AI Act éducation : comment les PME gèrent les algorithmes d'orientation et de sélection

Q: Quelles sont les sanctions pour une PME non-conforme à l'AI Act en éducation ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires mondial (Article 62 AI Act). En plus des amendes, les PME risquent une perte de confiance et des poursuites judiciaires. Il est crucial de se conformer dès le déploiement des algorithmes.

Q: Comment une PME peut-elle évaluer l'impact de ses algorithmes d'orientation ?

Une PME doit réaliser une évaluation d'impact (Article 40 AI Act) couvrant les risques de discrimination, de biais et de transparence. Utilisez des outils d'analyse de données et consultez les guides de la CNIL ou du service dédié de l'UE.

Q: Quelle est la différence entre l'AI Act et le RGPD pour les algorithmes éducatifs ?

L'AI Act complète le RGPD en imposant des obligations spécifiques aux systèmes d'IA, comme l'évaluation d'impact et la transparence des décisions. Le RGPD reste fondamental pour la protection des données, mais l'AI Act ajoute des exigences techniques et éthiques.

Q: Dois-je modifier mes algorithmes existants pour l'AI Act ?

Si votre algorithme est classé « risque élevé » (comme les systèmes d'orientation/sélection), vous devez le modifier pour inclure une évaluation d'impact, une documentation claire et des mécanismes de recours. Consultez le service dédié de l'UE pour une analyse personnalisée.

Q: Quels outils existent pour aider les PME à se conformer à l'AI Act ?

Les PME peuvent utiliser le service dédié de l'UE (ai-act-service-desk.ec.europa.eu), le guide CNIL sur les algorithmes éducatifs, et l'ISO 42001:2023 pour mettre en place un système de gestion de la conformité. Des audits internes et des formations sont également essentiels.

L'essentiel en 30 secondes

- Les algorithmes d'orientation scolaire et de sélection sont classés **systèmes à haut risque** par l'annexe III du Règlement (UE) 2024/1689 (AI Act). - Les sanctions pour non-conformité atteignent **35 millions d'euros ou 7 % du chiffre d'affaires mondial** selon l'Article 99 du Règlement (UE) 2024/1689. - Les PME doivent produire une **analyse d'impact sur les droits fondamentaux (FRIA)** au titre de l'Article 27 avant tout déploiement. - La CNIL exige une **transparence renforcée** des traitements algorithmiques utilisés en éducation, conformément à ses fiches pratiques IA. - Le **AI Office EU** met à disposition un service dédié (ai-act-service-desk.ec.europa.eu) pour accompagner les PME. - La norme **ISO/IEC 42001:2023** fournit un cadre de système de management de l'IA aligné avec les exigences AI Act.

1. Introduction : l'AI Act et son impact sur l'éducation

L'éducation est l'un des huit domaines classés « à haut risque » par l'annexe III du Règlement (UE) 2024/1689. Cette qualification déclenche le régime le plus exigeant prévu par l'AI Act. Les PME qui développent, déploient ou commercialisent des outils d'orientation scolaire, d'évaluation ou de sélection sont directement concernées.

Le texte vise un objectif précis : garantir l'équité et la transparence dans les processus éducatifs. Les enjeux dépassent le seul respect du droit. Un algorithme défaillant peut orienter à tort un élève, écarter un candidat à une bourse, ou produire des effets discriminatoires invisibles. L'AI Act formalise une protection des données des étudiants et des candidats qui complète le RGPD sur les aspects techniques et éthiques.

Pour une PME française de 10 à 250 salariés, la question n'est pas de savoir si l'AI Act s'applique. Elle est de savoir comment se mettre en conformité dans des délais compatibles avec sa capacité opérationnelle. L'annexe III liste explicitement les systèmes utilisés pour « déterminer l'accès, l'admission ou l'affectation » dans les établissements d'enseignement.

Source : Annexe III, point 3, Règlement (UE) 2024/1689 du 13 juin 2024 (AI Act).

2. Les algorithmes d'orientation et de sélection : définition et exemples

Un algorithme d'orientation ou de sélection est un système automatisé qui évalue des candidats ou guide des étudiants vers une voie de formation. L'AI Act regroupe ces outils sous une définition fonctionnelle : tout système qui contribue à une décision d'accès, d'admission, d'évaluation ou d'orientation.

