifiés en tenant compte du risque à court terme que représente le contrôle des APD.

Les organes de gouvernance universitaire et les autorités nationales d'accréditation peuvent imposer des conséquences institutionnelles — y compris des sanctions réputationnelles, la suspension de processus automatisés et des exigences d'audits indépendants — lorsqu'il s'avère que l'utilisation de l'IA dans les admissions ou les évaluations a produit des résultats inéquitables ou discriminatoires. La gouvernance académique institutionnelle, y compris les procédures de recours des étudiants, doit être conçue pour permettre de contester les décisions influencées par l'IA.

Feuille de route de conformité pour les établissements d'enseignement et les fournisseurs EdTech

Pour les fournisseurs EdTech

  1. Classifier chaque produit au regard de l'Annexe III, catégorie 3 — documenter la justification de la classification en référence spécifique à l'objet prévu du système et à l'importance de ses effets sur les résultats éducatifs.
  2. Mettre en œuvre le régime complet d'évaluation de la conformité à haut risque au titre des Arts. 9 à 15 pour tous les produits classifiés à haut risque, y compris les tests de biais entre sous-groupes démographiques représentatifs de la population étudiante de l'UE.
  3. Enregistrer les systèmes à haut risque dans la base de données de l'UE sur l'IA (Art. 49) avant leur mise sur le marché.
  4. Préparer une documentation complète à destination des déployeurs : instructions d'utilisation, documentation de conformité, résultats des tests de biais et de précision, instructions de gestion des journaux.
  5. Mettre en œuvre la transparence au titre de l'Art. 50 dans tous les systèmes d'IA interagissant directement avec les étudiants.
  6. Réviser les accords de traitement des données afin d'assurer la conformité avec l'Art. 28 du GDPR, y compris les mécanismes de consentement parental requis par l'Art. 8.

Pour les établissements d'enseignement

  1. Auditer tous les systèmes d'IA en usage — admissions, notation, surveillance des examens, analytique, tutorat — et les classifier au regard de l'Annexe III, catégorie 3.
  2. Demander et examiner la documentation de conformité auprès de tous les fournisseurs EdTech pour tout système classifié ou susceptible d'être classifié à haut risque.
  3. Conduire des évaluations de l'impact sur les droits fondamentaux au titre de l'Art. 27 avant de déployer ou de continuer à déployer des systèmes d'IA d'admission ou d'évaluation.
  4. Désigner nommément des responsables de la supervision pour chaque système d'IA à haut risque, parmi du personnel qualifié disposant d'une réelle compétence technique et d'une autorité institutionnelle effective.
  5. Réviser les procédures de recours en matière d'admissions et d'évaluation pour s'assurer qu'elles permettent de contester les décisions influencées par l'IA et prévoient un examen humain effectif.
  6. Auditer la conformité GDPR pour toutes les données étudiantes traitées par les plateformes EdTech — vérifier que les accords de traitement des données, les bases juridiques et les mécanismes de consentement parental sont en place.
  7. Vérifier les configurations des systèmes d'IA de surveillance au regard de l'interdiction de l'Art. 5 sur l'identification biométrique en temps réel — si une configuration implique une reconnaissance faciale continue pendant les sessions d'examen, obtenir un avis juridique d'urgence avant la prochaine période d'examens.

Calendrier officiel de conformité AI Act

Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.

Obligation S'applique à Date initiale Nouvelle date Statut Compte à rebours Base légale
Pratiques interdites (Art. 5) Tous les fournisseurs et déployeurs active AI Act Art. 5
Règles GPAI (chapitre 5) Fournisseurs de modèles GPAI active AI Act Art. 51-56
IA à haut risque — Annexe III (autonomes) Fournisseurs de systèmes autonomes Annexe III deferred Omnibus AI 2026 Art. 6(2)
IA à haut risque — Annexe I (embarquée) Systèmes IA embarqués dans produits réglementés Annexe I deferred Omnibus AI 2026 Art. 6(1)
Marquage contenu IA (transparence) Fournisseurs de systèmes GPAI génératifs active AI Act Art. 50(2)
Bacs à sable réglementaires Autorités nationales compétentes active AI Act Art. 57

Télécharger JSON · CC BY 4.0

Convergence AI Act – DORA – NIS2

Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.

Explorer regulation-dora.eu ↗

Questions fréquentes

Oui, dans la quasi-totalité des configurations opérationnellement pertinentes. Les systèmes d'IA qui évaluent, classent ou filtrent les candidats pour déterminer leur accès à des établissements d'enseignement ou de formation professionnelle relèvent sans ambiguïté de l'Annexe III, catégorie 3(a). Cette classification s'applique indépendamment du fait que le système d'IA produise une décision d'admission finale ou se borne à générer un score utilisé par les services d'admission — dès lors que le résultat du système a un effet significatif sur l'admission d'un candidat, la classification à haut risque s'applique. Les universités doivent s'assurer que le système porte le marquage CE, est enregistré dans la base de données de l'UE sur l'IA, et que les obligations des déployeurs au titre de l'Art. 26 sont intégralement mises en œuvre avant toute utilisation dans un cycle d'admission.

