[4/30] RGPD et IA dans l’éducation : ce que révèle l’Assemblée nationale
Article publié le 17 mai 2026 · Temps de lecture : 6 minutes · Par Asma
RGPD et IA dans l’éducation désignent l’ensemble des obligations légales qui encadrent le traitement des données personnelles d’étudiants, d’enseignants et de chercheurs lorsque des systèmes d’intelligence artificielle sont utilisés dans les établissements d’enseignement supérieur français et européens.
Lors d’une des séances de la mission d’information de l’Assemblée nationale sur l’IA, les intervenants ont mis en lumière un constat alarmant : 90 % des données de l’enseignement supérieur sont stockées sur des serveurs américains, exposant les institutions à un risque structurel de non-conformité.
Je suis formatrice indépendante, j’utilise des outils d’IA dans ma pratique quotidienne, et cette séance m’a directement interpellée. Ce que les parlementaires ont examiné ne concerne pas seulement les grandes universités : cela touche chaque formateur qui saisit des données d’apprenants dans Claude, ChatGPT ou tout autre outil grand public sans avoir lu les conditions générales d’utilisation.
Dans mon analyse de cette séance, je distingue ce qui relève du débat de politique publique, que je laisse aux institutions, de ce qui est directement opérationnel pour une formatrice comme moi. Mon objectif est de vous donner une lecture claire de ce que cette audition révèle, sans dramatisation ni fausse réassurance.
[FAQ] Les 5 questions clés sur le RGPD et l’IA dans l’éducation
Si vous arrivez avec une question précise, voici les réponses directes aux interrogations que pose le RGPD appliqué à l’IA aux formateurs et enseignants.
Quelle IA est conforme au RGPD ?
Aucun outil d’IA grand public n’est pleinement conforme au RGPD sans conditions particulières. Des outils comme Mistral AI, hébergés en Europe, offrent un niveau de conformité supérieur aux solutions américaines. Certaines offres entreprise de Microsoft ou Google proposent des clauses de traitement des données en Europe, mais l’Assemblée nationale souligne que 90 % des données restent stockées aux États-Unis, ce qui maintient un risque réel de non-conformité pour les établissements d’enseignement.
Le RGPD s’applique-t-il à l’IA ?
Oui, le RGPD s’applique à tout traitement de données personnelles, y compris lorsque ce traitement est réalisé par un système d’intelligence artificielle. Si vous entrez des données d’apprenants, des évaluations ou des travaux de recherche dans un outil d’IA, vous êtes responsable du traitement de ces données. L’AI Act européen vient compléter le RGPD en ajoutant des obligations spécifiques aux systèmes d’IA selon leur niveau de risque.
Comment l’IA peut-elle être conforme au RGPD ?
La conformité RGPD d’un usage de l’IA repose sur trois conditions : choisir un outil dont les données sont traitées dans l’Union européenne, ne jamais injecter de données personnelles identifiantes sans base légale établie, et informer les personnes concernées de l’usage de leurs données. Pour un formateur indépendant, cela signifie concrètement vérifier les conditions générales d’utilisation de chaque outil avant d’y saisir des contenus liés à des apprenants ou à des tiers.
ChatGPT est-il conforme au RGPD ?
ChatGPT dans sa version grand public n’est pas considéré comme conforme au RGPD pour un usage professionnel impliquant des données personnelles. OpenAI propose une offre entreprise avec des engagements contractuels renforcés, mais les données restent traitées sur des serveurs américains. La Commission nationale de l’informatique et des libertés (CNIL) a ouvert plusieurs enquêtes sur ChatGPT. Pour un formateur, l’usage de données d’apprenants dans ChatGPT sans précautions constitue un risque juridique réel.
Qu’est-ce que la Shadow IA et pourquoi est-ce un problème dans l’éducation ?
La Shadow IA désigne l’usage d’outils d’intelligence artificielle par des étudiants ou des enseignants sans validation ni contrôle institutionnel. Dans l’éducation, ce phénomène pose deux problèmes simultanés : les données transmises transitent par des serveurs hors Union européenne sans conformité RGPD garantie, et les établissements perdent toute visibilité sur ce qui est partagé avec ces systèmes. L’Assemblée nationale a identifié ce phénomène comme l’un des risques majeurs pour la protection des données académiques et de recherche.
