AI Act pour écoles de formation professionnelle : évaluation IA

Q: Quels systèmes d'IA sont concernés par l'AI Act dans les écoles ?

Tous les systèmes d'IA utilisés dans les écoles, notamment les algorithmes d'évaluation, la gestion des données personnelles des étudiants, et les outils d'analyse pédagogique. Les systèmes de faible risque (ex. chatbots simples) bénéficient d'obligations simplifiées.

Q: Quelles sont les sanctions pour non-conformité ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires mondial (jusqu'à 35 millions d'euros) pour les infractions graves. Les PME de 10 à 250 salariés bénéficient de procédures simplifiées mais les sanctions restent élevées.

Q: Comment évaluer le niveau de risque d'un système d'IA ?

Utilisez le guide de classification de l'AI Act. Les systèmes de haut risque (ex. algorithmes d'évaluation) nécessitent une évaluation d'impact (AIE). Le service desk européen (ai-act-service-desk.ec.europa.eu) propose des outils d'auto-évaluation.

Q: Quelles ressources sont disponibles pour les PME ?

La CNIL (cnil.fr) publie des guides spécifiques aux établissements de formation. Le service desk européen offre des conseils gratuits. Le glossaire regulia.fr explique les termes techniques.

Q: Quels sont les avantages de la conformité pour les écoles ?

La conformité renforce la confiance des étudiants et des partenaires, facilite l'accès aux financements publics, et améliore la qualité pédagogique grâce à une utilisation responsable de l'IA.

TL;DR

L'essentiel en 30 secondes

Le Règlement (UE) 2024/1689 (AI Act) impose 4 niveaux de risque pour les systèmes d'IA : interdits, haut risque, risque limité, risque minimal.
Les systèmes d'IA utilisés pour évaluer les apprenants ou décider d'admissions sont classés haut risque (Annexe III, point 3).
Les sanctions atteignent jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les infractions les plus graves (Art. 99 du Règlement).
Les écoles déployant un système d'IA haut risque doivent réaliser une analyse d'impact sur les droits fondamentaux (Art. 27).
La CNIL et le service desk de l'AI Office EU fournissent des ressources gratuites aux PME.
La mise en conformité protège l'établissement, renforce la confiance des apprenants et facilite l'accès aux financements publics.

1. Contexte réglementaire : AI Act et écoles de formation

Le Règlement (UE) 2024/1689, dit AI Act, encadre la mise sur le marché et l'utilisation des systèmes d'intelligence artificielle dans l'Union européenne. Il s'applique aux fournisseurs et aux déployeurs, indépendamment de leur taille. Les écoles de formation professionnelle entrent dans le champ dès qu'elles utilisent un système d'IA pour gérer leurs apprenants, évaluer leurs performances ou orienter leurs parcours.

Le texte définit un système d'IA comme un système automatisé conçu pour fonctionner à différents niveaux d'autonomie et qui, à partir des données reçues, génère des sorties telles que des prédictions, recommandations ou décisions (Article 3, paragraphe 1 du Règlement (UE) 2024/1689). Cette définition couvre les logiciels d'évaluation automatisée, les plateformes adaptatives d'apprentissage, les outils de détection de plagiat fondés sur l'apprentissage automatique et les chatbots pédagogiques.

Les PME de 10 à 250 salariés ne bénéficient pas d'une exemption générale. L'Art. 62 prévoit néanmoins des mesures de soutien : accès prioritaire aux bacs à sable réglementaires nationaux, formats simplifiés pour la documentation technique et tarification réduite des évaluations de conformité. Ces mesures n'allègent pas les obligations de fond.

Pour un panorama général adapté aux PME françaises, consultez notre guide pillar AI Act PME France.

Acteur dans l'école	Rôle au sens de l'AI Act	Obligation principale
Direction de l'école	Déployeur (Art. 26)	Utilisation conforme, surveillance humaine
Éditeur du logiciel d'évaluation	Fournisseur (Art. 16)	Mise sur le marché conforme, marquage CE
Formateur utilisant l'outil	Personne chargée de la surveillance humaine (Art. 14)	Compétence et vigilance
DPO de l'école	Garant RGPD-IA	Articulation RGPD/AI Act

2. Obligations de l'AI Act pour les écoles

Les obligations varient selon le niveau de risque du système d'IA déployé. L'Annexe III, point 3 du Règlement (UE) 2024/1689 classe explicitement comme haut risque les systèmes d'IA utilisés pour :

déterminer l'accès, l'admission ou l'affectation des personnes physiques à des établissements d'enseignement et de formation professionnelle à tous niveaux ;
évaluer les résultats d'apprentissage, y compris lorsque ces résultats orientent le parcours pédagogique ;
évaluer le niveau d'éducation approprié qu'un individu recevra ou pourra atteindre ;
surveiller et détecter des comportements interdits d'étudiants lors d'examens.

