RGPD et ChatGPT : peut-on entrer un nom d'élève dans un prompt ? (la réponse claire)
i.La réponse en une phrase : non
Non, tu ne dois pas saisir le nom d'un élève dans ChatGPT, Mistral Le Chat grand public, Claude.ai, Gemini ou tout autre outil d'IA générative grand public. La règle est claire et elle vient de deux sources qui se rejoignent : la CNIL (FAQ enseignants du 20 juin 2025) et le ministère de l'Éducation nationale (cadre d'usage de l'IA en éducation publié le 14 juin 2025).
Le ministère le formule simplement : pas de donnée personnelle ou sensible saisie dans un service grand public. La CNIL le complète côté pratique : tu informes ta direction, tu associes le DPO de ta circonscription dès qu'il y a un usage régulier, tu ne contraints jamais un élève à créer un compte individuel sur un outil grand public.
L'article qui suit te donne la réponse opérationnelle prof à prof : ce que tu peux saisir sans risque, ce que tu ne dois jamais saisir, comment réécrire un prompt en trente secondes pour qu'il soit propre, ce que tu risques vraiment si tu te fais prendre la main dans le sac et les alternatives qui existent en juin 2026.
Sommaire de l'article11 sections
- La réponse en une phrase : non
- Pourquoi : ce qui se passe quand tu saisis un nom d'élève
- Le tableau clair : ce que tu peux et ce que tu ne dois pas saisir
- Anonymiser ton prompt en trente secondes
- Le risque réel : ce que tu encours vraiment
- Les alternatives qui marchent vraiment
- L'IA souveraine éducation : où en est-on en juin 2026
- Le rôle du DPO et de la direction d'école
- Cas particulier : utilisation directe par les élèves
- FAQ - RGPD ChatGPT prof
- Pour aller plus loin
Pour la prise en main générale de l'IA en classe, le pilier guide ChatGPT pour profs des écoles reste le point de départ. Le présent article descend d'un cran sur le seul sujet RGPD.
ii.Pourquoi : ce qui se passe quand tu saisis un nom d'élève
Comprendre la mécanique aide à intégrer la règle. Quand tu colles un prompt dans ChatGPT, le contenu part vers les serveurs d'OpenAI. Depuis février 2024, OpenAI Ireland Limited est le responsable de traitement pour les utilisateurs de l'Espace économique européen et la Suisse, ce qui place le service sous le RGPD. Mais la chaîne technique passe encore par des sous-traitants situés aux États-Unis, encadrée par le Data Privacy Framework UE-US adopté par la Commission européenne le 10 juillet 2023.
Concrètement, ce que tu écris dans ton prompt est stocké, traité, parfois réutilisé pour améliorer le modèle (selon le réglage de ton compte). Même si tu désactives l'option d'entraînement, le contenu reste journalisé pendant une durée définie par les conditions du service. Et si jamais une donnée d'élève fuite ou ressort dans une réponse à un autre utilisateur, c'est ton école et l'académie qui sont exposées juridiquement.
Les données d'élèves sont des données personnelles RGPD
L'article 4 du RGPD définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Le prénom, le nom, la classe, l'école, une photo, une adresse postale, un numéro INE : tout ça relève du RGPD. Et les données concernant des mineurs bénéficient d'une protection renforcée (article 8 du RGPD pour le consentement, article 6 pour la base légale du traitement).
Et certaines sont des données sensibles
Si tu saisis un trouble dys, un handicap, une orientation médicale, une situation familiale (parent décédé, séparation, placement), une pratique religieuse ou un signalement social, tu manipules des données dites « catégories particulières » au sens de l'article 9 du RGPD. Le traitement de ces données est par défaut interdit, sauf exceptions strictes (consentement explicite, mission d'intérêt public, sauvegarde des intérêts vitaux). Un outil grand public comme ChatGPT n'entre dans aucune de ces exceptions pour cet usage.
Dit autrement : un PPRE rédigé avec un prompt qui contient le nom de l'élève et sa difficulté est un cas double infraction. Donnée personnelle de mineur (article 4) plus donnée sensible (article 9) plus traitement non autorisé.
