Chapitre 12.5 — Atelier : cartographie & le cas de l’IA
⏱️ TL;DR — On rassemble la Partie 12 en un livrable concret : la cartographie des sous-traitants de FormaCampus, un tableau « prestataire → rôle → données → localisation → DPA ? → transfert ? ». C’est la vue qui manque à 90 % des équipes, et celle que réclame la CNIL. Puis on traite le cas qui monte : quand FormaCampus envoie des copies d’élèves à un LLM pour aide ou correction, le fournisseur d’IA est un sous-traitant — donc DPA, interdiction d’entraîner son modèle sur ces données sans base, minimisation des prompts, et pour des mineurs, prudence maximale. L’AI Act se combine au RGPD, il ne le remplace pas. Le code de tout ça, c’est la Partie 14.
🎯 Objectifs
- Cartographier les sous-traitants d’un produit dans un tableau exploitable.
- Repérer, pour chacun, la localisation, le DPA et le transfert éventuel.
- Qualifier un fournisseur d’IA / LLM comme sous-traitant et l’encadrer.
- Appliquer les réflexes IA : pas d’entraînement sans base, minimisation des prompts, prudence pour les mineurs.
Atelier — la cartographie des sous-traitants de FormaCampus
Cartographier, c’est lister tous les tiers qui voient passer des données personnelles, avec les colonnes qui déclenchent une décision. C’est le socle du registre (art. 30) et le préalable à tout audit. Le tableau ci-dessous est un modèle — les localisations sont illustratives, à remplacer par les faits réels de chaque contrat.
| Prestataire (type) | Rôle | Données concernées | Localisation | DPA ? | Transfert hors UE ? |
|---|---|---|---|---|---|
| Hébergeur cloud | Stockage & calcul | Toute la base (élèves, stagiaires, parents) | UE | ✅ signé | Non (à vérifier au contrat) |
| Service d’e-mailing | Convocations, notifications | E-mail, nom, contenu | UE | ✅ signé | Non |
| Mesure d’audience | Statistiques d’usage | Identifiants, parcours, IP | Hors UE | ⚠️ à obtenir | ⚠️ à encadrer (Partie 13) |
| Stockage de fichiers | Devoirs, pièces jointes | Copies, documents d’élèves | UE | ✅ signé | Non |
| Fournisseur d’IA (LLM) | Aide & correction de copies | Contenus de copies, prompts | Hors UE | ⚠️ à vérifier | ⚠️ à encadrer (Partie 13) |
| Outil de visio | Classes virtuelles | Identités, flux, enregistrements | Hors UE | ⚠️ à vérifier | ⚠️ à encadrer (Partie 13) |
| Prestataire de paie | Paie des salariés FormaCampus | Données RH | UE | ✅ signé | Non |
Comment lire cette carte : chaque ligne ⚠️ est une action à mener (obtenir le DPA, encadrer le transfert, ou changer d’outil). Deux colonnes déclenchent l’essentiel des décisions : DPA ? (sinon, sous-traitance illicite — Partie 12.2) et transfert ? (sinon, chapitre V — Partie 13).
💡 Réflexe — Tiens cette cartographie à jour comme une dépendance de code. Chaque nouvel outil branché = une nouvelle ligne, avec ses colonnes remplies avant la mise en production. Une carte qui date d’il y a un an et ne mentionne pas l’outil d’IA ajouté le mois dernier est une carte fausse — et une faille dans ton registre (art. 30).
🧭 Sur FormaCampus — Cette carte alimente directement le registre du sous-traitant (art. 30) de FormaCampus et, pour les traitements où elle est responsable, son registre de responsable. Elle sert aussi à répondre à une école qui demande « quels sont vos sous-traitants ? » (art. 28.2). Le livrable de cette partie, c’est cette carte : sans elle, FormaCampus ne peut ni prouver son encadrement, ni informer ses clients, ni auditer sa chaîne.
Le cas brûlant : envoyer des copies d’élèves à un LLM
FormaCampus veut utiliser un grand modèle de langage (LLM) pour aider à corriger les copies et générer des retours. Dès qu’une copie contient des données personnelles (le nom de l’élève, ses réponses, parfois des éléments sur sa situation), l’envoyer à un LLM est un traitement, et le fournisseur d’IA est un sous-traitant (il traite pour le compte de FormaCampus, sur instruction). Toute la Partie 12 s’applique — plus quelques réflexes spécifiques.
