ChatGPT
Claude
Perplexity
Gemini
GrokL'AI Act entre dans sa phase critique : les échéances qui concernent votre école
Le Règlement (UE) 2024/1689 sur l'intelligence artificielle — dit « AI Act » — est le premier cadre juridique mondial à réguler les systèmes d'IA par niveau de risque. Il n'est plus en débat ; il s'applique. Les interdictions (risque inacceptable) sont en vigueur depuis le 2 février 2025. Les obligations pour les systèmes à haut risque — dont plusieurs sont déployés dans l'enseignement supérieur — entrent en vigueur le 2 août 2026, soit dans moins de trois mois.
Pour les écoles privées françaises, la question n'est pas de savoir si l'AI Act vous concerne. Dès qu'un établissement utilise un chatbot d'admissions, un outil de scoring de candidatures, un algorithme de recommandation de formation ou un système de détection de plagiat par IA, il déploie un « système d'IA » au sens du règlement (art. 3, §1). La question est de savoir dans quelle catégorie de risque tombent vos outils, et ce que cela implique concrètement.
Ce guide traite spécifiquement de la classification des risques — le mécanisme central de l'AI Act — appliquée aux usages réels des écoles privées françaises. Pour une vue d'ensemble du calendrier et des obligations, consultez notre guide AI Act pour l'enseignement supérieur.
Les 4 niveaux de risque : architecture du règlement
L'AI Act organise les systèmes d'IA en quatre niveaux. Chaque niveau a un régime d'obligations distinct. Comprendre où se situe chaque outil de votre école est la première étape de toute démarche de conformité.
Risque inacceptable : les pratiques interdites depuis février 2025
Ce niveau concerne les systèmes dont l'impact sur les droits fondamentaux est considéré comme incompatible avec les valeurs de l'UE. L'article 5 du règlement dresse la liste exhaustive des pratiques interdites. Dans le contexte éducatif, trois interdictions sont directement pertinentes.
Notation sociale généralisée : tout système qui attribue des scores à des personnes sur la base de leur comportement social dans des contextes différents pour prendre des décisions qui les défavorisent est interdit. Un outil qui intégrerait des données de présence aux événements, d'activité sur les réseaux sociaux de l'école, ou de comportement en cours pour produire un score d'admission global relèverait de cette interdiction.
Exploitation des vulnérabilités : les systèmes qui exploitent les vulnérabilités d'individus — notamment liées à l'âge (mineurs en BTS ou bachelor) ou à des situations de précarité économique — pour les influencer à s'inscrire sont interdits.
Manipulation subliminale : les techniques agissant sur le subconscient à l'insu de l'utilisateur, y compris dans des parcours de recrutement numériques très personnalisés, tombent sous cette interdiction.
Si votre école utilise l'un de ces systèmes, l'arrêt est immédiat. Il n'y a pas d'échéance de mise en conformité : ces pratiques sont illégales depuis le 2 février 2025.
Haut risque : les obligations les plus lourdes, échéance août 2026
C'est le niveau le plus critique pour l'enseignement supérieur. L'Annexe III, point 3a du règlement liste explicitement parmi les systèmes à haut risque ceux utilisés pour « déterminer l'accès ou l'admission à des établissements d'enseignement ou de formation professionnelle, ainsi que pour évaluer les personnes aux fins de l'admission ».
Cette formulation est large. Elle couvre tout système d'IA qui intervient, même partiellement, dans une décision d'admission — pas seulement les outils entièrement automatisés. Un outil qui produit un score de candidature présenté à un jury humain est à haut risque, même si la décision finale reste humaine.
Sont également à haut risque selon l'Annexe III : les systèmes d'évaluation en cours de formation influençant l'accès à des parcours ultérieurs, et les systèmes de surveillance des examens par IA (proctoring) analysant le comportement des candidats.
Risque limité : transparence obligatoire pour les chatbots
Les chatbots d'admissions, les assistants IA d'information et les systèmes de génération de contenu pédagogique relèvent du risque limité. L'article 50 du règlement impose une obligation unique mais non négociable : l'utilisateur doit être informé qu'il interagit avec un système d'IA, sauf si c'est évident par le contexte.
Cette obligation s'applique à tout chatbot qui pourrait être confondu avec un interlocuteur humain. Un message d'accueil du type « Je suis un assistant IA de [Nom de l'école] — un conseiller humain est disponible sur demande » remplit l'obligation. L'absence d'identification expose l'école à une amende pouvant atteindre 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial.
Sont aussi dans cette catégorie : les outils de génération de descriptions de formations, les systèmes de traduction automatique des contenus, et les outils d'analyse du ton dans les emails de prospects.
Risque minimal : aucune obligation spécifique
Les outils sans impact sur les droits fondamentaux — correcteurs orthographiques, filtres anti-spam, outils d'optimisation de planning, recommandations de contenu web — n'ont aucune obligation réglementaire spécifique au titre de l'AI Act. Les bonnes pratiques de transparence restent recommandées, mais aucune documentation ni enregistrement n'est exigé.
