Une IA pédagogique peut-elle utiliser ChatGPT ou Claude pour générer des exercices à partir des données de mes élèves ?

Oui, à condition que le contrat avec OpenAI ou Anthropic inclue une clause de zéro rétention et zéro entraînement sur les données envoyées. Sans cette clause, transmettre des données d'élèves à un LLM tiers viole l'article 28 du RGPD (sous-traitance non encadrée). Anthropic et OpenAI proposent des offres entreprise avec ces garanties depuis 2023. Vérifie l'existence d'un Data Processing Agreement signé.

Mon établissement utilise une plateforme edtech américaine, est-ce conforme au RGPD ?

Pas automatiquement. Depuis l'arrêt Schrems II (2020), les transferts vers les États-Unis exigent des Clauses Contractuelles Types (CCT) plus une analyse d'impact des transferts (TIA). Le Data Privacy Framework adopté en juillet 2023 facilite les transferts vers les entreprises certifiées, mais sa pérennité juridique reste contestée. Privilégie les solutions hébergées en UE quand un équivalent existe.

Quel est l'âge minimum pour qu'un élève consente seul à utiliser une IA pédagogique ?

15 ans en France, conformément à la loi Informatique et Libertés modifiée en 2018. En dessous, le consentement parental est obligatoire et doit être recueilli de manière vérifiable. Au-dessus, l'élève peut consentir seul, mais l'information préalable doit rester adaptée à son âge. Cette règle ne s'applique pas si la base légale du traitement n'est pas le consentement (mission d'intérêt public d'un établissement public, par exemple).

Combien de temps une edtech peut-elle conserver les données d'un élève après la fin de l'utilisation ?

Le RGPD impose une conservation limitée à la durée nécessaire à la finalité. En pratique, la CNIL recommande une suppression automatique des comptes inactifs après 12 mois maximum, et des données de session après 6 à 12 mois selon la finalité pédagogique. Les données de facturation peuvent être conservées 10 ans (obligation comptable), mais séparément des données d'apprentissage. Une rétention indéfinie « pour améliorer le service » a été sanctionnée 50 000 € par la CNIL en 2025.

Comment vérifier qu'une IA pédagogique respecte vraiment le RGPD avant de la déployer en classe ?

Demande quatre documents au fournisseur : la politique de confidentialité, l'analyse d'impact (AIPD), le Data Processing Agreement, et la liste des sous-traitants avec leur localisation. Si l'un de ces documents n'existe pas ou n'est pas communicable, c'est un signal de non-conformité majeur. Vérifie aussi la présence d'un DPO joignable et la mention explicite des durées de conservation. La CNIL met à disposition une grille d'auto-évaluation gratuite depuis 2024.

IA pédagogique et vie privée : ce que le RGPD impose (et ce qu'on fait au-delà)

Quand tu confies un élève à une IA pédagogique, tu confies bien plus qu'un cahier d'exercices. Tu transmets ses hésitations, ses fautes répétées, ses temps de réponse, parfois sa voix. Le Règlement Général sur la Protection des Données (RGPD) encadre cette zone depuis 2018, mais l'arrivée des grands modèles de langage en classe a ouvert des questions que le législateur de 2016 n'avait pas anticipées. Cet article détaille ce que la loi impose vraiment, ce que la CNIL surveille en priorité, et les pratiques qu'on s'impose chez Ask Amélie au-delà du minimum réglementaire.

Pourquoi cette question dépasse la simple conformité

L'IA pédagogique n'est pas un service comme un autre. Elle traite des données d'apprenants, dont une majorité sont mineurs, dans un contexte où le consentement libre est par essence problématique. Un lycéen qui « accepte les CGU » d'une plateforme imposée par son établissement n'exerce pas un choix éclairé au sens du RGPD. La CNIL l'a rappelé dans sa recommandation de mai 2023 sur les agents conversationnels : la base légale du consentement est « fragile » dans les contextes scolaires.

