Passer au contenu
Français - France
Nous contacter
  • Il n'y a aucune suggestion car le champ de recherche est vide.

LOUMO : Conformité RPGD & IA Act

Loumo absorbe la complexité réglementaire, RGPD et AI Act, pour que vos équipes se concentrent sur ce qui compte : la qualité de l'évaluation et le parcours de vos étudiants.

Guide de conformité à destination des établissements Clients

Règlement (UE) 2016/679 du 27 avril 2016, le « RGPD »
Règlement (UE) 2024/1689 du 13 juin 2024, l « IA Act »

Version 2.0 - Avril 2026

Avertissement : Le présent document est un guide d'information général à destination des établissements qui envisagent ou ont engagé un projet de correction assistée par IA avec Loumo. Les informations qu'il contient reflètent l'état du droit, des engagements contractuels et de la plateforme Loumo à la date de publication. Il est non-contractuel et ne se substitue pas à la consultation du Délégué à la Protection des Données ou du conseil juridique de l'établissement.


Introduction

Deux règlements européens redessinent en profondeur le cadre dans lequel les établissements d'enseignement supérieur évaluent leurs étudiants : le Règlement Général sur la Protection des Données (RGPD), pleinement applicable depuis 2018 et désormais éclairé par une jurisprudence ferme, et le Règlement sur l'intelligence artificielle (AI Act), entré en vigueur le 1er août 2024 dont les obligations principales s'appliqueront au 2 août 2026.

L'évaluation académique est au cœur de ces textes. La notation produit des effets significatifs sur le parcours des étudiants : elle est, au regard du droit, une activité sensible. Les autorités européennes (CEPD, CNIL, futur Bureau de l'IA) considèrent que tout outil intervenant dans la notation doit s'inscrire dans une architecture de supervision humaine substantielle, documentée et auditable.

C'est précisément ce que nous avons construit chez Loumo. Notre plateforme n'a pas été dérivée d'un produit grand public : elle a été pensée, dès le premier jour, pour répondre aux exigences cumulatives du RGPD et de l'AI Act, et pour qu'un établissement puisse la déployer en toute confiance, en quelques semaines, et sans avoir à reconstruire seul un dossier de conformité de plusieurs centaines de pages.

Ce guide vous présente, en un seul document, la totalité de notre démarche : ce que la réglementation impose, ce que Loumo prend en charge en tant que sous-traitant et fournisseur d'IA à haut risque, ce qui demeure de la responsabilité de l'établissement déployeur, et la manière dont notre contrat-cadre verrouille cet équilibre. Il s'adresse à votre direction, à votre DPO, à votre service juridique et à vos équipes pédagogiques.

À retenir : Loumo prend à sa charge l'essentiel de la conformité technique et réglementaire. Vous conservez la pleine maîtrise pédagogique, la décision finale sur chaque note, et un dossier prêt à être présenté à votre DPO, à la CNIL et, à compter du 2 août 2026, aux autorités de surveillance de l'AI Act.

1. L’environnement réglementaire

Pour un établissement qui souhaite déployer une solution d'IA dans son processus de correction, deux corpus juridiques se superposent. Ils ne se concurrencent pas : ils se complètent et doivent être traités conjointement.

1.1 Règlement (UE) 2016/679, le « RGPD »

Le RGPD régit le traitement des données à caractère personnel des étudiants : copies, identifiants, notes, métadonnées de correction, événements de surveillance. Il impose une chaîne de responsabilités entre l'établissement (responsable de traitement) et son prestataire (sous-traitant), des bases légales claires, des mesures de sécurité, des droits d'accès, de rectification et d'effacement, et un encadrement strict de toute décision automatisée susceptible d'affecter les étudiants.

1.2 Règlement (UE) 2024/1689, l’« IA Act »

Le règlement européen sur l'intelligence artificielle est le premier cadre juridique complet au monde régissant l'IA. Il repose sur une approche par le risque et classe les systèmes selon leur impact potentiel sur la santé, la sécurité et les droits fondamentaux. La correction de copies est explicitement visée par l'Annexe III, point 3(b) : il s'agit d'un système d'IA « à haut risque ». Cette qualification déclenche des obligations spécifiques pour le fournisseur du système (Loumo) et pour son déployeur (votre établissement).

