ChatGPT
Claude
Perplexity
Gemini
GrokAvis légal : cet article est publié à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez un·e juriste spécialisé·e pour toute mise en œuvre concrète dans votre établissement.
Le recrutement étudiant par IA est classé « haut risque » par l'AI Act — y compris en Belgique
La Belgique est État membre de l'Union européenne : le règlement européen sur l'intelligence artificielle (AI Act, UE 2024/1689) s'y applique directement, sans transposition nationale préalable. Son Annexe III, point 3a, classe explicitement comme « haut risque » tout système d'IA « destiné à être utilisé pour déterminer l'accès, l'admission ou l'affectation à des établissements d'enseignement ». Cette qualification n'est pas symbolique : elle déclenche un régime de conformité renforcé — documentation technique obligatoire, évaluation de conformité, enregistrement dans la base de données européenne et surveillance post-marché.
En Belgique, l'Autorité de protection des données (APD) a été désignée comme autorité nationale de coordination pour l'AI Act, en plus de ses fonctions d'autorité de contrôle RGPD. Elle est donc l'interlocuteur central pour toute question relative aux systèmes d'IA traitant des données personnelles d'étudiants et de candidats. La loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (LVP), qui transpose le RGPD en droit belge, s'applique conjointement à l'AI Act pour l'ensemble des traitements de données personnelles d'aspirants étudiants.
Le contexte belge présente une particularité structurelle importante : contrairement à la France, la Belgique ne dispose pas d'une plateforme centralisée d'admission telle que Parcoursup. L'admission se fait directement auprès de chaque établissement, sauf pour les filières contingentées — médecine, dentisterie, kinésithérapie — où un examen d'entrée géré par l'ARES (Académie de Recherche et d'Enseignement Supérieur) détermine l'accès. C'est précisément dans ce contexte de sélection décentralisée que les algorithmes d'aide à l'admission prolifèrent — sans toujours respecter les obligations imposées par l'AI Act. Chaque université, haute école ou établissement d'enseignement supérieur de promotion sociale peut déployer ses propres outils, créant une hétérogénéité réglementaire réelle sur le terrain.
Pourquoi les biais sont statistiquement inévitables
Tout modèle d'intelligence artificielle apprend à partir de données historiques qui reflètent des décisions humaines passées. En Fédération Wallonie-Bruxelles (FWB), ces données encodent les déséquilibres structurels du système éducatif belge : différences entre réseaux d'enseignement (officiel, libre, libre subventionné), entre bassins géographiques (Bruxelles, Hainaut, provinces liégeoises, Luxembourg), et entre établissements disposant d'historiques d'admission volumineux et ceux qui n'en ont pas — souvent les plus petits ou les plus récents.
L'APD a rappelé dans ses positions publiques sur l'IA que l'absence de biais visible ne garantit nullement l'absence de discrimination : des variables apparemment neutres comme la commune de résidence, le réseau scolaire d'origine ou la langue des documents soumis peuvent agir comme proxies de l'origine socio-économique ou de la nationalité. Un algorithme qui n'utilise jamais explicitement l'origine géographique peut néanmoins la reproduire à travers la commune de résidence — une variable légale, mais discriminante dans son effet.
Les données issues de l'activité de Skolbot illustrent cette réalité de terrain. Une classification automatique réalisée sur 12 000 conversations (2025) montre que 72 % des requêtes relèvent de FAQ simples, 21 % de questions contextuelles moyennes, et 7 % de situations complexes. Ce sont précisément ces 7 % — candidats avec parcours atypique, statut boursier, commune rurale, formation en alternance — qui concentrent les risques de biais les plus élevés. Ce sont aussi les candidats pour lesquels une erreur algorithmique a les conséquences les plus graves, car ils disposent souvent de moins de ressources pour contester une décision.
Le NIST AI Risk Management Framework constitue aujourd'hui la référence internationale la plus utilisée pour structurer l'identification et la mitigation de ces biais dans les systèmes d'IA déployés en contexte éducatif.
