RGPD et IA dans l’éducation : un enjeu central

Le RGPD et l’IA dans l’éducation ne forment pas un couple évident : l’un pose des garde-fous stricts, l’autre invite à tester, à automatiser, à déléguer. En effet, les outils d’intelligence artificielle se multiplient dans les pratiques enseignantes, souvent avec enthousiasme, parfois dans l’urgence. Mais derrière cette accélération se cache un flou juridique et éthique que peu savent vraiment décrypter. 

Dans les établissements, cette tension est palpable. Ce n’est pas l’hostilité au progrès qui freine, mais le manque de cadre clair, le doute permanent : « Ai-je le droit de faire ça ? » Et quand la charge mentale s’accumule, quand les outils promettent un gain de temps immédiat, la tentation est grande de cliquer… sans vérifier.

Et si vous souhaitez réfléchir à la place de l’IA à l’école avec davantage de recul, les pistes rassemblées dans la page Intelligence artificielle en éducation : 4 chemins à explorer peuvent vous accompagner.

Il voulait juste gagner du temps.

C’était la fin d’un trimestre. Vous savez, ce moment où les professeurs principaux jonglent entre les bulletins, les conseils de classe, et un moral souvent au bord de la surchauffe.

Paul, jeune collègue brillant mais débordé, venait de découvrir l'IA générative, notamment la version gratuite de ChatGPT. En quelques minutes, il était conquis. L’outil écrivait vite, bien, avec des tournures élégantes et des formules prêtes à l’emploi. Il s’est dit, à juste titre, que cela pourrait l’aider à rédiger les fameuses appréciations générales de fin de trimestre. La tâche est ingrate, répétitive. Alors il a fait ce que beaucoup feraient sous pression : il a envoyé à l’IA l’export PDF des bulletins saisis dans Pronote, contenant sans le savoir des données personnelles sensibles, encadrées par le RGPD.

Les noms des élèves, leurs moyennes par discipline, les appréciations formulées par chaque collègue. Et, sans que cela soit nécessaire pour ce qu’il voulait faire (mais le PDF les contenait), les noms des représentants légaux, leurs adresses, les noms et les disciplines des enseignants.

Pratique. À première vue.

Jusqu’à ce qu’on en parle, tous les deux, à la machine à café.

Quand l’IA rencontre les bulletins : une histoire de données sensibles

Quand il m’a expliqué ce qu’il avait fait, j’ai eu comme une alerte intérieure. Je lui ai demandé : “Tu l’as envoyé où, exactement, ce fichier ?”

Il a haussé les épaules. Et c’est là que je lui ai parlé du RGPD, des données personnelles, de l’hébergement hors d’Europe, des risques, pas seulement juridiques, mais aussi humains.

Son sourire a disparu. Parce que dans cette histoire, Paul n’avait aucune mauvaise intention. Il cherchait à bien faire. Il voulait juste aller plus vite.

Et pourtant, ce petit geste,qu’il pensait astucieux, ouvrait la porte à des conséquences lourdes. Et surtout, il révélait une chose essentielle : on parle beaucoup du RGPD et de l’IA dans l’éducation, mais rarement de façon concrète, à hauteur de salle des profs.

Dans cet article, je vous propose de revenir sur ce que Paul a fait, et sur ce que nous faisons, parfois sans y penser. Car le problème, ce n’est pas seulement la technologie. C’est l’absence de cadre clair autour du RGPD et de l’IA dans l’éducation qui rend les gestes du quotidien si risqués.

1. RGPD et IA dans l’éducation : quand l’urgence pédagogique masque les vrais risques

Paul n’est pas une exception. Il incarne une réalité de plus en plus fréquente dans les établissements : des enseignants qui découvrent l’IA dans un moment de surcharge, s’en émerveillent à juste titre… et l’utilisent sans filet, sans cadre validé ni formation aux traitements de données.

Ce n’est pas l’incompétence qui les pousse à cela, ni la désinvolture. C’est la fatigue, l’isolement, l’absence de repères clairs sur ce que le RGPD autorise ou interdit dans un contexte scolaire. Beaucoup savent qu’il y a des “données à protéger”, mais ne disposent ni du temps, ni de l’accompagnement pour identifier les risques liés à la confidentialité des données personnelles dans leur quotidien professionnel.

Et puis l’IA a cette apparence magique. On écrit une phrase, elle répond. On glisse un fichier, elle résume. On croit avoir trouvé un assistant discret, efficace, fiable. Mais ce qu’on oublie souvent, c’est qu’en échange de ce service apparemment gratuit, on transmet parfois beaucoup plus que prévu : des informations confidentielles, des identifiants personnels, des traces sensibles dont la circulation échappe à tout contrôle si elle se fait hors cadre légal.

