Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Lacune critique dans la gouvernance des données liées à l’IA dans l’enseignement supérieur : ce que les établissements doivent faire dès maintenant

Lacune critique dans la gouvernance des données liées à l’IA dans l’enseignement supérieur : ce que les établissements doivent faire dès maintenant

par Patrick Spencer updated janvier 20, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 10 minutes

Les chiffres sont éloquents. Quatre-vingt-quatorze pour cent des professionnels de l’enseignement supérieur utilisent désormais des outils d’IA dans leur travail quotidien, mais seuls 54 % savent si leur établissement dispose de règles encadrant cet usage. Ce décalage, révélé par une nouvelle étude publiée le 13 janvier 2026, constitue l’un des échecs de gouvernance les plus marquants auxquels sont confrontés les universités et établissements d’enseignement supérieur aujourd’hui.

Points clés à retenir

  1. Un écart immense entre règles et pratiques. Pratiquement tous les employés de l’enseignement supérieur (94 %) utilisent aujourd’hui des outils d’IA dans leur travail, mais seuls 54 % connaissent les règles de leur établissement concernant l’usage de l’IA. Ce décalage expose fortement aux violations de la confidentialité des données, aux failles de sécurité et à la non-conformité réglementaire.
  2. L’IA fantôme représente un risque immédiat. Plus de la moitié des professionnels de l’enseignement supérieur (56 %) utilisent des outils d’IA non fournis par leur établissement. Les données sensibles des étudiants transitent ainsi par des systèmes tiers non approuvés, échappant aux contrôles de sécurité institutionnels et risquant de contrevenir à la FERPA, à la COPPA et à d’autres exigences réglementaires.
  3. Un manque de sensibilisation surprenant chez les dirigeants. Même les décideurs manquent de visibilité sur la gouvernance de l’IA : 38 % des cadres dirigeants, 43 % des managers et 30 % des professionnels de la cybersécurité ignorent l’existence de règles sur l’IA. Cela suggère que de nombreux établissements n’ont tout simplement pas de règles formelles, plutôt qu’un défaut de communication de celles-ci.
  4. L’éducation à la traîne sur les contrôles essentiels. Le secteur éducatif affiche un retard de 19 points sur les analyses d’impact sur la vie privée par rapport aux références mondiales, avec seulement 6 % des établissements menant des évaluations systématiques de la confidentialité pour les systèmes d’IA. Les tests adverses et red-teaming sont tout aussi rares, avec seulement 6 % d’adoption.
  5. Les EdTech tiers complexifient la gouvernance. Seuls 18 % des établissements ont instauré des règles spécifiques à l’IA pour les prestataires traitant les données étudiantes. L’explosion des solutions EdTech dopées à l’IA — des plateformes d’apprentissage adaptatif aux outils de surveillance automatisée — implique que les données étudiantes circulent dans des systèmes sur lesquels l’établissement n’a que peu de contrôle.

Ces résultats proviennent d’une étude collaborative majeure menée par Educause, la National Association of College and University Business Officers (NACUBO), la College and University Professional Association for Human Resources (CUPA-HR) et l’Association for Institutional Research (AIR). Les chercheurs ont interrogé près de 2 000 membres du personnel, administrateurs et enseignants dans plus de 1 800 établissements. Le constat est sans appel pour les dirigeants de l’enseignement supérieur : un écart entre règles et pratiques qui génère d’importants risques pour la confidentialité, la sécurité et la conformité institutionnelle.

Un fossé entre usage de l’IA et sensibilisation à l’IA

L’écart entre ce que font les employés et leur compréhension des attentes institutionnelles est frappant. Plus de la moitié des répondants déclarent utiliser des outils d’IA non fournis par leur établissement pour des tâches professionnelles. Cela signifie que des enseignants rédigent des communications avec ChatGPT, des personnels administratifs analysent des tableaux avec des assistants IA, et des administrateurs automatisent des processus via des outils tiers — le tout sans supervision institutionnelle ni contrôle de gouvernance des données.

Plus inquiétant encore : ce que révèle l’étude sur la sensibilisation des dirigeants. Trente-huit pour cent des cadres dirigeants, 43 % des managers et directeurs, et 35 % des professionnels de la technologie déclarent ignorer l’existence de règles encadrant leur usage de l’IA. Même 30 % des professionnels de la cybersécurité et de la confidentialité — ceux-là mêmes chargés de protéger les données institutionnelles — disent ne pas connaître les règles existantes sur l’IA.

