Rethinking Higher Education/fr/Chapter 3

From China Studies Wiki
Jump to navigation Jump to search

Langue : FR · EN · ZH · EN-ZH · ← Livre

Protection des données étudiantes à l'université numérique : comparaison RGPD et PIPL chinoise

Martin Woesler

Université normale du Hunan

Résumé

La transformation numérique de l'enseignement supérieur génère des volumes sans précédent de données étudiantes — des interactions avec les systèmes de gestion de l'apprentissage et des dossiers d'évaluation aux données biométriques de surveillance des examens et aux profils d'analyse prédictive. Deux des régimes de protection des données les plus importants au monde régissent désormais la manière dont les universités collectent, traitent et transfèrent ces données : le Règlement général sur la protection des données (RGPD) de l'Union européenne, en vigueur depuis 2018, et la Loi chinoise sur la protection des informations personnelles (PIPL), en vigueur depuis 2021. Pourtant, malgré des similitudes superficielles — les deux établissent des droits individuels sur les données personnelles, les deux imposent des sanctions significatives en cas de violation et les deux restreignent les transferts transfrontaliers de données — les deux régimes reflètent des orientations philosophiques fondamentalement différentes : l'autonomie individuelle contre la souveraineté étatique. Cet article propose une comparaison systématique du RGPD et de la PIPL tels qu'ils s'appliquent au contexte spécifique de l'enseignement supérieur. S'appuyant sur des données de mise en application montrant que les autorités européennes de protection des données ont imposé 270 amendes totalisant plus de 29,3 millions d'euros aux établissements d'enseignement, et sur des recherches documentant que 81 pour cent des universités britanniques ne respectent pas les normes de conformité au RGPD, nous démontrons qu'aucun des deux systèmes n'a atteint une protection satisfaisante des données en pratique. Nous examinons l'analyse de l'apprentissage, l'évaluation pilotée par l'IA, le recrutement transfrontalier d'étudiants et les programmes académiques conjoints UE-Chine comme quatre domaines où les cadres réglementaires font face à leurs épreuves les plus sérieuses. Nous soutenons que les universités opérant dans les deux juridictions font face à un défi de double conformité que les orientations actuelles traitent de manière inadéquate, et nous proposons un cadre pour naviguer dans ces obligations qui se chevauchent.

Mots-clés : RGPD, PIPL, protection des données étudiantes, analyse de l'apprentissage, enseignement supérieur, flux transfrontaliers de données, vie privée, comparaison UE-Chine, IA dans l'éducation

1. Introduction

L'université numérique est, en son cœur, une institution génératrice de données. Chaque interaction d'un étudiant avec un système de gestion de l'apprentissage, chaque soumission à une plateforme de notation automatisée, chaque connexion à un réseau de campus et chaque engagement avec un outil d'apprentissage adaptatif produit des données qui sont collectées, stockées, analysées et — de plus en plus — partagées au-delà des frontières institutionnelles et nationales. La pandémie de COVID-19 a considérablement accéléré ce processus : le passage rapide à l'enseignement en ligne et hybride a normalisé la collecte de flux de données qui auraient été impensables il y a une décennie, y compris les images de webcam provenant de systèmes de surveillance à distance, la dynamique des frappes au clavier pour la vérification d'identité et les métriques d'engagement mesurant la fréquence et la durée d'interaction des étudiants avec les supports de cours.

Deux régimes complets de protection des données régissent désormais la manière dont les universités traitent ces informations. Le Règlement général sur la protection des données de l'Union européenne, entré pleinement en vigueur en mai 2018, a établi le premier cadre complet au monde pour la protection des données personnelles, avec des implications spécifiques pour les établissements d'enseignement qui traitent des données étudiantes. La Loi chinoise sur la protection des informations personnelles, en vigueur depuis novembre 2021, a créé un cadre parallèle qui, bien que structurellement similaire au RGPD à bien des égards, reflète des hypothèses fondamentalement différentes sur la relation entre les individus, les institutions et l'État.

Pour les universités engagées dans la coopération internationale — programmes de double diplôme, échanges d'étudiants, recherche collaborative, recrutement transfrontalier — ces deux régimes créent un défi de double conformité d'une complexité considérable. Une université européenne recrutant des étudiants chinois doit se conformer aux exigences de la PIPL pour le traitement des informations personnelles de résidents chinois ; une université chinoise participant à un partenariat Erasmus+ doit comprendre les obligations du RGPD qui peuvent s'attacher aux données concernant les étudiants européens. Or, les deux systèmes divergent précisément là où les défis de conformité sont les plus aigus : dans leurs approches du transfert transfrontalier de données, des exigences de consentement, des mécanismes d'application et du traitement des mineurs.

Cet article propose une comparaison systématique du RGPD et de la PIPL tels qu'ils s'appliquent à l'enseignement supérieur, organisée autour de quatre questions. Premièrement, comment chaque cadre réglemente-t-il les activités de traitement de données fondamentales des universités — inscription, évaluation, analyse et communication ? Deuxièmement, où les deux systèmes convergent-ils et où divergent-ils dans leurs fondements philosophiques et leurs exigences pratiques ? Troisièmement, quels défis spécifiques se posent pour les établissements opérant simultanément sous les deux régimes ? Quatrièmement, quelles stratégies pratiques les universités peuvent-elles adopter pour atteindre une conformité significative avec les deux cadres ?

2. Le cadre du RGPD pour l'éducation

2.1 Bases juridiques du traitement des données étudiantes

Le RGPD (Règlement 2016/679) prévoit six bases juridiques pour le traitement des données personnelles, dont trois sont les plus pertinentes pour les universités : le consentement (article 6(1)(a)), l'exécution d'un contrat (article 6(1)(b)) et les intérêts légitimes (article 6(1)(f)). Les universités européennes s'appuient typiquement sur une combinaison de ces bases. L'inscription et l'administration académique sont généralement traitées sur le fondement de la nécessité contractuelle — l'étudiant a conclu un contrat éducatif avec l'établissement. La recherche impliquant des données étudiantes peut reposer sur les intérêts légitimes ou, lorsque des catégories de données sensibles sont concernées, sur le consentement explicite.