RGPD et IA dans l’éducation : un fossé entre cadre légal et pratiques enseignantes

Ce que révèle l’histoire de Paul, c’est un décalage grandissant entre l’usage réel des outils d’IA par les enseignants et la compréhension des obligations légales encadrant le traitement des données scolaires.
Plus les outils paraissent simples à utiliser, plus il est difficile d’en percevoir les implications juridiques et institutionnelles.

Et dans ce flou, beaucoup d’enseignants avancent à tâtons, pensant bien faire, sans toujours mesurer les risques qu’ils prennent, pour eux-mêmes, pour leurs élèves, pour leur établissement. Ce flou est amplifié par le manque d’accompagnement sur les enjeux liés au RGPD et à l’IA dans l’éducation, un domaine encore très peu compris et assimilé par les praticiens du terrain.

Ce ne sont pas des fautes. Ce sont des zones grises. Mais dans le droit, une règle ignorée reste une règle violée.
Et c’est souvent là que les ennuis commencent : pas par malveillance, mais par méconnaissance.

2. RGPD et IA dans l’éducation : pourquoi le traitement des données prime toujours sur l’outil

Un malentendu courant complique encore les choses : on croit qu’un logiciel ou un service est "RGPD" ou "pas RGPD". En réalité, ce n’est pas l’outil en soi qui est conforme ou non, mais le traitement des données qu’il induit. Ce qui compte, ce n’est pas le logiciel, mais la façon dont les données à caractère personnel sont collectées, stockées, transférées, analysées.

C’est une distinction essentielle. Un même outil peut être utilisé dans un établissement scolaire de manière conforme, et dans un autre de manière totalement illégale. Cela ne dépend pas de l’enseignant qui s’en sert, mais du cadre contractuel et institutionnel dans lequel s’inscrit le traitement des données :

Or, un enseignant n’est jamais, juridiquement, responsable de traitement. Il ne peut pas décider seul d’utiliser un service ou un logiciel qui active un nouveau canal de transfert de données personnelles. Si l'outil n’est pas référencé dans le registre de l’établissement ou validé via le GAR, alors son usage devient problématique, même avec les meilleures intentions.

Un traitement à risque : ce que révèle l’exemple de Paul

Dans le cas de Paul, en transmettant sans le savoir des noms d’élèves, des appréciations, des adresses de responsables légaux à une IA sans évaluation préalable du traitement, de ses finalités, ni des garanties apportées, il a initié un traitement de données à risque, sans encadrement, ni consentement, ni mesure de sécurité appropriée. Ce n’était pas un écart mineur, mais une exposition complète à des risques juridiques, éthiques et techniques. Une telle exposition illustre parfaitement les dangers d’une méconnaissance du cadre régissant le RGPD et l’IA dans l’éducation : là où l’on croit tester un outil, on déclenche en réalité une chaîne invisible de traitements à fort impact sur la vie privée.

Ce n’est pas la nature de l’outil qui fait la conformité. C’est la manière dont il est intégré à un système éducatif, avec des garanties, une traçabilité, une supervision. C’est l’existence d’un cadre contractuel et juridique clairement défini et validé. Et aujourd’hui, la majorité des IA accessibles au grand public ne s'inscrivent dans aucun de ces cadres.

3. RGPD et IA dans l’éducation : ce que l’on peut faire… et ce qu’il faut éviter

La bonne nouvelle, c’est qu’utiliser une IA en tant qu’enseignant n’est pas interdit. Il existe de nombreux usages pédagogiques possibles, utiles, et parfaitement légaux, à condition de respecter quelques principes de sécurité des données simples mais essentiels.

✅ Ce que l’on peut faire

Un enseignant peut utiliser une IA grand public pour :

À une condition essentielle : ne jamais y introduire de données personnelles, ni d’éléments identifiants sur un élève, un collègue ou un responsable légal. Pas de noms, pas d’adresses, pas de résultats scolaires. Ce respect du principe de minimisation des données est une exigence explicite du RGPD, non une simple recommandation.

❌ Ce qu’il faut éviter

Tout usage qui implique la transmission à une IA d’informations personnelles, scolaires ou confidentielles est interdit. Cela inclut :

Même si cela paraît anodin ou “pratique”, ces gestes déclenchent un traitement non encadré, un transfert potentiellement non sécurisé vers des serveurs externes, et exposent l’établissement comme l’enseignant à des risques juridiques et éthiques.

