ChatGPT
Claude
Perplexity
Gemini
GrokAI Act en Belgique : un règlement européen qui s'applique directement, sans transposition
Le Règlement (UE) 2024/1689 sur l'intelligence artificielle — l'AI Act — est un règlement européen d'application directe. En Belgique, aucune loi de transposition n'est nécessaire : il s'applique tel quel, dans l'intégralité de ses dispositions. L'autorité de contrôle nationale compétente pour superviser son application est l'APD (Autorité de protection des données), qui assure déjà le suivi du RGPD pour les traitements de données personnelles dans l'enseignement supérieur.
Les obligations pour les systèmes à haut risque — dont plusieurs sont déployés dans les hautes écoles, universités et établissements d'enseignement supérieur belges — entrent en vigueur le 2 août 2026. Pour les interdictions (risque inacceptable), la date d'application était le 2 février 2025 : si votre établissement utilise l'un de ces systèmes, l'arrêt est déjà dû.
L'ARES (Académie de Recherche et d'Enseignement supérieur) et l'AEQES (Agence pour l'Évaluation de la Qualité de l'Enseignement Supérieur) n'ont pas encore publié de lignes directrices spécifiques sur l'AI Act pour les établissements belges. Cela ne décharge pas les établissements de leurs obligations : le règlement s'applique indépendamment de toute recommandation sectorielle. Ce guide fournit la grille d'analyse pratique pour identifier le niveau de risque de vos outils IA et anticiper les obligations correspondantes.
Les 4 niveaux de risque et leur application dans l'enseignement supérieur belge
Risque inacceptable : pratiques interdites depuis février 2025
L'article 5 de l'AI Act interdit une liste limitative de pratiques. Dans le contexte des hautes écoles et universités belges, trois interdictions méritent attention.
Notation sociale généralisée : tout système d'IA attribuant des scores à des candidats ou étudiants sur la base de leur comportement dans des contextes différents pour les désavantager est interdit. Un outil de sélection intégrant des données de présence aux événements, de comportement sur les plateformes de l'établissement ou d'interactions avec les services administratifs dans un score global d'admission relèverait de cette catégorie.
Exploitation des vulnérabilités : les systèmes ciblant les vulnérabilités d'individus — notamment les mineurs présents en bachelier de premier cycle — pour influencer leur comportement d'inscription sont interdits.
Manipulation subliminale : les techniques agissant en dehors de la conscience de l'utilisateur dans des parcours de recrutement numériques personnalisés tombent sous cette interdiction.
Haut risque : la catégorie qui concerne le plus d'établissements belges
L'Annexe III, point 3a de l'AI Act classe comme haut risque tout système d'IA utilisé pour « déterminer l'accès ou l'admission à des établissements d'enseignement ou de formation professionnelle, ainsi que pour évaluer les personnes aux fins de l'admission ».
Dans le contexte belge, cela concerne directement :
- Les outils de présélection et de scoring des candidatures aux bacheliers, masters et formations continues
- Les systèmes de détection de plagiat par IA influençant la notation ou l'accès aux examens suivants
- Les outils de proctoring IA utilisés dans les sessions d'examens à distance (très répandus depuis 2020)
- Les algorithmes de recommandation de filière ou de passerelle entre programmes
Pour une institution comme l'ULB, UCLouvain ou ULiège, qui traitent plusieurs dizaines de milliers de candidatures par an, ces outils sont souvent intégrés dans des systèmes CRM ou des plateformes académiques tierces. L'obligation de conformité s'applique à l'établissement en tant que déployeur, même si l'outil est développé par un prestataire externe.
Risque limité : l'obligation de transparence pour les chatbots
Les chatbots d'admissions, les assistants IA d'information et les systèmes de génération automatique de contenus relèvent du risque limité. L'article 50 du règlement impose une obligation unique : informer l'utilisateur qu'il interagit avec un système d'IA. Cette identification doit être claire et présente dès le début de l'interaction, pas enfouie dans les mentions légales.
Pour un chatbot déployé sur le site d'une haute école libre ou d'une université libre de Bruxelles, un message d'accueil du type « Je suis l'assistant IA de [Nom de l'établissement] — pour toute question complexe, un conseiller humain est disponible » remplit l'obligation. L'absence d'identification expose l'établissement à une amende pouvant atteindre 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial.
