Responsable de traitement : comment mettre en place des systèmes d’IA dans l’éducation ?

Identifier le responsable du traitement des données est important, car il doit respecter plusieurs obligations quand un traitement a lieu, notamment :

• mettre en œuvre les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles ;
   
• réaliser la documentation obligatoire (registre des activités de traitement, registre des violations de données personnelles) ;
   
• si nécessaire, réaliser une analyse d’impact pour la protection des données.

Le responsable de traitement est accompagné par le délégué à la protection des données pour sa mise en conformité.

Lorsqu’un enseignant, dans le cadre de sa liberté pédagogique, souhaite recourir à un système d’IA qui implique un traitement de données personnelles, il le fait sous la responsabilité du directeur académique des services de l’éducation nationale (DASEN) dans le premier degré ou du chef d’établissement dans le second degré. Il doit en informer le directeur d’école ou le chef d’établissement, qui appréciera la compatibilité du projet au regard du cadre d’usage de l’IA en éducation du Ministère et, selon le cas, du projet d’école ou du projet d’établissement, et sollicitera s’il l’estime nécessaire l’avis du conseil d’école (article D. 411-2 du Code de l’éducation) ou, dans le 2^nd degré, du conseil d’administration et éventuellement du conseil pédagogique de l’établissement (articles R. 421-23 et R. 421-41-3 du Code de l’éducation pour les établissements publics locaux d'enseignement). L’enseignant doit également s’assurer de la conformité du traitement au RGPD, en lien avec le responsable de traitement.

• Comment identifier le responsable des traitements ?

En général, lorsqu’un établissement scolaire recourt à un système d’IA traitant des données personnelles des élèves, du personnel enseignant ou administratif, il met en œuvre un traitement dont la responsabilité dépend selon que le traitement est mis en œuvre par des établissements du premier ou du second degré.

En cas de doute, il est recommandé d’interroger le délégué à la protection des données.

Non.

L’utilisation d’un système d’IA ne peut en principe reposer sur le consentement car pour être valide, celui-ci doit être libre. Or, dans le cadre d’une activité pédagogique, il existe un déséquilibre manifeste des rapports de force entre l’élève et l’institution scolaire représentée par l’enseignant. Toutefois, l’utilisation d’un système d’IA dans un cadre pédagogique répond à la mission des établissements du premier et du second degrés de transmettre et de faire acquérir connaissances et méthodes de travail. Dès lors, les traitements de données induits par l’utilisation de ces outils dans ce cadre peuvent s’appuyer sur l’exécution d’une mission d’intérêt public. Dans cette hypothèse, il n’est donc pas nécessaire d’obtenir le consentement des parents et/ou des élèves pour son utilisation.

Toutefois, le règlement général sur la protection des données personnelles  (RGPD) permet aux parents et / ou aux élèves de s’opposer à l’utilisation d’un système d’IA à des fins pédagogiques, lorsqu’il traite des données personnelles, pour des raisons liées à leur situation particulière ou à celle de l’élève.

Dans le cas où la demande est motivée, le responsable de traitement peut néanmoins démontrer qu’il existe des motifs légitimes et impérieux justifiant le traitement qui prévalent sur les intérêts et les droits et libertés des personnes concernées.

Cela pourrait être le cas, par exemple, lorsque le système d’IA, au même titre que n’importe quel outil utilisé dans le cadre de l’éducation nationale, est déployé au niveau national et/ou qu’aucune autre alternative est disponible.

Pour vous assurer que cette condition est vérifiée, il convient d’interroger le délégué à la protection des données.

Les élèves et, le cas échéant leurs parents, doivent être informés de tous les traitements de données les concernant, y compris ceux qui impliquent l’utilisation d’un système d’IA. Il convient d’associer le délégué à la protection des données à la rédaction de ces informations.

L’information doit mentionner :

• l’identité et les coordonnées du responsable de traitement (adresse électronique, adresse postale ou encore numéro de téléphone) ainsi que les moyens de contacter son délégué à la protection des données ;
   
• la finalité et la base légale du traitement ;
   
• les destinataires ou a minima les catégories de destinataires des données, avec, le cas échéant, des précisions sur les transferts envisagés de ces données vers un pays tiers à l’Union européenne ;
   
• la durée de conservation des données (ou, à défaut, les critères permettant de la déterminer) ;
   
• les droits des personnes concernées (les droits d’accès, de rectification, à la limitation, le droit d’opposition, et éventuellement le droit à l’effacement ou le retrait du consentement selon les traitements).

Cette information doit être facilement disponible via l’interface du système d’IA concerné. Elle pourrait également, par exemple, être transmise aux élèves et aux parents via l’outil de communication entre les familles et l’établissement (par exemple, via l’ENT) ou dans la classe.