Skolbot Bias Risk Matrix : 6 sources de biais dans l'enseignement supérieur belge
Le framework ci-dessous croise chaque source de biais identifiée avec quatre dimensions opérationnelles : probabilité d'occurrence dans le contexte belge, sévérité de l'impact sur les candidats, classification au regard de l'AI Act, et difficulté de détection avant qu'un dommage ne soit causé. Il est fondé sur les catégories de biais du NIST AI RMF, adapté au contexte réglementaire et institutionnel belge.
| Source de biais | Probabilité | Sévérité | AI Act | Détection |
|---|---|---|---|---|
| Biais historique (données reflétant des admissions passées inégales entre réseaux) | Très haute | Haute | Haut risque | Moyenne |
| Biais de sélection (étiquettes incomplètes, hautes écoles sous-représentées) | Haute | Haute | Haut risque | Difficile |
| Biais d'agrégation (modèle unique pour universités et hautes écoles) | Moyenne | Moyenne | Haut risque | Moyenne |
| Biais de déploiement (modèle entraîné sur un réseau, utilisé dans un autre) | Moyenne | Haute | Haut risque | Difficile |
| Biais de mesure (proxies : commune, réseau scolaire, langue des documents) | Très haute | Très haute | Haut risque | Très difficile |
| Biais de rétroaction (décisions alimentant les données d'entraînement futures) | Haute | Très haute | Haut risque | Très difficile |
La colonne « AI Act » mérite une précision : tous ces biais opèrent dans un système déjà classé haut risque par l'Annexe III. Leur présence ne change pas la classification du système — elle aggrave les obligations de conformité et augmente l'exposition à des sanctions en cas de contrôle ou d'incident signalé à l'APD.
Deux cas documentés
Les deux exemples suivants illustrent concrètement les mécanismes de biais décrits dans la matrice ci-dessus.
Amazon (2018) : Amazon a développé et finalement abandonné un outil de tri automatisé de CV qui pénalisait systématiquement les candidatures féminines. Le mécanisme n'était pas une règle explicite, mais un apprentissage par proxies lexicaux : des termes courants dans les CV féminins étaient corrélés négativement dans les données d'entraînement, qui reflétaient dix ans de recrutements majoritairement masculins. Ce cas, cité par l'APD dans ses communications sur l'IA responsable, illustre le biais historique dans sa forme la plus documentée.
Ofqual (Royaume-Uni, 2020) : lors de la pandémie de Covid-19, l'organisme britannique Ofqual a utilisé un algorithme pour attribuer les notes de baccalauréat en l'absence d'examens. L'algorithme a massivement dégradé les résultats des élèves issus d'établissements publics modestes tout en survalorisant ceux des écoles privées. Le mécanisme combinait un biais d'agrégation — un modèle unique appliqué à des populations structurellement différentes — et un biais historique — l'historique de l'établissement primait sur la performance individuelle. L'AEQES (Agence pour l'évaluation de la qualité dans l'enseignement supérieur en FWB) a conduit une réflexion interne sur les implications potentielles pour les évaluations belges dans un contexte d'urgence comparable.
Le dénominateur commun à ces deux cas est identique : aucune métrique de fairness par sous-groupe n'avait été mesurée avant le déploiement. Les biais étaient détectables — ils ne l'ont été qu'après que des dommages réels avaient été causés à des personnes réelles.
Framework de mitigation en 4 étapes
Le framework suivant traduit les obligations de l'AI Act et du RGPD en procédures opérationnelles concrètes pour les équipes techniques et les responsables de conformité des établissements belges. Il est compatible avec la norme ISO/IEC 42001:2023 sur les systèmes de management de l'IA.
| Étape | Responsable | Artefact produit |
|---|---|---|
| 1. Audit du dataset d'entraînement | Équipe data + DPO | Fiche de données : origine, représentativité par sous-groupe, proxies identifiés |
| 2. Mesure de fairness metrics | Équipe data | Rapport : parité démographique, égalité des chances, impact disparate par sous-groupe (seuil documenté) |
| 3. Contrôle humain sur décisions sensibles | Direction des inscriptions | Procédure écrite de validation humaine pour scores en zone d'incertitude |
| 4. Monitoring continu en production | Équipe data + DPO | Tableau de bord mensuel : dérive des métriques, alertes, registre d'incidents |
Deux obligations réglementaires encadrent ce framework. L'AI Act, en son article 14, exige un « contrôle humain effectif » des systèmes haut risque — ce qui exclut explicitement le tamponnage en masse de décisions automatisées. Le contrôle humain doit être réel, documenté et opérationnel. La LVP du 30 juillet 2018 impose quant à elle un cadre de licéité pour tout traitement automatisé produisant un effet significatif sur une personne physique, en cohérence avec l'article 22 du RGPD.
Checklist DPO : 10 points avant mise en production
Cette checklist est adressée au délégué à la protection des données (DPO) ou au responsable conformité de l'établissement. Elle ne remplace pas une Analyse d'Impact relative à la Protection des Données (AIPD), obligatoire pour tout traitement systématique à grande échelle — RGPD article 35.
-
Classification AI Act documentée : le modèle relève-t-il de l'Annexe III ? Si oui, l'enregistrement dans la base de données européenne des systèmes haut risque est-il prévu et planifié ?