1.3 Les dates qui comptent

2 février 2025

Entrée en application des interdictions de l'AI Act (article 5). Loumo a auditionné chaque pratique interdite et confirme la conformité du système (cf. section 5.2).

2 août 2025

Obligations de littératie IA (art. 4) et règles applicables aux modèles d'IA à usage général.

2 août 2026

Échéance principale : application complète des obligations « haut risque » (articles 8-25 fournisseur, article 26 déployeur). C'est l'horizon que ce guide vous prépare à franchir.

Conseil de calendrier

Les autorités recommandent de ne pas attendre l'échéance pour formaliser la conformité : ouverture du dossier au moins 6 mois avant le déploiement effectif, AIPD/PIA finalisée avant la première session d'examen, FRIA réalisée avant la première mise en production. Loumo peut accompagner chacun de ces jalons.

2. Ce que vous obtenez avec Loumo

Avant d'entrer dans le détail réglementaire, voici, en synthèse, ce qu'un établissement obtient lorsqu'il signe avec Loumo. Cette page est volontairement courte : elle vous donne les arguments à porter en comité et à votre DPO.

Une infrastructure 100 % européenne, hébergée à Paris (Google Cloud, région europe-west1).

Une architecture de validation humaine native : aucune note n'est officialisée sans un correcteur qualifié.

Un DPA prêt à signer, conforme à l'article 28 du RGPD, négociable sur les sujets sensibles de votre établissement.

Un PIA pré-rempli (outil CNIL) qui réduit l'AIPD de votre DPO à un travail de relecture et de complétion.

Une notice d'information étudiants prête à être insérée dans vos règlements et convocations.

Une chaîne de sous-traitance ultérieure transparente, encadrée par des Clauses Contractuelles Types et le Data Privacy Framework.

Un engagement contractuel de non-réentraînement : vos copies n'alimentent aucun modèle tiers.

Un dossier AI Act déjà constitué : classification, gestion des risques, supervision humaine, journalisation, documentation technique en cours de finalisation.

Un référent dédié pour accompagner votre FRIA et vos échanges avec la CNIL ou vos instances internes.

La logique de la valeur : Sur les deux règlements concernés, environ 80 % des obligations techniques et documentaires reposent sur le fournisseur de la solution. Loumo a internalisé ce travail (équipes produit, juridique, sécurité...) pour vous livrer une plateforme qui sort prête de la boîte sur le plan de la conformité. Votre effort se concentre sur les 20 % qui ne peuvent être délégués : la décision de notation, l'information de vos étudiants, et la formalisation interne de votre démarche.


3. La répartition des rôles, en clair

Les deux règlements organisent une répartition de responsabilités entre votre établissement et Loumo. Comprendre cette répartition est la condition pour évaluer la valeur que nous apportons : ce que nous prenons en charge, ce qui ne peut être que de votre ressort.

3.1 Sous l'angle RGPD

Votre établissement

Responsable de traitement (art. 4(7) RGPD).

Définit les finalités du traitement (l'évaluation des étudiants) et choisit Loumo comme outil technique. Conserve la décision pédagogique et la relation directe avec les personnes concernées.

Loumo

Sous-traitant (art. 4(8) RGPD).

Traite les données personnelles exclusivement pour fournir le service.

3.2 Sous l'angle AI Act

Votre établissement

Déployeur (art. 3§4 AI Act, obligations de l'art. 26).

Utilise le système sous sa propre autorité, supervise les corrections, informe les étudiants, conduit la FRIA (art. 27), conserve les journaux pendant six mois, signale les incidents.

Loumo

Fournisseur (art. 3§3 AI Act, obligations des arts. 8-25).

Conçoit, met en service et maintient le système. Assume la documentation technique, la gestion des risques, la transparence, la traçabilité, la supervision humaine native, l'enregistrement dans la base européenne, le marquage CE, la surveillance post-déploiement.

3.3 Lecture pratique : qui fait quoi ?

Activité

Loumo prend en charge

Vous prenez en charge

Documentation technique du système

Oui (Annexe IV AI Act, en cours de finalisation pour août 2026).

