L’AI Act : ce que change le règlement européen sur l’IA en France

Adopté le 13 juin 2024 par le Parlement européen, le règlement (UE) 2024/1689 dit AI Act est le premier cadre juridique mondial encadrant l’intelligence artificielle. Son entrée en vigueur le 1er août 2024 a marqué le début d’une mise en application progressive, qui devait initialement s’achever le 2 août 2026. Le calendrier est en cours d’évolution avec le « Digital Omnibus » voté en mars 2026, mais les obligations majeures sont déjà actives. État des lieux pour les acteurs publics, les entreprises et — point de vigilance particulier pour cet article — les établissements scolaires français.

Pourquoi un règlement européen sur l’IA ?

L’arrivée massive de ChatGPT fin 2022 a accéléré une réflexion engagée en 2021 par la Commission européenne. Les institutions européennes ont identifié plusieurs risques majeurs : discriminations algorithmiques, opacité des décisions automatisées, atteintes à la vie privée, manipulation comportementale, sans compter les problématiques liées à la propriété intellectuelle et à l’environnement.

L’AI Act répond à un triple objectif :

• protéger les droits fondamentaux des citoyens européens face aux risques posés par l’IA ;
• harmoniser les règles dans les 27 États membres pour éviter une fragmentation du marché ;
• stimuler l’innovation en offrant un cadre juridique prévisible aux entreprises européennes.

Comme le RGPD, l’AI Act est un règlement d’application directe : il ne nécessite aucune transposition en droit français pour produire ses effets. Toute organisation établie en France ou dont les systèmes d’IA produisent leurs effets sur le territoire de l’Union est concernée.

Une classification en quatre niveaux de risque

L’AI Act adopte une logique simple : plus le risque potentiel est élevé, plus les obligations sont strictes.

1. Risque inacceptable (interdit depuis février 2025)

Certaines pratiques sont purement interdites sur le territoire de l’UE depuis le 2 février 2025 :

• la notation sociale par les autorités publiques (à la chinoise) ;
• les techniques de manipulation subliminale altérant le comportement ;
• l’exploitation des vulnérabilités de groupes spécifiques (enfants, personnes en situation de handicap) ;
• l’identification biométrique à distance en temps réel dans l’espace public (sauf exceptions strictes pour les forces de l’ordre) ;
• la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement ;
• la catégorisation biométrique sur des attributs sensibles (origine ethnique, opinions politiques, orientation sexuelle…).

2. Risque élevé (« haut risque »)

C’est le cœur du dispositif. L’Annexe III du règlement liste 8 domaines où les systèmes d’IA sont considérés à haut risque :

1. Biométrie (identification, catégorisation, reconnaissance des émotions) ;
2. Infrastructures critiques (énergie, eau, transports) ;
3. Éducation et formation professionnelle ;
4. Emploi, gestion des travailleurs et accès au travail indépendant ;
5. Accès aux services essentiels publics et privés (crédit, assurance, aides sociales) ;
6. Forces de l’ordre ;
7. Migration, asile, contrôle des frontières ;
8. Administration de la justice et processus démocratiques.

Pour ces systèmes, les exigences sont lourdes : gestion des risques sur tout le cycle de vie, documentation technique complète, qualité des données d’entraînement, transparence vis-à-vis des utilisateurs, supervision humaine effective, robustesse et cybersécurité, marquage CE, enregistrement dans la base de données européenne.

3. Risque limité (obligation de transparence)

Les chatbots, les deepfakes et les contenus générés par IA tombent dans cette catégorie. Obligation principale : informer clairement l’utilisateur qu’il interagit avec une IA, et marquer les contenus générés artificiellement.

4. Risque minimal

Filtres anti-spam, recommandations de produits, jeux vidéo, traduction automatique : aucune obligation spécifique, hors respect du RGPD.

Le calendrier d’application

L’AI Act n’est pas entré en vigueur d’un seul bloc. Plusieurs jalons rythment sa mise en œuvre :

Le Digital Omnibus et le possible report

Le 26 mars 2026, le Parlement européen a voté à 569 voix contre 45 le report des obligations haut risque — l’échéance du 2 août 2026 serait repoussée au 2 décembre 2027 pour les systèmes de l’Annexe III, et au 2 août 2028 pour ceux de l’Annexe II. Justification officielle : retard dans la publication des normes harmonisées par le CEN et le CENELEC. Le texte est encore en trilogue entre le Parlement, le Conseil et la Commission.

⚠️ Attention : si le Digital Omnibus n’est pas adopté avant le 2 août 2026, les échéances initiales s’appliquent. Et les obligations déjà en vigueur (pratiques interdites, GPAI, formation à l’IA, transparence) ne sont pas concernées par ce report. La prudence reste donc de mise.

