ChatGPT
Claude
Perplexity
Gemini
GrokLe 2 août 2026 approche : où en est votre établissement belge ?
Le Règlement (UE) 2024/1689 sur l'intelligence artificielle — l'IA Act — s'applique directement en Belgique en tant que règlement européen. Aucune transposition nationale n'est requise. Le 2 août 2026, les obligations pour les systèmes à haut risque et l'obligation de transparence de l'article 50 entrent en vigueur. Il reste moins de six semaines.
Pour les hautes écoles, universités et établissements d'enseignement supérieur relevant de la Fédération Wallonie-Bruxelles — qu'il s'agisse de l'ULB, de l'UCLouvain, de l'ULiège, de l'UNamur, ou d'une haute école de réseau —, la question n'est plus de savoir si l'IA Act vous concerne. Dès qu'un établissement déploie un chatbot, un outil de présélection de candidatures ou un système de scoring d'admissions, il est un déployeur au sens de l'article 3 du règlement, avec des obligations propres définies à l'article 26.
Un point de calendrier important : l'amendement omnibus d'avril-mai 2026 a reporté l'Annexe III au 2 décembre 2027 pour certains systèmes à haut risque non critiques. Mais les obligations de transparence (art. 50) pour les chatbots IA restent dues le 2 août 2026 sans report. Ce guide détaille les documents à préparer selon votre profil. Pour comprendre la classification des risques applicable à vos outils, consultez notre guide sur la classification AI Act pour les établissements.
Votre établissement belge face à l'IA Act : déployeur avant tout
L'article 26 de l'IA Act définit les obligations spécifiques des déployeurs — ceux qui utilisent des systèmes d'IA dans un contexte professionnel sans les avoir développés eux-mêmes. C'est le cas de la quasi-totalité des établissements d'enseignement supérieur belges : ils achètent ou louent des outils à des fournisseurs tiers (éditeur de chatbot, prestataire CRM, plateforme de scoring) et les intègrent dans leurs processus d'admissions ou de gestion des étudiants.
Les obligations des déployeurs selon l'article 26 comprennent notamment : utiliser le système conformément aux instructions du fournisseur, mettre en place les mesures de contrôle humain prévues, informer les personnes concernées, conserver les journaux d'activité, et coopérer avec les autorités compétentes.
En Belgique, l'autorité de surveillance en matière de protection des données est l'Autorité de protection des données (APD). L'APD est également impliquée dans la mise en œuvre nationale de l'IA Act dans sa dimension de protection des droits fondamentaux. L'APD a déjà indiqué suivre de près les usages d'IA dans l'enseignement supérieur.
Point SME : les établissements de moins de 250 agents bénéficient d'obligations simplifiées — notamment une documentation technique allégée. Vérifiez votre seuil avant d'établir votre plan de conformité.
La checklist de documentation selon le niveau de risque
Chatbot d'information et d'admissions — risque limité (art. 50)
Les chatbots qui répondent aux questions des futurs étudiants sur les programmes, les conditions d'accès, le minerval (~835 €/an pour les universités), ou les délais d'inscription relèvent du risque limité. Leur seule obligation réglementaire spécifique au titre de l'IA Act est la transparence de l'article 50 : l'utilisateur doit savoir qu'il interagit avec un système d'IA.
Documents à préparer pour un chatbot risque limité :
1. Notice d'identification IA (obligatoire avant le 2 août 2026) Un texte visible dès l'ouverture de la fenêtre de chat, indiquant clairement le caractère artificiel du système. Exemple : « Je suis un assistant IA de [Nom de l'établissement]. Pour parler à un conseiller humain, cliquez ici. » Ce texte doit figurer dans la documentation interne comme dans l'interface.
2. Mise à jour de la politique de confidentialité La politique doit mentionner l'utilisation d'un chatbot IA, les données collectées lors des interactions (historique de conversation, éventuellement adresse IP), la base légale au titre du RGPD et de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (LVP), et les droits des utilisateurs.
3. Registre de traitement mis à jour Tout traitement de données dans le cadre du chatbot doit figurer dans le registre des activités de traitement (art. 30 RGPD). Vérifiez avec votre DPO que le traitement est bien documenté.
4. Contrat de sous-traitance avec le fournisseur (DPA) Le fournisseur du chatbot traite des données pour votre compte. Un accord de traitement des données conforme à l'article 28 RGPD est obligatoire. Ce document doit également préciser les obligations du fournisseur au titre de l'IA Act.