Mise à disposition de votre DPO sur demande.

AIPD / PIA

Fichier pré-rempli (outil CNIL) fourni.

Complétion avec vos paramètres (durées, mesures organisationnelles internes, consultation éventuelle de la CNIL).

FRIA (art. 27 AI Act)

Trame fournie + accompagnement.

Réalisation et formalisation, avant la première mise en production.

Information des étudiants

Modèle de notice rédigée fourni.

Intégration dans le règlement intérieur, les convocations, les notices RGPD.

Supervision copie par copie

Fournie nativement par la plateforme.

Mobilisation des correcteurs qualifiés, validation effective et substantielle.

Journalisation

Automatique, conservée 6 mois minimum pour votre compte.

Conservation et accessibilité conformes à votre politique d'archivage.

Sécurité technique (chiffrement, RBAC, etc.)

Mise en œuvre par Loumo.

Hygiène d'usage : gestion des comptes, droits, mots de passe utilisateurs.

Signalement des incidents IA

Procédure de remontée et traitement.

Information de Loumo sans délai en cas d'anomalie constatée.

4. Vos étudiants, leurs données, vos garanties

Cette section détaille ce que Loumo met en œuvre, ce que la plateforme traite, et les garanties contractuelles offertes au regard du Règlement Général sur la Protection des Données.

4.1 Le DPA, pierre angulaire de la relation

La relation de sous-traitance est formalisée par un Data Processing Agreement (DPA) intégré aux conditions contractuelles, conforme à l'article 28 du RGPD. Il précise : les catégories de données traitées, les finalités, la durée, les mesures de sécurité, les conditions de sous-traitance ultérieure, les modalités d'assistance pour répondre aux demandes des personnes concernées, et les conditions de restitution ou de suppression des données en fin de contrat.

Le DPA est négociable. Plus de la moitié de nos établissements clients y font intégrer une ou deux clauses spécifiques (audit, durée de conservation, modalités d'effacement) c'est précisément à cela qu'il sert.


4.3 Le sujet sensible : article 22 RGPD et jurisprudence SCHUFA

L'article 22 du RGPD interdit, par principe, qu'une personne soit soumise à une décision exclusivement automatisée produisant des effets significatifs à son égard ce qui englobe une note d'examen. La jurisprudence SCHUFA de la Cour de justice de l'Union européenne (CJUE, C-634/21, 7 décembre 2023) a confirmé qu'un score automatisé qui détermine ensuite une décision constitue, à lui seul, une décision automatisée au sens de cet article.

Loumo a été conçue pour vous mettre à l'abri de ce risque. Notre architecture matérialise une intervention humaine réelle, substantielle et non purement formelle, conforme aux lignes directrices du Comité européen de la protection des données (CEPD, WP251 rév. 01) :

  • Transparence intégrale du raisonnement. Pour chaque copie, Loumo restitue la note proposée décomposée critère par critère : points attribués, points non attribués, éléments de la copie pris en compte, commentaires justificatifs, indicateurs d'harmonisation. Votre équipe dispose de tous les éléments nécessaires pour comprendre, contester et ajuster la proposition.
  • Supervision à la granularité que vous choisissez. Vous restez pleinement maître pédagogique. Loumo met à votre disposition les outils nécessaires à l'intensité de contrôle qui correspond à votre organisation : copie par copie, par lots, par échantillonnage, double correction assistée sur copies ciblées, ajustement manuel de la note ou du commentaire, journaux d'audit exportables.
  • Signalement actif des cas sensibles. Les copies atypiques, les notes extrêmes, les cas d'incertitude élevée du modèle, sont automatiquement portées à l'attention du correcteur.

4.4 Les mesures de sécurité (article 32 RGPD)

L'article 32 impose au responsable de traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles assurant un niveau de sécurité adapté au risque. Notre socle :

Chiffrement en transit

TLS 1.2+ pour toutes les communications entre clients, plateforme et services tiers.

Chiffrement au repos

AES-256 pour l'ensemble des données stockées (bases, blob storage, sauvegardes).

Authentification

Hachage bcrypt (12 rounds), jetons JWT à expiration courte, possibilité de SSO.

