Protection des données de vos élèves : ce que nous faisons, ce que nous ne faisons pas, et pourquoi
Un enseignant nous a demandé si les copies de ses élèves pouvaient se retrouver sur Internet. Voici une réponse complète, sourcée et honnête, confrontée aux exigences du RGPD, du Règlement européen sur l'IA et aux réalités du secteur EdTech.
Un enseignant nous a posé une question directe : « Est-ce que les copies de mes élèves peuvent un jour se retrouver sur le web ? »
C'est le genre de question qu'on devrait poser à chaque outil numérique utilisé en classe. Pas parce qu'il faut être méfiant de tout, mais parce que derrière chaque copie corrigée, chaque journal de bord rempli, chaque message envoyé à un enseignant, il y a un élève. Souvent mineur. Dont les données méritent mieux qu'un vague « ne vous inquiétez pas ».
La réponse est non. Et plutôt que de vous demander de nous croire sur parole, cet article détaille ce que nous faisons concrètement sur nos deux applications (EvalIA et OrIAntation), confronte nos pratiques aux exigences réglementaires, et assume honnêtement nos limites.
Pourquoi cette question est légitime
Un secteur EdTech sous tension
En mai 2022, Human Rights Watch a publié une enquête sur 164 outils éducatifs recommandés par 49 gouvernements. Le résultat est édifiant : 89 % de ces outils surveillaient ou avaient la capacité de surveiller les enfants en dehors des heures de cours. 145 produits partageaient les données des élèves avec 196 entreprises tierces, principalement de la publicité ciblée. Dans la plupart des cas, il était impossible pour l'enfant de refuser sans renoncer à l'enseignement.
En décembre 2024, la fuite de données de PowerSchool (plateforme scolaire américaine) a exposé plus de 62 millions de dossiers d'élèves : noms, adresses, numéros de sécurité sociale, conditions médicales, mesures disciplinaires. C'est la plus importante fuite de données d'enfants jamais documentée.
En Europe, le Danemark a interdit Google Workspace dans les écoles après avoir constaté que les données des élèves étaient traitées pour les propres finalités de Google. L'Islande a suivi en 2024, infligeant des amendes à cinq municipalités pour les mêmes raisons.
La question de cet enseignant n'est donc pas naïve. Elle est prudente.
En France, une surveillance accrue
La CNIL a prononcé 87 sanctions en 2024 (contre 42 en 2023) et reçu 5 629 notifications de violations de données, soit une hausse de 20 %. Le nombre de violations touchant plus d'un million de personnes a doublé en un an.
Dans l'éducation, la CNIL a adopté une posture proactive : partenariat renouvelé avec le ministère de l'Éducation nationale en décembre 2025, publication de deux FAQ dédiées à l'IA en milieu scolaire en juin 2025, et un appel répété à un cadre juridique contraignant pour les services numériques éducatifs, jugeant la « Charte de confiance » du ministère insuffisante.
Le cadre réglementaire qui s'applique à nous
Trois textes encadrent notre activité. Voici ce qu'ils exigent et comment nous nous y confrontons.
Le RGPD : la base
Le Règlement Général sur la Protection des Données encadre tout traitement de données personnelles dans l'UE. Pour des applications éducatives, les exigences principales sont :
- Consentement explicite (Art. 7) ou autre base légale documentée
- Minimisation des données (Art. 5.1.c) : ne collecter que ce qui est strictement nécessaire
- Limitation de conservation (Art. 5.1.e) : supprimer les données dès qu'elles ne sont plus nécessaires
- Sécurité du traitement (Art. 32) : chiffrement, pseudonymisation, tests réguliers
- Analyse d'impact (Art. 35) : obligatoire pour les traitements à risque élevé
- Protection renforcée des mineurs (Art. 8) : en France, le seuil est fixé à 15 ans
Le Règlement européen sur l'IA : une nouvelle couche d'exigences
Le Règlement sur l'Intelligence Artificielle (AI Act), entré en vigueur le 1er août 2024, classe l'IA en éducation comme système à haut risque (Annexe III, point 3). Quatre catégories sont concernées :
- Les systèmes d'IA déterminant l'accès ou l'admission à un établissement
- Les systèmes évaluant les résultats d'apprentissage, y compris pour orienter le processus pédagogique
- Les systèmes évaluant le niveau d'éducation approprié pour une personne
- Les systèmes de surveillance du comportement des élèves pendant les examens
L'échéance est le 2 août 2026 pour la pleine application, avec une possible prolongation jusqu'à fin 2027 via le Digital Omnibus proposé par la Commission. Les organisations prudentes se préparent dès maintenant.