L'application de ces bases juridiques à l'analyse de l'apprentissage s'est révélée particulièrement controversée. Liu et Khalil (2023), dans une revue systématique de 47 études publiées dans les principales revues de technologie éducative, identifient une tension fondamentale : le principe de limitation de la finalité du RGPD — selon lequel les données collectées pour une finalité ne devraient pas être réutilisées sans base juridique supplémentaire — s'accorde mal avec la nature ouverte et exploratoire de l'analyse de l'apprentissage, où la valeur des données n'émerge souvent qu'à travers une analyse qui n'était pas anticipée au moment de la collecte. Prinsloo, Slade et Khalil (2022) soutiennent, dans une perspective d'études critiques des données, que des solutions purement technologiques à cette tension sont insuffisantes ; l'asymétrie de pouvoir entre les établissements et les étudiants signifie que le consentement éclairé est souvent illusoire, en particulier lorsque les étudiants ont le sentiment de ne pas pouvoir refuser la collecte de données sans conséquences académiques.

2.2 Paysage de l'application

L'application du RGPD dans le secteur de l'éducation a été inégale mais de plus en plus significative. Selon le rapport CMS GDPR Enforcement Tracker pour 2024/2025, les autorités de protection des données de 25 États membres de l'UE ont imposé un total de 270 amendes aux écoles, universités et autres établissements d'enseignement, pour un montant de plus de 29,3 millions d'euros. Les violations les plus courantes sont le traitement sans base juridique suffisante (90 amendes) et les mesures techniques et organisationnelles insuffisantes pour protéger les données (76 amendes) (CMS 2025).

Le cas individuel le plus important pour l'enseignement supérieur a été la décision de 2021 de l'autorité italienne de protection des données contre l'Université Bocconi, qui a imposé une amende de 200 000 euros pour l'utilisation du logiciel de surveillance d'examens à distance Respondus. L'autorité a constaté que l'université n'avait pas obtenu de consentement valide, n'avait pas effectué d'analyse d'impact sur la protection des données, avait fourni une transparence insuffisante sur le traitement des données et ne disposait pas de base juridique pour le traitement des données biométriques — des violations qui illustrent collectivement les défis de conformité auxquels les universités sont confrontées lorsqu'elles déploient des technologies éducatives proches de la surveillance (Garante 2021).

Pourtant, l'application ne capture qu'une partie du tableau. Une étude de 2024 réalisée par le cabinet de conseil 7DOTS a examiné 335 universités et établissements d'enseignement supérieur britanniques et a constaté un taux de non-conformité de 81 pour cent avec les normes du RGPD. Seuls 32 pour cent avaient mis en œuvre une plateforme de gestion du consentement, et parmi ceux-ci, 66 pour cent étaient incorrectement configurés (7DOTS 2024). Ces résultats suggèrent que le déficit de conformité du secteur éducatif n'est pas principalement une question de violation délibérée mais de capacité institutionnelle : les universités manquent de ressources, d'expertise et de structures organisationnelles pour mettre en œuvre efficacement les exigences du RGPD.

2.3 La vie privée des étudiants au-delà de la salle de classe

Les défis en matière de vie privée auxquels les universités sont confrontées s'étendent bien au-delà du système de gestion de l'apprentissage. Giuffrida et Hall (2023) démontrent que l'intégration technologique dans l'enseignement supérieur crée des risques pour la vie privée au niveau de l'entreprise — systèmes de données institutionnels, réseaux de campus et plateformes administratives — qui sont distincts du contexte pédagogique. Blackmon et Major (2023), dans une revue systématique fondée sur PRISMA des perspectives étudiantes sur la vie privée dans les cours enrichis par la technologie, constatent des lacunes significatives en matière de sensibilisation : les étudiants ne comprennent souvent pas quelles données sont collectées à leur sujet, comment elles sont utilisées ou quels droits ils possèdent. Kumi-Yeboah et ses collègues (2023) documentent la peur et l'anxiété concernant l'empiètement des données parmi des populations étudiantes diverses, avec des préoccupations particulières concernant les systèmes de gestion de l'apprentissage et l'intégration des médias sociaux. Ces résultats suggèrent collectivement que l'accent mis par le RGPD sur le consentement éclairé se heurte à un obstacle pratique : l'asymétrie d'information entre les établissements et les étudiants est si grande qu'un consentement véritablement éclairé peut être inaccessible pour de nombreuses activités de traitement de données.

3. La PIPL chinoise : structure et implications éducatives

3.1 Vue d'ensemble architecturale

La Loi chinoise sur la protection des informations personnelles, en vigueur depuis le 1er novembre 2021, établit un cadre complet de protection des données personnelles qui est structurellement parallèle au RGPD à bien des égards — portée extraterritoriale, droits individuels (accès, rectification, suppression, portabilité), exigences d'analyses d'impact sur la protection des données et sanctions significatives en cas de violation — tout en reflétant des engagements philosophiques fondamentalement différents (Li et Chen 2024 ; Lim et Oh 2025).

La PIPL définit les « informations personnelles » au sens large comme toute information relative à une personne physique identifiée ou identifiable enregistrée par des moyens électroniques ou autres (article 4). Comme le RGPD, elle établit des bases juridiques pour le traitement — consentement, nécessité contractuelle, obligation légale, urgences de santé publique, reportage d'actualité dans l'intérêt public et traitement raisonnable d'informations publiquement accessibles (article 13). Cependant, contrairement au RGPD, la PIPL n'inclut pas les « intérêts légitimes » comme base juridique autonome, faisant du consentement le mécanisme principal pour un traitement licite dans la plupart des contextes éducatifs (IAPP 2021 ; Zhu 2022).