La CNIL rappelle dans sa FAQ enseignants publiée le 20 juin 2025 que « les élèves et leurs parents doivent être informés si des données les concernant sont utilisées ». Pas d'usage en silence, pas d'usage caché, pas d'usage sans cadre.
iii.Le tableau clair : ce que tu peux et ce que tu ne dois pas saisir
Voici le différenciant de cet article. Un tableau visuel à coller à côté de ton écran pour ne plus jamais hésiter. Trois colonnes : ce qui est sûr, ce qui ne va pas et la zone grise où tu fais attention.
| Ce que tu peux saisir | Ce que tu ne dois pas saisir | Zone grise (à éviter) |
|---|---|---|
| Trame de fiche de prep générique | Prénom + nom de l'élève | Prénom seul, surtout rare |
| Compétences du BO 2025 collées telles quelles | Identifiant INE, identifiant ENT | Pseudo évident (Léo pour Léa) |
| Exercices fictifs avec personnages génériques | Nom de l'école + classe précis | Description très précise sans nom (jumelles, taille rare) |
| « Un élève de CE1 en difficulté de fluence » | Comportement nominatif (Théo a tapé...) | Photo de copie scannée même sans nom |
| Modèle de mot aux parents générique | Évaluation chiffrée nominative | Adresse postale partielle (rue, code postal) |
| Brainstorm d'idées de séances | Situation familiale (parents séparés, deuil) | Date de naissance complète |
| Programmation annuelle vide | Diagnostic médical (TDA-H, dys, autisme) | Origine ethnique présumée |
| Texte officiel reformulé | Photo identifiable de l'élève | Liste de prénoms d'une classe (un seul prénom commun OK, dix prénoms d'une classe = identifiant) |
La logique sous-jacente est simple. Tout ce qui peut, seul ou recoupé, conduire à identifier un enfant précis dans une école précise est une donnée personnelle au sens de l'article 4 du RGPD. Le considérant 26 du règlement précise que pour déterminer si une personne est identifiable, on tient compte de « tous les moyens raisonnablement susceptibles d'être utilisés », y compris par recoupement. Un prénom seul dans une commune de 800 habitants peut suffire à identifier un élève. Le même prénom dans Paris XIᵉ ne suffira pas. La règle pratique : on évite le prénom seul par défaut.
iv.Anonymiser ton prompt en trente secondes
La méthode tient en trois mouvements. Tu remplaces le nom par un descriptif générique, tu remplaces les détails identifiants par un niveau scolaire et tu vérifies qu'aucune information de la phrase ne permet de remonter à l'enfant. Trente secondes suffisent.
Exemple avant / après pour un PPRE
Léo, mon CE1 à l'école Jules Ferry de Saint-Avertin, n'arrive
pas à lire couramment. Sa mère est venue me voir. Écris-moi
un PPRE pour lui sur la période 3.Pour un élève de CE1 en difficulté de fluence à mi-période 3,
décodage acquis mais lecture lente, contexte familial coopératif,
écris-moi un PPRE générique que je personnaliserai ensuite à la main.
Compétence visée (BO 2025) : « lire à haute voix avec fluidité,
après préparation, un texte d'une demi-page ».
Durée du dispositif : 6 semaines.
Modalités : 4 séances de 15 min par semaine en différenciation
en classe + 1 fiche de lecture maison par semaine.
Indicateurs de réussite : 2 indicateurs observables.Tu obtiens une sortie de qualité équivalente sur le plan didactique. La différence : zéro donnée personnelle saisie, zéro responsabilité école engagée et zéro risque RGPD. La personnalisation finale (le prénom, les coordonnées des parents, la signature) tu la fais à la main sur le document final, pas dans le prompt.
Les trois réflexes à automatiser
- Réflexe 1 : substitution générique. « Léo » devient « un élève », « ma classe de CE2 » reste valable parce que ce n'est pas identifiant tant que tu n'ajoutes pas l'école.
- Réflexe 2 : niveau scolaire seul. « CE1 en difficulté de fluence » suffit au modèle. Pas besoin de préciser l'école, la commune ou la circo.
- Réflexe 3 : test de recoupement. Avant d'envoyer, relis ton prompt et demande-toi : si quelqu'un trouvait ce texte demain, pourrait-il identifier un de mes élèves ? Si oui, tu retires.
