Cas pratique : algorithme d'orientation pour collège privé sous contrat

Q: Dois-je déclarer mon algorithme d'orientation à la CNIL ?

Oui, si l'IA traite des données personnelles de mineurs. Vous devez déposer un Dossier de Conformité (art. 62 AI Act) et un EIPD (RGPD, art. 35). Consultez /ai-act-pme-france/ pour les démarches.

Q: Quel est le délai pour se conformer à l'AI Act ?

Les systèmes d'IA de haut risque doivent être conformes avant le 2 mai 2025 (art. 62). Utilisez /ai-act-sanctions-pme-amendes/ pour comprendre les délais critiques.

Q: Comment gérer les biais dans mon algorithme ?

Mettez en place un contrôle humain final et réalisez des tests d'équité réguliers. Documentez les mesures prises et consultez un expert en éthique IA.

Q: Puis-je utiliser des données anonymisées ?

Non, l'AI Act interdit l'anonymisation partielle (art. 30). Utilisez uniquement des données nécessaires et documentez le processus de minimisation.

Q: Quelle est la durée de conservation des données ?

Max 1 an après la sortie des élèves (RGPD, art. 5). Supprimez les données dès que possible et documentez la politique de conservation.

Un collège privé sous contrat d'association teste un algorithme d'orientation pour ses élèves de troisième. L'outil croise notes, comportement, absences et projet personnel pour suggérer une voie générale, technologique ou professionnelle. Cette mise en situation touche directement à l'éducation, à des données de mineurs et à une décision lourde pour la trajectoire des élèves. Elle déclenche donc l'application combinée du Règlement (UE) 2024/1689 sur l'intelligence artificielle, du RGPD et du Code de l'éducation.

Ce cas pratique détaille les obligations concrètes, les pièges à éviter et la méthodologie de mise en conformité d'un établissement scolaire de moins de 250 salariés.

TL;DR — L'essentiel en 30 secondes

Les algorithmes utilisés pour orienter, évaluer ou affecter des élèves figurent à l'Annexe III, point 3 du Règlement (UE) 2024/1689 — ils sont classés à haut risque (Art. 6).
Sanction maximale pour un système haut risque non conforme : 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel (Art. 99 § 4 du Règlement).
Obligations à documenter avant déploiement : système de gestion des risques (Art. 9), gouvernance des données (Art. 10), documentation technique (Art. 11), supervision humaine (Art. 14).
AIPD obligatoire (Art. 35 RGPD) en raison du traitement à grande échelle de données de mineurs.
Durée de conservation : limitée au strict nécessaire — à fixer dans le registre des traitements (Art. 5 § 1 e RGPD).
ISO/IEC 42001:2023 fournit le cadre de management opérationnel recommandé.

1. Contexte juridique : AI Act et RGPD pour les collèges privés sous contrat

Un collège privé sous contrat d'association exerce une mission de service public d'enseignement. Cette qualification n'efface pas son statut de personne morale de droit privé, mais elle déclenche des obligations renforcées dès qu'un traitement de données concerne ses élèves mineurs.

L'AI Act s'applique à tout déployeur (« deployer ») établi dans l'Union qui met en service un système d'IA, sans distinction selon la taille de la structure (Art. 2 § 1 du Règlement (UE) 2024/1689). Le collège est donc soumis aux obligations du déployeur dès qu'il utilise un outil d'orientation reposant sur un système d'IA.

L'Annexe III, point 3 liste comme haut risque les systèmes d'IA destinés à :

déterminer l'accès, l'admission ou l'affectation à des établissements d'enseignement ;
évaluer les acquis d'apprentissage ;
évaluer le niveau d'enseignement approprié pour un apprenant ;
détecter des comportements interdits pendant les tests.

Un outil d'orientation suggérant une voie au conseil de classe entre clairement dans le périmètre.