3.2 Protection renforcée des mineurs

Le traitement des mineurs par la PIPL représente l'une de ses divergences les plus significatives par rapport au RGPD. L'article 28 classe toutes les informations personnelles des individus de moins de 14 ans comme « informations personnelles sensibles », quelle que soit leur nature, exigeant le consentement parental pour le traitement et une analyse d'impact distincte sur la vie privée. Zhang et Kollnig (2024), dans une étude publiée dans International Data Privacy Law, retracent cinq évolutions législatives qui ont progressivement renforcé la protection des enfants dans le droit chinois, tout en documentant des écarts significatifs entre les exigences légales et la pratique réelle dans les applications chinoises.

Pour les universités, les implications sont indirectes mais importantes. Bien que la plupart des étudiants universitaires aient plus de 14 ans, les activités de recrutement dans le secondaire, les programmes d'été pour mineurs et les programmes de double inscription impliquent tous le traitement de données d'individus susceptibles de relever de cette catégorie protégée. L'approche de la PIPL est sans doute plus stricte que celle du RGPD dans ce domaine spécifique : le RGPD fixe l'âge du consentement numérique à 16 ans (avec la possibilité pour les États membres de l'abaisser à 13 ans), mais ne classe pas automatiquement toutes les données des mineurs comme sensibles.

3.3 Localisation des données et transfert transfrontalier

Les exigences de la PIPL en matière de transfert transfrontalier de données comptent parmi ses dispositions les plus concrètement importantes pour les universités internationales. L'article 38 établit trois mécanismes pour transférer des informations personnelles hors de Chine : passer une évaluation de sécurité organisée par l'Administration du cyberespace de Chine (CAC), obtenir une certification de protection des informations personnelles auprès d'un organisme spécialisé, ou conclure un contrat type formulé par la CAC avec le destinataire étranger. En octobre 2025, la CAC et l'Administration d'État pour la régulation du marché ont conjointement publié les Mesures pour la certification du transfert transfrontalier d'informations personnelles, en vigueur depuis le 1er janvier 2026, complétant ce cadre à trois piliers (CMS Law-Now 2025).

En outre, les Règlements sur la gestion de la sécurité des données en réseau, en vigueur depuis le 1er janvier 2025, exigent des organisations traitant les informations personnelles de plus de 10 millions d'individus qu'elles désignent un responsable de la sécurité des données et effectuent des audits réguliers (Conseil d'État 2024). Bien que peu d'universités individuelles atteignent ce seuil, les plateformes éducatives agrégées et les systèmes nationaux d'information sur les étudiants le dépassent fréquemment.

Les implications pratiques pour la coopération académique internationale sont significatives. Comme l'a noté le Bureau du conseiller juridique général du MIT (2022), la PIPL est déclenchée chaque fois qu'un établissement obtient des candidatures d'admission de citoyens chinois résidant en Chine, mène des activités de recrutement là-bas, propose des cours en ligne accessibles aux résidents chinois, effectue des recherches sur des sujets humains utilisant des données de résidents chinois, ou collabore avec des institutions académiques chinoises qui partagent des données étudiantes. L'Association américaine des secrétaires d'université et des responsables des admissions (AACRAO 2022) a publié des orientations de conformité spécifiques pour les services d'admission et d'inscription, reflétant la prise de conscience croissante que le recrutement international routinier d'étudiants entraîne désormais des obligations de protection des données au titre du RGPD et de la PIPL.

4. Comparaison systématique

4.1 Fondements philosophiques

La différence la plus fondamentale entre le RGPD et la PIPL ne réside pas dans leurs dispositions techniques mais dans leurs orientations philosophiques. Le RGPD émerge d'une tradition de protection des droits individuels, enracinée dans la Convention européenne des droits de l'homme et la Charte des droits fondamentaux de l'UE. Son hypothèse centrale est que la protection des données personnelles est un droit fondamental de l'individu, qui ne peut être limité que dans des conditions spécifiées et sous réserve d'un contrôle de proportionnalité. Li et Chen (2024), dans leur analyse de l'« effet Bruxelles » sur le droit chinois de la protection des données, introduisent un modèle d'« assistance gravitationnelle » : bien que l'influence structurelle du RGPD sur la PIPL soit évidente, l'adoption par la Chine reflète non pas une convergence mais une adaptation stratégique à son contexte politique, culturel et juridique distinct.

La PIPL, en revanche, reflète ce que Lim et Oh (2025) décrivent comme une orientation de « souveraineté étatique ». La loi sert simultanément de multiples objectifs : protéger la vie privée individuelle, certainement, mais aussi sauvegarder la sécurité nationale, promouvoir l'économie numérique et maintenir la stabilité sociale. L'application de la loi est centralisée sous la CAC, qui est simultanément responsable de la censure d'Internet, de la cybersécurité et de la gouvernance des données — une combinaison qui serait irrecevable au regard de l'exigence d'autorités de contrôle indépendantes du RGPD (article 52).

4.2 Différences structurelles

Plusieurs différences structurelles ont des implications directes pour les universités :

Consentement. Le RGPD reconnaît six bases juridiques pour le traitement ; l'absence de base « intérêts légitimes » dans la PIPL rend le consentement plus central, en particulier pour le traitement de données éducatives qui va au-delà de la nécessité contractuelle. La PIPL exige en outre un consentement séparé pour les transferts transfrontaliers (article 39) et pour le traitement d'informations personnelles sensibles (article 29).

Sanctions. Le RGPD impose des amendes maximales de 20 millions d'euros ou 4 pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. La PIPL impose des amendes maximales de 50 millions de yuans (environ 6,4 millions d'euros) ou 5 pour cent du chiffre d'affaires annuel de l'année précédente pour les violations graves, plus une responsabilité personnelle potentielle des individus responsables — une caractéristique sans équivalent direct dans le RGPD (IAPP 2021 ; DataGuidance 2022).