Garde un fichier texte avec tes 5 ou 6 prompts personnels affinés, déjà anonymisés. Tu copies, tu remplaces juste les variables (niveau, période, compétence). Tu cesses de réfléchir à la formulation à chaque fois et tu gagnes encore cinq minutes par séance, sans jamais glisser un prénom par mégarde.
v.Le risque réel : ce que tu encours vraiment
Démystifier sans minimiser. Une sanction CNIL directe sur un PE pour un cas isolé est extrêmement rare en pratique. Mais ce n'est pas la seule conséquence à considérer et c'est la chaîne complète qui doit être regardée.
Les quatre niveaux de risque
- Responsabilité institutionnelle d'abord. La CNIL le rappelle dans sa FAQ du 20 juin 2025 : « c'est l'institution qui est responsable ». Donc l'académie, donc ton école, donc indirectement ta hiérarchie. Pas toi en première ligne, mais ta direction au courant.
- DPO de circo ensuite. Si tu mets en place un usage régulier d'IA, la CNIL « recommande fortement que le délégué à la protection des données soit systématiquement associé ». L'absence de cette association est un manquement traçable.
- Plainte parents en escalade possible. Un parent informé qu'un nom d'élève a été saisi dans ChatGPT peut écrire à la CNIL. La plainte ouvre une enquête, qui remonte à l'école et à l'académie. Le PE n'est pas sanctionné directement mais devient le point d'entrée de la procédure.
- Sanctions financières institutionnelles. Pour mémoire, la CNIL a sanctionné en septembre 2024 la société Cegedim Santé à hauteur de 800 000 euros pour traitement de données de santé prétendument anonymes mais en réalité pseudonymes (délibération SAN-2024-013 du 5 septembre 2024). Ces montants visent les sociétés, pas les profs, mais montrent que la CNIL ne plaisante pas sur la confusion anonymisation / pseudonymisation.
La règle d'or formulée par la CNIL : dans le doute, n'envoie pas. Si tu hésites une demi-seconde sur le caractère identifiant d'une info dans ton prompt, tu reformules en générique. Une demi-seconde de doute aujourd'hui te fait gagner une journée d'enquête plus tard.
L'IA générative grand public est un outil formidable pour préparer ; elle reste une boîte noire pour stocker. Tout le métier consiste à utiliser le premier sans nourrir la seconde.
- La règle de partage qui tient en juin 2026 comme elle tiendra en 2030.
vi.Les alternatives qui marchent vraiment
Quatre voies sont disponibles en juin 2026 pour un PE qui veut utiliser l'IA sans saisir de données d'élève. Aucune n'est parfaite, chacune a son terrain.
Voie 1 : anonymisation systématique de tes prompts
La méthode décrite plus haut, appliquée à 100 % de tes prompts. C'est gratuit, ça marche dès aujourd'hui, ça ne demande aucun outil supplémentaire. Le seul coût : trente secondes de relecture par prompt. La seule limite : la discipline personnelle (un oubli et tu es hors cadre).
Voie 2 : Mistral Le Chat (hébergé Union européenne)
L'outil français de Mistral AI, gratuit en version standard, hébergé en Europe. Mistral AI est une société française basée à Paris, qui a annoncé en 2025 le déploiement de sa propre infrastructure de calcul (Mistral Compute) sur 18 000 GPU Blackwell en Europe avec extensions sur plusieurs sites en 2026. Cela simplifie la conformité RGPD : pas de transfert hors UE par défaut. Pour autant, la règle « pas de nom d'élève » reste valable, parce que même hébergé en Europe, c'est un service grand public où les données saisies sont traitées et journalisées.
Voie 3 : P2IA via le GAR (côté élèves cycle 2)
Le P2IA (Partenariat d'innovation et d'intelligence artificielle) a fait vivre cinq services agréés par le ministère pour les apprentissages fondamentaux au cycle 2 : Lalilo et Navi en français, Adaptiv'Math, Mathia et Smart Enseigno en mathématiques. Ces services sont accessibles via le GAR (Gestionnaire d'Accès aux Ressources numériques), conçus pour les élèves, conformes RGPD par construction. Le partenariat initial cycle 2 s'est officiellement terminé le 31 août 2025, mais les solutions continuent d'exister selon des modèles différents. Le P2IA s'étend au cycle 3 (CM1, CM2, 6ᵉ) avec six services en expérimentation à compter de janvier 2026.