Contrôle d'accès

RBAC (Role-Based Access Control) : chaque utilisateur n'accède qu'aux données correspondant à son rôle et à son périmètre.

Protection API

Rate limiting, validation des entrées, protection CSRF, supervision des appels.

Traçabilité

Journalisation de chaque action utilisateur (logs d'audit, exportables sur demande).

Pseudonymisation

Retrait automatique des éléments d'identification (nom, numéro étudiant) avant transmission au modèle d'IA.

Hébergement

Google Cloud Platform, région europe-west1 (Paris). Aucune réplication hors UE.

4.5 Modèle d'IA et engagement de non-réentraînement

La correction repose sur les modèles Claude d'Anthropic (Claude Opus 4.6, Claude Sonnet 4.5, Claude Haiku 4.5), appelés via l'API Google Vertex AI avec résidence des données en Union européenne. Le contenu des copies transmis au modèle n'est pas utilisé par Anthropic pour l'entraînement de ses modèles. Cet engagement contractuel est verrouillé via les conditions Vertex AI et l'addendum Anthropic, et opposable par votre établissement à travers le DPA signé avec Loumo.

4.6 Chaîne de sous-traitance ultérieure

Loumo fait appel aux sous-traitants ultérieurs suivants, chacun encadré par des engagements contractuels conformes à l'article 28 RGPD :

Sous-traitant

Service

Localisation / Garanties

Google Cloud (GCP)

Infrastructure d'hébergement et calcul.

europe-west1 (Paris). DPF + Clauses Contractuelles Types 2021/914.

Anthropic PBC

Modèles Claude (correction IA).

Appel via Vertex AI, résidence UE. DPF. Engagement de non-réentraînement.

Resend Inc.

Envoi d'emails transactionnels.

Encadrement contractuel, données limitées aux métadonnées de notification.

Le contrat-cadre prévoit un préavis raisonnable et un délai d'objection de sept (7) jours en cas d'ajout ou de remplacement d'un sous-traitant ultérieur, conformément à l'article 28.2 du RGPD.

4.7 Durées de conservation et droit à l'effacement

Copies et notes

1 an après la session d'examen (délais de recours administratifs) + 5 ans (prescription contractuelle).

Événements de proctoring

30 jours après la session.

Comptes utilisateurs

Durée de la relation contractuelle + 3 ans (prescription civile).

Logs d'audit

1 an (traçabilité et détection d'incidents).

En fin de contrat

Restitution ou suppression au choix du Client, dans un délai maximum de trente (30) jours, attestée par écrit. Suppression logique immédiate puis hard-delete dans les délais techniques de purge (sauvegardes purgées sous 90 jours).

Ces durées sont indicatives et reflètent ce que nous proposons par défaut. Comme tout responsable de traitement, votre établissement définit et formalise ses propres durées dans son registre des traitements ; nous nous adaptons à votre politique.

4.8 Exercice des droits des personnes concernées

Droit

Mise en œuvre dans Loumo

Responsabilité

Accès (art. 15)

Export des copies, notes et événements de proctoring via l'interface d'administration.

Établissement (avec support technique Loumo).

Rectification (art. 16)

Correction des données d'identité erronées dans le système.

Établissement.

Effacement (art. 17)

Suppression logique (soft-delete) immédiate, suppression définitive sur cycle technique.

Établissement + Loumo.

Limitation (art. 18)

Gel du traitement sur une copie spécifique le temps d'une vérification.

Établissement.

Opposition (art. 21)

Applicable au proctoring (intérêt légitime) ; alternative présentielle proposée.

Établissement.

Non-profilage (art. 22)

Validation humaine obligatoire avant toute décision fondée sur l'IA.

Établissement + Loumo (architecture technique).

5. Concernant l’IA Act

Cette section détaille la conformité de Loumo au Règlement (UE) 2024/1689 et la manière dont nous accompagnons votre établissement dans l'exécution de ses obligations de déployeur.

5.1 Classification du système Loumo

Loumo Correction est un système d'IA « à haut risque » au titre de l'article 6§2 et de l'Annexe III, point 3(b) du règlement. Cette qualification est volontaire et transparente : nous l'assumons pour ce qu'elle est, et nous nous engageons aux obligations qui en découlent.