Les écoles de formation professionnelle qui déploient ces systèmes doivent satisfaire les obligations des Art. 26 à 27 du Règlement.

Obligations centrales du déployeur

Utilisation conforme à la notice d'emploi du fournisseur (Art. 26, §1).
Surveillance humaine effective par des personnes formées, disposant d'une autorité réelle pour intervenir (Art. 14 et Art. 26, §2).
Pertinence des données d'entrée : le déployeur veille à ce que les données qu'il fournit au système soient adaptées à la finalité (Art. 26, §4).
Suivi du fonctionnement et signalement des incidents graves au fournisseur ou aux autorités (Art. 26, §5 et Art. 73).
Information des personnes concernées : les apprenants doivent être informés qu'un système d'IA est utilisé et de ses conséquences (Art. 26, §11).
Analyse d'impact sur les droits fondamentaux (FRIA), prévue à l'Art. 27, lorsque l'organisme est un organisme public ou qu'il fournit des services publics.

Transparence vis-à-vis des apprenants

L'Art. 50 impose aux fournisseurs et déployeurs d'informer les personnes physiques lorsqu'elles interagissent avec un système d'IA, sauf si cela découle clairement du contexte. Pour un chatbot d'orientation pédagogique, une mention explicite à l'ouverture de la conversation suffit. Pour un outil d'évaluation automatisée, l'école doit décrire la logique, la portée et les conséquences de l'évaluation, en cohérence avec l'Art. 22 du RGPD sur les décisions automatisées.

Vous gérez une école de formation professionnelle ?

Recevez notre pack documentaire AI Act adapté aux établissements de formation : registre des systèmes d'IA, modèle de FRIA et clauses contractuelles types.

Demander le pack AI Act formation

3. Risques et sanctions pour les PME

Les sanctions sont fixées à l'Art. 99 du Règlement (UE) 2024/1689. Trois niveaux principaux s'appliquent.

Type d'infraction	Plafond financier	Référence
Mise sur le marché ou utilisation d'un système d'IA interdit (Art. 5)	35 M€ ou 7 % du CA mondial annuel (le plus élevé)	Art. 99, §3
Non-respect des obligations applicables aux fournisseurs et déployeurs (hors Art. 5)	15 M€ ou 3 % du CA mondial annuel	Art. 99, §4
Fourniture d'informations inexactes aux autorités	7,5 M€ ou 1 % du CA mondial annuel	Art. 99, §5

L'Art. 99, §6 prévoit explicitement que, pour les PME et les start-up, les autorités appliquent le plus bas des deux plafonds. Cette mesure réduit l'exposition financière mais n'élimine pas le risque. Pour une école de formation dont le chiffre d'affaires mondial atteint 5 M€, une infraction relevant de l'Art. 99, §4 reste plafonnée à 150 000 € — un montant pouvant fragiliser durablement l'établissement.

Au-delà de l'amende, la non-conformité expose à des conséquences réputationnelles et opérationnelles : suspension du système d'IA par l'autorité de surveillance, contentieux avec les apprenants, perte de référencements publics (Datadock, Qualiopi, France compétences).

Pour le détail du régime des sanctions et un calculateur d'amendes adapté aux PME, consultez notre article dédié : AI Act : sanctions et amendes pour les PME.

4. Évaluation de l'IA : processus étape par étape

L'évaluation est la première étape opérationnelle de la mise en conformité. Elle se déroule en cinq étapes successives.

Étape 1 — Recenser les systèmes d'IA en service

Constituez un registre interne listant chaque système, son fournisseur, sa finalité pédagogique ou administrative, le type de données traitées et les utilisateurs concernés. Ce registre est exigé en pratique par l'Art. 26, §6 du Règlement (UE) 2024/1689, qui impose au déployeur de conserver les journaux de fonctionnement pendant une durée appropriée.

Étape 2 — Qualifier chaque système au regard du périmètre AI Act

Pour chaque outil identifié, posez les questions suivantes :

S'agit-il d'un système d'IA au sens de l'Art. 3 ? Un simple script déterministe sans apprentissage est exclu.
Le système figure-t-il dans la liste des pratiques interdites (Art. 5) ? La notation sociale et la reconnaissance des émotions en milieu éducatif sont prohibées.
Le système relève-t-il de l'Annexe III, point 3 (éducation et formation professionnelle) ?

