AI Act : quels impacts pour l’éducation & la formation professionnelle ?

Quel sera l’impact de l’AI Act sur les structures éducatives et organismes de formation utilisant l’IA dans leurs processus ? Quelles seront les futures exigences ? Quels sont les domaines concernés ? Comment vérifier la conformité de ses systèmes d’IA ?

Beaucoup de questions tourmentent l’écosystème de la formation depuis l’entrée en vigueur de l’AI Act. Les acteurs de la formation professionnelle et l’écosystème Edtech doivent commencer à s'approprier ce nouveau cadre juridique.

L’IA Act, la réglementation européenne destinée à encadrer l’utilisation de l’intelligence artificielle dans les États Membres, a été adoptée le 13 mars 2024 et est entrée en vigueur le 1ᵉʳ août 2024. Cette nouvelle réglementation sera mise en place progressivement dans les États membres, dans un délai allant de 6 mois à 36 mois après son entrée en vigueur.

Spoiler alert, les premières réglementations de l’IA Act sont d’ores et déjà entrées en application ce dimanche 2 février 2025 dans les États Membres de l’Union européenne. Il s’agit seulement des premières mesures concernant les systèmes d’IA dits “inacceptables”. Les obligations incombant aux systèmes d’IA, appelés les systèmes d’IA “à haut risque”, seront applicables prochainement… Cette dernière catégorie concernera particulièrement les acteurs de la formation professionnelle & de l’éducation, qui seront soumis à des nouvelles obligations dans le cadre de l'usage de ces systèmes d'IA.

Or, lorsque l’on sait que 86% des organismes de formation utilisent déjà l’IA (étude Digiforma) aujourd’hui, la compréhension de l’IA Act mérite un petit détour.

Edko décrypte l’IA Act et ses implications pour les acteurs de l’éducation et de la formation professionnelle.

‍

Comprendre l’IA Act en quelques minutes

‍

‍

Avant de s’intéresser aux impacts dans le secteur, il est nécessaire de comprendre comment cette réglementation européenne s’articule.

L'AI Act définit un système d'IA comme "un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d'autonomie et qui peut faire preuve d'adaptabilité après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels".

La majeure partie des obligations de l’AI Act incombent aux fournisseurs (développeurs) des systèmes d’IA. Or, certaines exigences incombent également aux “déployeurs” (définis par l’AI Act comme ceux qui “déploient un système d’IA à titre professionnel”).

Les fournisseurs de systèmes d’IA sont définis de la manière suivante “une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui développe ou fait développer un système d’IA ou un modèle IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, que ce soit à titre onéreux ou gratuit”. Il peut s’agir donc des développeurs de logiciels, outils, produits utilisant l’IA.

Or, les utilisateurs des modèles d’IA à titre professionnel (déployeurs) sont aussi concernés par ces exigences. Pour information, l’AI Act désigne comme déployeur toute “personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant un système d’IA sous son autorité, sauf si le système d’IA est utilisé dans le cadre d’une activité personnelle non professionnelle”. Dans ce cas, le terme “déployeur” peut viser un Responsable qualité ou encore Responsable formation utilisant un système d’IA dans un contexte professionnel.

Selon le site officiel EU Artificial Intelligence Act, l’AI Act réglemente l’IA grâce à une classification bien spécifique :

• Les systèmes d’IA présentant des risques “inacceptables” seront interdits dans tous les Etats Membres. Les premières mesures sont applicables depuis le 2 février 2025 et interdisent depuis ce jour les premiers systèmes dits “inacceptables”, comme les logiciels de “notation sociale” privés ou publics ou encore les systèmes d’évaluation du risque qu’une personne puisse commettre des infractions pénales... Parmi les interdications qui entrent en application, nous retrouvons aussi la "reconnaissance des émotions" d'une personnes physique sur le lieu de travail ou dans les établissements d'enseignement. Certaines exceptions sont prévues pour les forces de l'ordre. Pour en savoir plus, vous pouvez vous référer au réglement (Chapter II, Art. 5)

