IA dans l'éducation : quand Bruxelles ouvre la porte, les ETI doivent choisir leur serrure
Date Published

# IA dans l'éducation : quand Bruxelles ouvre la porte, les ETI doivent choisir leur serrure
L'Union européenne a officialisé en 2026 son cadre d'intégration de l'intelligence artificielle dans les systèmes éducatifs publics et privés. Une décision saluée dans les communiqués officiels, mais qui pose une question immédiate à tout DSI ou CTO d'ETI européenne : qui va équiper quoi, avec quels modèles, sur quelle infrastructure — et surtout, selon quels contrats ?
Car derrière l'ambition pédagogique se joue une bataille d'infrastructure silencieuse. Les acteurs américains sont déjà en position. Ils ont les outils, les intégrations, les commerciaux sur le terrain et les accords-cadres prêts à signer. La question n'est pas de savoir si votre organisation sera concernée par cette vague d'IA éducative. Elle l'est déjà. La question est de savoir si vous en serez le pilote ou le passager.
La directive européenne : une opportunité réelle, un vide opérationnel dangereux
Le cadre adopté par la Commission en 2026 impose aux établissements d'enseignement et aux entreprises proposant de la formation professionnelle certifiante de documenter, auditer et garantir l'explicabilité des outils d'IA utilisés dans leurs parcours pédagogiques. C'est une avancée concrète : pour la première fois, l'IA éducative n'est plus une zone grise réglementaire.
Mais ce cadre crée simultanément un appel d'air commercial massif. Toute ETI qui forme ses salariés — via un LMS interne, un organisme de formation externe, ou ses propres modules e-learning — est désormais dans le périmètre. Et "dans le périmètre" signifie : besoin d'outils conformes, besoin de traçabilité, besoin de reporting.
Le problème : la directive définit *ce qu'il faut faire*, pas *avec qui le faire*. Elle n'interdit pas de signer avec un acteur américain. Elle n'oblige pas à choisir une solution hébergée en Europe. Elle fixe des obligations de résultat — explicabilité, auditabilité, non-discrimination algorithmique — sans flécher les moyens techniques. C'est précisément là que le piège se referme.
Les éditeurs américains dominant le marché de la formation en ligne ont répondu à cette directive avec une vitesse remarquable. Des certifications de conformité "AI Act ready" sont apparues sur leurs plaquettes commerciales en quelques semaines. Ce marketing de la conformité est redoutable : il donne l'illusion que la question réglementaire est réglée, alors qu'elle ne fait que commencer.
Trois verrouillages que cette vague va aggraver pour les ETI
1. Le verrouillage par le modèle de langage
L'IA éducative repose sur des LLM. Tuteurs virtuels, générateurs de quiz adaptatifs, assistants de correction, systèmes de recommandation de parcours : tous ces usages nécessitent un modèle sous-jacent. Quand une ETI intègre une solution clé en main proposée par un acteur US dominant, elle ne choisit pas seulement un outil — elle choisit un modèle dont elle ne connaît ni les données d'entraînement, ni les biais, ni la politique de rétention des données générées par ses apprenants.
Or, dans un contexte éducatif, les données produites sont particulièrement sensibles : elles révèlent des lacunes, des rythmes d'apprentissage, des difficultés cognitives, parfois des données de santé implicites. Les envoyer traiter sur une infrastructure dont les serveurs sont soumis au droit américain — CLOUD Act en tête — n'est pas une question théorique. C'est un risque juridique documenté, que votre DPO devrait avoir sur sa table.
2. Le verrouillage par l'intégration RH/LMS
Le deuxième piège est plus sournois. La plupart des ETI ne vont pas déployer un outil d'IA éducative de manière isolée. Elles vont l'intégrer à leur SIRH, à leur LMS existant, à leur outil de gestion des compétences. Et c'est là que commence la dépendance en couches : si votre LMS est déjà chez un acteur américain, son module IA natif sera la solution de facilité. Pas besoin de développement, pas besoin d'API personnalisée. Deux clics, et vous êtes intégré.
Cette facilité a un coût invisible : vous venez de lier vos données de formation à un écosystème dont vous ne pouvez plus sortir sans réécrire vos processus. Le contrat de service inclura des clauses de portabilité des données qui semblent satisfaisantes — jusqu'au moment où vous essayez de les activer. Les formats d'export propriétaires, les délais contractuels et les coûts de migration réels transforment une "sortie possible" en sortie improbable.
3. Le verrouillage par la certification de conformité
Il existe un troisième verrouillage, encore peu discuté : celui de la conformité déléguée. Quand un acteur américain vous vend une solution "AI Act compliant" pour vos usages éducatifs, il vous vend aussi implicitement sa propre interprétation de la réglementation. Sa documentation d'audit. Ses templates de reporting. Son modèle d'explicabilité.