Application. L'application du RGPD est décentralisée entre les autorités nationales de protection des données, avec coordination par le Comité européen de la protection des données. L'application de la PIPL est centralisée sous la CAC, avec une supervision sectorielle supplémentaire du ministère de l'Éducation pour les établissements d'enseignement. Le RGPD exige que les autorités de contrôle soient indépendantes ; la PIPL n'impose pas une telle exigence.

Transferts transfrontaliers. Le RGPD permet les transferts vers des pays disposant d'une protection « adéquate » des données (décisions d'adéquation), ou par le biais de clauses contractuelles types (CCT) et de règles d'entreprise contraignantes (REC). La PIPL offre l'évaluation de sécurité, les contrats types et la certification, mais n'emploie pas de mécanisme d'adéquation — il n'existe pas de liste de pays « sûrs » vers lesquels les données peuvent circuler librement (Fernandez-Novel Escobar 2025).

Droits des personnes concernées. Les deux cadres prévoient des droits individuels globalement similaires : accès, rectification, suppression et portabilité. La PIPL accorde en outre aux proches le droit d'exercer les droits relatifs aux données des personnes décédées — une disposition potentiellement pertinente pour les universités gérant les dossiers d'étudiants décédés (DataGuidance 2022). La PIPL inclut également une définition plus large des « informations personnelles sensibles » qui englobe les données financières, les données de localisation et les informations biométriques, aux côtés des catégories reconnues par le RGPD.

4.3 Convergence et divergence

Malgré ces différences, les deux cadres convergent de manière importante. Les deux exigent des analyses d'impact sur la protection des données pour les traitements à haut risque. Les deux imposent des obligations de transparence exigeant des avis de confidentialité clairs et accessibles. Les deux prévoient la portabilité des données — le droit de recevoir ses données personnelles dans un format structuré et lisible par machine. Les deux établissent une portée extraterritoriale, s'appliquant aux entités situées hors de leur juridiction qui traitent les données de leurs résidents. Et les deux imposent des exigences de notification de violation de données, bien qu'avec des délais différents : 72 heures en vertu du RGPD (article 33), contre un délai non spécifié mais prompt en vertu de la PIPL.

Le schéma qui émerge est celui d'une convergence au niveau des principes — les deux systèmes reconnaissent que les données personnelles méritent protection, que les individus devraient avoir des droits sur leurs données et que les organisations doivent rendre compte de leurs activités de traitement — avec une divergence significative au niveau de la mise en œuvre, de la justification philosophique et de la culture d'application. Comme l'observe Solove (2022), la PIPL est souvent décrite comme « le RGPD chinois », mais cette caractérisation masque d'importantes différences structurelles qui ont des conséquences pratiques directes pour les organisations opérant sous les deux régimes.

5. L'analyse de l'apprentissage : le cas test critique

L'analyse de l'apprentissage représente le domaine où la tension entre protection des données et innovation éducative est la plus aiguë. Les universités déploient de plus en plus des systèmes d'analyse prédictive qui utilisent des données historiques d'étudiants pour identifier les étudiants à risque d'échec, recommander des interventions et personnaliser les parcours d'apprentissage. Ces systèmes nécessitent le traitement de grands volumes de données étudiantes — souvent agrégées à partir de multiples sources et analysées à l'aide d'algorithmes d'apprentissage automatique — de manières qui remettent en question les principes fondamentaux du RGPD et de la PIPL.

En vertu du RGPD, les systèmes d'analyse de l'apprentissage font face à des défis sur plusieurs fronts. La limitation de la finalité (article 5(1)(b)) exige que les données soient collectées pour des finalités spécifiées et explicites et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités. Mais la valeur de l'analyse de l'apprentissage dépend souvent précisément de ce type de réutilisation : des données collectées pour l'administration des cours sont analysées pour des tendances qui informent la stratégie institutionnelle. La minimisation des données (article 5(1)(c)) exige que seules les données adéquates, pertinentes et limitées à ce qui est nécessaire soient traitées — or les modèles prédictifs fonctionnent typiquement mieux avec davantage de données, créant une incitation structurelle vers la collecte maximale. La transparence (articles 13-14) exige que les individus soient informés de la prise de décision automatisée — mais la complexité des modèles d'apprentissage automatique rend souvent l'explication significative difficile.

En vertu de la PIPL, l'analyse de l'apprentissage fait face à des défis supplémentaires. L'absence de base « intérêts légitimes » signifie que les universités doivent typiquement s'appuyer sur le consentement pour les analyses qui dépassent la prestation éducative directe. L'exigence d'un consentement séparé pour le traitement d'informations sensibles (article 29) peut être déclenchée par des analyses qui traitent des données de performance académique de manières révélant des caractéristiques protégées. Et les exigences de localisation des données signifient que les plateformes d'analyse exploitées par des fournisseurs internationaux doivent naviguer dans des règles complexes de transfert transfrontalier.

Xue et ses collègues (2025), dans une analyse des préoccupations relatives à la vie privée liées à l'IA dans l'enseignement supérieur à travers les médias chinois et anglophones, ont constaté que, bien que les deux contextes identifient la surveillance par IA, la sécurité des données étudiantes et la gouvernance institutionnelle comme des préoccupations centrales, l'accent diffère : la couverture occidentale met en avant les droits individuels à la vie privée, tandis que la couverture chinoise aborde plus fréquemment la relation entre l'innovation éducative portée par l'IA et la gouvernance institutionnelle. Cette divergence reflète la différence philosophique plus large entre les deux cadres réglementaires.