72 % des questions posées aux chatbots d'établissements sont des FAQ simples automatisables (Source : analyse de 12 000 conversations Skolbot, 2025-2026). Pour cet usage majoritaire, les obligations documentaires restent légères et proportionnées.
Outils de présélection et de scoring des candidatures — haut risque (Annexe III)
Si votre établissement utilise un outil d'IA qui produit un score, un classement ou une recommandation intervenant dans la décision d'accès à une formation, cet outil relève de l'Annexe III, point 3a de l'IA Act : systèmes utilisés pour déterminer l'accès ou l'admission à des établissements d'enseignement.
Note de calendrier : pour les systèmes relevant de l'Annexe III, le report au 2 décembre 2027 (omnibus mai 2026) peut s'appliquer. Consultez votre conseil juridique pour confirmer si vos outils spécifiques bénéficient de ce report. Les documents ci-dessous restent à préparer quelle que soit l'échéance finale.
Documents requis pour un outil à haut risque (Annexe IV de l'IA Act) :
1. Documentation technique (Annexe IV) Le fournisseur de l'outil doit vous fournir une documentation technique décrivant : la description générale du système, les données d'entraînement utilisées, les mesures de gestion des risques, les performances du système et les métriques de validation, les biais identifiés et les mesures d'atténuation.
2. Déclaration de conformité UE Demandez à votre fournisseur la déclaration de conformité UE, qui atteste que le système satisfait aux exigences de l'IA Act. Un fournisseur qui ne peut pas produire ce document est un signal d'alerte sérieux.
3. Procédure de contrôle humain documentée L'article 26 §2 impose que le déployeur veille à ce qu'une supervision humaine soit effective. Documentez le processus : qui valide les scores produits par l'outil ? Selon quels critères peut-il être ignoré ou contesté ? Quelle est la procédure si un candidat conteste la décision ?
4. Politique de journalisation Les logs produits par le système doivent être conservés. Établissez une politique précisant la durée de conservation (recommandation pratique : 12 mois minimum), le lieu de stockage, et les conditions d'accès.
5. Information aux candidats évalués Les étudiants dont le dossier est traité par un outil à haut risque doivent être informés (art. 26 §6). Cette information peut figurer dans les conditions d'admission, à condition d'être rédigée en termes clairs.
6. Évaluation des risques spécifique au contexte de déploiement L'article 26 §2 impose que le déployeur évalue les risques liés à son contexte spécifique. Documentez cette évaluation : quels types de candidats sont évalués, quels sont les risques de biais identifiés dans votre population d'applicants, comment le système s'intègre dans votre processus global de sélection.
Le tableau de synthèse : quels documents pour quel outil
| Outil IA | Niveau de risque | Documents obligatoires avant le 2/08/2026 |
|---|---|---|
| Chatbot FAQ prospect / admissions | Limité (art. 50) | Notice identification IA, DPA fournisseur, registre de traitement |
| Outil de scoring / présélection candidatures | Haut risque (Annexe III) | Documentation technique Annexe IV, déclaration conformité, procédure contrôle humain, politique journalisation, information candidats |
| Outil de génération de contenu pédagogique | Limité si outputs marqués IA | Notice identification si outputs présentés comme humains |
| Proctoring IA (surveillance examens en ligne) | Haut risque (Annexe III) | Idem haut risque + analyse d'impact (AIPD) recommandée |
| CRM avec recommandation de parcours | À qualifier selon usage | Analyse de classification à réaliser avec DPO |
| Correcteur orthographique, filtre anti-spam | Minimal | Aucune obligation spécifique IA Act |
Articulation avec la LVP et le RGPD en Belgique
L'IA Act ne se substitue pas au RGPD. Les deux cadres s'appliquent simultanément, et en Belgique, la loi du 30 juillet 2018 (LVP) qui adapte le RGPD au droit belge s'ajoute à l'équation.
Analyse d'impact (AIPD / DPIA) pour les traitements à risque élevé. Si votre outil de scoring ou de proctoring n'a pas encore fait l'objet d'une AIPD au titre de l'article 35 RGPD, l'heure est venue de le faire. L'IA Act et le RGPD convergent sur ce point : les traitements à haut risque pour les droits des personnes nécessitent une analyse préalable documentée. L'APD a publié des lignes directrices sur les AIPD qui restent la référence en Belgique.
Droits des étudiants et des candidats. L'article 22 RGPD sur les décisions automatisées s'articule directement avec l'article 26 IA Act sur le contrôle humain. Si votre processus d'admission comprend une décision automatisée, les candidats ont le droit de demander une explication et une révision humaine. Cette procédure doit être documentée et effective.