Jenay Robert, chercheuse senior chez Educause et autrice du rapport, souligne que ce décalage « pourrait avoir des conséquences sur la confidentialité, la sécurité et d’autres enjeux de gouvernance des données qui protègent l’établissement et ses utilisateurs ». Ce constat met en lumière un problème fondamental : de nombreux établissements n’ont probablement pas de règles formelles, plutôt qu’un simple défaut de communication.

Pourquoi la protection des données étudiantes est-elle en jeu ?

L’enseignement supérieur gère des informations particulièrement sensibles. Les dossiers étudiants contiennent des données sur les résultats scolaires, l’historique disciplinaire, les aides financières et des informations médicales. Selon la FERPA, les établissements ont la responsabilité légale de protéger ces dossiers. La COPPA impose quant à elle des exigences strictes sur la collecte de données concernant les moins de 13 ans — enjeu direct pour les établissements accueillant de jeunes publics ou partenaires du primaire et du secondaire.

Une analyse distincte menée par Kiteworks sur la gouvernance des données IA dans différents secteurs montre que l’éducation accuse un retard à deux chiffres sur les contrôles essentiels. Le secteur éducatif affiche un écart de 19 points sur les analyses d’impact sur la vie privée, avec seulement 6 % des établissements menant des évaluations systématiques de la confidentialité pour les systèmes d’IA, contre 25 % au niveau mondial. Il s’agit du deuxième plus grand écart de capacité identifié tous secteurs et indicateurs confondus dans l’étude.

Les conséquences sont directes : les systèmes d’IA qui analysent les performances étudiantes, prédisent les résultats ou personnalisent les parcours interagissent directement avec des catégories de données protégées. Lorsque 94 % des établissements déploient ces systèmes sans évaluation systématique de la confidentialité, les informations étudiantes circulent dans des outils et processus jamais évalués formellement en matière de conformité ou de risques.

La réalité des ressources dans les établissements

Pour comprendre l’origine de ce fossé, il faut prendre en compte les contraintes spécifiques de l’enseignement supérieur. Contrairement aux secteurs financiers ou de la santé, dotés d’équipes dédiées à la conformité, la plupart des universités et écoles opèrent avec des effectifs IT et sécurité très limités. L’analyse Kiteworks révèle que 0 % des répondants du secteur éducatif signalent une attention du conseil d’administration aux enjeux de compétences et de main-d’œuvre, contre 14 % à l’échelle mondiale.

Ce n’est pas un manque de sensibilisation. L’éducation affiche un niveau élevé d’attention du conseil d’administration au risque cyber (65 %), soit le plus haut niveau mondial. Les dirigeants sont conscients des enjeux. Mais les capacités opérationnelles racontent une autre histoire. Le secteur sait ce qu’il doit faire, mais manque de ressources pour mettre en place de véritables cadres de gouvernance.

Le paradoxe est particulièrement visible sur les contrôles de biais et d’équité. Les établissements déclarent 35 % d’adoption d’audits sur les biais et l’équité — soit 6 points de plus que la moyenne mondiale. Pourtant, les tests adverses et les tests actifs de biais sont largement à la traîne, à seulement 6 %. Les établissements documentent des règles sans tester si leurs systèmes d’IA produisent des biais. Les audits vérifient la documentation ; les tests révèlent le comportement réel.

IA fantôme : le risque invisible

Les conclusions d’Educause mettent en avant un phénomène bien connu des professionnels de la sécurité IT : l’IA fantôme. Lorsque 56 % des employés de l’enseignement supérieur utilisent des outils d’IA non fournis par leur établissement, les données sensibles transitent par des systèmes susceptibles de stocker, d’entraîner ou de partager des informations en violation des règles institutionnelles, des exigences réglementaires ou contractuelles.

L’IA fantôme génère plusieurs risques spécifiques dans l’éducation. D’abord, les données étudiantes saisies dans des outils publics d’IA peuvent servir à entraîner des modèles, exposant potentiellement des informations protégées. Ensuite, les enseignants utilisant l’IA pour la notation ou l’évaluation peuvent, sans le savoir, enfreindre la confidentialité des étudiants. Enfin, les administrateurs qui automatisent des processus via des outils tiers peuvent créer des canaux d’export de données échappant aux contrôles de sécurité institutionnels.

