ChatGPT
Claude
Perplexity
Gemini
GrokL'IA Act en Belgique : universités et hautes écoles directement concernées
Le règlement européen sur l'intelligence artificielle (IA Act, règlement UE 2024/1689) s'applique directement dans tous les États membres de l'Union européenne, Belgique comprise, sans nécessiter de transposition nationale préalable. Ses interdictions sont effectives depuis février 2025 ; les obligations pour les systèmes à haut risque entrent en vigueur en août 2026 (Source : Journal Officiel de l'UE, règlement 2024/1689, art. 113).
Pour les établissements d'enseignement supérieur de la Fédération Wallonie-Bruxelles (FWB) — universités, hautes écoles, établissements d'enseignement supérieur de promotion sociale — le règlement n'est pas une abstraction réglementaire lointaine. Dès qu'un établissement utilise un outil de scoring de candidatures, un chatbot d'admissions, un système de détection de plagiat par IA ou un algorithme de recommandation de parcours, il déploie un « système d'IA » au sens du règlement.
La particularité belge est structurellement importante : contrairement à la France, la FWB ne dispose d'aucune plateforme centralisée comparable à Parcoursup. L'admission se fait directement auprès de chaque établissement — sauf pour les filières contingentées (médecine, dentisterie, kinésithérapie), où un examen d'entrée géré par l'ARES (Académie de recherche et d'enseignement supérieur) détermine l'accès. Cette décentralisation signifie que chaque université et chaque haute école doit individuellement évaluer la conformité de ses propres outils numériques d'aide à l'admission.
L'Autorité de protection des données (APD) a été désignée autorité nationale de coordination pour l'IA Act en Belgique, en complément de ses missions d'autorité de contrôle RGPD. Elle est l'interlocuteur central pour toute question relative aux systèmes d'IA traitant des données personnelles de candidats étudiants.
La classification des risques : où se situe votre établissement
L'IA Act distingue quatre niveaux de risque. Le niveau détermine l'étendue des obligations.
| Niveau de risque | Exemples dans l'enseignement supérieur belge | Obligations clés |
|---|---|---|
| Inacceptable (interdit) | Notation comportementale globale influençant l'admission | Interdiction totale depuis février 2025 |
| Haut risque | Présélection automatisée de candidatures, notation automatisée, détection de plagiat influençant les notes | Documentation technique, contrôle humain, enregistrement EU |
| Risque limité | Chatbots d'admissions et d'information | Identification comme IA, possibilité de contact humain |
| Risque minimal | Correcteurs orthographiques, filtres anti-spam | Aucune obligation spécifique |
Risque inacceptable : ce qui est interdit depuis février 2025
L'IA Act interdit les systèmes de notation sociale généralisée et la manipulation subliminale. Dans le contexte des admissions belges, un système qui évaluerait les candidats en fonction de leur comportement social global — présence aux événements, activité sur les réseaux internes de l'établissement — pour décider de leur admission serait interdit (Source : IA Act, art. 5, §1). Ce scénario n'est pas purement théorique : certaines pratiques de scoring holistique, développées de manière autonome par des établissements sans cadre centralisé, s'en approchent.
Haut risque : la catégorie déterminante pour les hautes écoles et universités
L'Annexe III, point 3a du règlement classe explicitement comme haut risque les systèmes d'IA utilisés pour « déterminer l'accès ou l'admission à des établissements d'enseignement » (Source : IA Act, Annexe III, point 3a). Pour les établissements belges, sont concrètement concernés :
- Les outils de présélection automatisée des candidatures : tout système qui filtre, classe ou score les dossiers de candidature sur la base de critères traités algorithmiquement
- Les systèmes de détection de plagiat par IA qui influencent la notation ou l'évaluation académique
- Les algorithmes d'orientation ou de placement qui conditionnent l'accès à des parcours spécifiques au sein de l'établissement
- Les systèmes de notation automatisée produisant ou influençant une évaluation académique
Pour les filières contingentées, tout outil d'IA intégré dans la procédure d'évaluation ou de classement des candidats — en complément de l'examen d'entrée géré par l'ARES — relève également de la catégorie haut risque. La frontière tient à l'usage réel du système, pas à sa place formelle dans le processus.
Les obligations pour cette catégorie sont substantielles : système de gestion des risques documenté, qualité des données d'entraînement vérifiée et documentée, documentation technique complète, contrôle humain obligatoire — aucune décision d'admission ne peut être entièrement automatisée — journalisation des entrées et sorties, enregistrement dans la base de données européenne.