Pour un tour complet des obligations RGPD sur les données étudiantes, notre guide RGPD données étudiantes reste la référence. Pour les aspects spécifiques au choix d'un fournisseur de chatbot conforme, consultez notre article sur les fournisseurs de chatbot IA RGPD-compliant.
Plan d'action sur six semaines pour un établissement belge
Semaine 1 : inventaire complet des outils IA en usage Listez tous les systèmes d'IA déployés : chatbot, CRM avec scoring automatique, outil de détection de plagiat, générateur de contenu, outils RH internes si leur périmètre inclut des étudiants ou des candidats. Incluez les outils des prestataires de services qui traitent des données pour votre compte.
Semaine 2 : classification de chaque outil Pour chaque outil listé, déterminez son niveau de risque en appliquant les Annexes I et III du règlement. En cas de doute, contactez le fournisseur pour obtenir sa propre classification documentée.
Semaines 3-4 : mise en conformité chatbot (risque limité) Un chatbot IA répond en 3 secondes 24h/24, contre 72h pour un formulaire de contact (Source : audit Skolbot 2025). Ce gain opérationnel ne doit pas être remis en cause par un défaut de conformité évitable. La mise à jour de l'interface pour identifier le chatbot comme système d'IA est une intervention technique légère — généralement 1 à 3 jours de travail.
Semaines 5-6 : documentation fournisseurs et DPA Contactez chaque fournisseur pour obtenir la documentation technique, la déclaration de conformité, et vérifier ou signer un DPA conforme. Pour les outils à haut risque, commencez la documentation de la procédure de contrôle humain et de la politique de journalisation.
Après le 2 août 2026 : revue annuelle La conformité IA Act est un processus continu. Alignez la revue annuelle avec votre cycle RGPD existant. Impliquez votre DPO dès maintenant si ce n'est pas encore fait.
Testez Skolbot sur votre établissement en 30 secondesFAQ
L'IA Act s'applique-t-il directement aux hautes écoles belges ?
Oui. L'IA Act est un règlement européen d'application directe dans tous les États membres, dont la Belgique. Aucune transposition nationale n'est requise. Les hautes écoles, universités et tout autre établissement d'enseignement supérieur belge qui déploie des systèmes d'IA sont soumis aux obligations de déployeur définies à l'article 26 du règlement.
L'APD est-elle l'autorité compétente pour l'IA Act en Belgique ?
L'APD est l'autorité nationale de protection des données (au titre du RGPD) et joue un rôle dans la gouvernance nationale de l'IA Act, notamment pour les aspects liés aux droits fondamentaux et à la protection des données. Pour toute question relative à la protection des données dans le cadre de l'IA, l'APD (autoriteprotectiondonnees.be) reste l'interlocuteur privilégié.
Notre établissement compte moins de 250 agents. Bénéficions-nous d'obligations allégées ?
Oui. L'IA Act prévoit des dispositions spécifiques pour les PME et micro-entreprises (établissements de moins de 250 personnes). Les obligations de documentation technique sont simplifiées, et certains délais peuvent être aménagés. Cela ne dispense pas des obligations de transparence (art. 50) ni du contrôle humain pour les outils à haut risque, mais allège la charge documentaire formelle.
Que risque un établissement non conforme le 2 août 2026 ?
Les sanctions prévues par l'IA Act atteignent 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour les manquements aux obligations à haut risque, et 7,5 millions d'euros ou 1,5 % pour les manquements à l'obligation de transparence (art. 50). Au-delà des amendes, le risque réputationnel est significatif pour des établissements accrédités par l'AEQES dont les standards de gouvernance sont publiquement évalués.
Faut-il informer les candidats de l'utilisation d'un chatbot IA sur le site de l'établissement ?
Oui, depuis le 2 août 2026. L'article 50 impose une identification claire du chatbot comme système d'IA. Un message visible dès l'ouverture de l'interface — par exemple au moment où un futur étudiant pose une question sur les conditions d'admission ou sur le dossier ARES de l'établissement — suffit à remplir cette obligation, à condition qu'il soit lisible et non dissimulé.
Cet article a une visée informative générale et ne constitue pas un avis juridique. Pour toute décision relative à vos obligations spécifiques au titre de l'IA Act ou de la législation belge sur la protection des données, consultez un professionnel du droit des données ou votre DPO.
Testez Skolbot sur votre établissement en 30 secondes