Régime	Texte fondateur	Autorité de contrôle en France	Sanction maximale
AI Act	Règlement (UE) 2024/1689	Autorité nationale à désigner par la loi (CNIL pressentie sur le volet données) [à vérifier]	15 M€ ou 3 % CA mondial (Art. 99 § 4)
RGPD	Règlement (UE) 2016/679	CNIL	20 M€ ou 4 % CA mondial (Art. 83 § 5)
Code de l'éducation	Loi française	Rectorat, Ministère	Variable selon manquement

Le collège doit empiler ces trois cadres et non choisir entre eux. Le pillar /ai-act-pme-france/ détaille la grille de lecture générale pour les PME.

2. Analyse du cas : risques identifiés

Avant tout déploiement, l'établissement cartographie quatre familles de risques.

Biais algorithmique. Un modèle entraîné sur des données historiques reproduit les déterminismes socioculturels passés. Un élève issu de tel quartier ou de tel collège de secteur peut être systématiquement orienté vers la voie professionnelle. Le RGPD interdit la discrimination indirecte (Art. 5 § 1 a) et l'AI Act exige la détection et l'atténuation de ces biais (Art. 10 § 2 f et g).

Protection des mineurs. Les données d'élèves de moins de 15 ans bénéficient d'une protection renforcée (Art. 8 RGPD). Le consentement à un traitement fondé sur l'Art. 6 § 1 a doit être donné ou autorisé par le titulaire de l'autorité parentale.

Manque de transparence. Les familles doivent comprendre que l'outil est utilisé, sur quelles données et avec quelle marge d'influence sur la décision finale (Art. 13 et 14 RGPD, et Art. 26 § 11 AI Act pour l'information des personnes soumises à une décision assistée par IA).

Documentation insuffisante. Sans documentation technique conforme à l'Art. 11 et à l'Annexe IV du Règlement, l'établissement ne peut prouver sa conformité en cas de contrôle.

3. Étapes de conformité : déploiement sécurisé

La séquence ci-dessous correspond à un déploiement « propre » sur une année scolaire.

Cartographier le système d'IA — fournisseur, version, finalité, données d'entrée, données de sortie.
Réaliser une AIPD au sens de l'Art. 35 RGPD, obligatoire pour un traitement à grande échelle de données relatives à des mineurs et susceptible d'engendrer un risque élevé pour les droits.
Mener une analyse d'impact sur les droits fondamentaux (FRIA) prévue à l'Art. 27 du Règlement, applicable aux déployeurs de systèmes haut risque dans le service public ou exerçant une mission de service public.
Tenir le registre des traitements prévu à l'Art. 30 RGPD : finalité, base légale, durée, destinataires, mesures de sécurité.
Documenter la supervision humaine (Art. 14 AI Act) : qui prend la décision finale, sur quels critères, avec quelle possibilité de surclasser la recommandation.
Former les enseignants et le personnel administratif à la lecture des sorties du système (Art. 4 AI Act sur la « AI literacy »).
Conserver les logs générés par le système haut risque pendant la période appropriée (Art. 12 AI Act, journaux automatiques).

Votre établissement utilise un outil d'IA pour les élèves ?

regulia propose un pack documentaire dédié aux établissements scolaires : AIPD, FRIA, registre des traitements, modèle d'information aux familles, charte d'usage. Tout est prêt à adapter à votre structure.

Demander le pack établissements scolaires

4. Exemple concret : mise en œuvre conforme

Reprenons le collège fictif « Saint-Exemple ». Effectif : 480 élèves, équipe de 38 enseignants, DPO mutualisé avec le diocèse, RSSI externalisé.

L'établissement souscrit à un outil édité par une EdTech française. Voici la trajectoire de conformité retenue.

Étape	Acteur principal	Livrable	Délai
Choix du fournisseur	Chef d'établissement + DPO	Grille d'évaluation contractuelle	Mois 1
AIPD	DPO	Rapport AIPD signé	Mois 2
FRIA	DPO + référent IA	Analyse Art. 27 AI Act	Mois 2-3
Information des familles	Direction	Note d'information + recueil de consentement	Mois 3
Pilotage humain	Conseil pédagogique	Procédure écrite de décision finale	Mois 3
Formation	RH	Module 2 h pour enseignants	Mois 4
Déploiement progressif	Direction	Cohorte test 1 classe	Mois 5
Audit interne	RSSI externe	Rapport d'audit annuel	Mois 12

Le mécanisme de contrôle humain final est non négociable : la recommandation algorithmique reste un avis. La décision d'orientation est arrêtée par le chef d'établissement après avis du conseil de classe, conformément aux articles D331-23 à D331-46 du Code de l'éducation.