Étape 3 — Classer le niveau de risque

Niveau de risque	Exemple en école de formation	Obligation principale
Inacceptable (interdit)	Détection automatisée des émotions des apprenants en cours (Art. 5, §1, f)	Interdiction de déploiement
Haut risque	Algorithme d'admission ou de notation automatisée (Annexe III, 3)	FRIA, surveillance humaine, information des apprenants
Risque limité	Chatbot d'orientation pédagogique	Information de l'interaction avec un système d'IA (Art. 50)
Risque minimal	Correcteur orthographique intégré à une plateforme LMS	Aucune obligation spécifique au-delà des règles existantes

Étape 4 — Mener l'analyse d'impact sur les droits fondamentaux (FRIA)

L'Art. 27 impose au déployeur, lorsqu'il est un organisme de droit public ou fournit des services publics, de réaliser une analyse d'impact avant la première utilisation. L'analyse couvre :

la description des processus dans lesquels le système sera utilisé ;
la période et la fréquence d'utilisation ;
les catégories de personnes physiques susceptibles d'être affectées ;
les risques spécifiques de préjudice ;
les mesures de surveillance humaine prévues ;
les mesures à prendre en cas de matérialisation des risques.

Le résultat est notifié à l'autorité de surveillance du marché. Pour les écoles privées qui ne fournissent pas un service public au sens strict, la FRIA reste fortement recommandée à titre de bonne pratique.

Étape 5 — Mettre en place les mesures de conformité

Documentation technique, registre des journaux (Art. 12), procédure de gestion des incidents, plan de formation des utilisateurs (Art. 4 sur la littératie en IA), clauses contractuelles avec le fournisseur. Pour vous repérer dans le vocabulaire juridique, le glossaire regulia définit les termes clés du Règlement.

5. Outils et ressources pour les PME

Plusieurs ressources gratuites accompagnent les écoles dans la mise en conformité.

Ressource	Émetteur	Usage
AI Act Service Desk	Commission européenne	Réponses individualisées sur l'interprétation du Règlement
Fiches pratiques IA	CNIL	13 fiches publiées sur le développement de systèmes d'IA
Texte consolidé du Règlement	EUR-Lex / artificialintelligenceact.eu	Référence juridique opposable
ISO/IEC 42001:2023	ISO	Système de management de l'IA, base d'un référentiel interne
Bac à sable IA France	Service Public, autorités sectorielles	Test en environnement réglementaire contrôlé

Le hub de sources officielles regulia répertorie les liens et versions à jour.

L'Article 4 du Règlement impose à tous les fournisseurs et déployeurs de prendre les mesures nécessaires pour garantir un niveau suffisant de littératie en IA chez leur personnel. Pour une école de formation, cela implique au minimum une sensibilisation annuelle des équipes pédagogiques et administratives utilisant des outils d'IA.

6. Bonnes pratiques pour les écoles

L'application opérationnelle de l'AI Act dans une école se structure autour de quatre axes.

Tenir un registre des systèmes d'IA, mis à jour à chaque ajout ou modification, indiquant le niveau de risque retenu et la date de la dernière revue.
Former les enseignants et le personnel administratif sur la finalité, les limites et les biais possibles des outils utilisés (obligation de littératie, Art. 4).
Documenter la surveillance humaine : qui peut suspendre une décision, sur quels critères, dans quel délai. La preuve documentaire est essentielle en cas de contrôle.
Auditer la conformité au moins une fois par an, en lien avec le DPO et, le cas échéant, le RSSI.

Articulation avec le RGPD

L'AI Act ne se substitue pas au RGPD. Les obligations cumulatives suivantes s'appliquent :

Sujet	RGPD	AI Act
Information de la personne	Art. 13-14 RGPD	Art. 26, §11 et Art. 50 du Règlement (UE) 2024/1689
Analyse d'impact	AIPD (Art. 35 RGPD)	FRIA (Art. 27)
Décision automatisée	Art. 22 RGPD	Surveillance humaine (Art. 14)
Sanctions	Jusqu'à 4 % CA mondial	Jusqu'à 7 % CA mondial (Art. 99)

Quand un système d'évaluation automatisée traite des données personnelles d'apprenants, les deux régimes s'appliquent en parallèle.

Sécurisez votre conformité AI Act

Notre pack documentaire couvre le registre des systèmes d'IA, la FRIA prête à compléter, les clauses contractuelles avec vos fournisseurs et le plan de formation littératie IA.

