AI Act : ce qui change pour votre établissement le 2 décembre 2027

1. Qu'est-ce qu'un « système haut risque » en éducation ?

L'Annexe III du règlement liste explicitement les systèmes IA utilisés pour :

• Décider de l'accès ou de l'admission dans un établissement d'enseignement.
• Évaluer les acquis d'apprentissage (notation automatique, examens).
• Surveiller un examen ou détecter des comportements interdits.
• Orienter un apprenant vers une filière ou un parcours.

Un système qui se contente d'assister, sans décider, n'est pas haut risque par lui-même, mais s'il prépare des décisions à fort impact, l'établissement reste exposé. La distinction est ténue ; la prudence pratique est de traiter tout système touchant à l'admission ou à la notation comme haut risque.

2. Les obligations clés : articles 14 et 50

L'article 14 impose une supervision humaine. Pour tout système haut risque, l'humain doit pouvoir comprendre le résultat produit par l'IA, intervenir, le corriger, l'ignorer. Cela impose une chaîne de décision dont l'humain est maître non seulement en théorie, mais aussi en pratique opérationnelle. Une validation à un clic, par un humain identifié, sur chaque message engageant.

L'article 50 impose la transparence. Toute personne interagissant avec un système IA doit être informée qu'elle interagit avec une IA. Le texte va plus loin que des CGU : la mention doit être visible au moment de l'interaction. C'est pour cette raison qu'Edugent pose une pastille de transparence en pied de chaque message et garde le bouton « parler à [nom] en direct » équipoids visuel.

3. Le calendrier : pourquoi 2 décembre 2027

L'AI Act est entré en vigueur en août 2024. Les obligations applicables aux systèmes haut risque listés à l'Annexe III entrent en application 36 mois après l'entrée en vigueur, soit le 2 août 2027. L'amendement « Digital Omnibus » adopté en mai 2026 a décalé cette date de 4 mois pour les systèmes éducation, fixant la deadline opérationnelle au 2 décembre 2027.

Vous avez d'ici là pour cartographier vos systèmes IA, qualifier leur niveau de risque, et déployer les mécanismes de supervision et de transparence requis.

4. Ce qu'un établissement doit avoir validé d'ici décembre 2027

1. Une cartographie exhaustive de tous les systèmes IA en usage (production, projet, test), avec qualification haut risque ou non, justifiée par écrit.
2. Pour chaque système haut risque, une chaîne de supervision humaine documentée : qui valide, à quel moment, avec quel outil, sur quel délai.
3. Des mécanismes de transparence sur tout point de contact étudiant : signalisation visible, accès humain équipoids.
4. Un audit trail conservé 7 ans : prompts, données sources, réponses générées, décisions humaines associées.
5. Une évaluation d'impact sur les droits fondamentaux (FRIA, Fundamental Rights Impact Assessment) pour les systèmes prenant ou préparant des décisions individuelles.
6. La désignation d'un référent IA Act dans l'organisation, en lien avec le DPO.

5. Pourquoi un acteur américain démarrera en retard

Les systèmes IA admissions développés aux États-Unis (Element451, EAB Mainstay, etc.) n'ont pas été pensés pour l'AI Act. Leur architecture repose souvent sur des chatbots dont l'identification humaine est faible voire absente, sur des décisions automatisées que la doctrine européenne va exiger d'encadrer plus strictement, et sur des hébergements non-EU difficiles à reverser sans refactor.

Edugent démarre compliant by design: la doctrine jumeau, la transparence visible, l'audit trail intégral, l'hébergement OVH SecNumCloud ne sont pas des add-ons : ce sont des décisions structurantes du produit.

Cela ne veut pas dire que les acteurs US sont sans avenir français ; cela veut dire qu'ils devront investir 18 à 24 mois de refactor produit pour être conformes. C'est la fenêtre d'avantage compétitif des acteurs européens.