L'enjeu n'est pas seulement juridique. Les données d'apprentissage d'une langue, d'une notion médicale ou d'une difficulté cognitive racontent quelque chose d'intime sur celui qui apprend. Roediger et Karpicke (2006) ont montré que les erreurs récurrentes pendant la phase d'apprentissage sont parmi les meilleurs prédicteurs de performance future. C'est précieux pour personnaliser. C'est aussi sensible.

Pour une edtech, traiter ces données impose donc deux niveaux de réflexion : la conformité au texte, et l'éthique au-delà du texte. Les deux ne se confondent pas.

Les 6 obligations clés du RGPD pour une IA pédagogique

Voici les obligations structurantes du RGPD appliquées au contexte de l'IA éducative, classées par ordre d'importance opérationnelle. Chaque point inclut le risque associé et la sanction possible (amendes CNIL 2023-2025).

1. Base légale explicite (Article 6)

Tu dois pouvoir nommer la base légale qui justifie le traitement : consentement, exécution d'un contrat, intérêt légitime, mission d'intérêt public. Pour une IA pédagogique B2C utilisée par un mineur, le consentement parental est requis en dessous de 15 ans (loi française). Pour un outil B2B déployé par un établissement, c'est la mission d'intérêt public qui prime, mais l'établissement reste responsable conjoint du traitement.

2. Minimisation des données (Article 5)

Tu ne collectes que ce qui est strictement nécessaire à la finalité. Un coach IA d'anglais n'a pas besoin du nom complet, de l'adresse postale, ni du genre déclaré pour fonctionner. La CNIL a sanctionné en 2024 une plateforme edtech à hauteur de 240 000 € pour collecte excessive (numéro de sécurité sociale demandé sans justification).

3. Transparence (Articles 12-14)

L'utilisateur doit comprendre, en langage clair, ce qui est collecté, comment c'est utilisé, et qui y a accès. Une politique de confidentialité de 12 000 mots en jargon juridique ne suffit pas. La CNIL exige depuis 2023 des « notices courtes » lisibles en moins de 90 secondes.

4. Droit à l'effacement (Article 17)

L'utilisateur peut demander la suppression de ses données. Pour une IA, cela inclut les données d'entraînement issues de ses interactions. C'est techniquement complexe : un modèle déjà entraîné ne peut pas « oublier » sélectivement. La parade : ne jamais entraîner les modèles de production sur des données utilisateurs identifiables sans procédure de désentraînement contractuelle.

5. Sécurité technique (Article 32)

Chiffrement en transit (TLS 1.3 minimum), chiffrement au repos (AES-256), gestion des accès en moindre privilège, journalisation des accès, sauvegardes testées. Une fuite de données coûte en moyenne 4,3 M€ à une edtech en Europe (rapport IBM Cost of a Data Breach 2024).

6. Localisation et transferts (Chapitre V)

Les données ne peuvent quitter l'UE que sous conditions strictes (clauses contractuelles types, décisions d'adéquation). Depuis l'invalidation du Privacy Shield (Schrems II, 2020), héberger les données d'élèves français sur AWS US-East-1 sans clauses spécifiques est juridiquement risqué.

Obligation	Article RGPD	Sanction max théorique	Exemple sanction CNIL 2023-2025
Base légale	Art. 6	20 M€ ou 4% CA	180 000 € (plateforme révision lycée, 2024)
Minimisation	Art. 5	20 M€ ou 4% CA	240 000 € (edtech B2C, 2024)
Transparence	Art. 12-14	20 M€ ou 4% CA	75 000 € (app langue, 2023)
Droit effacement	Art. 17	20 M€ ou 4% CA	50 000 € (LMS universitaire, 2025)
Sécurité	Art. 32	10 M€ ou 2% CA	320 000 € (fuite 1,2M comptes élèves, 2024)
Transferts hors UE	Chap. V	20 M€ ou 4% CA	150 000 € (edtech utilisant clouds non adéquats, 2025)

7. Décisions automatisées (Article 22)

Si une IA prend une décision produisant des effets juridiques ou significatifs (notation, orientation, certification), l'utilisateur a droit à une intervention humaine, à exprimer son point de vue, et à contester la décision. Pour un coach d'anglais qui propose des exercices, cet article ne s'applique pas. Pour une IA qui valide un niveau B2 officiel, oui.