La CNIL souligne l’importance de mettre à disposition des personnes mineures une information simple et pédagogique, adaptée à leur tranche d’âge.

Cette information pourrait, par exemple, prendre la forme d’une note d’information ou d’une infographie, selon l’âge des élèves, destinée également aux parents, et d’une intervention orale par leurs enseignants en plus des mentions ajoutées à l’infographie.

Oui, la plupart du temps.

De manière générale, la réalisation d’une AIPD constitue une bonne pratique facilitant la démarche de mise en conformité des responsables de traitements. Sa réalisation permet d’identifier les risques pour les personnes concernées, liés à la mise en œuvre du traitement, de les analyser, de les estimer, de les évaluer, de les traiter, le tout devant s’inscrire dans le cadre d’un processus de réévaluation régulière.

Par ailleurs, une AIPD est obligatoire pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes physiques.

Dans ses lignes directrices sur le sujet, le G29, le groupe des « CNIL » européennes ayant précédé le Comité européen de la protection des données (CEPD), a identifié plusieurs critères aidant à déterminer si le traitement est susceptible d’engendrer un tel risque : par exemple, si le traitement vise des personnes vulnérables telles que des mineurs, s’il a recours à un usage innovant (voir la question « L’utilisation d’un système d’intelligence artificielle est-elle un ‘usage innovant’ » dans la fiche pratique « IA : Réaliser une analyse d’impact si nécessaire ») ou s’il permet de procéder à une évaluation ou à une notation – y compris le profilage – des personnes concernées.

De manière générale, les traitements qui remplissent au moins deux de ces critères doivent faire l’objet d’une analyse d’impact. Toutefois, pour certains traitements sensibles, la présence d’un seul critère sera déterminante. En cas de doute, le recours à l’AIPD est toujours une bonne idée.

Au regard des critères établis par le G29, chacun des traitements mis en œuvre par les établissements scolaires ayant recours à un système d’IA et concernant les informations des élèves – mineurs – nécessiterait, en principe, la réalisation d’une AIPD.

L’AIPD contient a minima :

• une description du traitement : en quoi consiste le système d’IA et comment est-il utilisé par l’établissement, les professeurs et les élèves ? Quelles sont les données traitées ?
   
• une analyse juridique, notamment une évaluation de la nécessité de la collecte des données et de la proportionnalité entre le traitement et l’objectif poursuivi : pourquoi les données sont collectées ? En quoi ces données sont-elles nécessaires à l’utilisation du système ? Qui y a accès, dans l’établissement et en dehors ? Comment les élèves sont-ils informés du traitement et de leurs droits ?
   
• une évaluation des risques : quels sont les risques potentiellement créés par la mise en place de ce système pour les élèves, les enseignants, les parents, etc., notamment en cas d’accès ou modification ou suppression des données (ex : disparition des données d’évaluation des élèves)
   
• les mesures envisagées pour faire face à ces risques identifiés (minimisation des données collectées, gestion des accès, fonctionnalités non essentielles désactivées par défaut, etc.)

Il appartient au responsable de traitement de réaliser l’AIPD. Celui-ci peut demander conseil au délégué à la protection des données pour l’appuyer.

Le développeur (fournisseur) de la solution d’intelligence artificielle peut également être sollicité pour assister le responsable du traitement dans la réalisation de l’AIPD en sa qualité de sous-traitant (article 28.3(f) du RGPD). Dans la mesure du possible, la CNIL recommande que le fournisseur de la solution d’IA mette à disposition des établissements une AIPD cadre qui contiendra les éléments communs du traitement, selon des fonctionnalités spécifiques du système. Le responsable du traitement viendra compléter le document avec les éléments qui lui sont propres, pour la personnaliser.

En savoir plus :

• L'analyse d’impact relative à la protection des données (AIPD)
• Outil PIA : téléchargez et installez le logiciel de la CNIL

Il convient d’être vigilant dans le choix des systèmes d’IA et de regarder en premier lieu la politique de confidentialité et de protection des données personnelles publiée par le système d’IA.

Le ministère chargé de l’éducation nationale, de l’enseignement supérieur, et de la recherche, autorise l’usage de système d’IA à des fins pédagogiques sous réserve du respect de son cadre d’usage. Par ailleurs, il recommande de privilégier l’usage des ressources numériques disponibles dans le « Gestionnaire d’Accès aux Ressources » (GAR), lequel permet d’assurer un accès sécurisé aux différents logiciels et applications.