1. Le fournisseur d’IA est un sous-traitant : DPA obligatoire
Pas d’exception « parce que c’est de l’IA ». Il faut un DPA (art. 28) avec toutes les clauses obligatoires (Partie 12.2), et le fournisseur doit présenter des garanties suffisantes (art. 28.1, Partie 12.4). S’il n’offre pas de DPA, on ne lui envoie pas de données personnelles.
2. Pas d’entraînement sur les données sans base
Le point le plus sensible : beaucoup d’offres IA réutilisent les données envoyées pour entraîner ou améliorer leur modèle. Or, réutiliser les copies pour son propre compte, c’est définir une nouvelle finalité — le fournisseur deviendrait responsable (Partie 12.1) et FormaCampus n’a aucune base pour autoriser cet entraînement sur des copies d’élèves. Réflexe : le DPA doit interdire l’entraînement/l’amélioration du modèle sur les données transmises (traitement sur seule instruction, art. 28 et 29). Choisir une offre où l’entraînement sur tes données est désactivé par défaut.
3. Minimiser les prompts
Le principe de minimisation (art. 5) s’applique au contenu du prompt. On n’envoie que le strictement nécessaire à la correction : pas le nom complet, pas l’identifiant scolaire, pas d’informations sur la santé ou la situation familiale si elles ne servent pas la note. Pseudonymiser la copie avant l’envoi (remplacer l’identité par un code) est un excellent réflexe privacy by design. Moins le LLM en sait sur qui est l’élève, mieux c’est.
4. Données de mineurs : prudence maximale
Les copies d’élèves concernent souvent des mineurs (en France, le consentement numérique est fixé à 15 ans, art. 8). Une copie peut aussi révéler des données sensibles (art. 9 — santé, convictions…). Ce cumul impose la prudence maximale : minimisation renforcée, pseudonymisation, DPA verrouillé, et vérification que le responsable (l’école, quand FormaCampus est sous-traitant) a bien prévu cet usage de l’IA dans ses propres finalités et son information des familles. En cas de risque élevé, une AIPD (art. 35) peut être requise.
⚠️ Piège — Coller une copie entière dans un LLM public « juste pour tester », avec le nom de l’élève et via un compte gratuit sans DPA. En une action, on cumule : sous-traitance non encadrée (pas de DPA), transfert hors UE probable (Partie 13), entraînement possible du modèle sur la copie, absence de minimisation, et données de mineur. C’est le scénario à interdire explicitement dans les consignes de l’équipe.
🔒 Côté personne concernée — Un parent accepte que l’école corrige la copie de son enfant ; il n’a pas accepté que cette copie serve à entraîner un modèle d’IA tiers, ni qu’elle parte à l’étranger. La légitimité tient à une chaîne de garanties invisibles : DPA qui interdit l’entraînement, prompt minimisé, données pseudonymisées, et une information claire des familles sur le recours à l’IA. L’élève ne doit jamais « payer » en données la commodité d’une correction assistée.
📚 Le texte — Le fournisseur d’IA relève des articles 28 (DPA), 28.1 (garanties suffisantes) et 29 (instruction). L’entraînement pour son compte le ferait basculer en responsable (art. 4.7, Partie 12.1). La minimisation vient de l’article 5, les mineurs de l’article 8 (15 ans en France), les données sensibles de l’article 9. L’AI Act — Règlement (UE) 2024/1689, en vigueur depuis le 1er août 2024, appliqué par paliers — se combine au RGPD dès qu’un système d’IA traite des données personnelles : il ne le remplace pas. La mise en œuvre technique de tout ceci est traitée dans la Partie 14 — Le RGPD dans le code (dev & IA).
✏️ Exercices
Exercice 1 — Complète la carte. L’équipe ajoute un outil de transcription automatique (hébergé hors UE) pour sous-titrer les visios. Écris la ligne de cartographie correspondante et dis quelles cases sont « à traiter ».