Risque limité : les chatbots d'admissions
Les chatbots d'information et de qualification des prospects appartiennent à cette catégorie. L'obligation est simple et non négociable : informer l'utilisateur qu'il interagit avec un système d'IA (Source : IA Act, art. 50, §1). Un message d'accueil du type « Je suis un assistant IA de [nom de l'établissement]. Un conseiller humain est disponible sur demande » remplit cette obligation. Le prospect doit pouvoir à tout moment demander à parler à un humain.
Le calendrier de conformité pour les établissements belges
Les échéances s'appliquent uniformément dans toute l'UE. Pour un établissement belge :
2 février 2025 — déjà effectif. Les interdictions (risque inacceptable) sont en vigueur. Tout système de notation sociale ou de manipulation doit être désactivé.
2 août 2025 — Obligations pour les modèles d'IA à usage général (GPAI). Vos fournisseurs d'outils IA — chatbots, CRM avec scoring, moteurs de recommandation — doivent démontrer leur conformité. Exigez une déclaration de conformité écrite et datée.
2 août 2026 — Date critique pour les hautes écoles et universités. Les systèmes à haut risque (présélection de candidatures, notation automatisée) doivent être pleinement conformes : documentation technique complète, contrôle humain opérationnel, enregistrement dans la base de données européenne.
Il reste environ 15 mois avant l'échéance critique du 2 août 2026. Si votre établissement n'a pas encore réalisé l'inventaire de ses outils IA, c'est la priorité opérationnelle immédiate.
Les obligations pratiques par cas d'usage
Chatbot d'admissions (risque limité)
Trois obligations, proportionnées et réalistes pour tout établissement belge.
Transparence : le chatbot s'identifie clairement comme IA dès le premier message. Un bandeau ou un message d'accueil distinct suffit — l'utilisateur ne doit pas pouvoir croire interagir avec un conseiller humain.
Traitement des données : conformément à la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données (LVP), qui transpose le RGPD en droit belge, tout traitement de données personnelles par le chatbot doit être documenté dans la politique de confidentialité. Notre guide RGPD pour les données étudiantes détaille ces obligations pour les établissements francophones.
Accès humain : un bouton « Parler à un conseiller » visible en permanence répond à cette exigence. L'établissement doit s'assurer qu'une réponse humaine est disponible dans un délai raisonnable, notamment pendant les périodes de forte charge (inscriptions, résultats de l'examen d'entrée).
Coût estimé : quasi nul si le chatbot est déjà transparent. Comptez 2 à 5 jours de travail pour auditer, documenter et ajuster l'interface si nécessaire.
Outil de présélection des candidatures (haut risque)
Les obligations sont significativement plus lourdes. Six exigences cumulatives : (1) système de gestion des risques documenté (biais, discrimination, erreurs de classification), (2) qualité des données d'entraînement vérifiée (représentativité, absence de biais historiques liés au réseau scolaire ou à la commune de résidence), (3) documentation technique complète, (4) contrôle humain — aucune décision d'admission entièrement automatisée, (5) journalisation des entrées et sorties sur une période minimale de 6 mois, (6) enregistrement dans la base de données européenne des systèmes à haut risque.
La responsabilité est partagée : le fournisseur porte les obligations du « fournisseur » au sens de l'art. 16 IA Act ; l'établissement est « déployeur » au sens de l'art. 26 et répond de l'usage du système dans son contexte propre. L'APD peut investiguer les deux entités simultanément.
Coût estimé : 15 000 à 50 000 EUR pour un audit complet, la documentation technique et la mise en place des processus de contrôle humain.
Détection de plagiat par IA (haut risque si elle influence la notation)
Les détecteurs d'IA affichent un taux de faux positifs de 5 à 15 % selon les études publiées par le Stanford HAI. Si le résultat d'un outil de détection de plagiat influence directement une note ou une décision académique dans votre établissement, il est classé haut risque. Le contrôle humain n'est pas une option de bonne pratique — c'est une obligation légale, renforcée par l'article 22 du RGPD transposé par la LVP belge.
L'articulation avec la LVP et le RGPD en Belgique
L'IA Act ne remplace pas le RGPD ni la LVP du 30 juillet 2018. Les deux cadres s'appliquent simultanément et se renforcent mutuellement. Tout traitement de données personnelles par un système d'IA reste soumis à la LVP : base légale, minimisation des données, droits d'accès et de rectification des candidats. L'article 22 du RGPD — transposé en droit belge — interdit déjà les décisions entièrement automatisées produisant des effets significatifs sur les personnes ; l'IA Act ajoute des exigences détaillées de transparence algorithmique, de contrôle humain et d'audit de biais.