L’étude révèle que 92 % des établissements disposent d’une forme de stratégie IA, incluant des phases pilotes, l’évaluation des opportunités et des risques, et l’encouragement à l’usage. Mais une stratégie sans application concrète laisse les établissements exposés. Quand près de la moitié des employés ignorent l’existence de règles, la stratégie reste théorique.

Les EdTech tiers aggravent la difficulté

La forte dépendance de l’enseignement supérieur aux prestataires EdTech tiers complexifie la gouvernance. L’analyse Kiteworks montre que seuls 18 % des établissements ont instauré des règles et exigences d’attestation spécifiques à l’IA pour les prestataires traitant des données étudiantes — soit 15 points de moins que la moyenne mondiale.

Le marché EdTech a explosé avec des produits dopés à l’IA : plateformes d’apprentissage adaptatif, systèmes de correction automatisée, logiciels de surveillance, outils d’engagement étudiant, solutions d’alerte précoce… Beaucoup d’établissements n’ont pas l’expertise technique pour évaluer la gouvernance des données IA de ces systèmes. Sans exigences d’attestation, ils se contentent des garanties des prestataires, laissant la protection des données étudiantes à la discrétion des EdTech.

Cela crée une exposition juridique que beaucoup sous-estiment. Si un système IA d’un prestataire génère des biais ou subit une fuite de données, l’établissement reste responsable devant les étudiants, les familles et les régulateurs. Des contrats qui n’intègrent pas la gouvernance des données IA font peser sur l’établissement des risques non évalués et incontrôlables.

Transparence et confiance en jeu

L’éducation évolue dans un écosystème de responsabilités unique. Les parents veulent comprendre l’impact des technologies sur la scolarité de leurs enfants. Les conseils d’établissement exigent des explications à relayer aux communautés. Les organismes d’accréditation s’intéressent de plus en plus à la gouvernance technologique. Anciens élèves, donateurs, élus : tous ont un intérêt dans le fonctionnement des établissements.

Les données Kiteworks révèlent un écart de 16 points sur la transparence, avec seulement 24 % des établissements mettant en place des pratiques de transparence, contre 40 % au niveau mondial. La documentation sur l’explicabilité des modèles accuse 14 points de retard, à seulement 12 %. Pour un secteur redevable devant la société, cela crée des vulnérabilités que la seule sécurité technique ne peut combler.

Quand des systèmes d’IA influencent l’orientation, signalent des comportements ou personnalisent les parcours, les familles veulent savoir comment les décisions sont prises. Les parents acceptent l’IA éducative qu’ils comprennent. Ils résisteront — et engageront potentiellement des recours — face à une IA opaque qui prend des décisions majeures concernant leurs enfants.

Mesurer ce qui compte

L’étude Educause met en lumière un autre écart majeur : seuls 13 % des établissements mesurent le retour sur investissement des outils d’IA utilisés au travail. La grande majorité déploie donc l’IA sans évaluer systématiquement si ces outils apportent réellement de la valeur.

L’enjeu de la mesure va au-delà de la simple efficacité. Sans données sur la performance des systèmes d’IA, les établissements ne peuvent pas identifier les dérives, détecter les biais dans les décisions automatisées ou justifier la poursuite des investissements. Quand les budgets se resserrent, les initiatives IA sans ROI démontré deviennent vulnérables aux coupes — même si elles apportent une valeur réelle qui n’a simplement pas été mesurée.

Les établissements capables de prouver l’efficacité de l’IA pourront décider en connaissance de cause d’étendre, d’adapter ou d’arrêter certains usages. Ceux qui opèrent sans mesure fonderont leurs choix sur des anecdotes, la politique interne ou les voix les plus fortes, plutôt que sur des preuves tangibles.

Cinq actions à engager dès maintenant

L’étude suggère plusieurs mesures prioritaires pour tous les établissements, quelles que soient leurs ressources.

Élaborer des cadres clairs de gouvernance de l’IA. Il n’est pas nécessaire de produire une documentation volumineuse ou de créer des comités. Il s’agit de préciser quels outils d’IA sont approuvés, quelles données peuvent ou non être traitées par ces systèmes, et qui est responsable de la conformité. Même une note de deux pages vaut mieux que le vide actuel dans de nombreux établissements.