Le cadre d'usage ministériel
Le cadre d'usage de l'IA en éducation publié en juin 2025 par le ministère recommande explicitement de renoncer aux IA grand public (ChatGPT, Gemini, Claude) dès que des données personnelles d'élèves sont en jeu.
La CNIL, dans sa FAQ pour les enseignants, confirme : un enseignant ne doit pas saisir de données identifiantes d'élèves dans un outil IA grand public. Le risque : la réutilisation des données pour l'entraînement des modèles.
Nos 5 engagements concrets
Avant d'entrer dans le détail technique, voici ce que nous garantissons sur EvalIA et OrIAntation :
- Vos copies ne sont jamais conservées. Elles sont supprimées automatiquement dans les 24 heures suivant la correction.
- L'IA ne voit jamais qui a écrit la copie. L'en-tête (nom, prénom, classe) est masqué automatiquement avant l'analyse.
- Vos données ne servent pas à entraîner un modèle d'IA. Nous utilisons l'API professionnelle de Google Gemini, avec un contrat interdisant contractuellement toute réutilisation.
- Même nous, nous ne pouvons pas lire les noms de vos élèves. Ils sont chiffrés dans votre navigateur avant d'arriver sur nos serveurs.
- Chaque élève contrôle ses propres données. Consentement granulaire, révocation en un clic, suppression réelle (pas une désactivation).
Le reste de cet article explique comment ces engagements sont techniquement mis en place, et ce qu'ils ne couvrent pas.
Ce que nous faisons concrètement
Le parcours d'une copie d'élève sur EvalIA
Quand un élève dépose sa copie, voici le traitement exact :
1. Le nom est chiffré avant stockage. Ce que ça veut dire pour vous : si un attaquant accédait à notre base de données, il trouverait des chaînes de caractères illisibles à la place des noms de vos élèves. Techniquement, le nom est chiffré côté serveur en AES-256-GCM. Dans l'historique des corrections, les noms sont chiffrés dans votre navigateur avec une architecture zero-knowledge : la clé de déchiffrement ne quitte jamais votre ordinateur. Même en cas de réquisition judiciaire adressée à notre hébergeur, les noms restent inexploitables.
2. L'en-tête est masqué avant l'IA. Ce que ça veut dire pour vous : l'IA qui corrige la copie ne sait pas qui l'a écrite. Avant l'envoi au modèle, un algorithme détecte automatiquement les zones d'identification (nom, prénom, classe, date) via OCR et les recouvre d'un bandeau opaque.
3. Le traitement IA reste en Europe. Ce que ça veut dire pour vous : la copie anonymisée de votre élève ne traverse pas l'Atlantique. L'analyse est effectuée par Google Gemini via Vertex AI, hébergé en europe-west1 (Belgique). Le DPA Google Cloud interdit contractuellement l'utilisation des données pour l'entraînement des modèles. Ce n'est pas la même chose que d'utiliser ChatGPT gratuitement ou l'interface web de Gemini.
4. La copie est supprimée automatiquement. Ce que ça veut dire pour vous : vous n'avez rien à faire, et nous n'avons pas de stock de copies. Les fichiers sont supprimés dans les 24 heures suivant la correction par une tâche planifiée quotidienne dont l'exécution est tracée dans les logs d'audit.
Le consentement sur OrIAntation : pas un « j'accepte tout »
OrIAntation traite des données plus intimes : le journal de bord de l'élève, ses échanges avec ses enseignants, son CV. Au lieu d'un consentement unique fourre-tout, l'élève consent séparément pour chaque fonctionnalité :
- Suivi académique : consentement distinct, révocable, avec suppression immédiate des données à la révocation
- Messagerie : consentement distinct avec modal détaillée (archivage, modération, accès Chef d'établissement)
- Générateur de CV : consentement distinct pour la collecte du numéro de téléphone et de l'adresse
Chaque consentement est horodaté, versionné, et affiché dans la page profil de l'élève. Ce que ça veut dire pour vous : si un élève change d'avis sur la messagerie, il la désactive et ses données correspondantes sont supprimées, sans affecter le reste de son compte.