Si demain la CNIL française ou l'autorité de contrôle de votre pays mène un audit, vous allez présenter *leur* documentation, *leur* lexique, *leur* vision de la conformité. Vous n'avez pas construit votre conformité : vous l'avez achetée. C'est une différence fondamentale en cas de contentieux, et c'est une dépendance intellectuelle autant que technique.
Ce que font concrètement les ETI qui reprennent la main
Il existe des ETI européennes qui ont anticipé cette vague. Leurs DSI ne sont pas des idéologues de la souveraineté numérique : ce sont des pragmatiques qui ont fait leurs calculs.
Leur point commun : ils ont séparé la couche *usage* de la couche *modèle*. Autrement dit, ils ont choisi leurs outils d'interface pédagogique (tuteur virtuel, assistant de parcours) indépendamment du LLM qui les alimente. Cette séparation leur donne un levier : ils peuvent changer de modèle sans reconstruire leur expérience utilisateur, et ils peuvent auditer le modèle sans dépendre de la transparence de l'éditeur.
Sur la couche modèle, des alternatives européennes existent et ont mûri. Des acteurs comme Aleph Alpha — qui a repositionné son offre en 2025-2026 autour de la souveraineté des données et de l'explicabilité pour les secteurs régulés — proposent des modèles déployables en environnement privé, avec des contrats de droit européen et une documentation d'audit directement utilisable face aux autorités de contrôle européennes. Ce n'est pas une solution parfaite, mais c'est une solution *contrôlable*.
Sur la couche infrastructure, la question n'est pas de trouver "le meilleur cloud" mais de définir un périmètre de données sensibles. Les données d'apprentissage individuel appartiennent à ce périmètre. Elles doivent être traitées sur des infrastructures dont la juridiction est claire et dont les certifications (SecNumCloud en France, equivalents nationaux en Allemagne, aux Pays-Bas) sont vérifiables.
La question contractuelle que votre service juridique ne pose pas encore
Le niveau de maturité contractuelle des ETI européennes face à l'IA éducative est préoccupant. La plupart des directions juridiques savent lire un contrat SaaS standard. Mais elles ne savent pas encore lire un contrat d'IA — et les éditeurs le savent.
Voici les clauses qui méritent un examen systématique avant toute signature dans ce domaine :
La clause de réentraînement. Votre éditeur a-t-il le droit d'utiliser les interactions de vos apprenants pour améliorer son modèle général ? Dans de nombreux contrats standards, la réponse est oui, moyennant une opt-out peu visible. Vos données de formation alimentent le modèle d'un concurrent potentiel.
La clause d'explicabilité contractuelle. Si un apprenant conteste une décision algorithmique (un parcours refusé, une recommandation discriminante), qui est responsable de produire l'explication ? L'éditeur ? Vous ? Les deux ? Ce point est rarement clarifié, et il deviendra litigieux dès que la directive sera pleinement appliquée.
La clause de localisation des logs d'audit. Les logs de décision de l'IA — indispensables pour tout audit de conformité — sont-ils stockés en Europe ? Sont-ils exportables dans un format standard ? Pendant combien de temps sont-ils conservés ? Ces questions semblent techniques, mais elles conditionnent votre capacité à démontrer votre conformité devant une autorité de contrôle.
La clause de modification unilatérale du modèle. Un éditeur américain peut mettre à jour son LLM sans vous prévenir. Si ce changement modifie le comportement pédagogique de l'outil que vous avez déployé — et audité — votre conformité documentée devient caduque. Exigez un droit de gel de version ou un préavis contractuel minimal avant toute mise à jour majeure du modèle.
Le moment de décision est maintenant, pas dans dix-huit mois
Les ETI qui attendent que le marché se stabilise commettent une erreur de temporalité. Le marché de l'IA éducative ne va pas se stabiliser : il va se consolider autour des acteurs qui auront signé les premiers accords-cadres, construit les premières intégrations, et installé les premières habitudes utilisateurs.
Dans dix-huit mois, déloger un outil d'IA pédagogique que vos formateurs utilisent quotidiennement sera politiquement difficile et techniquement coûteux. Le bon moment pour faire un choix souverain, c'est avant que les habitudes soient prises — et avant que les données soient parties.
La directive européenne de 2026 est une fenêtre. Elle impose une remise à plat des outils utilisés, elle crée une légitimité pour poser des questions contractuelles exigeantes, elle donne un levier politique interne pour refuser des solutions non auditables. C'est peut-être la dernière fois que votre organisation a une raison formelle de remettre en cause l'existant avant que l'existant ne devienne irremplaçable.
La question que doit se poser votre comité de direction n'est pas : "Quelle solution IA choisir pour notre formation ?" C'est : "Dans cinq ans, qui aura le contrôle des données d'apprentissage de nos collaborateurs — et est-ce que ce choix nous convient ?"
Si la réponse n'est pas immédiate, c'est que la décision a déjà été prise par défaut. Et par quelqu'un d'autre.
Cet article vous a été utile ?
Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.
Pas de spam. Désinscription en un clic. Données hébergées en Europe.