Le consentement explicite des parents est recueilli à la rentrée, séparément des autres autorisations (image, sorties). La case n'est pas pré-cochée. Le refus n'entraîne aucun désavantage : l'élève est orienté sans le concours de l'outil.

5. Gestion des données : RGPD et AI Act

L'articulation entre les deux régimes se joue sur quatre principes.

Minimisation (Art. 5 § 1 c RGPD). Le collège recueille uniquement les données strictement utiles à la finalité d'orientation : notes, absences, parcours, et le cas échéant projet exprimé. Pas d'origine sociale, pas de profession des parents, pas de données comportementales hors champ pédagogique.

Durée de conservation (Art. 5 § 1 e RGPD). Le collège fixe une durée alignée sur la finalité — par exemple jusqu'à la fin de l'année scolaire suivant la décision d'orientation. Au-delà, seules des données agrégées et anonymisées peuvent être conservées à des fins statistiques. La durée précise figure dans le registre des traitements.

Droits des personnes (Art. 12 à 22 RGPD). Les parents disposent du droit d'accès, de rectification, d'opposition, de portabilité et — au titre de l'Art. 22 — du droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques. C'est la raison pour laquelle la décision humaine finale n'est pas une simple précaution mais une obligation.

Sécurité (Art. 32 RGPD). Chiffrement des bases, journalisation des accès, gestion fine des habilitations, sauvegardes testées. L'AI Act ajoute la robustesse, l'exactitude et la cybersécurité du système lui-même (Art. 15).

Le glossaire /glossaire.html reprend chacun de ces termes en langage clair.

6. Communication et transparence

Les familles ne doivent pas découvrir l'existence de l'outil au moment de l'orientation. La transparence se construit en amont.

L'information écrite remise aux représentants légaux indique :

l'identité du responsable de traitement (l'établissement) ;
la finalité du traitement (aide à l'orientation) ;
la base légale retenue ;
les catégories de données utilisées ;
les destinataires (enseignants, chef d'établissement, éditeur du logiciel sous contrat) ;
la durée de conservation ;
l'existence d'un système d'IA et la logique sous-jacente, présentée en termes simples ;
les droits des personnes et les modalités d'exercice ;
la possibilité de refuser sans conséquence négative.

Un canal de réclamation interne est mis en place — adresse email dédiée à la médiation et formulaire papier disponible au secrétariat. En cas d'échec, les familles peuvent saisir la CNIL.

Les enseignants reçoivent une formation courte sur la lecture des sorties, les limites de l'outil et la conduite à tenir en cas de divergence avec leur propre évaluation.

7. ISO/IEC 42001:2023 : cadre de gestion des risques IA

La norme ISO/IEC 42001:2023 définit les exigences d'un système de management de l'intelligence artificielle (AIMS). Elle n'est pas obligatoire, mais elle apporte une structure éprouvée pour démontrer la conformité au Règlement.

Domaine ISO/IEC 42001	Correspondance AI Act
Politique IA (clause 5.2)	Gouvernance Art. 17
Évaluation des risques (clause 6.1)	Art. 9 — gestion des risques
Données et qualité (Annexe A)	Art. 10 — gouvernance des données
Documentation (clause 7.5)	Art. 11 — documentation technique
Compétences (clause 7.2)	Art. 4 — AI literacy
Audit interne (clause 9.2)	Surveillance après mise sur le marché Art. 72

Pour un collège de 480 élèves, une certification formelle n'est pas indispensable. La grille ISO sert de référentiel d'audit interne et de feuille de route progressive. Un audit annuel par un expert indépendant — souvent mutualisé à l'échelle du réseau d'enseignement — suffit dans la plupart des cas.

8. Sanctions et responsabilités

Le risque financier est réel, le risque réputationnel aussi.

