EU AI Act et education : obligations des universites, ecoles et edtech francaises

Le secteur de l'education est l'un des domaines explicitement identifies par l'EU AI Act comme presentant un risque eleve. L'Annexe III du reglement (UE) 2024/1689 designe nommement l'acces a l'education et la formation professionnelle, ainsi que l'evaluation des apprenants, parmi les cas d'usage a haut risque. Pour les universites, les grandes ecoles, les lycees et les editeurs edtech francais, la date butoir est claire : 2 aout 2026.

Cet article detaille les obligations concretes du secteur educatif, les systemes concernes, les erreurs a eviter et la methode pour atteindre la conformite avant l'echeance.

Pourquoi l'education est-elle classee a haut risque ?

Le legislateur europeen a considere que l'IA dans l'education touche des decisions qui faconnent les parcours de vie. Un algorithme qui decide d'une admission, qui note une dissertation, qui detecte une fraude pendant un examen a distance ou qui oriente un etudiant vers une filiere a un impact direct et durable sur son avenir professionnel et personnel.

Trois categories d'usages sont explicitement visees par l'Annexe III :

• L'admission et l'acces aux etablissements d'education et de formation professionnelle a tous les niveaux
• L'evaluation des resultats d'apprentissage, y compris lorsque ces resultats orientent le parcours ulterieur
• L'evaluation du niveau d'education approprie pour un individu et la detection d'interdictions d'utiliser des appareils pendant les examens (proctoring)

Quels systemes d'IA sont concernes en pratique ?

La plupart des etablissements d'enseignement superieur francais et une part croissante des lycees utilisent deja des systemes qui tombent sous l'EU AI Act, souvent sans le savoir.

Systemes d'admission et d'orientation

Les algorithmes de tri des dossiers Parcoursup, les scoring utilises par les grandes ecoles privees pour filtrer les candidatures, les outils d'orientation bases sur l'IA qui recommandent des filieres : tous ces systemes entrent dans le haut risque s'ils contribuent de maniere substantielle a la decision d'admission.

Plateformes de proctoring et surveillance d'examens

TestWe, Proctorio, Respondus, Examus et les solutions equivalentes qui analysent le comportement d'un etudiant pendant un examen a distance (regard, bruits, presence d'autres personnes) relevent explicitement du haut risque. Plusieurs etablissements francais ont deja ete rappeles a l'ordre par la CNIL pour des usages disproportionnes.

Evaluation automatisee et correction IA

Les outils qui notent automatiquement des copies (dissertations, QCM avec analyse semantique, exercices de code), les plateformes comme Gradescope, les systemes de tutorat adaptatif qui evaluent le niveau d'un apprenant et adaptent le parcours : tous ces usages sont haut risque si la note ou l'evaluation produite a un impact sur la validation d'une formation.

Plateformes edtech avec IA generative

Les editeurs edtech qui integrent des modeles de langue (ChatGPT, Claude, Mistral) dans leurs produits doivent verifier deux obligations distinctes : le risque limite de l'IA generative (transparence sur le fait que le contenu est genere par IA) et le haut risque si le produit evalue les eleves.

Les 7 obligations pour les systemes d'IA haut risque en education

Les articles 9 a 15 de l'EU AI Act definissent sept obligations applicables a tout systeme haut risque :

1. Systeme de gestion des risques

Identifier et evaluer les risques que le systeme fait peser sur la sante, la securite et les droits fondamentaux des eleves. Pour une plateforme de proctoring, cela inclut le risque de discrimination (faux positifs plus frequents sur certaines couleurs de peau), le stress psychologique et la vie privee.

2. Gouvernance des donnees

Les jeux de donnees d'entrainement, validation et test doivent etre pertinents, representatifs, exempts d'erreurs et complets. Un modele entraine uniquement sur des copies d'etudiants d'une certaine categorie socio-professionnelle produira des biais systematiques.

3. Documentation technique (Annexe IV)

Dossier complet decrivant le systeme, ses finalites, les donnees utilisees, les performances, les limites, les mesures de gestion des risques. Ce document doit etre tenu a jour et disponible pour les autorites de surveillance.

4. Journalisation automatique

Le systeme doit enregistrer automatiquement les evenements pertinents pour permettre une tracabilite en cas d'incident ou de recours. Pour un outil de correction automatique, cela implique de journaliser chaque note attribuee et les elements qui l'ont motivee.

5. Transparence et information des utilisateurs

Les etudiants et leurs familles doivent etre informes de l'utilisation d'un systeme d'IA haut risque, de sa finalite et de ses caracteristiques principales. Les notices d'utilisation doivent etre claires, completes et accessibles.

6. Supervision humaine

Aucune decision majeure (admission refusee, note eliminatoire, exclusion d'un examen pour suspicion de fraude) ne peut etre prise par le systeme sans intervention humaine. Un enseignant ou un responsable administratif doit pouvoir remettre en cause la decision de l'IA.