Risque minimal : aucune obligation spécifique
Les correcteurs orthographiques, outils de filtrage des emails, systèmes de recommandation de contenus non liés aux admissions et assistants de planification n'ont aucune obligation spécifique au titre de l'AI Act.
Tableau de classification : outils IA et niveaux de risque dans un établissement belge
| Outil IA | Niveau de risque | Obligations principales | Échéance |
|---|---|---|---|
| Chatbot d'information / admissions | Limité | Identification IA (art. 50) | En vigueur |
| Scoring de candidatures / présélection | Haut risque | Documentation technique, contrôle humain, journalisation | 2 août 2026 |
| Proctoring IA (surveillance d'examens) | Haut risque | Idem haut risque | 2 août 2026 |
| Détection de plagiat influençant les notes | Haut risque | Idem haut risque + audit de biais | 2 août 2026 |
| Recommandation de filière / passerelle | Haut risque si décision d'accès | Selon usage effectif | 2 août 2026 |
| Génération de contenus pédagogiques | Limité | Identification si présentés comme humains | En vigueur |
| Profilage comportemental ou notation sociale | Interdit | Arrêt immédiat | Déjà illégal |
| Correcteurs, filtres anti-spam | Minimal | Aucune | — |
Obligations des déployeurs belges (Article 29) : ce qui vous incombe concrètement
Les hautes écoles et universités belges qui utilisent des systèmes d'IA à haut risque sont des déployeurs au sens de l'article 26 de l'AI Act. L'article 29 détaille leurs obligations.
Contrôle humain obligatoire : aucune décision d'admission ne peut reposer exclusivement sur la sortie d'un système d'IA à haut risque. Le jury ou le conseiller doit disposer d'un accès complet au dossier, indépendamment du score ou de la recommandation de l'outil. Ce point est particulièrement important pour les établissements utilisant des plateformes centralisées de traitement des candidatures.
Journalisation des traitements : les logs générés par les systèmes à haut risque doivent être conservés dans la mesure du possible. En pratique, cela signifie que les entrées (données du candidat) et sorties (scores, recommandations) de chaque traitement doivent être tracées et conservées suffisamment longtemps pour permettre un audit en cas de contestation.
Notification aux candidats : les personnes évaluées par un système à haut risque doivent en être informées. Cette obligation s'articule avec le RGPD et la loi du 30 juillet 2018 (LVP) qui encadre les traitements de données en Belgique. L'APD a publié des recommandations sur l'IA et le RGPD qui précisent cette articulation pour les établissements belges.
Suspension en cas de risque identifié : si un déployeur identifie qu'un système à haut risque génère des résultats discriminatoires ou erronés, il doit le suspendre et notifier le fournisseur. Ce n'est pas discrétionnaire.
Chatbots et transparence (Article 50) : les 3 obligations pratiques
Pour la majorité des établissements belges, le cas d'usage IA le plus immédiatement concerné est le chatbot. Les obligations sont proportionnées.
Identification systématique : le chatbot doit se présenter comme un système d'IA dès la première interaction ou dès qu'une confusion avec un humain est possible.
Réponse honnête à la question directe : si un étudiant ou un prospect demande « Est-ce que je parle à un humain ? », la réponse doit être honnête. Un chatbot programmé pour nier son caractère artificiel viole l'article 50.
Accès humain disponible : le prospect doit pouvoir basculer vers un conseiller humain à tout moment. Cette pratique est cohérente avec les attentes des étudiants : 72 % des questions prospects sont automatisables par FAQ, 7 % seulement nécessitent une intervention humaine (Source : Classification automatique sur 12 000 conversations Skolbot, 2025). Les 7 % qui nécessitent un humain doivent pouvoir y accéder facilement.
Pour les implications RGPD spécifiques aux chatbots IA dans le contexte belge, consultez notre article sur le chatbot IA et collecte de données RGPD en école.
Roadmap de conformité pour un établissement belge : 12 semaines
Semaines 1-2 : cartographie des outils IA Listez tous les systèmes d'IA en usage : chatbot, plateforme de candidatures, outil de scoring, détection de plagiat, proctoring, génération de contenu. Incluez les outils des prestataires qui traitent des données de vos candidats.