Lachheb et ses collègues (2023) soutiennent que le maintien de la vie privée des étudiants dans la technologie éducative nécessite une attention non seulement à la politique et au droit, mais à l'éthique de la conception — les principes intégrés dans les systèmes technologiques eux-mêmes. Ils proposent un cadre pour aider les concepteurs pédagogiques à évaluer si les schémas de conception portent involontairement atteinte à l'autonomie de l'apprenant, suggérant que la conformité au RGPD ou à la PIPL nécessite une intervention au stade de la conception, pas simplement au niveau de la politique. Liu, Khalil et ses collègues (2025) explorent la génération de données synthétiques avec des mécanismes de confidentialité différentielle comme approche technique de ce défi, permettant la recherche en analyse de l'apprentissage sans exposer les dossiers individuels des étudiants.

6. Évaluation et surveillance par IA

Le Règlement européen sur l'intelligence artificielle (Règlement 2024/1689), entré en vigueur le 1er août 2024, ajoute une couche réglementaire supplémentaire pour les universités européennes. Le règlement classe les systèmes d'IA utilisés pour l'évaluation et la surveillance éducatives comme « à haut risque » au titre de l'annexe III, section 3, exigeant des évaluations de conformité, une supervision humaine et une documentation technique. L'article 5(1)(f) interdit les systèmes de reconnaissance des émotions dans les contextes éducatifs (Parlement européen et Conseil 2024).

L'interaction entre le AI Act et le RGPD crée une obligation de conformité en couches : les universités déployant des outils d'évaluation alimentés par l'IA doivent satisfaire à la fois aux exigences du AI Act pour les systèmes à haut risque et aux exigences du RGPD pour le traitement licite des données. L'affaire de l'Université Bocconi démontre les conséquences du non-respect de ces dernières ; le AI Act ajoutera des exigences supplémentaires à partir d'août 2026. Un rapport de 2025 du Rockefeller Institute of Government recommande aux universités de cartographier leurs cas d'usage de l'IA par rapport aux catégories de risque du règlement comme première étape vers la conformité, citant les modèles de gouvernance développés par l'Université d'Utrecht et l'Université d'Édimbourg comme cadres de référence (Rockefeller Institute 2025).

L'approche chinoise de l'IA dans l'évaluation éducative reflète sa philosophie réglementaire sectorielle. Plutôt qu'une loi unique et complète sur l'IA, la Chine encadre l'IA éducative par une combinaison des Mesures provisoires de 2023 pour les services d'IA générative, des dispositions de la PIPL sur la prise de décision automatisée et des directives du ministère de l'Éducation. L'utilisation de technologies de surveillance par IA dans les universités chinoises, bien que soumise aux exigences de consentement de la PIPL, ne fait pas face aux restrictions catégoriques imposées par l'interdiction de la reconnaissance des émotions du AI Act de l'UE. Cette asymétrie réglementaire a des implications pratiques pour les entreprises technologiques développant des outils d'évaluation éducative pour les deux marchés : les systèmes conçus pour la Chine peuvent inclure des fonctionnalités interdites dans l'UE, et vice versa.

L'affaire Bocconi illustre une tension plus large. Les systèmes de surveillance à distance — qui capturent typiquement des images de webcam, suivent les mouvements oculaires, surveillent l'activité du clavier et de la souris, et peuvent utiliser la reconnaissance faciale pour vérifier l'identité — traitent des catégories de données qui déclenchent les exigences les plus strictes du RGPD : données biométriques (article 9), prise de décision automatisée (article 22) et profilage. En vertu de la PIPL, les informations biométriques sont classées comme informations personnelles sensibles nécessitant un consentement séparé (article 28), mais il n'existe pas d'interdiction catégorique comparable à l'interdiction de la reconnaissance des émotions du AI Act. Le résultat est un paysage réglementaire où la même technologie peut être licite dans une juridiction et interdite dans l'autre, selon ses capacités spécifiques et la base juridique invoquée.

7. Programmes conjoints UE-Chine : la double conformité en pratique

Les défis de conformité les plus aigus se posent dans les programmes académiques conjoints UE-Chine, où les données étudiantes traversent régulièrement les frontières juridictionnelles. Une université européenne proposant un double diplôme avec un établissement partenaire chinois doit transférer des données d'inscription, des dossiers académiques et potentiellement des données d'analyse de l'apprentissage entre les deux établissements — des transferts qui doivent être conformes simultanément aux exigences du RGPD pour le transfert international de données et aux dispositions de la PIPL sur le transfert transfrontalier.

Les difficultés pratiques sont considérables. Les transferts RGPD vers la Chine ne peuvent actuellement pas s'appuyer sur une décision d'adéquation (la Commission européenne n'a pas reconnu la Chine comme offrant une protection adéquate des données). Des clauses contractuelles types peuvent être utilisées, mais doivent être complétées par une évaluation d'impact du transfert qui prend en compte les lois chinoises de surveillance et les dispositions d'accès gouvernemental — une évaluation dont les conclusions peuvent être défavorables. Dans l'autre direction, les transferts PIPL vers l'Europe nécessitent l'un des trois mécanismes décrits ci-dessus : évaluation de sécurité de la CAC, contrat type ou certification.

Les orientations du Forum pour l'avenir de la vie privée pour les établissements d'enseignement supérieur américains (Zanfir-Fortuna 2020), bien que non directement applicables au contexte UE-Chine, illustrent la complexité des flux de données académiques internationales. Le rapport identifie dix étapes de conformité que les universités internationales doivent aborder, y compris la cartographie des données, l'identification de la base juridique, la gestion des fournisseurs et les procédures de notification de violation — chacune devant être adaptée aux exigences du RGPD et de la PIPL.