2.1 Types de systèmes concernés

Type de système	Usage typique	Classification AI Act
Admission universitaire automatisée	Tri de dossiers Parcoursup, classement de candidats	Haut risque — Annexe III, §3(a)
Sélection de bourses	Évaluation algorithmique de critères socio-économiques	Haut risque — Annexe III, §3(a)
Orientation professionnelle	Recommandation de filières via IA	Haut risque — Annexe III, §3(a)
Évaluation des acquis	Notation automatisée de copies, tests adaptatifs	Haut risque — Annexe III, §3(b)
Détection de fraude aux examens	Surveillance comportementale via IA	Haut risque — Annexe III, §3(d)

2.2 Risques identifiés

Les biais algorithmiques constituent le risque principal. Un modèle entraîné sur des données historiques reproduit les discriminations passées. La CNIL relève dans ses fiches pratiques IA que ces biais peuvent toucher l'origine, le genre, la situation sociale, ou le handicap.

La discrimination cachée est un risque sous-estimé. Un critère apparemment neutre — code postal, établissement d'origine — peut produire un effet discriminatoire indirect. L'Article 10 du Règlement (UE) 2024/1689 impose une gouvernance des données d'entraînement qui adresse ce point.

3. Les obligations légales pour les PME

L'AI Act impose un faisceau d'obligations articulées autour de trois piliers : analyse d'impact, transparence, conformité documentaire. Ces obligations s'ajoutent au RGPD sans s'y substituer.

3.1 Analyse d'impact sur les droits fondamentaux (FRIA)

L'Article 27 du Règlement (UE) 2024/1689 impose aux déployeurs de systèmes à haut risque la production d'une analyse d'impact sur les droits fondamentaux (Fundamental Rights Impact Assessment, FRIA). Pour les PME du secteur éducatif, cette obligation est centrale.

La FRIA doit couvrir :

Une description du processus de déploiement du système.
La période et la fréquence d'utilisation.
Les catégories de personnes physiques susceptibles d'être affectées.
Les risques spécifiques de préjudice pour ces personnes.
Les mesures de supervision humaine prévues.
Les mesures de gouvernance et de gestion des plaintes.

3.2 Transparence des décisions

L'Article 13 du Règlement (UE) 2024/1689 impose une transparence opérationnelle. Les utilisateurs — étudiants, candidats, parents — doivent recevoir une information compréhensible sur le fonctionnement du système. L'Article 86 ouvre par ailleurs un droit à explication individuelle pour toute personne affectée par une décision automatisée à haut risque.

3.3 Conformité RGPD intégrée

La CNIL a publié en 2024-2025 treize fiches pratiques sur l'IA. Ces fiches articulent les exigences RGPD avec les obligations AI Act. Les principes clés restent : minimisation, finalité explicite, base légale, droits des personnes, sécurité.

Besoin d'un modèle de FRIA conforme à l'Article 27 ?

regulia propose des modèles documentaires alignés AI Act pour les PME du secteur éducatif. Modèles de FRIA, registres systèmes IA, politiques de transparence.

Demander le pack documentaire éducation

4. Les risques pour les PME : sanctions et réputation

L'Article 99 du Règlement (UE) 2024/1689 fixe le régime de sanctions. Les niveaux varient selon la nature du manquement.

4.1 Barème des sanctions Article 99

Type de manquement	Plafond financier	Référence
Pratiques interdites (Art. 5)	35 M€ ou 7 % du CA mondial	Art. 99 §3
Non-conformité systèmes haut risque	15 M€ ou 3 % du CA mondial	Art. 99 §4
Informations incorrectes aux autorités	7,5 M€ ou 1 % du CA mondial	Art. 99 §5

Le montant retenu est celui qui est le plus élevé entre la somme fixe et le pourcentage. Pour une PME, l'Article 99 §6 prévoit toutefois que c'est le plus faible des deux qui s'applique — précision importante pour la lecture du barème.

4.2 Impact réputationnel

Au-delà du quantum financier, l'impact réputationnel touche la confiance des étudiants et des parents. Le secteur éducatif est particulièrement sensible aux affaires de discrimination algorithmique. Une médiatisation négative peut compromettre durablement l'activité commerciale d'une PME EdTech.