Classification

Système d'IA à haut risque (SIAHR).

Base juridique

Article 6§2, Annexe III, point 3(b).

Critère retenu

Système destiné à évaluer les résultats de l'apprentissage, y compris lorsque ces résultats orientent le processus d'apprentissage.

Justification

Le système produit des notes qui impactent directement le parcours académique des étudiants (validation de matière, obtention de diplôme, accès à la suite de cursus).

5.2 Obligations de Loumo en qualité de fournisseur (arts. 8-25)

Le fournisseur est la personne qui développe ou fait développer un système d'IA et le met en service sous son nom. Loumo assume l'intégralité des obligations associées :

Système de gestion de la qualité (art. 17)

Documentation des processus de développement, validation et surveillance du système.

Documentation technique (Annexe IV)

Description complète : modèle d'IA, architecture, données, métriques de performance, limites connues.

Gestion des risques (art. 9)

Identification et atténuation des risques (hallucination, biais algorithmique, biais d'ancrage, injection de prompt). AIPD réalisée avec l'outil CNIL en avril 2026.

Évaluation de conformité (Annexe VI)

Auto-évaluation interne (le secteur éducatif ne requiert pas d'organisme notifié).

Transparence (art. 13)

Notice d'utilisation complète à destination des déployeurs : le présent guide en est la pierre angulaire.

Traçabilité (art. 12)

Journalisation automatique de tous les événements (corrections IA, validations humaines, modifications, horodatage).

Supervision humaine (art. 14)

Système conçu pour permettre une intervention humaine substantielle (cf. § 5.5).

Enregistrement (art. 49)

Enregistrement du système dans la base de données européenne des SIAHR avant mise en service.

Surveillance post-mise en service (art. 72)

Plan de surveillance continue des performances et des incidents après déploiement.

5.3 Obligations de votre établissement en qualité de déployeur (article 26)

Le déployeur est la personne qui utilise un système d'IA à haut risque sous sa propre autorité. En tant qu'établissement recourant à Loumo, voici ce qui demeure de votre ressort et la manière dont nous vous y aidons :

  • Utilisation conforme à la notice (art. 26§1) - le présent guide tient lieu de notice ; vous vous engagez à utiliser le système selon les paramètres prévus.
  • Supervision humaine (art. 26§2) - désignation de correcteurs qualifiés dans la discipline. Loumo fournit l'interface, vous fournissez l'expertise pédagogique.
  • Pertinence des données d'entrée (art. 26§4) - vérifier que les sujets, barèmes et corrigés types fournis sont pertinents et de qualité suffisante. Loumo détecte les incohérences évidentes mais ne peut se substituer à votre relecture pédagogique.
  • Information des personnes concernées (art. 26§7 et art. 50) - informer les étudiants, avant l'épreuve, qu'un système d'IA intervient dans la correction et/ou la surveillance (cf. § 5.6).
  • Conservation des journaux (art. 26§6) - minimum six mois ; Loumo assure cette conservation pour votre compte.
  • Signalement des incidents (art. 26§5) - tout dysfonctionnement, risque ou incident grave constaté lors de l'utilisation du système doit être signalé à Loumo.

5.4 La supervision humaine native (article 14)

L'article 14 du règlement exige que les systèmes à haut risque soient conçus pour permettre une supervision humaine effective. Cette exigence est au cœur de notre architecture. Le système Loumo ne prend aucune décision autonome : la note finale est toujours le résultat d'un jugement humain éclairé par la pré-correction de l'IA. Le modèle est un outil d'aide à la décision, pas un décideur.

Mesures de supervision intégrées :

Validation : chaque correction IA est examinée individuellement par un correcteur humain.

Score de confiance : un indicateur est affiché pour chaque copie ; une revue approfondie est obligatoire sous un seuil défini.

Pouvoir de modification total : le correcteur peut modifier ou remplacer intégralement les notes et commentaires générés.

Traçabilité des interventions : chaque modification est journalisée (avant/après, horodatage, identité du correcteur).

Capacité d'interruption (art. 14§4(d)) : le correcteur ou l'établissement peut interrompre le traitement IA à tout moment.