La modération IA de la messagerie
Permettre à un enseignant et un élève de communiquer en ligne, c'est utile. Mais c'est aussi une responsabilité. Chaque message passe par un double filtre : une liste de mots-clés couvrant les insultes, menaces, contenus sexuels et harcèlement, suivie d'une analyse contextuelle par IA (Gemini Flash, traitée en Europe) qui évalue le message selon 11 catégories de risque. Les alertes sont remontées au chef d'établissement dans le cadre de son devoir de surveillance, sans accès aux contenus non-signalés.
La suppression de compte : pas une désactivation
Quand un élève supprime son compte sur OrIAntation, ce n'est pas un flag « inactif » dans une base de données. C'est un processus en 9 étapes qui supprime le compte d'authentification, le document utilisateur, les snapshots du journal, les partages publics, les abonnements push, les notes des enseignants, la progression dans les classes, et programme un archivage légal limité dans le temps. 8 tâches planifiées tournent en arrière-plan pour garantir que chaque donnée expirée est effectivement purgée, jusqu'aux archives légales supprimées après 3 ans.
Ce que le Règlement IA va exiger, et où nous en sommes
L'AI Act impose six obligations aux systèmes à haut risque. Voici, en langage courant, ce qu'elles signifient et notre situation :
| Ce que la loi exige | En clair | Où nous en sommes |
|---|---|---|
| Gestion des risques (Art. 9) | Identifier ce qui peut mal tourner et documenter comment on s'en protège | Deux Analyses d'Impact (AIPD) totalisant plus de 60 pages et 30 000 mots, auditées en mars 2026 contre le code source réel. Communicables sur simple demande |
| Gouvernance des données (Art. 10) | S'assurer que les données utilisées sont de qualité et ne servent pas à autre chose | Nous ne développons pas de modèle d'IA : nous utilisons Gemini via API. Les données de vos élèves ne sont jamais utilisées pour l'entraînement |
| Documentation technique (Art. 11) | Documenter le fonctionnement du système pour permettre un contrôle | AIPD détaillées couvrant l'ensemble des informations requises par l'Art. 30 RGPD, permettant l'établissement des registres des traitements à la demande. Politiques de confidentialité et mentions légales à jour |
| Traçabilité (Art. 12) | Enregistrer automatiquement ce que fait le système | Audit trail sur 77 routes d'écriture sur 92 (EvalIA), logging de chaque appel IA (16 routes sur 16, soit 100 %) |
| Transparence (Art. 13) | Informer clairement les utilisateurs que l'IA est utilisée et comment | Avertissements dans l'interface, cet article, politique de confidentialité détaillée |
| Contrôle humain (Art. 14) | Permettre à un humain de superviser et corriger les décisions de l'IA | L'IA propose, l'enseignant valide. Aucune note n'est attribuée automatiquement |
Nous ne prétendons pas être « conformes AI Act » : le règlement n'est pas encore pleinement applicable pour l'éducation (échéance août 2026). Mais nous structurons nos pratiques pour être prêts le jour venu.
Les chiffres vérifiables
Pour ceux qui veulent des preuves concrètes, voici les mesures techniques déployées, mesurables et vérifiables dans notre code source :
| Mesure | EvalIA | OrIAntation |
|---|---|---|
| Tests automatisés | 4 706 (124 fichiers) | 3 214 (85 fichiers) |
| Protection des entrées (sanitisation) | sanitizeTextInput sur 39 routes API | DOMPurify sur 600+ points dans 37 fichiers |
| Chiffrement des noms d'élèves | AES-256-GCM côté client (zero-knowledge) + côté serveur | DOMPurify systématique, données journal chiffrées Firestore (eur3) |
| Audit trail | 77 routes d'écriture sur 92 tracées | Actions admin tracées (conservation 5 ans) |
| Logging IA | 16/16 routes Vertex AI (100 %) | Logging sur chaque appel IA |
| Purge automatique | 4 crons (copies, données anciennes, logs) | 8 Cloud Functions planifiées |
| Détection d'injection de prompt | 24 patterns + Unicode obfuscation | 30+ patterns défensifs + tests dédiés |
| Gestion des incidents | Procédure 4 niveaux, notification CNIL 72h | Procédure partagée, score de menace automatisé |
Au total, 7 920 tests automatisés vérifient en continu que ces protections fonctionnent. Chaque modification de code est testée avant d'être déployée.