✅ Solution
Ligne : Transcription automatique | rôle : sous-titrage des classes virtuelles | données : voix, propos, identités des participants | localisation : Hors UE | DPA : ⚠️ à obtenir | transfert : ⚠️ à encadrer. Cases à traiter : obtenir un DPA (art. 28) interdisant la réutilisation, encadrer le transfert hors UE (Partie 13), vérifier la minimisation (a-t-on besoin de transcrire nominativement des mineurs ?). La voix et les propos d’élèves peuvent en plus révéler des données sensibles — prudence.
Exercice 2 — Verrouille le LLM. FormaCampus signe avec un fournisseur d’IA pour corriger les copies. Cite les trois exigences non négociables du DPA et le réflexe technique à appliquer avant l’envoi.
✅ Solution
Trois exigences DPA : (1) traitement sur seule instruction, interdiction d’entraîner/améliorer le modèle sur les copies (art. 28/29) ; (2) sécurité appropriée (art. 32) ; (3) localisation connue et transfert hors UE encadré (chapitre V, Partie 13) — plus le sort des données en fin de contrat. Réflexe technique avant l’envoi : pseudonymiser la copie et minimiser le prompt (retirer nom, identifiant scolaire, éléments sensibles inutiles à la note). Ajouter une vérification humaine du retour.
Exercice 3 — RT ou ST, côté école ? Quand FormaCampus fait corriger par un LLM les copies d’élèves du collège Jean Moulin (son client), qui doit avoir prévu et autorisé ce recours à l’IA ?
✅ Solution
Pour ces copies, FormaCampus est sous-traitant et le collège est responsable. Le recours à un LLM est une sous-traitance ultérieure : le collège doit l’avoir autorisé (art. 28.2), et l’usage de l’IA doit entrer dans les finalités qu’il a définies et dans l’information des familles. FormaCampus ne peut pas décider seule d’envoyer les copies à un LLM : elle agit sur instruction et répercute les obligations sur le fournisseur d’IA (art. 28.4).
🧠 Quiz de révision
1. À quoi sert la cartographie des sous-traitants ?
À lister tous les tiers qui voient passer des données personnelles, avec pour chacun : rôle, données, localisation, DPA ?, transfert ?. Elle alimente le registre (art. 30), permet de répondre aux clients (art. 28.2) et de prioriser les actions (obtenir un DPA, encadrer un transfert).
2. Un fournisseur de LLM qui corrige des copies, quel rôle ?
Un sous-traitant : il traite les copies pour le compte de FormaCampus, sur instruction. Il faut donc un DPA (art. 28) et des garanties suffisantes (art. 28.1). S’il réutilise les copies pour entraîner son modèle, il devient responsable de cet usage (Partie 12.1) — à interdire par contrat.
3. Peut-on laisser un fournisseur d’IA entraîner son modèle sur nos données ?
Non, pas sans base. Ce serait une nouvelle finalité poursuivie pour son compte, sans base légale côté FormaCampus, sur des copies d’élèves. Le DPA doit interdire l’entraînement/l’amélioration sur les données transmises (traitement sur seule instruction, art. 28/29).
4. Que veut dire « minimiser les prompts » ?
N’envoyer au LLM que le strictement nécessaire à la finalité (la correction) : pas le nom complet, pas l’identifiant scolaire, pas d’éléments sensibles inutiles. Idéalement, pseudonymiser la copie avant l’envoi. C’est la minimisation (art. 5) appliquée au contenu du prompt.
5. L’AI Act remplace-t-il le RGPD pour l’IA ?
Non. L’AI Act (Règlement (UE) 2024/1689, en vigueur depuis le 1er août 2024, appliqué par paliers) se combine au RGPD dès qu’un système d’IA traite des données personnelles. Les obligations de sous-traitance, minimisation, base légale et protection des mineurs continuent de s’appliquer pleinement.
Chapitre suivant : Partie 13 — Transferts internationaux — la question qui revient à chaque ligne « ⚠️ à encadrer » de notre cartographie : quand les données d’un sous-traitant quittent l’UE, comment rendre ce transfert licite (adéquation, clauses contractuelles types, analyse d’impact du transfert) ?