4.3 Risques annexes

Les actions de groupe sont possibles. Le Règlement (UE) 2020/1828 sur les actions représentatives s'applique aux préjudices issus de systèmes IA non conformes. Les autorités sectorielles — pour l'éducation, le ministère et les rectorats — peuvent par ailleurs suspendre l'usage du système.

5. Les bonnes pratiques pour la conformité

La conformité s'organise en trois axes opérationnels : audit, documentation, formation.

5.1 Audit des algorithmes existants

L'audit identifie les écarts entre l'état actuel du système et les exigences AI Act. Il porte sur :

La classification du système au regard de l'annexe III.
La qualité des jeux de données d'entraînement (Article 10).
La documentation technique (Article 11).
Les mécanismes de supervision humaine (Article 14).
La robustesse, l'exactitude et la cybersécurité (Article 15).

5.2 Documentation systématique

L'Article 11 du Règlement (UE) 2024/1689 impose la tenue d'une documentation technique. Pour les PME, l'annexe IV en précise le contenu minimum. La norme ISO/IEC 42001:2023 propose un cadre de système de management de l'IA qui couvre ces exigences.

Exigence	Référence AI Act	Élément ISO/IEC 42001:2023
Documentation technique	Art. 11 + Annexe IV	Clause 7.5 (Information documentée)
Système de gestion des risques	Art. 9	Clause 6.1 (Actions face aux risques)
Gouvernance des données	Art. 10	Annexe A — Contrôle A.7
Journalisation	Art. 12	Annexe A — Contrôle A.6

5.3 Formation des équipes

L'Article 4 du Règlement (UE) 2024/1689, applicable depuis le 2 février 2025, impose un niveau suffisant de maîtrise de l'IA (« AI literacy ») au personnel concerné. Les PME doivent mettre en place un plan de sensibilisation couvrant les enjeux juridiques, techniques et éthiques.

6. Les outils et ressources pour les PME

Plusieurs ressources officielles aident les PME à structurer leur démarche. Le glossaire AI Act de regulia centralise les définitions clés pour s'y retrouver.

6.1 Service dédié de la Commission européenne

Le AI Act Service Desk de la Commission européenne répond gratuitement aux questions des PME. Le service est opéré par l'AI Office EU et fournit des orientations sur l'interprétation du Règlement.

6.2 Fiches pratiques CNIL

La CNIL publie depuis 2024 une série de fiches pratiques IA. Elles couvrent la base légale, la conformité du développement, la qualité des données et l'information des personnes. Ces fiches sont opposables dans la pratique de contrôle de la CNIL.

6.3 Normes ISO mobilisables

Norme	Périmètre	Usage en éducation
ISO/IEC 42001:2023	Système de management de l'IA	Cadre global de conformité AI Act
ISO/IEC 23894:2023	Gestion des risques liés à l'IA	Méthodologie d'analyse de risques
ISO/IEC 27001:2022	Sécurité de l'information	Protection des données étudiants

Évaluer votre exposition AI Act en 10 minutes

Notre questionnaire diagnostique aide les PME EdTech à identifier leurs obligations prioritaires : classification, FRIA, documentation, formation Article 4.

Lancer le diagnostic gratuit

7. Cas d'étude : PME et algorithmes éducatifs

Les illustrations qui suivent sont schématiques. Elles synthétisent des configurations types observées dans le secteur EdTech français.

7.1 PME de logiciels d'orientation universitaire

Une PME de 45 salariés édite une plateforme d'aide à l'orientation post-bac. Son moteur recommande des formations en croisant les notes, les centres d'intérêt et les statistiques d'admission. Le système relève de l'annexe III, point 3(a).

La PME a engagé une mise en conformité en trois temps :

Classification formelle et inscription au registre interne des systèmes IA.
Réalisation d'une FRIA Article 27 documentant les risques de biais socio-géographiques.
Mise en place d'une supervision humaine effective : tout résultat affiché précise qu'il s'agit d'une recommandation et non d'une décision.

7.2 Conséquences d'une non-conformité

Une PME de sélection de bourses utilisant un modèle de scoring opaque s'expose à plusieurs risques cumulatifs : sanction CNIL au titre du RGPD (décision automatisée non encadrée), sanction AI Act au titre de l'Article 99, contentieux civils des candidats lésés. Le coût total peut largement dépasser le plafond Article 99.