À défaut de ressources numériques disponibles, il convient d’être particulièrement vigilant lors du recours aux systèmes d’IA disponibles sur Internet, et en particulier sur les points suivants.

• Sur la réutilisation des données

Concernant l’utilisation de système d’IA en ligne, il convient de vérifier qu’il n’entraine pas des traitements ultérieurs par l’éditeur. En particulier, l’outil choisi ne doit pas réutiliser les données personnelles des élèves à des fins d’amélioration de ses services et/ou avoir recours à des traceurs publicitaires (cookies, par exemple).

Certains sites internet et applications procèdent à des réutilisations de données, opérations pour lesquelles le consentement est nécessaire. Pour être valide, un consentement doit être libre, c’est-à-dire qu’il ne doit pas être contraint, influencé, ni entrainer des conséquences négatives pour la personne concernée. Or, dans le cas où l’élève doit accepter un traitement de données pour accéder à une ressource pédagogique, il est placé dans une incitation forte, voire une contrainte, à accepter ce traitement. C’est la raison pour laquelle le consentement ne peut être invoqué dans un cadre pédagogique. Par ailleurs, s’agissant du recours à des traceurs publicitaires, au regard du principe de neutralité du service public de l’éducation, incluant la neutralité commerciale, l’usage, dans ce cadre, de la publicité ou de contenus mercatiques (marketing) en milieu scolaire est interdit.

• Sur la création de compte 

• Situation 1 : Le système d’IA, utilisé en ligne, ne nécessite pas de création de compte individuel par l’élève.
  
  Il est recommandé de procéder ainsi quand c’est possible car cela évite tout traitement de données personnelles ultérieur.
  
  La création de compte induit généralement une collecte supplémentaire de données personnelles des élèves et enseignants pour d’autres finalités que celles pour lesquelles les données ont été collectées initialement, par exemple, pour entrainer l’algorithme et/ou avoir recours à des traceurs publicitaires (cookies, par exemple).
  
  Les conditions générales d’utilisation de ces systèmes d’IA limitent généralement l’accès aux personnes majeures ou, à défaut, aux personnes mineures dont l’âge est supérieur à un certain âge (généralement 13 ou 15 ans) avec autorisation des parents.
   
• Situation 2 : Le système d’IA, utilisé en ligne, nécessite la création de compte.
  
  Dans ce cas, privilégier, si c’est possible, la création d’un compte « classe » plutôt qu’un compte par élève (si l’activité consiste à faire découvrir les systèmes d’IA génératives à la classe, par exemple). Il convient dès lors de vérifier le paramétrage sur les données et préférer un paramétrage de confidentialité renforcée : désactivation de l’historique des conversations, désactivation de la réutilisation des données à des fins d’amélioration, désactivation de tout autre services supplémentaires éventuels (par exemple géolocalisation), désactivation du traçage, etc.

En tout état de cause, la décision d’utiliser un système d’IA « grand public » ne devrait pas contraindre l’élève à créer un compte individuel avec ses informations personnelles.

La création d’un compte individuel reste possible pour les systèmes d’IA déployés par le ministère de l’éducation (notamment via le GAR).

La CNIL rappelle que, même dans le cas de la création d’un compte « classe », l’utilisation d’un système d’IA peut induire un traitement de données personnelles car l’élève peut transmettre des données personnelles qui, combinées ensemble, peuvent être identifiantes (par exemple, si l’élève donne le nom de son école, de sa classe, son genre, son courriel s’il en a un, etc.).

• Sur les transferts de données non sécurisées en dehors de l’UE (ou EEE)

Le RGPD interdit que des données personnelles soient transférées ou accessibles depuis des pays étrangers n’ayant pas de réglementations suffisantes en la matière, sauf à recourir à l’un des outils prévus au chapitre V du RGPD. Il est donc crucial de s’assurer que de tels transferts ou le recours à des fournisseurs soumis à des réglementations étrangères soient suffisamment sécurisés, tant en termes de cybersécurité que juridiquement.

Au regard de la vulnérabilité des personnes concernées (personnes mineures), la CNIL recommande de privilégier les solutions fonctionnant en local « on device » ou « on premise », c’est-à-dire ne permettant pas de transfert des données en dehors du terminal utilisé ou des serveurs dont la conformité est garantie par l’institution, y compris lors de l’accès à l’outil (connexion et téléchargement).

En cas de doute sur un éventuel transfert de données et sur le cadre juridique de ces transferts, la CNIL recommande que le délégué à la protection des données soit associé avant de recourir à la solution visée.

La CNIL souligne l’importance de former et de sensibiliser le responsable de traitement, les enseignants (qui vont déployer ces outils en classe et les utiliser pour leurs propres usages), et les élèves.