Double correction sur échantillon : déploiement en cours, benchmark systématique IA vs correcteur expert.

Temps minimum par copie : seuil d'alerte si validation anormalement rapide (déploiement Q2 2026).

5.6 Information des étudiants (article 50)

L'article 50 impose aux déployeurs d'informer les personnes concernées qu'elles sont soumises à un système d'IA à haut risque. Cette obligation se cumule avec les exigences de transparence des articles 13-14 du RGPD. Loumo vous fournit des modèles prêts à intégrer.

Canaux d'information recommandés

  • Règlement intérieur ou règlement des examens : mention de l'utilisation d'un système d'IA pour la correction et, le cas échéant, pour la surveillance.
  • Convocation aux examens : nature de la technologie, finalités (aide à la correction, surveillance événementielle le cas échéant).
  • Notice d'information RGPD : identité du responsable de traitement, catégories de données, droits des étudiants.

Contenu minimal de l'information

  • Le fait qu'un système d'IA intervient dans le processus de correction.
  • L'identité du fournisseur du système (Loumo) et du modèle (Claude d'Anthropic, ou modèle alternatif le cas échéant).
  • La garantie qu'un correcteur humain valide chaque note.
  • Les catégories de données traitées : copie pseudonymisée, notes, commentaires.
  • Le cas échéant, l'utilisation du proctoring événementiel et la nature des données collectées (type d'événement + horodatage uniquement).

5.7 Gestion des risques (article 9) et limites connues

Conformément à l'article 9, Loumo a mis en place un système de gestion des risques couvrant l'intégralité du cycle de vie du système. Les principaux risques identifiés et les mesures d'atténuation :

Hallucination du modèle

Le modèle peut générer des commentaires erronés ou incohérents. Mesure : validation humaine obligatoire, score de confiance, double correction sur échantillon.

Biais algorithmique

Risque de pénalisation de certains styles rédactionnels, niveaux de langue ou origines linguistiques. Mesure : benchmarks sur échantillons diversifiés, monitoring des écarts inter-populations.

Biais d'ancrage

Le correcteur humain peut valider la note IA sans vérification critique (automation bias). Mesure : validation individuelle, seuil de temps minimum, taux de modification monitoré.

Injection de prompt

Un étudiant pourrait insérer des instructions dans sa copie pour manipuler le modèle. Mesure : pré-traitement des copies, séparation prompt système / contenu utilisateur, tests de sécurité.

Erreur de paramétrage

Mauvais barème ou corrigé associé à un lot de copies. Mesure : contrôle de cohérence automatique, validation du paramétrage avant lancement.

Conformément à l'obligation de transparence, Loumo identifie également les limites suivantes :

  • Comme tout modèle de langage, des résultats erronés (hallucinations) peuvent se produire. La validation humaine est le principal mécanisme d'atténuation.
  • Les copies manuscrites de faible lisibilité peuvent entraîner des erreurs de transcription affectant la qualité de la correction.
  • Le système est optimisé pour les évaluations rédactionnelles (dissertations, cas pratiques, commentaires). Il n'est pas conçu pour les évaluations pratiques ou orales.
  • Plusieurs modèles sont utilisés selon la complexité ; des écarts de cohérence inter-modèles sont possibles et font l'objet d'un monitoring.

5.8 Cadre sanctionnatoire (article 99)

Le règlement prévoit des sanctions administratives en cas de manquement. Au-delà de leur impact financier, l'utilisation d'un système non conforme expose l'établissement à un risque de contestation des résultats d'examen par les étudiants et à une atteinte de la crédibilité de ses processus d'évaluation. Travailler avec Loumo, c'est se positionner du bon côté de la barrière dès maintenant.

Pratiques interdites (art. 5)

Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel.

Obligations haut risque (arts. 8-25, 26)

Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel.

Information inexacte aux autorités

Jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires mondial annuel.

6. Le contrat-cadre - La sérénité au-delà de la documentation

Un guide ne suffit pas : ce qui sécurise un établissement, c'est l'engagement contractuel. Le contrat-cadre Loumo verrouille les promesses de ce guide et leur donne valeur juridique opposable. Voici ses points saillants.