Trois questions simples pour ne pas se tromper

Avant d’utiliser une IA, il peut être utile de se poser ces trois questions :

Ces repères ne remplacent pas une formation RGPD complète, mais ils offrent une boussole éthique et juridique minimale pour éviter les erreurs les plus critiques dans l’usage de l’IA en contexte scolaire.

4. Quand le flou devient une fatigue : pourquoi c’est difficile seul

Même lorsqu’on comprend ce qu’il ne faut pas faire (ne pas transmettre de données personnelles, ne pas faire créer de comptes élèves, ne pas copier des copies, ...), il reste souvent un malaise plus diffus. Une hésitation permanente. Une peur de mal faire. Ce flou réglementaire devient une fatigue cognitive.

Car en réalité, comprendre le RGPD en contexte scolaire exige une double vigilance : juridique d’un côté, pédagogique de l’autre. Ce qui est légal n’est pas toujours utile. Et ce qui semble utile n’est pas toujours légal. L’interopérabilité entre les exigences administratives et les réalités de terrain est souvent mal outillée.

Et dans le quotidien d’un enseignant, qui peut prendre le temps de lire les règlements européens, de vérifier les conditions d’hébergement d’un service numérique, ou de savoir si un traitement est inscrit au registre académique ? Qui peut, seul, arbitrer entre efficacité, conformité et sobriété numérique ?

Ce n’est pas une question de bonne volonté. C’est une question de charge mentale professionnelle. La complexité croissante des outils, les injonctions contradictoires (innover tout en respectant un cadre souvent flou), l’isolement face aux décisions techniques, tout cela alourdit, fragilise, décourage.

Et c’est là que beaucoup renoncent ou avancent à l’aveugle. Non par négligence, mais faute de repères explicites, de formation adaptée ou de cadre partagé. Ce manque de lisibilité rend les initiatives individuelles vulnérables, même quand elles sont sincères.

Face au RGPD et à l’IA, les enseignants ne peuvent pas rester seuls

Cet article ne prétend pas combler ce manque. Mais il peut déjà faire une chose essentielle : légitimer le besoin d’être accompagné. Car utiliser l’IA dans l’éducation aujourd’hui, ce n’est pas une question de technicité. C’est une question de posture professionnelle, de discernement éthique, de responsabilité collective.

En cas de doute, le référent numérique ou le DPD (délégué à la protection des données) de l’établissement peut être sollicité. C’est son rôle de valider, d’orienter, d’encadrer les traitements liés à des outils comme l’IA, et de construire avec les équipes un cadre juridique sécurisé.

5. RGPD et IA dans l’éducation : la règle simple que tout enseignant devrait connaître

En réalité, la règle d’usage est simple :
si l’outil figure dans le GAR ou dans le registre de traitement de l’établissement, alors son usage est autorisé.
Sinon, il ne l’est pas. Même si l’intention est bonne. Même si le service est pratique. Même si “tout le monde le fait”.

Ce critère de validation institutionnelle est clair, mais reste largement méconnu.
Les enseignants ne savent souvent ni où consulter le registre, ni comment vérifier si un outil est bien référencé. Peu d’établissements communiquent sur ce point, et les formations sont rares.

Résultat : beaucoup d’enseignants avancent seuls, dans un brouillard réglementaire qui alourdit encore leur charge mentale. Ils veulent bien faire, mais ne savent pas toujours où obtenir une réponse fiable. Ils improvisent, s’auto-censurent, ou prennent des risques juridiques sans le savoir.

Ce n’est pas la loi qui pose problème. C’est l’absence d’un cadre lisible, partagé, facilement accessible pour ceux qui sont censés la respecter.

Un accès simplifié au registre des traitements, des référents RGPD identifiés, et une politique de validation claire des outils numériques pourraient lever une grande part de cette incertitude, et redonner confiance aux enseignants dans leurs usages.

6. Pourquoi je ne publie pas encore sur les usages élèves

Depuis quelque temps, on me demande souvent : “Et les élèves ? Tu ne pourrais pas proposer des idées d’activités avec l’IA ?”
C’est une vraie question, légitime, et je comprends l’envie de faire évoluer les pratiques. Mais pour l’instant, je choisis volontairement de ne pas publier sur le sujet. Voici pourquoi.

1. Les données personnelles des élèves sont parmi les plus sensibles

Tout usage pédagogique d’un outil numérique implique un traitement de données à caractère personnel.
Lorsqu’il s’agit d’élèves mineurs, la vigilance doit être maximale. Les risques ne sont pas théoriques : adresses IP, historiques de requêtes, contenus saisis : tout cela constitue des données exploitables à des fins commerciales ou pouvant être stockées de manière incontrôlée, en l’absence de garantie de conformité RGPD.