Sanctions AI Act (Art. 99).

Manquement	Sanction maximale
Pratiques interdites (Art. 5)	35 M€ ou 7 % CA mondial
Non-conformité d'un système haut risque (Art. 16 et suiv.)	15 M€ ou 3 % CA mondial
Informations inexactes aux autorités	7,5 M€ ou 1 % CA mondial

Sanctions RGPD (Art. 83). Jusqu'à 20 M€ ou 4 % du chiffre d'affaires annuel mondial pour violation des principes de base (Art. 5, 6, 7, 9). Les PME ne sont pas exonérées de ce plafond.

L'article /ai-act-sanctions-pme-amendes/ détaille la mécanique de calcul appliquée aux structures de moins de 250 salariés.

Au-delà du montant, un manquement public fragilise la relation de confiance avec les familles. Pour un établissement dont la réputation se construit sur le bouche-à-oreille et l'image de marque pédagogique, une décision CNIL ou un signalement par un parent peut peser plus lourd qu'une amende.

Les responsabilités se répartissent : le chef d'établissement est représentant légal, le DPO conseille et contrôle, le fournisseur du système assume ses propres obligations en tant que provider au sens de l'AI Act. Le contrat doit clairement répartir ces rôles.

Besoin de sécuriser votre déploiement d'IA en milieu scolaire ?

regulia met à disposition les modèles documentaires alignés AI Act + RGPD + Code de l'éducation : AIPD, FRIA, registre, charte d'usage, note d'information aux familles, procédure de supervision humaine.

Recevoir le pack documentaire

FAQ

Q : Dois-je déclarer mon algorithme d'orientation à la CNIL ?

Il n'existe plus de régime de déclaration préalable depuis l'entrée en application du RGPD en 2018. En revanche, vous devez tenir un registre des traitements (Art. 30 RGPD), réaliser une analyse d'impact (Art. 35 RGPD) et, pour les systèmes haut risque, conduire une FRIA (Art. 27 AI Act). La consultation de l'autorité de contrôle n'est requise que si l'AIPD révèle un risque résiduel élevé (Art. 36 RGPD). Voir le pillar /ai-act-pme-france/ pour la procédure complète.

Q : Quel est le délai pour se conformer à l'AI Act ?

Les obligations sur les systèmes haut risque listés à l'Annexe III deviennent applicables le 2 août 2026, avec des dispositions transitoires spécifiques pour certains systèmes déjà sur le marché (Art. 113 du Règlement). Les pratiques interdites s'appliquent depuis le 2 février 2025 et les règles sur les modèles d'IA à usage général depuis le 2 août 2025. L'article /ai-act-sanctions-pme-amendes/ précise les échéances applicables aux PME.

Q : Comment gérer les biais dans mon algorithme ?

L'Art. 10 du Règlement impose des jeux de données « pertinents, suffisamment représentatifs, exempts d'erreurs et complets dans la mesure du possible ». En pratique : exiger du fournisseur les rapports de tests d'équité, suivre les taux de recommandation par profil sociodémographique sur une cohorte test, conserver la décision humaine comme garde-fou, et inscrire un point « biais détectés » à l'ordre du jour annuel du conseil pédagogique.

Q : Puis-je utiliser des données anonymisées ?

Oui, dès lors que l'anonymisation est effective au sens du RGPD — c'est-à-dire qu'il n'est plus possible de ré-identifier la personne. Pour une finalité d'orientation individuelle, l'anonymisation est par définition incompatible avec le besoin opérationnel. Pour les analyses statistiques agrégées (taux d'orientation par voie sur plusieurs années), l'anonymisation est en revanche recommandée et fait sortir le traitement du champ du RGPD.

Q : Quelle est la durée de conservation des données ?

La durée doit être proportionnée à la finalité (Art. 5 § 1 e RGPD). Pour un outil d'orientation, une durée fréquemment retenue est l'année scolaire en cours plus l'année suivante, afin de couvrir un éventuel recours. Au-delà, basculer en archivage anonymisé. La durée exacte est à arbitrer dans votre AIPD et inscrite au registre des traitements.

Sources officielles

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.