Les sanctions : jusqu’à 35 millions d’euros

Les amendes prévues par l’AI Act sont calquées sur le modèle du RGPD, avec des montants nettement plus élevés :

• Pratiques interdites : jusqu’à 35 M€ ou 7 % du chiffre d’affaires mondial (le plus élevé des deux pour les grandes entreprises) ;
• Manquements sur les systèmes haut risque : jusqu’à 15 M€ ou 3 % du CA mondial ;
• Manquements aux obligations de transparence (risque limité) : jusqu’à 7,5 M€ ou 1 % du CA mondial ;
• Astreintes : jusqu’à 100 000 € par jour de retard.

Le cumul avec les sanctions RGPD (20 M€ ou 4 % du CA) est possible : une infraction unique peut théoriquement valoir jusqu’à 55 M€.

Pour les PME et les startups, l’article 99 prévoit une protection mathématique : c’est le moins élevé des deux montants (pourcentage ou montant fixe) qui s’applique.

Les autorités compétentes en France

La France a opté pour un modèle décentralisé : plutôt qu’une autorité unique, c’est un maillage d’une quinzaine de régulateurs sectoriels qui se partage le contrôle.

La CNIL, autorité de référence

Désignée le 17 février 2026 par le projet de loi DDADUE, la CNIL est l’autorité française de surveillance principale. Elle est compétente pour :

• les pratiques interdites (avec la DGCCRF) ;
• les systèmes haut risque impliquant des données personnelles ;
• la biométrie, l’éducation, la justice ;
• 15 cas d’usage haut risque spécifiquement.

Sa formation restreinte peut prononcer des injonctions, des astreintes jusqu’à 100 000 €/jour et des amendes jusqu’à 35 M€ ou 7 % du CA mondial. La CNIL a déjà créé un département IA dédié pour préparer cette nouvelle mission, qui s’ajoute à ses compétences RGPD.

Les autres régulateurs

Une France lente à se mettre en ordre

À noter : la France figure parmi les États membres les plus lents dans la finalisation de la désignation de toutes ses autorités. Au printemps 2026, plusieurs textes d’application étaient encore en discussion, ce qui crée une insécurité juridique dommageable pour les acteurs publics et privés.

L’AI Act et l’éducation : ce que cela change pour les établissements

C’est le point qui concerne directement les principaux d’établissement, les chefs d’établissement, les enseignants et les DSI académiques. Quatre cas d’usage sont explicitement listés comme « haut risque » à l’Annexe III pour le secteur éducatif :

Les cas d’usage à haut risque en éducation

1. Détermination de l’accès ou de l’admission dans un établissement (algorithmes de type Affelnet, Parcoursup) ;
2. Évaluation des acquis d’apprentissage, y compris quand ces résultats orientent le parcours de l’élève ;
3. Évaluation du niveau d’éducation approprié pour un individu ;
4. Surveillance et détection de comportements interdits pendant les examens (proctoring).

Ces systèmes doivent, à l’horizon de l’application complète, respecter l’ensemble des exigences du Titre III du règlement : documentation, gestion des risques, supervision humaine, transparence, marquage CE, enregistrement.

Conséquences concrètes pour un collège ou un lycée

Si l’établissement est seulement utilisateur (« déployeur ») d’un outil tiers — typiquement Affelnet, Pronote, ou un correcteur IA acheté à un éditeur — les obligations principales pèsent sur le fournisseur, pas sur l’établissement. Mais en tant que déployeur, le chef d’établissement reste tenu de :

• vérifier que l’outil utilisé est conforme à l’AI Act (marquage CE, enregistrement européen) ;
• informer les élèves et les familles que l’évaluation ou l’orientation peut faire intervenir un système d’IA ;
• garantir une supervision humaine effective : la décision finale doit toujours être prise (ou pouvoir être contestée) par un humain ;
• journaliser les usages et les incidents éventuels ;
• former le personnel à l’usage de ces outils (article 4 — déjà applicable depuis février 2025).

L’obligation de formation à l’IA (article 4)

C’est l’obligation la plus immédiate et la plus oubliée. Depuis le 2 février 2025, toute organisation qui déploie un système d’IA — y compris les établissements scolaires utilisant un outil de correction, un détecteur de plagiat IA, ou un assistant de gestion — doit s’assurer que son personnel possède un niveau de compétence suffisant pour comprendre, utiliser et superviser cet outil.

En pratique, cela impose aux établissements de :

• inscrire la formation à l’IA dans le plan de formation académique ;
• prévoir des temps de sensibilisation dans les conseils pédagogiques ;
• documenter les actions de formation suivies (traçabilité).

Et les détecteurs d’IA, les correcteurs IA, les chatbots pédagogiques ?