Nos limites : ce que nous ne prétendons pas
La transparence implique aussi de parler de ce qu'on ne fait pas. Si un éditeur ne mentionne jamais ses limites, c'est probablement qu'il ne les a pas cherchées.
Nous n'avons pas d'audit de sécurité externe. Nos 7 920 tests automatisés couvrent de nombreux scénarios, mais nous n'avons pas fait réaliser de test de pénétration par un cabinet spécialisé. C'est un investissement que nous envisageons, mais qui n'est pas encore réalisé.
Nous n'avons pas de certification ISO 27001 ou SOC 2. Ces certifications, conçues pour des entreprises de taille supérieure, représentent un coût de plusieurs dizaines de milliers d'euros. Nos mesures de sécurité sont réelles et testées, mais pas validées par un auditeur tiers.
Nos Analyses d'Impact sont auto-conduites. Nous n'avons pas de DPO externe. Nos AIPD sont rédigées avec rigueur (35 versions pour EvalIA, 45 pour OrIAntation), mais elles n'ont pas été auditées par un cabinet juridique spécialisé RGPD.
Un sous-traitant traite des données aux États-Unis. LemonSqueezy, notre prestataire de paiement pour les abonnements EvalIA, est basé aux USA. Il ne reçoit que votre email et un identifiant utilisateur : aucune donnée pédagogique, aucune copie, aucun nom d'élève. Ce transfert est encadré par des Clauses Contractuelles Types (SCCs, Art. 46.2.c RGPD). Mais c'est un transfert hors UE, et nous le signalons.
L'IA n'est pas infaillible. Nos modèles sont des outils d'assistance. Une correction peut contenir des erreurs d'appréciation. Un parcours de remédiation généré peut être imparfait. C'est pourquoi nous affichons systématiquement des avertissements dans l'interface et que la validation finale revient toujours à l'enseignant.
Nous sommes une petite équipe. Cela signifie une grande réactivité et une connaissance intime du code, mais aussi moins de regards croisés qu'une grande structure. C'est un compromis que nous assumons en le compensant par l'automatisation (tests, audits, purges) et la documentation systématique.
Pour revenir à la question de départ
« Est-ce que les copies de mes élèves peuvent un jour se retrouver sur le web ? »
Non. Les copies sont supprimées en 24 heures. Les noms sont chiffrés de bout en bout. L'IA ne les conserve pas. Nous ne les vendons pas, nous ne les partageons pas, nous ne les utilisons pas pour entraîner quoi que ce soit.
Mais surtout : ne nous croyez pas sur parole. Nos AIPD sont communicables sur simple demande. Notre code est testable. Nos politiques de confidentialité détaillent chaque traitement. Et si demain vous avez une question que cet article ne couvre pas, posez-la. Nous y répondrons publiquement, comme nous venons de le faire ici.
Pour aller plus loin
Sources réglementaires
- Règlement Général sur la Protection des Données (RGPD) — CNIL
- Règlement européen sur l'Intelligence Artificielle (AI Act) — Annexe III, point 3 (éducation = haut risque)
- Cadre d'usage de l'IA en éducation — Ministère de l'Éducation nationale, juin 2025
Sources CNIL
- Enseignant : comment utiliser un système d'IA — FAQ CNIL, juin 2025
- Mise en place d'un système d'IA en milieu scolaire — FAQ CNIL pour responsables de traitement, juin 2025
- Bilan 2024 des sanctions et mesures correctrices — CNIL
- Appel à un encadrement des services numériques éducatifs — CNIL
Études et rapports
- How Dare They Peep into My Private Life — Human Rights Watch, mai 2022 (164 outils éducatifs analysés)
- Data Governance for EdTech — UNICEF Innocenti, 2025
- Rapport annuel 2024 — CNIL
- Opinion 28/2024 on AI models and GDPR — EDPB, décembre 2024
Sur EvalIA
- Chiffrement zero-knowledge des noms d'élèves — Notre article technique détaillé
- Comment l'IA évalue vos copies : dans le détail — Fonctionnement du moteur de correction
Si vous avez des questions sur la sécurité de vos données, nous y répondrons publiquement : contact.EvalIA@oriantation.fr