6.1 Une qualification juridique explicite

Le contrat reconnaît expressément Loumo comme sous-traitant au sens de l'article 28 du RGPD et comme fournisseur d'un système d'IA à haut risque au sens de l'Annexe III, point 3 b) de l'AI Act. Votre établissement conserve la qualité de responsable du traitement et de déployeur. Cette qualification est verrouillée dès le préambule et fonde les obligations respectives des Parties.

6.2 Une supervision humaine consacrée par le contrat

L'article 10 du contrat consacre que les notes et évaluations produites à l'aide de Loumo ne constituent pas des décisions fondées exclusivement sur un traitement automatisé au sens de l'article 22 §1 du RGPD, sous réserve du respect effectif d'une architecture de supervision humaine décrite en annexe. C'est cette architecture, contractuellement opposable, qui protège votre établissement.

6.3 Des garanties de conformité explicites

L'article 13 du contrat (Garanties) contient des engagements forts :

  • Loumo garantit que la Solution respecte le RGPD et la réglementation applicable à l'intelligence artificielle.
  • Loumo s'engage à respecter l'ensemble des obligations qui lui incombent en qualité de fournisseur d'un système d'IA à haut risque, selon le calendrier d'entrée en vigueur de l'AI Act.
  • Loumo assiste le Client dans l'exécution de ses propres obligations de déployeur, notamment pour la FRIA (article 27 AI Act).
  • Loumo met à disposition, selon le calendrier réglementaire applicable : la documentation technique, les obligations de traçabilité, de gestion des risques, de transparence et d'explicabilité, la supervision humaine et la gestion des biais, la gestion des incidents liés à l'IA.
  • Le Client peut solliciter, sur demande, la mise à disposition de la documentation technique AI Act, des rapports d'audit de conformité, des logs d'usage ou de supervision humaine, et toute information utile concernant l'explicabilité de l'algorithme.

6.4 Le DPA (Annexe 1)

Le contrat intègre un Data Processing Agreement conforme à l'article 28 du RGPD, précisant la chaîne de sous-traitance, les sous-traitants ultérieurs autorisés (Google Cloud EMEA Ltd, Anthropic Ireland Ltd, Resend Inc.), les modalités d'objection en cas d'évolution, les conditions de transfert hors UE (DPF + Clauses Contractuelles Types). Le Prestataire demeure pleinement responsable envers le Client de l'exécution par les sous-traitants ultérieurs de leurs obligations.

6.5 La fin du contrat : pas de zone grise sur les données

À l'issue du contrat, pour quelque cause que ce soit, Loumo s'engage à restituer ou à supprimer, au choix du Client, l'ensemble des données et supports contenant des données à caractère personnel dans un délai maximum de trente (30) jours, et à en attester par écrit. La suppression s'entend comme une suppression logique immédiate, suivie d'une suppression définitive (hard-delete) dans les délais techniques de purge des systèmes (sauvegardes purgées sous 90 jours), sauf obligations légales de conservation.

6.6 Et la flexibilité commerciale

Le contrat prévoit également des conditions commerciales pensées pour ne pas pénaliser un établissement qui sous-utilise son volume : les licences totalement inutilisées au cours d'une année scolaire peuvent être reportées sur l'année suivante. Le règlement annuel à la signature ouvre droit à une remise. Les délais de livraison sont contractualisés avec un mécanisme de pénalités automatiques en cas de retard non justifié - preuve de notre engagement de résultat.

7. Notre état de conformité

Loumo s'inscrit dans une démarche de conformité progressive en vue de l'échéance principale du 2 août 2026. Le tableau ci-dessous présente, en toute transparence, ce qui est déjà en place et ce qui reste à finaliser. Nous préférons un client informé à un client surpris.

7.1 Volet RGPD

DPA conforme à l'article 28, modèle proposé et négociable.

Chiffrement TLS 1.2+ et AES-256, en transit et au repos.

RBAC et authentification renforcée, accès par rôle et par périmètre.

Validation humaine obligatoire, architecture conforme à l'article 22.

PIA pré-rempli via l'outil CNIL fourni pour faciliter l'AIPD de l'établissement.

DPF + Clauses Contractuelles Types, transferts encadrés juridiquement.