Ces défis ne sont pas hypothétiques. Les programmes conjoints sino-européens se sont considérablement développés au cours des dernières décennies. La Chine héberge des centaines de programmes d'éducation coopérative sino-étrangers approuvés par le ministère de l'Éducation, dont beaucoup impliquent des établissements partenaires européens. Le programme Erasmus+ de l'UE soutient les échanges académiques avec les universités chinoises. Le projet de convergence UE-Chine (Tuning) a aligné les structures de diplômes dans des dizaines d'établissements. Dans chacun de ces contextes, les flux de données étudiantes entre juridictions sont routiniers et nécessaires — pourtant le cadre juridique de ces flux reste fragmenté et incertain.

Un défi spécifique se pose dans le contexte du recrutement étudiant. Les universités européennes recrutent activement des étudiants chinois — la Chine était le premier pays source d'étudiants internationaux en Europe avant la pandémie et a largement retrouvé cette position. En vertu de la PIPL, une université européenne qui collecte des informations personnelles de futurs étudiants chinois via des portails de candidature en ligne, des événements de recrutement en Chine ou des partenariats avec des agents traite les informations personnelles de résidents chinois et est donc soumise aux exigences de la PIPL, y compris l'obligation d'obtenir le consentement en chinois, de fournir un avis de confidentialité conforme au droit chinois et de naviguer dans le cadre de transfert transfrontalier pour transmettre les données de candidature vers l'Europe. Peu d'universités européennes ont adapté leurs pratiques de recrutement pour répondre à ces exigences.

Pour les universités engagées dans la coopération UE-Chine, nous identifions quatre stratégies pratiques pour gérer la double conformité. Premièrement, la minimisation des données au point de transfert : ne partager que les données minimales nécessaires au programme conjoint, en utilisant des données anonymisées ou pseudonymisées dans la mesure du possible. Deuxièmement, la séparation architecturale : maintenir des systèmes de données distincts pour les opérations européennes et chinoises, avec des interfaces contrôlées pour les échanges de données nécessaires. Troisièmement, des cadres contractuels : développer des accords bilatéraux de partage de données qui abordent explicitement les exigences du RGPD et de la PIPL, y compris les dispositions relatives aux droits des personnes concernées, à la notification de violation et à la conservation des données. Quatrièmement, le renforcement des capacités institutionnelles : investir dans la formation du personnel et l'expertise en protection des données couvrant les deux cadres réglementaires.

8. Le déficit de préparation

Malgré l'importance de ces cadres réglementaires, les données empiriques suggèrent que les universités des deux juridictions font face à un déficit de préparation substantiel. Dans le contexte européen, la constatation de 7DOTS (2024) selon laquelle 81 pour cent des universités britanniques ne respectent pas les normes de conformité au RGPD est cohérente avec les données du CMS Enforcement Tracker montrant des violations persistantes dans 25 États membres. L'analyse de XL Law and Consulting documente 45 actions d'application du RGPD contre des établissements d'enseignement, avec une amende moyenne d'environ 32 600 euros — modeste par rapport au secteur technologique, mais significative pour des établissements aux budgets contraints (XL Law 2023).

L'analyse de XL Law and Consulting révèle en outre un schéma sectoriel : les établissements d'enseignement représentent moins de 3 pour cent de toutes les actions d'application du RGPD, avec une amende moyenne d'environ 32 600 euros — contre 1,8 million d'euros tous secteurs confondus. L'Espagne, l'Italie et la Pologne sont responsables de plus de 65 pour cent des actions d'application contre les établissements d'enseignement supérieur. Il est notable que l'auto-déclaration des violations de données n'a pas protégé les établissements de sanctions substantielles, suggérant que les efforts proactifs de conformité doivent aller au-delà de la réponse aux incidents (XL Law 2023).

Dans le contexte chinois, le déficit de préparation se manifeste différemment. Bien que la PIPL soit en vigueur depuis novembre 2021, l'application dans le secteur éducatif a été moins visible que dans les secteurs technologique et financier. L'accent a été mis sur les entreprises de plateformes traitant des données à grande échelle plutôt que sur les établissements d'enseignement individuels. Cependant, les Règlements sur la gestion de la sécurité des données en réseau (en vigueur depuis janvier 2025) et les Mesures de certification pour les transferts transfrontaliers (en vigueur depuis janvier 2026) signalent une attention réglementaire croissante aux pratiques de gouvernance des données dans tous les secteurs, y compris l'éducation.

L'Avis 28/2024 du Comité européen de la protection des données, adopté en décembre 2024, traite des aspects de protection des données liés à l'entraînement et au déploiement de modèles d'IA, notant que le RGPD s'applique aux modèles d'IA entraînés sur des données personnelles en raison de leurs capacités de mémorisation (CEPD 2024). Pour les universités développant ou déployant des outils éducatifs fondés sur l'IA, cet avis a des implications significatives : même les modèles d'IA qui ne stockent pas de données personnelles sous forme reconnaissable peuvent être soumis aux exigences du RGPD s'ils peuvent être amenés à produire des informations personnelles.

9. Recommandations pour les universités

Sur la base de notre analyse comparative, nous proposons sept recommandations pour les universités cherchant à naviguer dans les exigences qui se chevauchent du RGPD et de la PIPL :

Premièrement, réaliser un exercice complet de cartographie des données qui identifie toutes les activités de traitement de données personnelles, leurs bases juridiques au titre du RGPD et de la PIPL, et tous les flux transfrontaliers de données. Cette cartographie devrait couvrir non seulement les processus académiques formels mais aussi les systèmes auxiliaires : l'analyse du Wi-Fi du campus, les bases de données de bibliothèques, les plateformes de services de carrière et les systèmes de gestion des anciens élèves.

Deuxièmement, établir un cadre unifié de gouvernance des données qui répond aux exigences du RGPD et de la PIPL. Bien que les deux lois diffèrent dans leurs orientations philosophiques, leurs exigences pratiques se chevauchent substantiellement. Un cadre conçu pour satisfaire les exigences les plus strictes des deux dans chaque domaine assurera généralement la conformité avec les deux.

