Check-list RGPD et IA dans l'éducation et la formation

Pour comprendre qui fait quoi et à quel niveau de responsabilité

À qui s'adresse cette infographie ?

Avant de cocher quoi que ce soit, identifie ton rôle. Le RGPD ne s'applique pas de la même manière selon ta position dans la chaîne de traitement.

🪶 Identification des rôles

Public concerné Rôle RGPD Exemples de responsabilités
Apprenant·e Personne concernée Droit d'accès, de rectification, d'effacement de ses données
Formateur·rice / Enseignant·e Utilisateur·rice autorisé·e Utilise des services validés par le responsable de traitement
Responsable de traitement
(organisme, établissement)		 Décide des finalités et moyens Réalise l'AIPD, choisit les sous-traitants, inscrit les traitements au registre
Fournisseur / Éditeur de service IA Sous-traitant Met en œuvre les mesures techniques et contractuelles demandées par le responsable de traitement
1

Définir le cadre et les responsabilités

🪶
Tu ne peux pas être conforme si tu ignores ton périmètre.
  • Identifie ton rôle RGPD selon le tableau ci-dessus.
  • Si tu es formateur·rice, utilise uniquement des services validés et inscrits au registre de ton établissement.
  • Si tu es éditeur ou fournisseur, assure-toi d'avoir un contrat de sous-traitance conforme.
  • Si tu es responsable de traitement, définis et documente les relations contractuelles.
Réalité terrain : Dans les faits, les contrats de sous-traitance sont rarement mis en œuvre, ce qui expose les deux parties à des risques juridiques et de sécurité.

Mini-checklist :

2

Finalité et base légale

🧭
Le RGPD n'interdit rien, il encadre. Mais certaines bases légales sont inadaptées en éducation.
  • La finalité du traitement doit être claire (ex. suivi des apprentissages, analyse d'engagement).
  • Le consentement n'est pas une base légale adaptée dans la plupart des cas éducatifs, car il ne peut pas être libre ni éclairé.
  • Les bases légales les plus courantes : mission d'intérêt public, exécution d'un contrat, ou obligation légale.
  • La réutilisation des données exige un test de compatibilité, conduit par le responsable de traitement.

Mini-checklist :

3

Minimiser et sécuriser les données

🪞
La protection passe par la sobriété et la rigueur. Le responsable de traitement doit considérer toutes les catégories de DCP : celles des apprenant·es, mais aussi celles des formateur·rices et du personnel.
  • Collecte uniquement les données utiles à la finalité prévue.
  • Supprime ou anonymise ce qui n'est plus nécessaire.
  • Si tu es fournisseur de service, limite la rétention et documente les mesures techniques (chiffrement, cloisonnement).
  • Si tu es responsable, impose des clauses de sécurité à tous tes sous-traitants.

Mini-checklist :

4

Informer et respecter les droits

🪩
Toutes les catégories de personnes sont concernées : apprenant·es, enseignant·es, personnel administratif. Les données des formateur·rices sont des DCP au même titre que celles des apprenant·es.
  • Les responsables doivent informer clairement les personnes concernées : finalités, durée, droits.
  • Les fournisseurs doivent fournir les éléments techniques permettant l'exercice de ces droits.
  • Les formateur·rices doivent rediriger toute demande vers le DPD (délégué·e à la protection des données).
  • Les apprenant·es doivent savoir comment exercer leurs droits sans obstacle.

Mini-checklist :

5

Évaluer et améliorer en continu

🌀
La conformité n'est pas un état, c'est une habitude.
  • L'AIPD (analyse d'impact) est une obligation du responsable de traitement, pas des formateur·rices.
  • Elle doit être menée avant toute mise en œuvre d'un système d'IA impliquant des données personnelles.
  • Les fournisseurs doivent fournir les informations nécessaires pour la réaliser.
  • Des audits réguliers garantissent la mise à jour des pratiques.

Mini-checklist :

En résumé

Le RGPD structure un écosystème de confiance. Il protège toutes les personnes : apprenant·es, formateur·rices, personnel administratif. Chaque acteur a un périmètre défini. La confusion des rôles génère les risques majeurs.