• Les systèmes d’IA présentant des “hauts risques” seront prochainement “réglementés”  (2026 - 2027), c’est-à-dire soumis à de nouvelles obligations. La majeure partie de l’AI Act porte sur cette catégorie de systèmes d’IA à “haut risque”. Globalement, il s’agit de tous les systèmes d’IA qui constituent ou font partie d’un composant de sécurité (ou qui est lui-même un produit couvert par la législation d'harmonisation de l'Union) ou ceux qui font peser un risque significatif d’atteinte à la santé, à la sécurité ou aux droits fondamentaux de personnes physiques (8 catégories dites à “haut risque”, dans laquelle nous retrouvons celle de l’“Éducation & Formation professionnelle). C’est précisément cette catégorie qui bouleversera prochainement l’écosystème de la formation professionnelle & de l’éducation, Edko vous explique précisément les impacts un peu plus bas dans l’article.

• Les systèmes d'IA « à risque limité » : il s’agit ici notamment des technologies telles que les chatbots ou encore les deepfakes. Les exigences sont principalement des obligations de transparence. Par exemple, les “déployeurs” (c'est-à-dire ceux qui déploient un système d’IA à titre professionnel et non les utilisateurs concernés) devront être conscients qu’ils interagissent avec une IA lorsqu’ils utilisent ce type de logiciels.

• Les systèmes d'IA « à risque minimal » ne seront ni réglementé ni prescrit. Il s’agit par exemple des applications d’IA actuellement disponibles sur le marché de l’UE, comme les jeux vidéo ou encore les filtres anti-spams.

• Enfin, les modèles à usage général (GPAI) sont définis de la manière suivante “modèle entraîné sur un grand volume de données en utilisant de l’auto-supervision à l’échelle, est un modèle qui fait preuve d’une grande généralité d’usage et qui est capable de réaliser des tâches diverses indépendamment de la manière dont il est mis sur le marché. Il peut être intégré dans divers systèmes ou applications en aval. Ne sont pas concernés les modèles utilisés pour la recherche, le développement ou le prototypage d’activités avant leur placement sur le marché”. Ils seront réglementés uniquement du point de vue des fournisseurs. Nous n’en développerons pas l’impact dans cet article.

Intéressons-nous maintenant aux exigences qui pèseront sur les acteurs de la formation & de l’éducation, soit les systèmes d’IA dits à “haut risque”.

Les futurs impacts de l’AI Act dans le secteur de la formation professionnelle / éducation

‍

Le 2 février 2025, les interdictions relatives à certains systèmes d'IA dits "inacceptables" commencent à s'appliquer (chapitre 2), ainsi que les exigences en matière de connaissance de l'IA (Chapitre 1). Ces dernières exigences impactent dès à présent l'écosystème de la formation professionnelle & de l'éducation.

En effet, depuis cette date : "les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour assurer, dans la mesure du possible, un niveau suffisant de connaissances en matière d'IA à leur personnel et aux autres personnes chargées du fonctionnement et de l'utilisation des systèmes d'IA en leur nom, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, du contexte dans lequel les systèmes d'IA doivent être utilisés et des personnes ou groupes de personnes sur lesquels les systèmes d'IA doivent être utilisés."

Dans ce cas, il s'agit déjà de prendre de mesures pour, par exemple, former le personnel en charge des systèmes d'IA pour assurer un niveau suffisant de connaissances en matière d'IA : utilisation du système, contexte d'utilisation, l'impact et les risques du système déployé.

Ce n'est que le début.

En effet, la réglementation AI Act, première mondiale du genre, place la formation professionnelle / éducation parmi les 8 domaines classés « à haut risque », qui sera prochainement réglementé.

Concernant la formation pro et l’éducation, l’AI Act donne plus de détails sur les systèmes définis comme étant “à haut risque” et qui seront concernés par les futures exigences (Annexe III) :

• Les systèmes d'IA “déterminant l'accès, l'admission ou l'affectation aux établissements d'enseignement et de formation professionnelle à tous les niveaux.”

• Les systèmes d’IA permettant d’évaluer “les résultats de l'apprentissage, y compris ceux utilisés pour orienter le processus d'apprentissage des personnes physiques dans les établissements d'enseignement et de formation professionnelle à tous les niveaux (…)

• Les systèmes d'IA permettant d'évaluer "le niveau d'éducation approprié qu'une personne recevra ou pourra atteindre, dans le cadre ou au sein des établissements d'enseignement et de formation professionnelle, à tous les niveaux”.