Détails de la liste à jour sur la page Eduscol P2IA cycle 2.
Voie 4 : Iniprof, outil métier prof primaire conçu RGPD UE
Iniprof est hébergé en France (Auvergne), conçu pour le primaire FR avec anonymisation native intégrée. Tu travailles sur des élèves génériques (« un CE2 en difficulté de fluence », « un CM1 fragile en numération »). Tu n'as jamais à saisir un nom d'élève dans une zone de prompt. Programmes 2025 intégrés, RGPD UE par design. La personnalisation finale (prénom, signature, coordonnées parents) se fait à la main sur le document final exporté, pas dans le moteur.
| Voie | Hébergement | Coût | Idéal pour |
|---|---|---|---|
| Anonymisation systématique | Variable (selon outil) | Gratuit | PE déjà à l'aise avec ses 5 prompts persos |
| Mistral Le Chat | Union européenne | Gratuit (version standard) | Usage français pur, dictée, expression écrite |
| P2IA via GAR | France, validé ministère | Gratuit (école) | Apprentissages fondamentaux côté élèves cycle 2 et bientôt cycle 3 |
| Iniprof | France, o2switch | 50 crédits offerts puis abonnement | Outil métier prof primaire, anonymisation native |
vii.L'IA souveraine éducation : où en est-on en juin 2026
Au moment où l'article paraît, plusieurs annonces gouvernementales ont posé les jalons d'une IA souveraine éducation. Le cadre d'usage du ministère, publié le 14 juin 2025, parle de « privilégier les outils libres et publics » et tolère les services grand public à condition qu'aucune donnée personnelle ou sensible n'y soit saisie. La consultation menée de janvier à mai 2025 auprès des enseignants, chefs d'établissement, syndicats, parents et élèves a alimenté ce cadre.
Le P2IA cycle 3 lancé en janvier 2026 et l'extension annoncée vers les cycles supérieurs constituent une partie de la réponse côté élèves. Côté enseignants, aucun service IA pleinement souverain et générique n'est encore déployé sur le territoire scolaire au moment de la rédaction. La règle reste donc celle de juin 2025 : outils grand public tolérés sans donnée personnelle, anonymisation systématique des prompts, association du DPO pour tout usage régulier.
Article à mettre à jour quand un service souverain enseignant sera officiellement publié et accessible via le GAR ou un autre canal validé par le ministère.
viii.Le rôle du DPO et de la direction d'école
Le DPO (Délégué à la Protection des Données) existe à l'échelle de la circonscription ou de la DSDEN (Direction des Services Départementaux de l'Éducation Nationale). Sa mission : conseiller, contrôler, faire le lien avec la CNIL. Son contact se trouve sur le site de ta DSDEN ou via ta direction d'école.
Quand l'associer à ton usage
La FAQ CNIL juin 2025 est claire : « la CNIL recommande fortement que le délégué à la protection des données soit systématiquement associé ». En pratique :
- Usage ponctuel personnel (tu rédiges parfois une trame de fiche de prep avec ChatGPT, sans saisir de donnée d'élève) : pas d'obligation d'informer le DPO. La direction reste à informer si tu envisages un changement de pratique régulier.
- Usage régulier intégré dans ton organisation (tu utilises l'IA toutes les semaines pour préparer, différencier, écrire des mots aux parents) : informer la direction et associer le DPO de circo. C'est aussi une protection pour toi, qui trace que tu as agi de bonne foi dans le cadre.
- Usage en classe avec les élèves (rare en primaire) : association du DPO obligatoire et information préalable des familles, conformément au cadre EN juin 2025.
La CNIL précise dans la même FAQ que « l'enseignant ne doit pas déléguer son pouvoir d'évaluation et de décision à un outil d'IA ». La machine prépare la matière brute, la décision pédagogique reste la tienne. C'est aussi vrai pour les appréciations de bulletin, les PPRE, les remédiations et tous les actes professionnels qui engagent ta lecture du groupe.
ix.Cas particulier : utilisation directe par les élèves
Si tu envisages de faire utiliser ChatGPT, Mistral Le Chat ou Claude.ai directement par tes élèves de CM1 ou CM2 (rare en primaire mais pas impossible sur des projets ponctuels), les règles se durcissent.