-
Base légale RGPD identifiée : intérêt légitime ou consentement ? Les candidats sont-ils informés de manière conforme aux articles 13-14 du RGPD et aux dispositions correspondantes de la LVP belge ?
-
Fiche de données produite : origine des données, période couverte, sous-groupes représentés (ou absents), proxies connus tels que la commune de résidence, le réseau scolaire ou le CESS (Certificat d'Enseignement Secondaire Supérieur).
-
Variables sensibles identifiées : âge, genre, origine nationale ou ethnique, situation de handicap — ces variables sont-elles exclues du modèle ou leur usage explicitement justifié et documenté ?
-
Fairness metrics mesurées avant déploiement : par sous-groupe protégé, avec seuils documentés — le seuil d'impact disparate admissible est généralement fixé à un ratio > 0,8 (règle des quatre cinquièmes).
-
Contrôle humain effectif : procédure écrite opérationnelle, zones d'incertitude définies avec des seuils de score précis, absence de validation automatique en masse des décisions.
-
Logs horodatés conservés : l'AI Act, article 12, exige la journalisation pour les systèmes haut risque ; la durée de conservation doit être conforme aux prescriptions de la LVP et à la politique de gestion des données de l'établissement.
-
Information du candidat : le candidat sait-il qu'un système d'IA intervient dans le traitement de son dossier ? Dispose-t-il des modalités pour demander une intervention humaine, conformément à l'article 22 du RGPD ?
-
Monitoring de dérive : fréquence mensuelle minimum ; métriques comparées à la baseline initiale ; alertes configurées en cas de dépassement des seuils ; registre d'incidents maintenu et accessible au DPO.
-
Plan de retrait documenté : si un biais sévère est détecté en production — qui décide du retrait, en combien de temps, qui est prévenu (APD, candidats concernés, organe de direction de l'établissement) ?
Pour aller plus loin sur la protection des données dans l'enseignement supérieur belge :
- Guide RGPD pour les données étudiantes
- Chatbot IA et recrutement étudiant : bonnes pratiques
- AI Act et enseignement supérieur : ce que les établissements doivent savoir
- Protéger les données des prospects étudiants
FAQ
Un outil d'aide à la sélection utilisé dans le cadre d'un examen d'entrée contingentée est-il « haut risque » au sens de l'AI Act ?
Oui, dès lors qu'il influence la décision d'accès à une filière. L'examen lui-même reste sous contrôle humain (ARES), mais tout scoring IA complémentaire qui influe sur l'orientation du candidat est classé haut risque au titre de l'Annexe III, point 3a. La frontière tient à l'usage réel du système, pas à la dénomination commerciale du produit ni à sa place dans le processus.
Faut-il refaire une AIPD à chaque mise à jour du modèle ?
Pas à chaque release technique, mais à chaque changement substantiel : nouveau dataset d'entraînement, nouvelle finalité de traitement, modification significative de l'architecture du modèle. La LVP belge suit le RGPD sur ce point : l'APD recommande une revue annuelle minimum et la traçabilité des versions, conformément aux exigences de journalisation de l'AI Act, article 12.
Peut-on utiliser le réseau d'enseignement (officiel/libre) ou la commune comme variable d'entrée du modèle ?
Ces variables ne sont pas des données sensibles au sens de l'article 9 du RGPD, mais elles agissent comme proxies socio-économiques avérés dans le contexte belge. Leur usage doit être justifié par une nécessité documentée, soumis à des tests d'impact disparate avant déploiement, et revu régulièrement. Si le seuil d'impact disparate est franchi, les variables doivent être retirées du modèle ou le dataset rééquilibré avant toute mise en production.
Qui est responsable en cas de biais avéré : l'établissement ou le prestataire ?
Les deux, à des titres distincts et cumulatifs. Le prestataire porte la conformité du système au titre de l'AI Act, article 16 (obligations du fournisseur). L'établissement est « déployeur » au sens de l'article 26 et répond de l'usage du système dans son contexte propre. L'APD peut investiguer les deux entités simultanément. Il est impératif d'exiger une déclaration de conformité AI Act de votre prestataire et de documenter vos propres mesures de contrôle.
Quel est le coût de la conformité AI Act pour une haute école de taille moyenne ?
Il varie selon le périmètre et la maturité interne de l'établissement. Pour un établissement comptant deux à trois outils concernés par la classification haut risque, l'audit initial représente généralement deux à quatre semaines de travail. Le budget annuel de monitoring se situe de l'ordre de 10 000 à 20 000 € selon les ressources internes disponibles. Pour calibrer l'investissement, rappelons que la sanction maximale prévue par l'AI Act, article 99, s'élève à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel — le montant le plus élevé étant retenu.
Découvrez comment Skolbot audite ses modèles d'admission pour les biais