• Les systèmes d’IA permettant de “contrôler et détecter les comportements interdits des étudiants pendant les tests.”

Les systèmes d'IA cités ci-dessus ne seront pas considérés comme étant à "haut risque" si et seulement si :

• "Le système d'IA exécute une tâche procédurale restreinte"

• "Améliore le résultat d'une activité humaine déjà réalisée"

• "Détecte des modèles de prise de décision ou des écarts par rapport à des modèles de prise de décision antérieurs et n'est pas destiné à remplacer ou à influencer l'évaluation humaine effectuée précédemment sans un examen humain approprié"

• "Effectue une tâche préparatoire à une évaluation pertinente aux fins des cas d'utilisation énumérés ci-dessus."

De plus, les "systèmes d'IA sont toujours considérés comme présentant un risque élevé s'ils établissent des profils de personnes, c'est-à-dire un traitement automatisé de données personnelles pour évaluer divers aspects de la vie d'une personne, tels que ses performances professionnelles, sa situation économique, sa santé, ses préférences, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements" rappelle l'AI Act.

Mais alors, quelles seront les exigences concernant l’utilisation de ces systèmes d’IA à "haut risque" ?

Les prochaines obligations incombant aux “déployeurs” de systèmes d’IA à "haut risque" dans la formation pro / éducation

‍

Concernant les “déployeurs”, dans le cas où ils utilisent des systèmes d’IA à “haut risque” à titre professionnel, ils seront prochainement soumis aux obligations suivantes, dans les grandes lignes :

• Ils devront confier la surveillance humaine du système d’IA à des personnes physiques qui ont les compétences, la formation, l’autorité nécessaire.

• Ils devront déployer les systèmes d’IA à “haut risque” en prenant des mesures techniques et organisationnelles. En effet, ils devront contrôler le fonctionnement du système d’IA sur la base des instructions d’utilisation fournies par le fournisseur. Cela implique plusieurs choses :
  • Si les responsables du déploiement considèrent que le système présente un risque (article 3, point 19 du règlement (UE) 2019/1020 : produit susceptible de nuire à la santé et à la sécurité des personnes en général, à la santé et à la sécurité sur le lieu de travail, à la protection des consommateurs, à l’environnement et à la sécurité publique…), ils en informent le fournisseur ou le distributeur ainsi que l’autorité de surveillance du marché concerné et doivent suspendre l’utilisation du système.
  • Si les déployeurs ont décelé un incident grave, ils en informent le fournisseur, puis l’importateur ou le distributeur ainsi que l’autorité de marché concerné.

• Dans la mesure où les responsables de déploiement exerceront un contrôle sur les données d’entrée (les données fournies à un système d'IA ou directement acquises par celui-ci, sur la base desquelles le système produit une sortie), ils devront veiller à ce que ces données soient pertinentes et suffisamment représentatives au regard de la finalité du système d’IA à haut risque.

• Ils devront conserver les “journaux (logs) générés automatiquement par le système d’IA”, s’ils sont sous leur contrôle, pendant une période adaptée à la finalité du système d’IA (une période d’au moins 6 mois) et, dans le cas des systèmes traitant de données à caractère personnel, ils devront respecter les exigences du RGPD.

• Avant d’utiliser un système d’IA à haut risque sur un lieu de travail, ils devront informer les représentants des travailleurs et les travailleurs concernés qui seront soumis à l’utilisation du système d’IA.

• Dans le cas où les déployeurs des systèmes d’IA prennent des décisions ou aident à prendre des décisions relatives à des personnes physiques, ils devront les informer qu’elles sont soumises à l’utilisation du système d’IA à haut risque.

• Ils devront collaborer avec les autorités compétentes dans leurs efforts d’implémentation du règlement.

Pour plus de détails sur ces obligations, référez-vous à l'article 26 de l'AI Act.

‍

Les prochaines obligations incombant aux “fournisseurs” de systèmes d’IA à "haut risque" dans la formation pro & l’éducation

‍

‍

Comme nous le mentionnons plus haut, la majorité des exigences pèsent sur les fournisseurs de système d’IA à haut risque.