Protocole de pseudonymisation des copies avant transmission au modèle.

  • Purge automatique paramétrable, planifiée (actuellement gérée manuellement sur demande).

7.2 Volet AI Act

Classification haut risque, analyse réalisée (Annexe III, point 3(b)).

Vérification des pratiques interdites (article 5), conforme.

AIPD / PIA réalisée avec l'outil CNIL (avril 2026).

Supervision humaine (article 14) intégrée dans l'architecture (validation copie par copie).

Traçabilité (article 12), journalisation automatique des événements.

Infrastructure UE : Google Cloud Paris.

Notice de transparence (article 13) : le présent document et la notice IA dédiée.

Engagement de non-réentraînement, garanti contractuellement par nos sous-traitants.

  • Documentation technique (Annexe IV), en cours de constitution (objectif juin 2026).
  • Évaluation de conformité interne (Annexe VI), prévue juillet 2026.
  • Enregistrement BDD européenne (article 49), prévu juillet 2026.
  • Marquage CE et déclaration de conformité UE, objectif août 2026.
  • Plan de surveillance post-mise en service (article 72), objectif août 2026.
  • Template FRIA déployeur, en cours de rédaction (objectif juin 2026).

8. La documentation à votre disposition

Sur simple demande, Loumo met à votre disposition les documents suivants. Ils alimentent directement votre dossier de conformité et la documentation que votre DPO ou votre service juridique souhaiteront produire.

  • PIA pré-rempli (fichier compatible avec l'outil CNIL), couvrant la description du système, les mesures de sécurité et l'évaluation des risques.
  • Fiches de traitement (art. 30 RGPD) pour les traitements des applications Loumo
  • Documentation technique de sécurité (architecture, mesures, journalisation), sous accord de confidentialité.
  • DPA et contrat-cadre dans leur dernière version.
  • Logs d'usage et de supervision humaine exportables, sur demande, conformément à l'article 13 du contrat.

9. Pourquoi choisir Loumo maintenant

Le 2 août 2026 ne se négocie pas. Les établissements qui prendront le tournant de l'IA dans leurs processus d'évaluation devront, à cette date, être en mesure de démontrer leur conformité. Travailler avec Loumo, c'est :

Gagner du temps. La conformité technique et documentaire est largement portée par le fournisseur ; vous économisez plusieurs mois de travail interne.

Sécuriser vos sessions d'examen. L'architecture article 22 / supervision humaine est conçue pour résister à la contestation, individuelle ou collective.

Préserver votre maîtrise pédagogique. L'IA propose, le correcteur dispose : ni note opaque, ni décision déléguée.

Choisir un partenaire européen. Hébergement Paris, sous-traitants encadrés, engagement de non-réentraînement, contrat de droit français.

Documenter pour vos parties prenantes. Le présent guide, le DPA, le PIA, la FRIA et le contrat-cadre constituent un dossier de conformité prêt à être présenté à votre direction, à votre conseil d'administration, à vos étudiants, et le cas échéant à la CNIL ou aux autorités de l'AI Act.


Références normatives et jurisprudentielles

  • Règlement (UE) 2016/679 (RGPD).
  • Règlement (UE) 2024/1689 sur l'intelligence artificielle (AI Act), publié au JOUE le 12 juillet 2024.
  • CJUE, arrêt SCHUFA Holding, C-634/21, 7 décembre 2023 (scoring automatisé et article 22 RGPD).
  • Lignes directrices CEPD WP251 rév. 01 (prise de décision automatisée et profilage).
  • Lignes directrices EDPB WP248 rév. (critères AIPD).
  • Lignes directrices EDPB 07/2020 (notion de responsable de traitement et de sous-traitant).
  • CNIL, Guide pratique de la sous-traitance (2017, mis à jour 2023).
  • Décision d'adéquation UE-US Data Privacy Framework du 10 juillet 2023.
  • Clauses Contractuelles Types (décision 2021/914 de la Commission européenne).

Contact

Loumo Correction — 165, avenue de Bretagne, 59000 Lille.

RCS Lille Métropole 933 177 255.

Pour toute question relative au présent guide contactez votre référent commercial Loumo.