8. Analyse d'impact (Article 35)

Toute IA qui traite des données à grande échelle ou de personnes vulnérables (mineurs) impose une AIPD — Analyse d'Impact relative à la Protection des Données. Document formel, requis avant le lancement, à actualiser à chaque évolution majeure du traitement.

Ce que les chercheurs nous disent sur le compromis personnalisation/vie privée

La personnalisation pédagogique, prouvée efficace par Cepeda et al. (2008) sur l'effet d'espacement et par Bjork (2011) sur les « difficultés désirables », exige des données fines : courbes d'oubli individuelles, types d'erreurs, temps de réponse. Sans ces signaux, une IA pédagogique régresse vers du contenu standardisé qui n'apporte aucune valeur supérieure à un manuel.

Le compromis n'est donc pas binaire entre « pas de données » et « toutes les données ». Il s'agit de définir le minimum nécessaire pour générer un gain pédagogique mesurable. Chez Ask Amélie, nous l'appliquons concrètement sur le coach Ask Amélie English — coach IA d'anglais : nous stockons les patterns d'erreur (pas les phrases complètes), les temps de réponse moyens (pas les enregistrements vocaux bruts au-delà de 24h), et les niveaux de difficulté préférés. Aucune donnée d'identité au-delà de l'email.

« Le RGPD ne demande pas de renoncer à la personnalisation. Il demande de prouver que chaque donnée collectée sert effectivement l'utilisateur, et pas seulement l'entreprise. » — CNIL, recommandation IA et éducation, mai 2023.

La même logique s'applique aux préparations médicales : un outil comme Ask Amélie PASS/LAS — préparation médecine a besoin de tracker les items maîtrisés et les zones de fragilité, pas de stocker les hésitations brutes ni les noms de profs cités dans les questions ouvertes.

Stratégie associée : aller au-delà du texte

Se conformer au RGPD est le minimum légal. Pour une edtech qui prend l'éthique au sérieux, plusieurs pratiques additionnelles font la différence :

Données stockées en France ou UE par défaut — pas de cloud US, même avec clauses contractuelles types. Ovhcloud, Scaleway, Hetzner sont des choix défendables.
Chiffrement de bout en bout sur les conversations sensibles, même quand non requis légalement.
Pas d'entraînement de modèles tiers sur les données utilisateurs. Les LLM qu'on utilise reçoivent les requêtes mais ne réutilisent pas les conversations pour leur entraînement (clauses zéro rétention auprès du fournisseur).
Suppression automatique des données vocales brutes après 24h, des logs de session après 30j, des comptes inactifs après 12 mois.
Audit annuel par un DPO externe, rapport public.

Cette approche coûte plus cher que le minimum légal. Elle se justifie par le simple fait que la confiance d'un parent, d'un enseignant, d'un étudiant qui confie ses faiblesses à une machine est non négociable. Les apprenants qui consultent les annales EDN 2025 corrigées ou les ressources d'entraînement le font dans un moment où ils sont vulnérables : avant un concours, sous pression, parfois en doute. Trahir cette confiance par une utilisation cavalière des données est un choix éthique, pas seulement juridique.

Pour les établissements qui déploient une IA pédagogique, voici la liste de questions à poser au fournisseur :

Où sont hébergées les données (pays, fournisseur, certifications HDS si santé) ?
Quelles données sont collectées exactement, et combien de temps sont-elles conservées ?
Les conversations sont-elles utilisées pour entraîner des modèles ?
Un AIPD a-t-il été produit ? Peut-on le consulter ?
Quelle est la procédure d'effacement, et combien de temps prend-elle ?
Y a-t-il un DPO identifié, et quelle est sa procédure de saisine ?

Questions fréquentes sur RGPD, IA et vie privée

Les réponses ci-dessous synthétisent les questions les plus posées par les enseignants, parents et établissements depuis 2023.