Tableau de classification : vos outils IA et leur niveau de risque
| Outil IA utilisé par l'école | Niveau de risque AI Act | Obligations principales | Échéance |
|---|---|---|---|
| Chatbot d'admissions / FAQ prospect | Limité | Identification IA (art. 50) + accès humain | En vigueur |
| Outil de scoring / présélection de candidatures | Haut risque | Gestion des risques, contrôle humain, journalisation, documentation technique | 2 août 2026 |
| Système de détection de plagiat (si impact sur notation) | Haut risque | Idem haut risque + audit de biais | 2 août 2026 |
| Proctoring IA (surveillance d'examens en ligne) | Haut risque | Idem haut risque | 2 août 2026 |
| Algorithme de recommandation de formation | Haut risque si décision d'accès | Selon usage effectif | 2 août 2026 |
| Génération de contenu (emails, fiches programme) | Limité | Identification si outputs présentés comme humains | En vigueur |
| Notation sociale ou profilage comportemental | Interdit | Arrêt immédiat | Déjà illégal |
| Correcteur orthographique, filtre anti-spam | Minimal | Aucune obligation spécifique | — |
Obligations concrètes pour les déployeurs à haut risque (Article 29)
Les écoles sont des « déployeurs » au sens de l'AI Act — elles utilisent des systèmes d'IA développés par des tiers dans leurs propres contextes. L'article 29 définit leurs obligations spécifiques, distinctes de celles des fournisseurs.
Contrôle humain : la première obligation est d'utiliser les systèmes conformément aux instructions du fournisseur et de mettre en place les mesures de contrôle humain prévues. Aucune décision d'admission ne peut reposer exclusivement sur la sortie d'un système à haut risque. Le jury ou le conseiller humain doit examiner chaque dossier indépendamment du score produit par l'outil.
Journalisation : les logs générés automatiquement par les systèmes à haut risque doivent être conservés. La durée minimale n'est pas fixée dans l'article 29, mais les recommandations pratiques convergent vers 12 mois pour permettre un audit en cas de contestation d'une décision d'admission.
Suspension en cas de risque : si le déployeur identifie un risque pour les droits des candidats, il doit suspendre l'utilisation du système et notifier le fournisseur. Ce n'est pas une option — c'est une obligation légale.
Notification aux candidats : quand un système à haut risque est utilisé pour évaluer une personne, celle-ci doit être informée. Cette obligation s'articule avec l'article 22 du RGPD sur les décisions automatisées. Pour approfondir l'articulation RGPD / AI Act sur les données étudiantes, notre guide RGPD dédié reste la référence.
Coopération avec les autorités : en cas de contrôle de la CNIL ou de l'autorité nationale compétente (désignée dans le cadre de la gouvernance nationale de l'AI Act), l'école doit fournir les documentations techniques requises. La CNIL a explicitement annoncé que l'IA dans l'éducation figurait parmi ses priorités de contrôle pour 2026.
Chatbot et risque limité : l'obligation de transparence de l'Article 50
Pour la majorité des écoles, le cas d'usage IA le plus immédiatement concerné par l'AI Act est le chatbot d'admissions. La bonne nouvelle : les obligations pour le risque limité sont proportionnées.
L'article 50 impose trois exigences pratiques pour les systèmes conversationnels IA.
Identification systématique : le chatbot doit s'identifier comme un système d'IA au début de chaque interaction, ou dès qu'une confusion avec un humain est possible. Cette identification doit être claire, pas dissimulée dans les conditions générales.
Non-contournement : si l'utilisateur demande explicitement « est-ce que je parle à un humain ? », le chatbot doit répondre honnêtement. Un chatbot programmé pour nier son caractère artificiel est en violation directe de l'article 50.
Accès humain disponible : ce n'est pas une obligation explicite de l'article 50, mais elle découle de l'article 29 et des bonnes pratiques CNIL. Le prospect doit pouvoir accéder à un conseiller humain à tout moment.
72 % des questions prospects sont automatisables par FAQ, 7 % seulement nécessitent une intervention humaine (Source : Classification automatique sur 12 000 conversations Skolbot, 2025). Cette répartition illustre pourquoi un chatbot bien configuré peut gérer l'essentiel des interactions tout en maintenant une escalade humaine pour les situations complexes — ce qui est précisément ce que l'AI Act encourage.
Pour les implications RGPD spécifiques au déploiement d'un chatbot IA, consultez notre article sur le chatbot IA et données RGPD en école.
Roadmap pratique de conformité AI Act pour une école privée
La mise en conformité n'est pas un projet de plusieurs années. Pour une école de taille standard (500 à 5 000 étudiants), voici les étapes réalistes d'ici au 2 août 2026.