De plus, lorsqu’un traitement concerne des mineurs, une analyse d’impact sur la vie privée (PIA - Privacy Impact Assessment) peut être requise, conformément à l’article 35 du RGPD. Elle permet d’anticiper les risques et de structurer un cadre de prévention, encore trop rarement activé dans les projets pédagogiques.

2. Aucun outil grand public réellement adapté n’est aujourd’hui disponible à grande échelle

À ce jour, les IA accessibles pour un usage pédagogique avec des élèves sont, pour la plupart :

Même lorsque l’outil est techniquement hébergé en Europe, cela ne suffit pas. La validation institutionnelle, l’inscription au registre de traitement, et l’information des utilisateurs (élèves, parents) sont indispensables.
Le délégué à la protection des données (DPO) doit être impliqué dès les premières étapes d’un projet IA avec élèves, comme le recommande la CNIL. Or, cette étape est souvent contournée ou ignorée.

Certaines alternatives respectueuses du RGPD existent, mais elles sont encore en test (M.I.A. Seconde - Miaseconde), limitées à certaines académies (Nolej AI dans l'académie de Versailles), ou peu connues (Navi, un assistant intelligent du professeur pour la mémorisation et la remédiation dans le premier degré). Dans ce contexte, proposer des usages élèves reviendrait à normaliser une exposition non maîtrisée, sans cadre, ni éthique, ni sécurité et à encourager des pratiques sans protection ni garantie.

3. Le cadre réglementaire est en mouvement

Des travaux sont en cours, au niveau national comme européen, pour structurer les usages d’IA dans l’éducation.
Mais pour l’instant, le cadre est encore fragmentaire, les lignes directrices évolutives, et les technologies trop rapides pour le droit.

Former les élèves à l’IA, oui. Leur transmettre les bases d’un esprit critique, leur apprendre à discerner les promesses des limites, à leur enseigner une éthique du numérique, c’est indispensable.
Mais cela ne signifie pas les exposer à des environnements technologiques instables, non validés, ou non audités.

On peut, et on doit, les éduquer à l’IA, mais sans les livrer à des outils opaques, souvent non conçus pour un usage scolaire, même sous couvert d’innovation.

4. Informer, pas imposer : les droits des familles comptent aussi

Dans l'éducation, le RGPD ne réclame pas systématiquement un consentement explicite pour chaque usage pédagogique encadré, mais il impose une information claire, et un droit d’opposition effectif.

Autrement dit : les familles doivent savoir ce qui est fait avec les données de leurs enfants, et pouvoir s’y opposer sans obstacle.
C’est une question de transparence et de confiance, pas seulement de conformité légale.

7. Clarté, sobriété, responsabilité : trois boussoles pour avancer

Face aux promesses de l’IA, il est tentant de chercher des raccourcis. D’aller vite. De tester.

Mais en matière de données personnelles, il n’y a pas de solution magique. Seulement des cadres de gouvernance à respecter, et des repères collectifs à construire.

Ce n’est pas la peur qui protège. C’est la clarté.
Savoir ce qu’on peut faire, ce qu’on doit éviter, et ce qui mérite d’être validé par son établissement, dans un cadre juridique assumé.

Ce n’est pas la performance qui compte. C’est la sobriété.
Utiliser l’IA là où elle simplifie vraiment, sans jamais franchir la ligne invisible de la donnée sensible, ni céder à la pression de l’expérimentation non encadrée.

Ce n’est pas la solitude qui aide. C’est la responsabilité partagée.
Être enseignant ne signifie pas tout porter seul. Cela signifie, parfois, refuser d’agir sans cadre clair, même si l’outil semble prometteur.

Et rappelons-le : le RGPD ne protège pas seulement les élèves. Il concerne aussi les enseignants, les familles, les collègues. Ce que nous confions à un outil engage leur intimité numérique, leur droit à la vie privée, leur sécurité pédagogique.

L’avenir du numérique éducatif repose sur une alliance lucide entre innovation et responsabilité. Le RGPD et l’IA dans l’éducation ne sont pas opposés, mais doivent coexister dans un cadre clair, éthique et sécurisé.

Rester dans le cadre, ce n’est pas se brider.
C’est prendre au sérieux ce qui fonde notre métier : la confiance.
Celle des familles, des élèves, de nos collègues, et la nôtre, dans un numérique qui nous respecte autant qu’il nous soutient.