Recenser les usages d’IA fantôme. On ne peut pas gouverner ce que l’on ignore. Interrogez les services sur les outils d’IA utilisés. Identifiez les flux de données passant par des canaux non officiels. Faites la lumière sur l’IA fantôme pour pouvoir l’évaluer, l’approuver avec des contrôles adaptés ou l’interdire.

Mettre en place des schémas de classification des données. Toutes les données n’ont pas la même sensibilité. Un numéro de sécurité sociale étudiant n’exige pas la même protection qu’un descriptif de cours. La classification des données permet d’appliquer des contrôles proportionnés : gouvernance rigoureuse pour les données sensibles, processus allégés pour les informations à faible risque.

Former massivement. L’écart de 46 points entre usage de l’IA et connaissance des règles traduit une défaillance de communication, pas seulement de politique. La formation doit aider enseignants et personnels à savoir quelles données saisir dans les outils d’IA, comment évaluer les résultats générés, et quand alerter en cas de doute. Pas besoin de modules lourds : des consignes courtes et ciblées sont souvent plus efficaces que de longs modules de conformité.

Développer des exigences pour les prestataires EdTech. Les établissements disposent d’un pouvoir d’achat collectif rarement exploité. Rédigez des clauses contractuelles types sur la gouvernance des données IA, rejoignez des groupements d’achat avec des standards partagés, et exigez des attestations avant de déployer des produits EdTech traitant des données étudiantes.

Perspectives : les enjeux pour 2026 et au-delà

Le rapport Educause décrit une main-d’œuvre à la fois enthousiaste et prudente face à l’IA. Trente-trois pour cent des répondants se disent « très enthousiastes » ou « enthousiastes » à propos de l’IA, tandis que 48 % expriment un mélange de prudence et d’enthousiasme. Seuls 17 % se déclarent uniquement prudents.

Ce ressenti nuancé reflète la complexité du sujet. L’IA offre un potentiel réel pour alléger la charge administrative, personnaliser l’apprentissage et améliorer le fonctionnement des établissements. Les risques sont tout aussi concrets : violations de la vie privée, biais dans les résultats, failles de sécurité, recul du contrôle humain sur les décisions majeures.

Les établissements qui réussiront seront ceux qui canaliseront l’enthousiasme via une gouvernance adaptée, plutôt que de tenter de bannir l’IA. Les personnels veulent clairement ces outils — 86 % déclarent vouloir continuer à utiliser l’IA à l’avenir, quelles que soient les règles actuelles. La question est de savoir si cet usage se fera dans un cadre qui protège étudiants et établissements, ou en dehors.

Conséquences de l’inaction

L’enseignement supérieur a déjà traversé d’autres transitions technologiques avec plus ou moins de succès. Le passage à l’enseignement à distance pendant la pandémie a révélé quels établissements avaient investi dans l’infrastructure numérique et lesquels non. L’écart actuel sur la gouvernance des données IA produira le même type de tri.

Les établissements qui mettent en place des cadres clairs, forment leurs équipes et instaurent des contrôles adaptés pourront tirer parti de l’IA tout en maîtrisant les risques. Ceux qui laissent perdurer l’écart entre règles et pratiques s’exposent à des sanctions réglementaires, à une atteinte à la réputation et, surtout, à des préjudices pour les étudiants qu’ils servent.

L’analyse Kiteworks est sans détour : l’éducation aborde 2026 « tiraillée entre des réalités contradictoires : la gestion des données les plus sensibles concernant la population la plus vulnérable, avec des capacités de gouvernance qui seraient jugées inacceptables dans des secteurs traitant des informations bien moins sensibles ». Les contraintes de ressources sont réelles. Les écarts sont documentés. Les conséquences retombent sur les étudiants.

L’éducation s’est construite sur la mission de protéger les étudiants. Étendre cette mission à la gouvernance des données IA n’est pas une option — c’est la même exigence appliquée à une nouvelle technologie. Les études identifient clairement les écarts. La question est désormais de savoir si les établissements agiront pour les combler.