Semaines 1-2 : inventaire des outils IA Listez exhaustivement tous les systèmes d'IA en usage : chatbot, CRM avec scoring, outil de sélection de candidatures, détection de plagiat, proctoring, génération de contenu. Incluez les outils des prestataires tiers qui traitent des données de vos prospects ou étudiants.
Semaines 3-4 : classification de chaque outil Pour chaque outil, appliquez la grille des Annexes I et III du règlement. Si vous n'êtes pas certain de la classification d'un outil, demandez à votre fournisseur sa propre classification avec justification. Un fournisseur qui ne peut pas répondre à cette question est un signal d'alerte.
Semaines 5-6 : audit des fournisseurs haut risque Pour chaque outil classé haut risque, demandez la documentation technique, la déclaration de conformité et le calendrier de mise à jour. Votre contrat doit inclure un engagement du fournisseur à vous fournir les informations nécessaires à vos propres obligations de déployeur (article 13 AI Act).
Semaines 7-8 : mise en conformité chatbot (risque limité) Ajoutez l'identification IA dans l'interface du chatbot. Vérifiez que la réponse à « êtes-vous un humain ? » est correcte. Ajoutez un bouton d'escalade humaine visible. Ce chantier ne devrait pas dépasser 2 à 5 jours de travail.
Semaines 9-12 : documentation et processus haut risque Pour les outils à haut risque conservés, documentez le processus de contrôle humain, établissez la politique de journalisation, et formez les équipes admissions. Si l'outil ne peut pas être rendu conforme avant août 2026, la question de son remplacement ou de sa suspension doit être posée.
Après août 2026 : revue annuelle La conformité AI Act n'est pas un projet ponctuel. Une revue annuelle, idéalement alignée sur la revue RGPD, permet de maintenir la conformité à mesure que les outils évoluent.
Pour approfondir la question des biais dans les outils de recrutement IA — un enjeu central de la conformité haut risque — consultez notre article sur les biais IA dans le recrutement étudiant. Sur le droit à l'effacement, directement lié aux traitements IA en admissions, notre article sur le droit d'effacement RGPD pour les prospects complète ce guide.
L'EDPB (Comité européen de la protection des données) a publié en 2024 un avis sur l'articulation entre l'AI Act et le RGPD, particulièrement pertinent pour les décisions d'admission : les deux règlements s'appliquent simultanément, et une conformité AI Act ne dispense pas des obligations RGPD.
FAQ
Mon école est-elle déployeur ou fournisseur au sens de l'AI Act ?
Dans la quasi-totalité des cas, une école est un déployeur : elle utilise des systèmes d'IA fournis par des tiers (éditeur de chatbot, fournisseur de CRM, prestataire de scoring). Elle n'est fournisseur que si elle développe elle-même un système d'IA destiné à être mis sur le marché. Les obligations des déployeurs (art. 29) sont moins lourdes que celles des fournisseurs, mais elles sont réelles et vérifiables.
Un chatbot qui répond uniquement à des questions sur les formations est-il à haut risque ?
Non. Un chatbot d'information qui ne participe pas à la décision d'admission est classé risque limité. Il doit s'identifier comme IA (art. 50) mais n'est pas soumis aux obligations lourdes du haut risque. La frontière devient haut risque dès que le chatbot produit une qualification, un score ou une recommandation utilisée dans le processus de sélection.
Que risque une école qui n'est pas conforme en août 2026 ?
Les sanctions de l'AI Act sont graduées : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour les manquements aux obligations haut risque, et 7,5 millions d'euros ou 1,5 % pour les manquements aux obligations de risque limité. Au-delà des amendes, le risque réputationnel est significatif pour des écoles dont les accréditations reposent sur des standards de gouvernance élevés.
Doit-on informer les candidats de l'utilisation d'un outil à haut risque dans l'admission ?
Oui. L'article 26 (§6 et §8) et l'article 50 §4 imposent une transparence envers les personnes évaluées par un système à haut risque. Les candidats doivent être informés que leur dossier est traité par un outil d'IA et disposer d'une explication des critères utilisés. Cette information peut figurer dans les conditions d'admission ou dans la politique de confidentialité, à condition d'être accessible et compréhensible.
Notre fournisseur dit que son outil est conforme AI Act. Est-ce suffisant ?
Non. La conformité du fournisseur (art. 16 à 21) est nécessaire mais ne couvre pas vos obligations de déployeur (art. 29). Vous devez obtenir la documentation technique, mettre en place le contrôle humain, journaliser les traitements et former vos équipes. La déclaration de conformité du fournisseur est un point de départ, pas une fin.
Cet article a une visée informative générale. Il ne constitue pas un avis juridique. Pour toute décision relative à vos obligations spécifiques au titre de l'AI Act, consultez un professionnel du droit des données ou votre DPO.
Testez Skolbot sur votre école en 30 secondes