7.3 Leçons opérationnelles

Trois constats reviennent :

L'évaluation d'impact ne doit pas être un document statique. Elle est révisée à chaque évolution significative du modèle.
La transparence est plus efficace en amont qu'en aval. Les PME qui documentent dès la conception réduisent leur charge de mise en conformité.
La formation des équipes commerciales est aussi importante que celle des équipes techniques. Les promesses commerciales engagent la responsabilité de la PME.

8. Conclusion : vers une éducation éthique avec l'AI Act

L'AI Act n'est pas une charge administrative supplémentaire. Pour les PME du secteur éducatif, il est un cadre qui structure la confiance. Les étudiants, les parents, les établissements clients attendent désormais des garanties sur le fonctionnement des systèmes IA déployés.

L'audit des algorithmes existants est l'étape de départ. Il identifie les écarts, hiérarchise les actions, calibre les budgets. Les modèles documentaires disponibles — FRIA, registre, politique de transparence — accélèrent la mise en conformité.

Les ressources officielles existent et sont gratuites : AI Act Service Desk, fiches CNIL, normes ISO accessibles via l'AFNOR. La perspective est claire : l'AI Act devient un atout commercial pour les PME qui s'engagent tôt. Pour le contexte général des obligations applicables, consulter le pillar AI Act PME France. Pour le détail des sanctions Article 99, voir l'article dédié AI Act sanctions PME.

FAQ

Q : Quelles sont les sanctions pour une PME non-conforme à l'AI Act en éducation ?

Les sanctions de l'Article 99 du Règlement (UE) 2024/1689 peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques interdites, et 15 millions d'euros ou 3 % du CA pour la non-conformité des systèmes à haut risque. Pour une PME, l'Article 99 §6 prévoit l'application du plafond le plus faible. À ces sanctions financières s'ajoutent les risques réputationnels et les contentieux civils.

Q : Comment une PME peut-elle évaluer l'impact de ses algorithmes d'orientation ?

L'évaluation se réalise via une FRIA (Fundamental Rights Impact Assessment) au titre de l'Article 27. Elle couvre la description du processus, les populations affectées, les risques de discrimination et de biais, les mesures de supervision humaine, et les mécanismes de plainte. Les guides CNIL et les ressources du AI Act Service Desk fournissent des trames méthodologiques.

Q : Quelle est la différence entre l'AI Act et le RGPD pour les algorithmes éducatifs ?

Le RGPD régit le traitement des données personnelles, ses bases légales et les droits des personnes. L'AI Act ajoute des obligations techniques et organisationnelles spécifiques aux systèmes d'IA : classification par niveau de risque, FRIA, documentation Article 11, gestion des données d'entraînement Article 10, supervision humaine Article 14. Les deux textes s'appliquent cumulativement et sont contrôlés par des autorités potentiellement distinctes.

Q : Dois-je modifier mes algorithmes existants pour l'AI Act ?

Un système déployé dans l'éducation et classé haut risque doit intégrer une FRIA, une documentation technique conforme à l'annexe IV, des mécanismes de supervision humaine, et un dispositif de gestion des plaintes. Les obligations applicables aux systèmes haut risque entrent pleinement en vigueur le 2 août 2026, avec une période transitoire pour certains systèmes déjà sur le marché. Consulter le AI Act Service Desk pour les cas particuliers.

Q : Quels outils existent pour aider les PME à se conformer à l'AI Act ?

Trois sources principales : le AI Act Service Desk de la Commission européenne, les fiches pratiques IA de la CNIL, et les normes ISO/IEC 42001:2023, 23894:2023 et 27001:2022. Des packs documentaires sectoriels — modèles de FRIA, registres, politiques — complètent ces ressources institutionnelles. La formation des équipes au titre de l'Article 4 est obligatoire depuis le 2 février 2025.

Sources officielles

Règlement (UE) 2024/1689 — texte officiel EUR-Lex
AI Act Service Desk — Commission européenne
CNIL — Algorithmes dans l'éducation et fiches pratiques IA
Artificial Intelligence Act — texte consolidé
ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
ISO/IEC 23894:2023 — Artificial intelligence — Guidance on risk management
ISO/IEC 27001:2022 — Information security management systems
Glossaire regulia — définitions des termes AI Act
Sources documentaires regulia — bibliothèque de références juridiques

Avertissement — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.