Cas par cas :

• Un correcteur de copies par IA (type Ed.ai, Examino, Gingo) qui produit une note à la place du professeur tomberait sous le régime haut risque (Annexe III, point b). En pratique, ces outils se positionnent en assistant et laissent la décision au professeur — ce qui les fait potentiellement bénéficier de la dérogation prévue à l’article 6(3) (« amélioration d’une activité humaine sans s’y substituer »). Mais cette dérogation doit être documentée par le fournisseur.
• Un détecteur d’IA dans les copies est plus ambigu : s’il sert seulement d’indicateur soumis au jugement humain, il peut être hors haut risque. S’il déclenche automatiquement une procédure disciplinaire, il devient haut risque.
• Un outil de surveillance des examens en ligne (proctoring) est explicitement haut risque (Annexe III, point d).
• Un chatbot d’orientation ou un assistant pédagogique est plutôt en risque limité, avec obligation de transparence.

L’articulation avec le RGPD

L’AI Act et le RGPD sont complémentaires et cumulatifs. Quand un système d’IA traite des données personnelles, les deux régimes s’appliquent simultanément. La conformité RGPD est même un prérequis à la déclaration de conformité AI Act pour les systèmes haut risque.

Concrètement, pour un établissement qui déploie un outil d’IA dans le scolaire, cela suppose :

• une base légale identifiée pour le traitement (intérêt légitime, mission de service public, consentement) ;
• une information claire des élèves et des familles ;
• une analyse d’impact (AIPD/PIA) pour les traitements à risque ;
• la consultation du DPD académique avant tout déploiement ;
• un registre des activités de traitement mis à jour ;
• la possibilité d’exercer les droits d’accès, de rectification, d’opposition.

L’inscription dans le règlement intérieur ou la charte numérique de l’établissement, accompagnée d’une note d’information aux familles à la rentrée, est aujourd’hui considérée comme la pratique la plus protectrice.

Que faire concrètement ? Une feuille de route

Pour un établissement scolaire

1. Cartographier les outils d’IA déjà utilisés : Pronote (modules IA), correcteurs, détecteurs, chatbots, assistants pédagogiques, modules d’orientation, outils du GAR.
2. Identifier le niveau de risque de chaque outil au regard de l’Annexe III.
3. Vérifier la conformité du fournisseur : hébergement UE, marquage CE annoncé, mentions légales, DPA (data processing agreement).
4. Former les équipes : enseignants, vie scolaire, administratifs.
5. Mettre à jour les documents : règlement intérieur, charte numérique, mention dans la note de rentrée.
6. Documenter les usages : tenir un registre interne des outils déployés et des décisions associées.
7. Consulter le DPD académique avant tout déploiement nouveau.

Pour les enseignants individuels

• Préférer les outils français hébergés en UE (Lucide, Compilatio, Ed.ai, Examino…) plutôt que ChatGPT brut pour traiter des données d’élèves ;
• Anonymiser systématiquement les copies avant import dans un outil tiers ;
• Informer les classes dès la rentrée si vous utilisez un correcteur ou un détecteur IA ;
• Ne jamais sanctionner sur le seul fondement d’un score d’IA — la décision doit rester humaine et motivée.

Pour les entreprises

• Audit interne des systèmes d’IA déployés ;
• Désignation d’un référent IA ou DPO renforcé ;
• Mise en place d’une veille réglementaire active sur l’évolution du Digital Omnibus ;
• Anticipation du marquage CE et de l’enregistrement européen pour les systèmes haut risque ;
• Plans de formation interne (article 4).

En synthèse

L’AI Act n’est ni un texte purement européen abstrait, ni un cadre destiné aux seules grandes entreprises de la tech. C’est une réalité juridique qui s’impose dès aujourd’hui à tout déployeur d’IA, y compris dans les établissements publics français, avec des obligations déjà actives (formation à l’IA, pratiques interdites, transparence) et d’autres à venir entre 2026 et 2030.

Pour le secteur éducatif, le règlement consacre un principe simple mais structurant : l’IA peut assister, mais jamais décider seule dans les domaines qui touchent à l’évaluation, à l’orientation et à la surveillance des élèves. C’est à la fois une contrainte réglementaire et une boussole pédagogique.

L’enjeu pour les chefs d’établissement n’est pas tant juridique — la CNIL ne contrôlera pas demain matin chaque collège — qu’organisationnel et éthique : poser dès maintenant des règles claires d’usage de l’IA dans l’établissement, former les équipes, informer les familles, et garder en main les décisions qui engagent l’avenir scolaire des élèves.

Article publié le 2 mai 2026. Le calendrier de l’AI Act est susceptible d’évoluer en fonction de l’adoption du Digital Omnibus. Sources principales : règlement (UE) 2024/1689, Commission européenne, CNIL, DGE, AI Office.