Recevoir le pack documentaire

7. Défis spécifiques aux écoles de formation

Gestion des données personnelles des apprenants

Les écoles traitent des catégories de données sensibles : performances scolaires, parcours professionnels, parfois données de santé pour l'accessibilité. L'usage d'outils d'IA amplifie le risque de réidentification et d'usage secondaire. La base légale doit être documentée séparément pour chaque finalité (Art. 6 du RGPD), et l'intérêt légitime rarement suffisant lorsqu'il s'agit d'évaluation de mineurs ou de jeunes adultes en formation initiale.

Équilibre entre innovation pédagogique et conformité

L'innovation pédagogique repose souvent sur l'expérimentation rapide. L'AI Act ne l'interdit pas mais impose un cadre. Le recours à un bac à sable réglementaire (Art. 57 à 63) permet d'expérimenter un système d'IA dans des conditions juridiquement sécurisées, sous supervision de l'autorité compétente.

Dépendance aux fournisseurs

Beaucoup d'outils utilisés par les écoles sont édités par des tiers européens ou extra-européens. Le déployeur reste responsable du choix du fournisseur et de la chaîne de transparence. L'Art. 25, §4 prévoit que le fournisseur initial coopère avec le déployeur pour permettre à ce dernier de respecter ses obligations. Insistez sur ce point au stade contractuel.

Pour comprendre les enjeux globaux pour les PME françaises, retournez à notre pillar AI Act PME France.

8. Avantages de la conformité

La conformité n'est pas qu'un coût.

Confiance des apprenants et des familles : la transparence sur l'usage de l'IA devient un critère de choix d'un organisme de formation.
Accès aux financements publics : France compétences, OPCO et collectivités territoriales conditionnent de plus en plus leurs financements à des engagements de conformité documentés.
Qualité pédagogique : l'analyse des biais des systèmes d'évaluation conduit à corriger des inégalités de traitement qui passaient inaperçues.
Réduction du risque opérationnel : une école qui documente sa surveillance humaine évite l'interruption brutale d'un outil critique en cas de défaillance ou de contrôle.
Différenciation commerciale : sur un marché concurrentiel, l'affichage d'une démarche conforme constitue un argument vérifiable.

FAQ

Quels systèmes d'IA sont concernés par l'AI Act dans les écoles ?

Tous les systèmes répondant à la définition de l'Art. 3 du Règlement (UE) 2024/1689 et utilisés dans le cadre pédagogique ou administratif : algorithmes d'évaluation, plateformes adaptatives, outils de détection de plagiat fondés sur l'apprentissage automatique, chatbots d'orientation. Les systèmes utilisés pour l'admission ou l'évaluation sont systématiquement haut risque (Annexe III, point 3). Les systèmes de risque minimal, comme un correcteur orthographique standard, n'entraînent pas d'obligation spécifique au-delà du RGPD.

Quelles sont les sanctions pour non-conformité ?

L'Art. 99 prévoit jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites (Art. 5), jusqu'à 15 M€ ou 3 % pour les autres manquements, et jusqu'à 7,5 M€ ou 1 % pour les informations inexactes communiquées aux autorités. Pour les PME, l'Art. 99, §6 retient le plus bas des deux plafonds. Voir notre guide sanctions.

Comment évaluer le niveau de risque d'un système d'IA ?

Suivez la classification en quatre niveaux du Règlement : interdit (Art. 5), haut risque (Annexe III), risque limité (Art. 50), risque minimal. Pour les écoles, tout système utilisé pour l'admission, l'évaluation ou la surveillance d'examens est par défaut haut risque. L'AI Act Service Desk de la Commission européenne fournit un appui d'interprétation gratuit.

Quelles ressources sont disponibles pour les PME ?

Les fiches pratiques IA de la CNIL couvrent le développement et l'usage de systèmes d'IA. Le service desk européen (ai-act-service-desk.ec.europa.eu) répond aux questions d'interprétation. La norme ISO/IEC 42001:2023 fournit un cadre de management. Le glossaire regulia explique les termes clés.

Quels sont les avantages de la conformité pour les écoles ?

Une école conforme renforce la confiance des apprenants et des partenaires, sécurise l'accès aux financements publics conditionnés à la conformité, identifie et corrige les biais de ses systèmes d'évaluation, et limite son exposition aux sanctions de l'Art. 99. La conformité devient un avantage concurrentiel vérifiable sur le marché de la formation professionnelle.

Sources officielles

Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.