Cela dépend de si le logiciel évalue les acquis d'apprentissage avec un effet significatif sur le parcours des étudiants. Au titre de l'Annexe III, catégorie 3(b), les systèmes d'IA qui évaluent les étudiants et ont des conséquences significatives sur leur progression académique — telles que déterminer si un étudiant réussit un cours, obtient une qualification ou accède au niveau académique suivant — sont à haut risque et doivent être enregistrés. Les outils de notation automatisée utilisés comme étape finale ou substantiellement déterminante dans l'attribution d'une note sont à haut risque. Les outils utilisés exclusivement à des fins d'évaluation formative, où un enseignant conserve un contrôle total sur la note finale, présentent un profil de risque moindre et peuvent ne pas être qualifiés comme tels, mais cela doit être documenté et justifié.

Non — au regard des dispositions générales du règlement sur l'IA. L'Art. 5(1)(d) interdit l'identification biométrique à distance en temps réel dans des espaces accessibles au public, et les établissements d'enseignement tels que les écoles et les universités constituent des espaces accessibles au public à cette fin. L'interdiction couvre la reconnaissance faciale utilisée pour identifier des individus en temps réel. Des exceptions étroites peuvent être autorisées uniquement si un État membre a adopté une législation autorisant expressément un tel usage, et strictement dans les conditions fixées à l'Art. 5(2) à (6). En pratique, le seuil applicable à ces exceptions est élevé, et la plupart des déploiements de reconnaissance faciale dans les établissements d'enseignement à des fins de contrôle des présences ou de surveillance des examens seraient interdits au titre de l'Art. 5. La catégorisation biométrique différée utilisée dans les outils de surveillance peut relever des dispositions relatives au haut risque plutôt que de l'interdiction de l'Art. 5, mais demeure soumise au régime complet d'évaluation de la conformité.

Les fournisseurs EdTech qui mettent sur le marché des systèmes d'IA à haut risque doivent fournir aux établissements déployeurs : une déclaration UE de conformité complète et la documentation relative au marquage CE ; des instructions d'utilisation détaillées couvrant l'objet prévu du système, ses limites de performance et les conditions dans lesquelles une supervision humaine est requise ; des informations sur les caractéristiques des données d'entraînement et les biais connus, notamment entre les groupes démographiques pertinents pour la population étudiante ; la documentation technique démontrant la conformité avec les Arts. 9 à 15 ; ainsi que la capacité du système à générer, conserver et exporter des journaux de fonctionnement conformément à l'Art. 12. Les universités, en tant que déployeurs au titre de l'Art. 26, doivent vérifier que cette documentation est disponible et adéquate avant de déployer tout système d'IA classé à haut risque.

L'Art. 27 du règlement sur l'IA recommande aux entités publiques et aux déployeurs de systèmes d'IA à haut risque dans des domaines sensibles de conduire une évaluation de l'impact sur les droits fondamentaux (FRIA) avant le déploiement. Pour les universités, la FRIA doit identifier : les droits fondamentaux susceptibles d'être affectés (non-discrimination au titre de l'Art. 21 de la Charte de l'UE, droit à l'éducation au titre de l'Art. 14, protection des données au titre de l'Art. 8) ; les populations étudiantes exposées à un impact négatif, y compris les groupes minoritaires, les étudiants en situation de handicap et les étudiants internationaux ; les mécanismes algorithmiques spécifiques susceptibles d'introduire ou d'amplifier des inégalités ; les mesures d'atténuation telles que les audits de biais, les exigences de diversité des données d'entraînement imposées au fournisseur, et les procédures de contrôle humain ; ainsi qu'un plan de suivi couvrant des revues régulières de précision désagrégées par profil démographique étudiant. La FRIA doit être documentée et mise à jour chaque fois que le système d'IA connaît une évolution significative ou que le suivi révèle des résultats inattendus.

Oui. L'Art. 50 du règlement sur l'IA impose que les systèmes d'IA conçus pour interagir avec des personnes physiques — notamment les chatbots de tutorat par IA et les assistants d'apprentissage virtuels — informent les utilisateurs de manière claire, rapide et efficace qu'ils interagissent avec un système d'IA. Cette obligation s'applique tant au fournisseur EdTech qui conçoit le chatbot qu'à l'établissement d'enseignement qui le déploie. Lorsque les étudiants sont mineurs, cette obligation de transparence s'articule avec les exigences de l'Art. 8 du GDPR relatives à une communication adaptée à l'âge. La divulgation doit être effectuée avant ou au début de l'interaction et doit être aisément compréhensible pour le public visé, y compris les étudiants qui peuvent avoir une connaissance limitée des systèmes d'IA.

Restez informé des évolutions AI Act

Recevez les alertes compliance quand les délais ou obligations changent.

Pas de spam. Désabonnement en un clic.