Selon le résumé de l'AI Act, les fournisseurs (développeurs) de ces systèmes d’IA à haut risque ont des obligations plus contraignantes, qui sont les suivantes :

• Fournir des instructions d’utilisation aux déployeurs en amont pour leur permettre de se conformer à la réglementation.

• Concevoir un système d’IA permettant aux déployeurs d’assurer une surveillance humaine

• Concevoir un système d’IA permettant d’atteindre des niveaux appropriés de précision, de robustesse et de cybersécurité

• Mettre en place un système de gestion de la qualité pour garantir la conformité

• Mettre en place d’un système de gestion des risques tout au long du cycle du système d’IA

• Assurer la gouvernance des données

• Établir une documentation technique

• Faire en sorte que le système d’IA à haut risque enregistre automatiquement les événements pertinents pour l’identification des risques  et les modifications nécessaires

‍

IA Act : quelles sanctions en cas de non-respect du cadre légal ?

‍

L’AI Act donne des précisions sur les amendes administratives prévues en cas de non-respect des exigences. Voici quelques illustrations à titre d’exemples :

• Dans le cadre des systèmes IA “inacceptables” et interdits par la réglementation, le non-respect est passible d’amendes administratives pouvant aller jusqu’à 35 000 000 euros, ou jusqu’à 7% du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent (montant le plus élevé).

• Concernant les autres catégories de systèmes d’IA mentionnés dans l’AI Act non interdits, mais réglementés, leur non-respect est passible d’amendes administratives pouvant aller jusqu’à 15 000 000 euros ou équivalant à 3 % du chiffre d'affaires annuel mondial total pour l'exercice précédent, le montant le plus élevé étant retenu”.

• Concernant la fourniture d’informations inexactes, incomplètes ou trompeuses, données en réponse à une demande des autorités nationales compétences ou des “organismes notifiés”, cela sera passible d’une amende administrative allant jusqu’à 7500 000 euros ou, “allant jusqu’à 1% du chiffre d’affaires annuel mondiale total pour l’exercice précédant, le montant le plus élevé étant retenu”.

Si vous souhaitez en savoir plus sur les sanctions encourues, référez-vous à l’article 99 de l’AI Act.

‍

Comment s’assurer de respecter les exigences ?

‍

‍

Face à cette nouvelle réglementation, il est nécessaire pour les décideurs dans le secteur de la formation professionnelle et de l’éducation de se pencher dès à présent sur la conformité des systèmes d'intelligence artificielle déployés.

Pour les aider à se préparer au mieux à la mise en conformité de leurs systèmes d’IA, plusieurs outils officiels ont été développés :

• La lecture du résumé mis en ligne par EU Artificial Intelligence Act.

• Le Calendrier d'application de l'AI Act.

• Un vérificateur de conformité à la loi européenne sur l'IA permet à toute organisation utilisant l'intelligence artificielle de s'assurer que ses outils sont conformes.

• La CNIL (Commission nationale de l'informatique et des libertés) a récemment publié un guide d'auto-évaluation.

• La FAQ de la CNIL pour découvrir les impacts de l'AI Act sur la protection des données personnelles.

La mise en œuvre de la réglementation européenne AI Act est en cours d’application. Pendant les prochains mois, sa mise en œuvre complète sera progressive et surtout, pourrait être contestée… Edko restera à l’écoute des dernières actualités à ce sujet.

‍

À propos d’Edko

‍

Edko est un logiciel sur-mesure de gestion de la qualité pour organismes de formation, écoles et académies d’entreprise.

La gestion de la qualité (Qualiopi), le suivi de l’insertion pour France Compétences ou encore la mesure d’impact nécessitent de mettre en place des processus chronophages : création et diffusion d’enquêtes, analyse et traitement… La plupart des professionnels perdent un temps fou à compiler, analyser et traiter les données collectées.

Edko est le seul logiciel qui digitalise et automatise vos processus de gestion et vous permet de vous concentrer sur l’essentiel : le développement et l’amélioration continue et de vos formations.

Pilotez et mesurez l’impact de vos formations simplement avec Edko.

Envie d’en savoir plus ? Découvrez la solution et échangez avec nos experts !

‍