Chiffres et faits clés de la séance sur le RGPD et l’IA
90 % des données IA stockées hors Europe : une dépendance structurelle
Les données présentées lors de cette audition parlementaire posent le problème de façon factuelle. Selon les intervenants, 90 % des données de l’enseignement supérieur français sont stockées sur des serveurs américains. Ce chiffre n’est pas une projection : il traduit une dépendance structurelle aux GAFAM et autres acteurs extra-européens qui contrôlent quasi-intégralement les outils d’IA disponibles aujourd’hui.
Shadow IA et protection des données : un phénomène généralisé dans les établissements
Le phénomène de Shadow IA a été décrit comme généralisé : des étudiants et des enseignants utilisent des outils sans aucun encadrement institutionnel, transmettant des données vers des serveurs hors Union européenne. Des contenus sensibles y transitent, notamment des rapports de recherche, des dossiers d’évaluation et des thèses, sans que les institutions n’aient conscience de ce qui est partagé, ni avec qui.
Moissonnage des archives ouvertes et RGPD : le paradoxe HAL
Un autre point a retenu mon attention : le moissonnage des archives ouvertes. Les chercheurs sont souvent encouragés, parfois contraints, à publier leurs travaux sur des plateformes comme HAL. Ces données sont ensuite récupérées systématiquement par les systèmes d’IA pour entraîner leurs modèles, sans le consentement explicite des auteurs pour cet usage. Ce que les intervenants ont qualifié de « pillage intellectuel » est un paradoxe direct de la politique de science ouverte.
Flou juridique sur l’IA : quand les institutions ne peuvent pas sanctionner
Sur le plan juridique, les décisions de tribunaux administratifs rendues entre 2025 et 2026 montrent qu’en l’absence de règlements intérieurs précis ou de chartes d’établissement, il est légalement difficile de sanctionner l’usage frauduleux de l’IA. Le flou normatif produit une insécurité de part et d’autre : ni les institutions, ni les apprenants, ni les formateurs ne savent précisément où se situe la limite.
Ce que ça va changer dans ma pratique
Cette séance m’a amenée à envisager plusieurs ajustements concrets dans ma façon de travailler avec les outils d’IA. Je les formule au futur, parce qu’ils ne sont pas encore tous mis en place : c’est précisément l’honnêteté que j’essaie de maintenir dans cette série.
1/ Vérifier les CGU de chaque outil avant usage professionnel
En premier lieu, je projette de vérifier systématiquement les conditions générales d’utilisation de chaque outil que j’utilise pour produire du contenu de formation. Pas pour en faire un rapport juridique, mais pour identifier si les données que je saisie transitent hors UE et si une option entreprise existe à un tarif accessible. Cette démarche m’amènera probablement à hiérarchiser mes outils différemment selon le niveau de sensibilité des données impliquées.
2/ Ne plus injecter de données de tiers dans un outil grand public
En second lieu, je m’engage à ne plus injecter de contenus issus de tiers, évaluations d’apprenants, copies, retours de formation, dans un outil grand public non encadré. Cela paraît évident formulé ainsi. Mais dans la pratique quotidienne, la frontière entre « résumer ce retour pour gagner du temps » et « traiter une donnée personnelle sans base légale » est plus floue qu’elle n’y paraît. La séance m’a aidée à la rendre plus visible.
3/ Intégrer une clause de transparence IA dans mes propositions
En troisième lieu, je projette d’intégrer une clause explicite dans mes prochaines propositions de formation, pour informer mes clients de l’usage que je fais des outils d’IA dans ma préparation pédagogique. Ce n’est pas une obligation légale directe pour une formatrice indépendante travaillant sur des contenus génériques, mais c’est une posture de transparence cohérente avec ce que je prêche. La question de la responsabilité face à l’IA, que j’ai analysée dans mon article 3/30, prend ici une forme très concrète.