Troisièmement, adopter un modèle de consentement renforcé pour l'analyse de l'apprentissage. Parce que l'absence de base « intérêts légitimes » dans la PIPL rend le consentement plus central que dans le RGPD, les universités engagées dans la coopération internationale devraient construire des mécanismes de consentement qui répondent aux normes de la PIPL — qui dépasseront typiquement les exigences du RGPD et satisferont ainsi les deux cadres.

Quatrièmement, mettre en œuvre la protection de la vie privée dès la conception dans l'acquisition et le développement de technologies éducatives. Le cadre d'éthique de la conception de Lachheb et ses collègues (2023) pour la technologie éducative fournit un point de départ, tout comme les orientations du CEPD sur l'IA et les données personnelles. Les contrats d'acquisition devraient explicitement exiger des fournisseurs qu'ils démontrent leur conformité au RGPD et à la PIPL lorsque c'est applicable.

Cinquièmement, investir dans les capacités institutionnelles. Le déficit de préparation documenté par 7DOTS (2024) et CMS (2025) ne reflète pas une non-conformité délibérée mais une expertise et des ressources insuffisantes. Les universités devraient désigner des délégués à la protection des données ayant une expertise spécifique dans les données éducatives et les flux internationaux de données, et fournir une formation régulière au corps enseignant et au personnel administratif.

Sixièmement, développer des accords bilatéraux de partage de données pour les programmes conjoints avec des établissements partenaires chinois (ou européens). Ces accords devraient aller au-delà des clauses contractuelles types pour aborder les exigences spécifiques des données éducatives : dossiers académiques, données d'évaluation, données d'analyse de l'apprentissage et données de recherche présentent chacun des défis de conformité distincts.

Septièmement, suivre activement les évolutions réglementaires. Les deux cadres évoluent rapidement. Les exigences du AI Act de l'UE pour l'IA éducative à haut risque entrent pleinement en vigueur en août 2026. Les mesures chinoises de certification pour les transferts transfrontaliers de données sont en vigueur depuis janvier 2026. Les décisions d'adéquation de la Commission européenne et les dispositions de contrats types de la CAC sont susceptibles de révision. Les universités qui traitent la protection des données comme un exercice de conformité ponctuel plutôt que comme une fonction de gouvernance continue prendront inévitablement du retard.

10. Conclusion

La comparaison du RGPD et de la PIPL dans le contexte éducatif révèle un paradoxe : deux des régimes de protection des données les plus complets au monde, prétendant tous deux protéger les individus contre l'utilisation abusive de leurs données personnelles, divergent si fondamentalement dans leurs hypothèses philosophiques que la conformité à l'un ne garantit pas la conformité à l'autre. L'accent mis par le RGPD sur l'autonomie individuelle, la supervision indépendante et la limitation de la finalité reflète les traditions démocratiques européennes ; l'accent mis par la PIPL sur la souveraineté étatique, l'application centralisée et la sécurité nationale reflète le modèle de gouvernance distinct de la Chine. Aucun des deux systèmes n'a démontré de manière probante une protection adéquate des données en pratique — les données d'application européennes documentent une non-conformité généralisée, tandis que l'application chinoise dans l'éducation reste naissante.

Pour les universités, le défi pratique est de naviguer dans ces exigences qui se chevauchent et parfois se contredisent tout en maintenant la coopération internationale essentielle à l'enseignement supérieur moderne. Le défi de la double conformité n'est pas une simple technicité juridique ; il reflète des questions plus profondes sur le rôle des données dans l'éducation, l'équilibre entre pouvoir institutionnel et droits individuels, et la possibilité d'une vie privée significative dans un environnement d'apprentissage de plus en plus datafié.

Les enjeux de ce défi dépassent la conformité juridique. La protection des données étudiantes est en définitive une question de confiance : les étudiants doivent avoir confiance que leurs universités traiteront leurs informations personnelles de manière responsable, que leurs dossiers académiques ne seront pas utilisés contre eux, que leurs comportements d'apprentissage ne seront pas surveillés à leur insu et que leurs données ne seront pas partagées avec des parties qu'ils n'ont pas autorisées. Lorsque les universités ne répondent pas à ces attentes — que ce soit par des violations du RGPD documentées dans les données d'application du CMS, par des systèmes opaques d'analyse de l'apprentissage ou par des technologies de surveillance déployées sans consentement adéquat — elles érodent la confiance qui est fondamentale pour la relation éducative.

Nous avons soutenu que ni l'approche européenne ni l'approche chinoise ne fournit à elle seule un modèle adéquat. L'accent mis par le RGPD sur les droits individuels et la supervision indépendante fournit d'importantes protections contre les excès institutionnels, mais sa complexité et ses lacunes d'application minent son efficacité. L'application centralisée de la PIPL et ses voies de conformité claires offrent des avantages pratiques, mais sa subordination aux intérêts de l'État soulève des questions sur la protection qu'elle offre contre la surveillance gouvernementale. Une synthèse combinant les principes européens fondés sur les droits avec l'efficacité réglementaire chinoise — ou, plus modestement, un ensemble d'orientations pratiques permettant aux universités de satisfaire simultanément les deux cadres — demeure la voie la plus prometteuse. Les recommandations proposées dans cet article constituent une contribution initiale à cette synthèse, ancrée dans les défis spécifiques de protection des données auxquels les universités sont confrontées à l'ère de l'éducation numérique.

Remerciements

Cette recherche a été menée dans le cadre du Centre d'excellence Jean Monnet « EUSC-DEC » (Subvention UE 101126782, 2023-2026). L'auteur remercie les membres du Groupe de recherche 1 (Régulation de la numérisation en Chine et en Europe) pour leurs contributions à l'analyse juridique comparative.