Pour approfondir sur l’utilisation de l’IA dans l’éducation (liste non exhaustive) :

• MOOC AI4T développé au niveau européen par l’INRIA en collaboration avec le ministère de l’éducation nationale ;
   
• IA pour les enseignants : un manuel ouvert (AI4T), rédigé par Colin de la Higuera et Jotsna Iyer (2024) ;
   
• l’espace M@gistère permettant d’acquérir des compétences dans le cadre de la CREIA (Communauté de réflexion en éducation sur l’IA) ;
   
• Webinaires organisés par la CREIA et animés par les équipes du ministère de l’éducation nationale et celles académiques ;
   
• Contenus du réseau Canopé pour se former aux IA, en particulier la série « L’intelligence artificielle au service de l’éducation » de Canotech ;
   
• Travaux des Groupes de Travail Numérique (GTnum) :
  • le livre blanc Enseigner et apprendre à l’ère de l’Intelligence Artificielle piloté par l’Université Côte d’Azur (2020-2022) ;
  • le portfolio Développer la littératie des données en éducation et formation (2025) ;
• Ressources de l’UNESCO :
  • Référentiel de compétences en IA pour les enseignants, 2025 ;
  • Référentiel de compétences en IA pour les apprenants, 2025 ;
  • Orientations pour l’intelligence artificielle générative dans l’éducation et la recherche, 2024 ;

L’enseignant doit, tout comme pour les outils utilisés en classe, être vigilant sur le choix de l’outil. Par ailleurs, la plupart de bonnes pratiques rappelées à la question précédente valent également dans ce cadre.

Lors de la correction des copies et de l’évaluation des élèves, l’enseignant ne doit pas déléguer son pouvoir d’évaluation et de décision à un outil d’IA. Ces outils ne sont pas toujours fiables et ne sont pas conçus pour prendre de telles décisions ayant des conséquences possibles sur le parcours de l’élève. Ainsi, l’enseignant ne peut confier les tâches d’évaluer, d’attribuer une note, de donner un travail supplémentaire à l’élève, etc., en se fondant uniquement sur la sortie de l’outil.

Le règlement européen sur l’intelligence artificielle (RIA) est la première législation générale au monde sur l’intelligence artificielle. Dans une approche de sécurité des produits, il classe les systèmes d’IA selon quatre niveaux de risque qu’ils peuvent présenter pour la santé, la sécurité et les droits fondamentaux :

• les risques inacceptables entraînant l’interdiction du système d’IA (Chapitre II du règlement),
   
• ceux à haut risque (Chapitre III) soumis à des exigences renforcées (définies au même chapitre du règlement),
   
• ceux à risque faible,
   
• et enfin minime.

Publié au Journal officiel le 12 juillet 2024, le RIA sera applicable pour toutes les dispositions le 2 août 2027.

Si le RIA reconnait que « le déploiement de systèmes d’IA dans l’éducation est important pour promouvoir une éducation et une formation numérique de qualité » (considérant 56 du RIA), il identifie toutefois certains systèmes d’IA utilisés dans l’éducation et la formation professionnelle comme des systèmes à haut risque en raison de leur contexte d’utilisation (Annexe III, sauf dérogation au titre de l’article 6) :

L’utilisation de ces systèmes peut en effet entraîner des conséquences notables dans la vie des élèves ou du personnel scolaire concerné par l’usage. En tant que systèmes à haut risque, de tels outils doivent, au titre du RIA, comporter un ensemble de garanties de conformité telles que la transparence, la prise en compte d’un contrôle humain, et la sécurité.

Dès lors qu’un système de ce type est utilisé dans un établissement scolaire, il est donc soumis à ces obligations spécifiques, qui pèsent parfois sur le fournisseur du système d’IA (en particulier les exigences du Chapitre III), mais aussi sur les utilisateurs de ces systèmes d’IA.

Sur ce dernier point, l’article 26 du RIA définit le « déployeur » comme « une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel ». Par ailleurs, l’article 27 rappelle l’obligation de réaliser une analyse d’impact sur les droits fondamentaux pour les systèmes d’IA à haut risque lorsque les « déployeurs » sont des organismes de droit public ou des entités privées fournissant des services publics, ce qui est le cas dans le domaine de l’éducation.

La CNIL rappelle que la mise en œuvre du RIA est sans préjudice de l’application du RGPD. Ainsi, dès lors que le système d’IA utilise des données personnelles il sera aussi soumis au RGPD. En tout état de cause, les traitements de données à caractère personnel qui n’entrent pas dans le champ d’application du RIA doivent tout de même respecter les dispositions du RGPD.