4/ Vulgariser la Shadow IA pour les formateurs indépendants
Enfin, je prévois d’aborder cette question de la Shadow IA dans mes prochains contenus à destination des formateurs. C’est un angle que mon public connaît peu, et qui mérite d’être vulgarisé sans alarmisme. L’enjeu n’est pas d’interdire les outils : c’est d’en comprendre les conditions d’usage pour rester décisionnaire, y compris sur le plan juridique. La transformation du métier de formateur que j’analyse dans mon article sur le formateur digital en 2026 passe aussi par cette dimension de responsabilité.
Ce que je laisse de côté
Cette séance a couvert des sujets que mon angle de formatrice indépendante ne me permet pas de traiter en profondeur ici. Je pense notamment au débat sur les solutions open source et sous licence libre comme alternative aux GAFAM, aux travaux de la DILNUM sur la migration des systèmes d’exploitation dans les services étatiques, et à la politique de science ouverte telle qu’elle est encadrée au niveau institutionnel. Ces sujets relèvent de décisions de politique publique et de gouvernance que je ne suis pas en position de commenter utilement depuis ma position de praticienne terrain. C’est précisément pour ça que j’ouvre une série de 30 articles : chaque séance apporte ses propres angles, et je choisis ceux qui ont une traduction concrète pour les formateurs indépendants.
Conclusion
Cette sixième séance de la mission d’information de l’Assemblée nationale m’a confirmé quelque chose que je pressentais sans l’avoir formalisé : utiliser l’IA dans une pratique pédagogique professionnelle, c’est aussi accepter d’en comprendre le cadre juridique. Le RGPD n’est pas un sujet réservé aux juristes. Il concerne chaque formateur qui saisit des données dans un outil, quelle que soit sa taille ou son statut. Mon prochain article de la série abordera la séance suivante de la mission d’information, avec un nouvel angle opérationnel pour les formateurs indépendants.
Identifier vos priorités IA en 2 minutes
Si vous avez l’impression de courir après le temps sans savoir où concentrer vos efforts, cet audit court vous aide à y voir plus clair sur les tâches où l’IA peut réellement vous faire gagner du temps en tant que formateur. Il prend 2 minutes à compléter.
Ou bien si vous êtes sur ordinateur vous pouvez remplir le formulaire plus facilement ci-dessous :
Mon résumé IA en vidéo :
Regarder la vidéo sur YouTube →
Pour aller plus loin sur la conformité et la responsabilité dans l’usage de l’IA, vous pouvez consulter mon article 3/30 sur la responsabilité face à l’IA, mon guide sur les meilleures IA pour les enseignants, ou ma réflexion sur ce que signifie être formateur digital en 2026.
Ce post a été coécrit avec Claude. Le préciser sans s’en excuser, c’est aussi une façon de pratiquer ce que je prêche 
Asma
J’ai trouvé ton article particulièrement utile parce qu’il rappelle que l’utilisation de l’IA ne peut pas être dissociée des enjeux de protection des données. J’ai apprécié le fait que tu rendes le RGPD concret, notamment en expliquant les risques liés aux données personnelles, aux prompts ou encore aux outils “gratuits” qui réutilisent parfois les informations fournies. Tu montres bien que la question n’est pas seulement technique ou juridique, mais aussi éthique et pédagogique. Une réflexion très actuelle et essentielle à l’heure où l’IA entre partout dans nos pratiques professionnelles
Qui dit « gratuit » dit « c’est toi le produit ».
Et question IA, on a bien servi les modèles avant qu’ils deviennent payants, mais ça, c’est un autre débat.
Qu’on soit formateur ou rédacteur, la question des informations qu’on laisse à l’IA est récurrente.
Il faut surtout faire attention aux paramètres. Comme dans les petites clauses des assurances, dans les paramètres des outils IA, on peut décocher ce qui est automatique, comme l’utilisation de nos données.
Merci pour cet article! J’espère que tu pourras, à travers d’autres articles, nous faire entrevoir tes ajustements concrets, avec des exemples précis, tes choix ?Par exemple: comment hiérarchiser ses outils différemment selon le niveau de sensibilité des données impliquées?
En tous cas, je trouve vraiment percutante l’idée d’inclure une clause de transparence IA dans nos propositions d’offre.