Références

7DOTS. (2024). Report: 81% of Universities at Risk of Fines Due to Failure to Safeguard Student Data. 7DOTS. Available at: https://www.7dots.com/our-insights/81-of-universities-at-risk-of-fines-due-to-failure-to-safeguard-student-data/

American Association of Collegiate Registrars and Admissions Officers (AACRAO). (2022). China's Personal Information Protection Law (PIPL). AACRAO. Available at: https://www.aacrao.org/advocacy/compliance/

Blackmon, S. J. & Major, C. H. (2023). Inclusion or infringement? A systematic research review of students' perspectives on student privacy in technology-enhanced, hybrid and online courses. British Journal of Educational Technology, 54(6), 1542-1565. DOI: 10.1111/bjet.13362

CMS Law. (2025). GDPR Enforcement Tracker Report 2024/2025: Public Sector and Education. CMS International Law Firm. Available at: https://cms.law/en/int/publication/gdpr-enforcement-tracker-report/public-sector-and-education

CMS Law-Now. (2025). China issues Measures for the Certification of the Cross-Border Transfer of Personal Information. CMS e-Alert, November 2025. Available at: https://cms-lawnow.com/en/ealerts/2025/11/

DataGuidance. (2022). Comparing Privacy Laws: GDPR v. PIPL. DataGuidance. Available at: https://www.dataguidance.com/sites/default/files/gdpr_v_pipl_.pdf

European Data Protection Board (EDPB). (2024). Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models. Adopted 17 December 2024. Available at: https://www.edpb.europa.eu/

European Parliament and Council. (2024). Regulation (EU) 2024/1689 of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Official Journal of the European Union, L series.

Fernandez-Novel Escobar, E. (2025). How do the European Union's GDPR and China's PIPL regulate cross-border data flows? International Policy Review, IE University, 27 January 2025.

Garante per la protezione dei dati personali (Italy). (2021). Decision 9703988 -- Fine against Universita Commerciale Luigi Bocconi, 16 September 2021. Reported by EDPB. Available at: https://edpb.europa.eu/

Giuffrida, I. & Hall, A. (2023). Technology integration in higher education and student privacy beyond learning environments -- A comparison of the UK and US perspective. British Journal of Educational Technology, 54(6), 1587-1603. DOI: 10.1111/bjet.13375

International Association of Privacy Professionals (IAPP). (2021). Analyzing China's PIPL and how it compares to the EU's GDPR. IAPP. Available at: https://iapp.org/news/a/analyzing-chinas-pipl-and-how-it-compares-to-the-eus-gdpr

Kumi-Yeboah, A., Kim, Y., Yankson, B., Aikins, S. & Dadson, Y. A. (2023). Diverse students' perspectives on privacy and technology integration in higher education. British Journal of Educational Technology, 54(6), 1671-1692. DOI: 10.1111/bjet.13386

Lachheb, A. et al. (2023). The role of design ethics in maintaining students' privacy: A call to action to learning designers in higher education. British Journal of Educational Technology, 54(6), 1653-1670. DOI: 10.1111/bjet.13382

Li, W. & Chen, J. (2024). From Brussels Effect to Gravity Assists: Understanding the Evolution of the GDPR-Inspired Personal Information Protection Law in China. Computer Law and Security Review, 54, 105994. DOI: 10.1016/j.clsr.2024.105994

Lim, S. & Oh, J. (2025). Navigating Privacy: A Global Comparative Analysis of Data Protection Laws. IET Information Security, 2025(1). DOI: 10.1049/ise2/5536763

Liu, Q. & Khalil, M. (2023). Understanding privacy and data protection issues in learning analytics using a systematic review. British Journal of Educational Technology, 54(6), 1466-1485. DOI: 10.1111/bjet.13388

Liu, Q., Khalil, M., Shakya, R., Jovanovic, J. & de la Hoz-Ruiz, J. (2025). Ensuring privacy through synthetic data generation in education. British Journal of Educational Technology. DOI: 10.1111/bjet.13576

MIT Office of General Counsel. (2022). China and the PIPL: New Protections and Rights for Personal Information. MIT. Available at: https://ogc.mit.edu/latest/china-and-pipl-new-protections-and-rights-personal-information

Prinsloo, P., Slade, S. & Khalil, M. (2022). The answer is (not only) technological: Considering student data privacy in learning analytics. British Journal of Educational Technology, 53(4), 876-893. DOI: 10.1111/bjet.13216

Rockefeller Institute of Government. (2025). The European AI Act and Its Implications for New York State Higher Education. November 2025. Available at: https://rockinst.org/

State Council of the People's Republic of China. (2024). Regulations on Network Data Security Management (effective 1 January 2025). Published 30 September 2024.

XL Law and Consulting. (2023). GDPR Enforcement Actions: Lessons Learned for Colleges and Universities. XL Law and Consulting. Available at: https://www.xllawconsulting.com/

Xue, Y., Chinapah, V., & Zhu, C. (2025). A Comparative Analysis of AI Privacy Concerns in Higher Education: News Coverage in China and Western Countries. Education Sciences, 15(6), 650. DOI: 10.3390/educsci15060650

Zanfir-Fortuna, G. (2020). The General Data Protection Regulation: Analysis and Guidance for US Higher Education Institutions. Future of Privacy Forum. Available at: https://fpf.org/blog/gdprhighered/

Zhang, L. & Kollnig, K. (2024). Theory and practice: the protection of children's personal information in China. International Data Privacy Law, 14(1), 37-52. DOI: 10.1093/idpl/ipad017

Zhu, J. (2022). The Personal Information Protection Law: China's Version of the GDPR? Columbia Journal of Transnational Law: The Bulletin. Available at: https://www.jtl.columbia.edu/

Partie II : Enseignement et apprentissage en transformation


Previous◀ fr
Rethinking_Higher_Education
Nextfr ▶


Retrieved from "https://bou.de/u/index.php?title=Rethinking_Higher_Education/fr/Chapter_3&oldid=175964"