Semaines 3-4 : classification par niveau de risque Appliquez la grille des Annexes I et III du règlement à chaque outil. Pour les outils dont la classification est incertaine, demandez à votre fournisseur sa propre classification documentée. L'absence de réponse est un signal d'alerte.
Semaines 5-6 : audit des contrats fournisseurs Pour chaque outil à haut risque, vérifiez que votre contrat vous donne accès à la documentation technique nécessaire à vos obligations de déployeur (art. 13 AI Act). Si ce n'est pas le cas, renégociez ou changez de fournisseur.
Semaines 7-8 : conformité chatbot Ajoutez l'identification IA dans l'interface. Testez la réponse à la question « êtes-vous un humain ? ». Ajoutez un bouton d'escalade vers un conseiller humain. Durée estimée : 2 à 5 jours de développement.
Semaines 9-12 : documentation et processus haut risque Pour les outils à haut risque conservés, documentez le processus de contrôle humain, établissez la politique de journalisation, et formez les équipes admissions. Si un outil ne peut pas être rendu conforme avant août 2026, posez la question de sa suspension ou de son remplacement.
Pour approfondir la question des biais dans les outils IA de recrutement — un enjeu central de la conformité haut risque — notre article sur les biais IA dans le recrutement étudiant est directement applicable. Sur le droit à l'effacement pour les prospects, consultez notre article sur le droit d'effacement RGPD. Le cadre réglementaire complet pour les données étudiantes en Belgique est couvert dans notre guide RGPD dédié.
FAQ
L'APD belge est-elle l'autorité compétente pour l'AI Act ?
Oui, pour les aspects liés aux données personnelles et pour l'application du règlement sur le territoire belge. La gouvernance de l'AI Act prévoit des autorités nationales compétentes dans chaque État membre : en Belgique, l'APD joue ce rôle en ce qui concerne les droits fondamentaux et la protection des données. Des précisions institutionnelles sont attendues dans le cadre de la mise en œuvre de la gouvernance nationale de l'AI Act.
Les hautes écoles subventionnées par la Fédération Wallonie-Bruxelles sont-elles concernées ?
Oui. L'AI Act s'applique à tous les établissements déployant des systèmes d'IA dans l'UE, qu'ils soient publics, privés ou subventionnés. Le statut de l'établissement n'influence pas l'application du règlement. Les hautes écoles du réseau libre subventionné comme Condorcet, EPHEC ou Henallux sont concernées dans les mêmes termes que les universités.
Notre plateforme de candidatures est hébergée aux États-Unis. L'AI Act s'applique-t-il quand même ?
Oui. L'article 2 du règlement prévoit une portée extraterritoriale : l'AI Act s'applique dès que les sorties d'un système d'IA sont utilisées dans l'UE, quel que soit le lieu d'hébergement du fournisseur. Une plateforme américaine de gestion des candidatures utilisée pour sélectionner des étudiants en Belgique est soumise à l'AI Act. Exigez de votre fournisseur américain une déclaration de conformité.
Doit-on enregistrer nos systèmes à haut risque dans une base de données européenne ?
Cette obligation incombe principalement aux fournisseurs (développeurs) des systèmes à haut risque. En tant que déployeur, votre obligation principale est de vérifier que le fournisseur a procédé à cet enregistrement et d'en conserver la preuve. La base de données européenne des systèmes IA à haut risque est accessible au public : vérifiez-y la présence de vos outils.
Que risque un établissement qui n'est pas conforme au 2 août 2026 ?
Les sanctions sont graduées : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel pour les manquements aux obligations haut risque, 7,5 millions d'euros ou 1,5 % pour les manquements aux obligations de risque limité. Au-delà des amendes, les accréditations AEQES et les partenariats internationaux exigent des standards de gouvernance que la non-conformité AI Act compromet directement.
Cet article a une visée informative générale. Il ne constitue pas un avis juridique. Pour toute décision relative à vos obligations spécifiques au titre de l'AI Act ou du RGPD en Belgique, consultez un juriste spécialisé ou votre DPD.
Testez Skolbot sur votre école en 30 secondes