Pas de compte individuel élève
La CNIL est explicite dans sa FAQ : « la décision d'utiliser un système d'IA "grand public" ne devrait pas contraindre l'élève à créer un compte individuel ». Le PE peut créer « un compte "classe" plutôt qu'un compte par élève », ce qui mutualise la responsabilité et limite la traçabilité individuelle.
Information préalable des familles
Le cadre EN du 14 juin 2025 précise que tout usage en classe avec les élèves doit donner lieu à une information préalable des familles. Pas un mot dans le cahier de liaison la veille, une vraie information écrite qui dit l'outil utilisé, l'objectif pédagogique, la durée du dispositif et le DPO de circo en référence.
Préférer P2IA et services agréés
Dès que possible, basculer sur les services P2IA via le GAR plutôt que sur un outil grand public. C'est la voie validée ministère, RGPD natif, conçue pour les élèves d'âge primaire. Le détail dans l'article cadre d'usage IA en éducation : le guide PE.
x.FAQ - RGPD ChatGPT prof
Peut-on saisir le prénom seul d'un élève dans ChatGPT ?
À éviter. Le prénom seul peut sembler anodin, mais combiné à d'autres infos saisies dans la même conversation (école, classe, comportement, situation), il peut redevenir identifiant. Le considérant 26 du RGPD précise que pour déterminer si une personne est identifiable, on tient compte de tous les moyens raisonnablement susceptibles d'être utilisés, par recoupement compris. Règle simple : remplace le prénom par « un élève » ou « un CE1 ». Ça ne change rien à la qualité de la sortie.
Quelle est la différence entre ChatGPT et Mistral Le Chat sur le RGPD ?
ChatGPT est édité par OpenAI, dont le contrat utilisateur EEE est porté depuis février 2024 par OpenAI Ireland Limited. Les transferts vers les États-Unis sont encadrés par le Data Privacy Framework UE-US adopté en juillet 2023. Mistral Le Chat est édité par Mistral AI, société française basée à Paris, avec une infrastructure de calcul européenne (Mistral Compute lancée en 2025). La conformité RGPD de Mistral est plus simple à documenter parce qu'il n'y a pas de transfert hors UE par défaut. Mais dans les deux cas, la règle « pas de nom d'élève dans un service grand public » reste valable.
Que dit exactement la CNIL aux enseignants ?
La CNIL a publié le 20 juin 2025 une FAQ dédiée aux enseignants. Quatre points clés : « les élèves et leurs parents doivent être informés si des données les concernant sont utilisées » ; « la CNIL recommande fortement que le délégué à la protection des données soit systématiquement associé » ; « la décision d'utiliser un système d'IA grand public ne devrait pas contraindre l'élève à créer un compte individuel » ; « le ministère de l'éducation déconseille d'utiliser ces outils pour identifier une copie ».
Et si j'ai déjà saisi un nom d'élève par erreur dans ChatGPT ?
Pas de panique, procédure simple. Étape 1 : supprime la conversation immédiatement (icône poubelle dans l'historique). Étape 2 : dans les paramètres, désactive l'amélioration du modèle pour tous (Plus puis Settings puis Data Controls puis « Improve the model for everyone » ou équivalent). Étape 3 : prends l'habitude des prompts génériques pour la suite. Étape 4 : si tu as fait ça à grande échelle ou si la donnée saisie était sensible (handicap, situation familiale, signalement), informe ton DPO de circonscription par mail. C'est aussi une protection pour toi.
Iniprof est-il RGPD-friendly ?
Iniprof est hébergé en France chez o2switch (Auvergne), conçu pour le primaire FR avec anonymisation native intégrée. L'outil ne te demande jamais le nom d'un élève. Tu travailles sur « un CE1 type » ou « un CM1 en difficulté de production écrite ». Programmes 2025 intégrés, RGPD UE par design. C'est l'option la plus simple pour un PE qui veut un outil métier sans avoir à anonymiser ses prompts un par un. La personnalisation finale (prénom, signature, coordonnées) se fait à la main sur le document exporté.