Le Comité européen de la protection des données (EDPB) a publié des lignes directrices sur l'articulation entre IA Act et RGPD, particulièrement pertinentes pour les traitements de données de candidats étudiants. Ces lignes directrices font référence pour l'APD dans son rôle de coordination nationale.
Pour approfondir la conformité des données dans le contexte belge, consultez notre checklist d'audit RGPD pour les écoles et notre analyse détaillée des risques de biais dans les outils d'admission par IA.
Checklist de conformité IA Act en 8 points
- Inventaire : lister tous les outils IA utilisés dans les admissions, l'évaluation et l'orientation des étudiants
- Classification : déterminer pour chaque outil le niveau de risque (inacceptable, haut, limité, minimal)
- Audit fournisseurs : exiger une déclaration de conformité IA Act datée, la classification documentée et le calendrier de mise à jour
- Transparence chatbots : identification IA explicite au premier message + option contact humain visible en permanence
- Contrôle humain : documenter la procédure de validation humaine pour chaque décision susceptible d'affecter l'accès à une formation
- Documentation technique : constituer le dossier technique complet pour chaque système à haut risque (art. 11 IA Act)
- Analyse des biais : tester les sous-groupes pertinents dans le contexte belge — réseau scolaire (officiel, libre, libre subventionné), commune de résidence, type de CESS, langue des documents
- Revue annuelle : synchroniser la revue IA Act avec la revue LVP/RGPD existante de l'établissement
Les sanctions prévues par l'IA Act
L'IA Act prévoit des amendes graduées applicables dans toute l'UE : jusqu'à 35 millions EUR (ou 7 % du CA mondial) pour les pratiques interdites, 15 millions EUR (ou 3 %) pour la non-conformité haut risque, 7,5 millions EUR (ou 1 %) pour les informations inexactes. L'APD, en tant qu'autorité nationale de coordination, dispose de pouvoirs d'investigation et peut agir de concert avec l'ARES pour les filières contingentées. Le risque réputationnel est au moins aussi préoccupant : un établissement sanctionné pour non-conformité IA fragilise sa crédibilité auprès des candidats et des partenaires.
Ce que les établissements belges doivent exiger de leurs fournisseurs
En tant que « déployeurs » au sens de l'art. 26 IA Act, les universités et hautes écoles belges partagent la responsabilité de conformité. Exigez systématiquement de chaque fournisseur d'outil d'admissions : une déclaration de conformité IA Act datée, la classification du risque avec justification, la documentation technique accessible à l'établissement, un engagement contractuel sur le contrôle humain et la transparence, un audit de biais documenté sur des données représentatives du contexte belge, et un plan de mise à jour réglementaire.
FAQ
L'IA Act s'applique-t-il aux hautes écoles de la même manière qu'aux universités ?
Oui. Le règlement s'applique à tout « déployeur » utilisant un système d'IA dans l'UE, sans distinction entre universités, hautes écoles ou établissements de promotion sociale. La classification du risque dépend de l'usage du système — pas du statut juridique de l'établissement. Une haute école utilisant un outil de scoring de candidatures est soumise aux mêmes obligations qu'une université. La taille de l'établissement peut influencer les ressources disponibles pour la mise en conformité, mais pas les obligations elles-mêmes.
Quid des filières contingentées organisées par l'ARES ?
L'examen d'entrée lui-même est sous contrôle humain, mais tout outil d'IA complémentaire utilisé pour le classement ou l'orientation des candidats dans ces filières est soumis à l'IA Act. La classification dépend de l'impact réel sur la décision d'accès : si le système influence l'issue, il est haut risque (Annexe III, point 3a). Exigez une évaluation explicite de vos prestataires, même pour les outils présentés comme des « aides à la décision ».
Quel lien entre l'IA Act et la LVP belge ?
Les deux réglementations s'appliquent simultanément. La LVP régit la licéité du traitement des données, les droits des candidats (accès, rectification, opposition) et l'obligation d'information conforme au RGPD. L'IA Act ajoute des exigences spécifiques sur la manière dont ces données sont traitées par les systèmes d'IA : transparence algorithmique, contrôle humain, audit de biais, enregistrement. Une conformité LVP seule ne dispense pas de la conformité IA Act.
Combien de temps et de budget prévoir ?
Pour un établissement utilisant un chatbot (risque limité) et un CRM avec scoring basique : 2 à 4 semaines de travail et 3 000 à 8 000 EUR en audit et ajustements. Pour un établissement utilisant un système de présélection automatisée (haut risque) : 2 à 4 mois et 15 000 à 50 000 EUR. Une part significative du coût haut risque est supportée par le fournisseur, mais l'établissement déployeur reste responsable de la vérification et de la documentation de l'usage.