7. Exactitude, robustesse et cybersecurite

Le systeme doit atteindre un niveau approprie de precision et resister aux tentatives de manipulation (triche des eleves, attaques adversariales, fuites de donnees).

L'analyse d'impact sur les droits fondamentaux (FRIA)

L'article 27 de l'EU AI Act introduit une obligation specifique pour les organismes publics (ce qui inclut les universites publiques, les rectorats, les lycees publics) et pour les operateurs prives fournissant un service public d'education : realiser une analyse d'impact sur les droits fondamentaux (FRIA) avant tout deploiement.

Cette analyse doit documenter :

• Le processus dans lequel le systeme IA sera utilise
• La duree et la frequence prevue d'utilisation
• Les categories de personnes physiques et de groupes susceptibles d'etre affectes
• Les risques specifiques de prejudice pour ces personnes
• Les mesures de supervision humaine prevues
• Les mesures a prendre en cas de materialisation des risques

Pour un etablissement, la FRIA doit notamment analyser les risques de discrimination (algorithmique, sociale, territoriale), d'atteinte a la vie privee, de stress psychologique et d'atteinte a la liberte pedagogique.

Les erreurs frequentes dans le secteur educatif

Erreur n 1 : croire que les outils commerciaux sont deja conformes

Beaucoup d'etablissements pensent que parce qu'ils utilisent un SaaS d'un editeur reconnu (Respondus, Proctorio, Gradescope), le fournisseur gere la conformite. C'est faux. L'EU AI Act distingue le fournisseur du systeme et le deployeur. L'etablissement qui utilise le systeme est le deployeur et a ses propres obligations, notamment la FRIA, l'information des etudiants et la supervision humaine.

Erreur n 2 : confondre RGPD et EU AI Act

Etre en conformite RGPD ne signifie pas etre en conformite avec l'EU AI Act. Les deux reglements se complementent mais couvrent des obligations distinctes. Une plateforme de proctoring peut respecter le RGPD (consentement, minimisation, duree de conservation) et etre pourtant non conforme a l'EU AI Act (absence de documentation technique, pas de supervision humaine formalisee).

Erreur n 3 : ne rien faire en attendant les decrets d'application

La deadline du 2 aout 2026 est une date ferme inscrite dans le reglement europeen d'application directe. Elle n'attend pas de decret francais pour s'appliquer. Les etablissements qui attendent la sortie de textes nationaux seront en retard.

Plan d'action pour un etablissement educatif

Avril a mai 2026 : inventaire et classification

Recenser tous les systemes d'IA utilises, y compris ceux integres dans des plateformes plus larges (Moodle avec plugin IA, ENT, Parcoursup, solutions de visio avec transcription IA). Pour chacun, identifier s'il releve du risque minimal, limite ou haut risque.

Mai a juin 2026 : production des documents

Pour chaque systeme haut risque identifie, produire l'Annexe IV et realiser la FRIA. Les etablissements publics doivent integrer ces documents a leur registre de traitement RGPD et les tenir a disposition du DPO.

Juin a juillet 2026 : formation et gouvernance

Former le corps enseignant et les personnels administratifs aux obligations de supervision humaine. Mettre en place un comite d'ethique IA ou elargir les attributions du comite ethique existant. Designer un referent IA.

Juillet 2026 : tests et audit interne

Tester les procedures de recours etudiant, verifier les logs, realiser un audit interne avec le DPO et la direction. Corriger les ecarts avant la deadline.

2 aout 2026 : deadline

A partir de cette date, tout systeme IA haut risque non conforme expose l'etablissement a des sanctions. Pour une universite ou une grande ecole, une non conformite publique serait aussi une atteinte majeure a sa reputation.

Sanctions applicables au secteur educatif

Les amendes sont les memes que pour les autres secteurs : jusqu'a 15 millions d'euros ou 3 pourcent du chiffre d'affaires mondial pour le non respect des obligations haut risque. Pour un etablissement public, les sanctions peuvent egalement prendre la forme de mises en demeure publiques, d'obligations de retrait de systemes et d'injonctions de la part des autorites de surveillance. L'impact reputationnel, notamment sur les classements et le recrutement d'etudiants internationaux, est souvent plus redoutable que l'amende elle-meme.

Comment MaConformite accompagne le secteur education

MaConformite propose un Pole Education dedie qui adapte les questionnaires, templates et checklists aux specificites pedagogiques :

• Questionnaires adaptes aux systemes educatifs francais (universites, grandes ecoles, lycees, edtech)
• Templates Annexe IV avec terminologie pedagogique
• FRIA guidee sur les droits fondamentaux des apprenants (non discrimination, vie privee, acces a l'education)
• Articulation RGPD, Code de l'education, recommandations CNIL et EU AI Act
• Bibliotheque de cas types : proctoring, correction automatique, admission, tutorat IA
• Export PDF professionnel pour le DPO, la direction et les autorites de surveillance

Le diagnostic gratuit permet en 3 minutes d'identifier les systemes haut risque de votre etablissement et les obligations qui s'appliquent. Tout est accessible sans creation de compte et sans carte bancaire.