Foire aux questions

Le fossé de gouvernance de l’IA désigne le décalage entre l’usage généralisé des outils d’IA par les employés de l’enseignement supérieur et leur connaissance des règles institutionnelles encadrant cet usage. Selon les recherches, 94 % des professionnels utilisent des outils d’IA, mais seuls 54 % savent que leur établissement a mis en place des règles sur l’IA. Ce fossé crée des risques pour la confidentialité des données, la sécurité et la conformité réglementaire, car les employés peuvent, sans le savoir, enfreindre la FERPA, la COPPA ou d’autres exigences en utilisant l’IA pour traiter des informations étudiantes.

Les établissements d’enseignement supérieur gèrent des informations extrêmement sensibles sur les étudiants : dossiers scolaires, aides financières, données médicales, évaluations comportementales. Les systèmes d’IA qui analysent les performances, prédisent les résultats ou personnalisent l’apprentissage interagissent directement avec ces données protégées. Sans gouvernance adaptée, les établissements risquent des violations réglementaires, des fuites de données, des décisions biaisées impactant les étudiants et une perte de confiance des parents et des communautés, qui attendent de la transparence sur l’impact des technologies sur l’éducation de leurs enfants.

L’IA fantôme désigne les outils d’IA utilisés par les employés à des fins professionnelles sans validation ou supervision institutionnelle. Selon l’étude Educause, 56 % des professionnels de l’enseignement supérieur utilisent des outils d’IA non fournis par leur établissement. Cela pose problème car des données sensibles saisies dans des outils publics d’IA peuvent servir à entraîner des modèles, exposant ainsi des informations protégées. L’IA fantôme crée aussi des canaux d’export de données échappant aux contrôles de sécurité institutionnels et peut contrevenir aux contrats fournisseurs, aux exigences d’accréditation ou à la réglementation nationale.

La FERPA (Family Educational Rights and Privacy Act) impose aux établissements de protéger les dossiers scolaires des étudiants contre toute divulgation non autorisée. Lorsque des outils d’IA traitent des données étudiantes — pour l’aide à la notation, l’analyse d’apprentissage ou l’automatisation administrative — les établissements doivent garantir que le traitement des données respecte la FERPA. Cela implique de vérifier que les prestataires IA sont considérés comme « responsables scolaires » au sens de la FERPA, que des accords d’utilisation des données sont en place et que les informations étudiantes ne sont ni conservées ni exploitées par les systèmes d’IA d’une manière qui enfreindrait les droits à la vie privée des étudiants.

Une politique efficace de gouvernance des données IA doit préciser quels outils d’IA sont autorisés, quelles catégories de données peuvent ou non être traitées par ces systèmes, et qui est responsable de la conformité. Elle doit couvrir à la fois les IA déployées en interne et les produits EdTech tiers, définir des exigences de classification des données, des obligations de transparence envers les étudiants et familles, et des besoins de formation pour les enseignants et personnels. Même une politique simple, sur deux pages, offre une meilleure protection que le vide actuel dans de nombreux établissements.

Seuls 13 % des établissements mesurent actuellement le ROI des outils d’IA, la plupart n’ayant donc aucune preuve de la valeur réelle de ces investissements. Une mesure efficace doit suivre les gains d’efficacité sur des processus précis, les taux d’erreur avant/après l’IA, la satisfaction des utilisateurs (enseignants et personnels) et l’impact sur les résultats étudiants. Il faut aussi surveiller les effets indésirables : biais dans les décisions automatisées, incidents de confidentialité, violations de conformité. Sans mesure systématique, il est impossible de décider de poursuivre, d’étendre ou d’arrêter des initiatives IA en connaissance de cause.

Les risques majeurs incluent l’application de la conformité réglementaire et les litiges liés à des systèmes d’IA déployés sans évaluation d’impact sur la vie privée, en particulier ceux traitant des données de mineurs protégés par la FERPA et la COPPA. D’autres risques concernent les biais dans les résultats des IA utilisées pour l’orientation ou l’alerte précoce, la perte de confiance des parents et de la communauté faute de transparence sur l’impact de l’IA, et les failles de sécurité liées à l’IA fantôme échappant aux contrôles institutionnels. Les établissements qui n’agissent pas s’exposent à des sanctions réglementaires, à une atteinte à la réputation et, surtout, à des préjudices pour les étudiants qu’ils accompagnent.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks