Analyse d'Impact relative à la Protection des Données (AIPD)
Analyse d'Impact relative à la Protection des Données (AIPD)
Ed.ai - Assistant pédagogique IA
Document interne - Disponible sur demande (DPO, CNIL, académies, établissements)
Version : [X.X] - Date : [DATE]
1. Contexte et périmètre
1.1 Organisme
Organisme : ED.AI SAS
Adresse : [Adresse]
DPO : [Nom] - dpo@ed.ai - CNIL n° [DPO-XXXX]
Responsable du traitement : Ed.ai (responsable) et établissements scolaires (responsable conjoint ou sous-traitant selon le contexte)
1.2 Description du traitement
Ed.ai est un assistant pédagogique fondé sur l'intelligence artificielle, destiné aux enseignants du secondaire (collège et lycée). Le service propose trois fonctionnalités :
1. Correction augmentée : L'enseignant importe des photos/scans de copies d'élèves. L'IA analyse chaque copie au regard du barème défini par l'enseignant et produit une proposition de correction (note, annotations, commentaires). L'enseignant revoit et valide avant toute restitution.
2. Analyse des apprentissages : À partir des évaluations corrigées, l'IA identifie les compétences acquises, les points de fragilité et les erreurs récurrentes par élève et par classe.
3. Activités de remédiation : L'IA génère des activités pédagogiques adaptées aux difficultés identifiées, que l'enseignant sélectionne et distribue.
1.3 Pourquoi cette AIPD est nécessaire
Ce traitement remplit au moins 3 des 9 critères définis par le G29 (lignes directrices WP 248 rév.01) et repris par la CNIL :
Évaluation/scoring systématique - Oui : Analyse systématique des compétences des élèves
Décision automatisée avec effet significatif - Partiellement : L'IA produit des propositions de notes, mais l'enseignant valide (supervision humaine)
Surveillance systématique : Non
Données sensibles ou à caractère hautement personnel - Partiellement : Données scolaires de mineurs, contenu potentiellement sensible des copies
Traitement à grande échelle - Oui : Des milliers d'élèves concernés
Croisement de données : Non
Personnes vulnérables - Oui : Mineurs
Usage innovant (IA) - Oui : Utilisation de LLM pour le traitement de copies scolaires
Exclusion d'un droit/contrat : Non
Résultat : 4 critères remplis - AIPD obligatoire.
2. Description détaillée du traitement
2.1 Finalités
F1 : Assister l'enseignant dans la correction de copies d'élèves
F2 : Analyser les résultats scolaires pour identifier compétences et difficultés
F3 : Générer des activités de remédiation adaptées
F4 : Journaliser les accès pour la sécurité du service
2.2 Bases légales
F1, F2, F3 (via GAR) - Mission d'intérêt public (art. 6.1.e) : Affectation de la ressource par le chef d'établissement dans le cadre du GAR
F1, F2, F3 (hors GAR) - Intérêt légitime (art. 6.1.f) : L'enseignant utilise un outil dans le cadre de sa mission pédagogique
F4 - Obligation légale (art. 6.1.c) + Intérêt légitime (art. 6.1.f) : LCEN + sécurité du SI
2.3 Données traitées
Identité enseignant
Valeur : Nom, prénom, email pro
Enseignants
Durée du compte + 12 mois
Identité élèves
Valeur : Nom, prénom, classe (pseudonymisé via GAR)
Élèves du secondaire (mineurs)
Durée d'utilisation du service
Productions scolaires
Valeur : Photos/scans de copies
Élèves
[À définir]
Résultats scolaires
Valeur : Notes, compétences, analyses
Élèves
Durée d'utilisation du service
Activités générées
Valeur : Exercices de remédiation
Élèves
Durée d'utilisation du service
Logs techniques
Valeur : IP, horodatage, actions
Enseignants
12 mois
2.4 Flux de données
```
Enseignant
│
├─→ [Upload copie] ─→ Serveurs Ed.ai (France)
│ │
│ ├─→ [API LLM] ─→ Analyse IA ─→ Proposition de correction
│ │ (données pseudonymisées, (non-rétention par le LLM)
│ │ non conservées par le LLM)
│ │
│ ├─→ [Stockage BDD] ─→ Résultats, analyses, activités
│ │ (hébergé en France)
│ │
│ ←── [Validation] ──────┘
│
└─→ [Restitution à l'élève] (uniquement après validation enseignant)
```
2.5 Destinataires
Personnel habilité Ed.ai - Accès en cas de support (sur demande utilisateur) : Support technique
Fournisseur LLM - Contenu textuel pseudonymisé des copies : Sous-traitant ultérieur
Hébergeur - Toutes (stockage) : Sous-traitant
3. Évaluation de la nécessité et de la proportionnalité
3.1 Nécessité
*Finalités déterminées, explicites, légitimes* - Conforme : Les finalités sont pédagogiques, clairement définies
*Minimisation des données* - Conforme : Seules les données nécessaires à la correction/analyse sont traitées
*Exactitude* - Conforme : L'enseignant vérifie et corrige les résultats de l'IA
*Limitation de la conservation* - Conforme : Durées définies, suppression automatisée
*Licéité* - Conforme : Bases légales identifiées selon le contexte
3.2 Proportionnalité
Données collectées strictement nécessaires : Oui - pas de collecte de données familiales, sociales, médicales
Pseudonymisation : Oui - via le GAR automatiquement ; hors GAR, pseudonymisation avant envoi au LLM quand possible
Supervision humaine : Oui - l'enseignant valide tous les résultats
Portabilité : Oui - export des données possible
Droit d'opposition effectif : Oui - l'enseignant peut supprimer à tout moment les données d'un élève
3.3 Mesures relatives à l'IA
Non-entraînement sur les données : Oui - contractuellement garanti avec les fournisseurs LLM
Non-rétention des données par le LLM : Oui - contractuellement garanti
Pas de décision automatisée au sens de l'art. 22 : Oui - l'enseignant décide toujours
Transparence sur l'utilisation de l'IA : Oui - page dédiée publique
Tests de fiabilité : Oui - taux de fiabilité mesuré à 95%
4. Analyse des risques
4.1 Risque 1 - Accès illégitime aux copies et résultats scolaires
*Sources de risque* : Attaquant externe, employé malveillant, sous-traitant compromis
*Événements redoutés* : Accès non autorisé aux copies d'élèves, aux notes, aux analyses
*Impact potentiel* : Élevé - données de mineurs, atteinte à la vie privée
*Vraisemblance* : Modérée
*Niveau de risque* : Élevé
*Mesures d'atténuation* : Chiffrement au repos et en transit, contrôle d'accès granulaire, journalisation, pare-feu, principe de moindre privilège, DPA avec sous-traitants, audits de sécurité
*Risque résiduel* : Modéré - acceptable avec les mesures en place
4.2 Risque 2 - Rétention ou utilisation non autorisée des données par le fournisseur LLM
*Sources de risque* : Fournisseur LLM ne respectant pas ses engagements
*Événements redoutés* : Conservation des copies pour entraînement, fuite de données
*Impact potentiel* : Très élevé - données de mineurs utilisées sans consentement
*Vraisemblance* : Faible (engagements contractuels)
*Niveau de risque* : Modéré
*Mesures d'atténuation* : DPA avec clauses de non-rétention et non-entraînement, pseudonymisation avant envoi, sélection de fournisseurs avec politique zero-data-retention, audits contractuels
*Risque résiduel* : Faible - acceptable
4.3 Risque 3 - Erreur de l'IA affectant l'évaluation d'un élève
*Sources de risque* : Limites du modèle d'IA, biais, hallucinations
*Événements redoutés* : Note incorrecte ou analyse erronée communiquée à un élève
*Impact potentiel* : Modéré - impact psychologique, décision pédagogique basée sur une erreur
*Vraisemblance* : Modérée (taux de fiabilité de 95%, mais erreurs possibles)
*Niveau de risque* : Modéré
*Mesures d'atténuation* : Supervision humaine obligatoire (l'enseignant valide), affichage clair que les résultats sont des propositions, tests de fiabilité réguliers, possibilité de modification intégrale
*Risque résiduel* : Faible - la supervision humaine ramène le risque à un niveau comparable à une erreur humaine classique
4.4 Risque 4 - Perte de données (copies, résultats)
*Sources de risque* : Défaillance technique, erreur humaine, incident de sécurité
*Événements redoutés* : Perte irréversible de copies numérisées ou de résultats
*Impact potentiel* : Modéré - l'enseignant dispose des copies papier originales
*Vraisemblance* : Faible
*Niveau de risque* : Faible
*Mesures d'atténuation* : Sauvegardes quotidiennes, redondance, plan de continuité, export possible
*Risque résiduel* : Très faible
5. Plan d'action
1
Applicable : Finaliser les DPA avec tous les sous-traitants (incluant clauses IA)
Justification : DPO
[DATE]
[À faire / En cours / Fait]
2
Applicable : Implémenter la pseudonymisation systématique avant envoi au LLM
Justification : CTO
[DATE]
[À faire / En cours / Fait]
3
Applicable : Définir les durées de conservation précises pour les copies
Justification : DPO + Produit
[DATE]
[À faire / En cours / Fait]
4
Applicable : Mettre en place les tests de fiabilité réguliers de l'IA
Justification : CTO
[DATE]
[À faire / En cours / Fait]
5
Applicable : Publier la page Transparence IA sur le portail légal
Justification : Marketing + DPO
[DATE]
[À faire / En cours / Fait]
6
Applicable : Déclarer le DPO à la CNIL
Justification : Direction
[DATE]
[À faire / En cours / Fait]
7
Applicable : Former l'équipe support à la confidentialité des données scolaires
Justification : DPO
[DATE]
[À faire / En cours / Fait]
8
Applicable : Réaliser un test d'intrusion
Justification : CTO
[DATE]
[À faire / En cours / Fait]
9
Applicable : Évaluer la conformité AI Act et documenter
Justification : DPO + CTO
[DATE]
[À faire / En cours / Fait]
6. Avis du DPO
[Espace réservé à l'avis formel du DPO sur le traitement et les mesures mises en place]
Date : [DATE]
Signature : [DPO]
7. Décision du responsable de traitement
Au vu de l'analyse ci-dessus, les risques résiduels sont considérés comme acceptables sous réserve de la mise en oeuvre complète des mesures d'atténuation identifiées.
Date : [DATE]
Signature : [Dirigeant]
8. Historique des révisions
1.0 - [DATE] : Version initiale