Conformité FERPA et COPPA pour l'EdTech (2026)

Q: Qu'est-ce qui a changé dans COPPA pour 2026 ?

La FTC a finalisé les premiers amendements majeurs à la règle COPPA depuis 2013. La règle actualisée est entrée en vigueur le 23 juin 2025, et la conformité totale est exigée pour le 22 avril 2026. Les changements clés pour l'edtech sont : les 'informations personnelles' incluent désormais expressément les identifiants biométriques tels que les données de reconnaissance faciale, les empreintes vocales et les empreintes digitales, ainsi que les identifiants délivrés par l'État ; les opérateurs doivent obtenir un consentement parental distinct et vérifiable avant de partager les données des enfants avec des tiers à des fins telles que la publicité ciblée, de sorte qu'un consentement global unique ne couvre plus le partage en aval ; et les opérateurs ne peuvent plus conserver indéfiniment les informations personnelles des enfants - ils doivent disposer d'une politique de conservation écrite et supprimer les données lorsqu'elles ne sont plus nécessaires à la finalité de leur collecte. L'exception d'autorisation scolaire demeure, mais elle est étroite : elle ne couvre que le contexte éducatif, pas la publicité ni le profilage comportemental.

Q: Une école peut-elle donner son consentement au nom des parents en vertu de COPPA ?

Oui, mais seulement dans des limites strictes. Selon le mécanisme d'autorisation scolaire de la FTC, une école peut donner son consentement à la place d'un parent lorsqu'un service edtech est utilisé uniquement à des fins éducatives et que les données ne sont utilisées qu'à cette fin - pas pour la publicité, la création de profils utilisateurs, ni aucun usage commercial sans lien avec le service. Le consentement ne couvre que le contexte scolaire. Si vous souhaitez utiliser les données des enfants au-delà de la fourniture du service éducatif, vous avez besoin d'un consentement parental vérifiable distinct. Concrètement, cela signifie que votre produit doit pouvoir distinguer l'usage autorisé par l'école de l'usage grand public, restreindre l'usage des données en conséquence, et fournir aux écoles un accord clair de traitement des données décrivant exactement ce que vous collectez et pourquoi.

Q: Quels contrôles de sécurité FERPA exige-t-il d'un prestataire edtech ?

FERPA ne publie pas de check-list figée, mais pour agir en tant que 'responsable scolaire' dans le cadre d'un contrat avec un district ou une université, vous êtes censé protéger les dossiers scolaires par des garanties administratives, physiques et techniques raisonnables. En pratique, cela signifie un contrôle d'accès basé sur les rôles afin que le personnel et les élèves ne voient que ce qu'ils doivent voir, le chiffrement en transit (TLS) et au repos, la journalisation d'audit indiquant qui a accédé à quels dossiers, la minimisation des données, la suppression sécurisée et des limites de conservation, des engagements de notification en cas de violation, et l'utilisation des données uniquement à la finalité éducative autorisée sous le contrôle direct de l'école. Les districts demandent de plus en plus aux prestataires de le prouver avec un rapport SOC 2 et un accord signé de protection des données, et plusieurs États exigent des clauses contractuelles spécifiques en plus de FERPA.

Q: FERPA et COPPA s'appliquent-ils si mes utilisateurs sont dans l'UE ou au Royaume-Uni ?

FERPA et COPPA sont des lois américaines, elles régissent donc les élèves et les écoles des États-Unis. Si vous desservez aussi des apprenants dans l'Union européenne ou au Royaume-Uni, c'est le RGPD (et le RGPD britannique) qui s'applique à la place, avec ses propres règles sur la base légale, la minimisation des données, la conservation et les données des enfants - le RGPD fixe un âge de consentement numérique par défaut de 16 ans que les États membres peuvent abaisser à 13 ans. Un produit vendu des deux côtés de l'Atlantique doit satisfaire FERPA et COPPA pour ses utilisateurs américains et le RGPD pour ses utilisateurs de l'UE et du Royaume-Uni en même temps. La bonne nouvelle est que l'ingénierie sous-jacente - gestion du consentement, minimisation des données, chiffrement, limites de conservation et journalisation d'audit - se recoupe largement, de sorte qu'une conception axée sur la confidentialité dès la conception peut toutes les satisfaire avec une seule architecture plutôt que trois.

Q: Comment les tuteurs IA et les chatbots affectent-ils la conformité relative aux données des enfants ?

Les fonctionnalités IA relèvent le niveau d'exigence car elles traitent souvent le texte libre, la voix ou les images des enfants - exactement les types de données que les changements COPPA de 2025 examinent, y compris les identifiants biométriques. Utiliser les données des enfants pour entraîner ou affiner un modèle, ou les envoyer à un fournisseur d'IA tiers, est un usage de données et une divulgation que l'exception du contexte éducatif peut ne pas couvrir, ce qui peut exiger un consentement parental distinct et un accord avec le fournisseur lui interdisant d'entraîner ses modèles sur ces données. Pour les apprenants de l'UE et du Royaume-Uni, l'EU AI Act et le RGPD ajoutent des obligations de transparence et de gestion des risques. Le schéma sûr consiste à minimiser ce que voit l'IA, à exclure par défaut les données des enfants de l'entraînement des modèles, à documenter chaque flux de données, et à considérer toute fonctionnalité IA comme relevant de votre revue de confidentialité dès le premier jour plutôt que de l'ajouter après coup.

Sophie Laurent Legal & Compliance Lead, YuSMP Group · Conseille les équipes américaines et européennes sur le RGPD, HIPAA, l'EU AI Act et la confidentialité des données élèves

L'essentiel — les règles en une minute

Les données des élèves comptent parmi les informations personnelles les plus sensibles qui soient, et aux États-Unis deux lois décident de la manière dont l'edtech peut les traiter. Les fondateurs les découvrent généralement à la dure — dans le questionnaire d'achat d'un district ou la revue de sécurité d'une université, quelques semaines avant un lancement. Voici le panorama d'emblée :

FERPA (la Family Educational Rights and Privacy Act, 1974) protège les dossiers scolaires détenus par les écoles qui reçoivent des financements fédéraux. En tant que prestataire, vous traitez généralement ces dossiers comme un « responsable scolaire » sous le contrôle de l'école — et non comme le propriétaire des données.
COPPA (la Children's Online Privacy Protection Act) régit la collecte en ligne d'informations personnelles auprès des enfants de moins de 13 ans, y compris à l'école. Elle exige un consentement vérifiable avant que vous ne collectiez.
La plupart des produits K-12 sont soumis aux deux à la fois. Un outil d'apprentissage utilisé par des élèves de moins de 13 ans déclenche FERPA pour les dossiers et COPPA pour les données des enfants. L'enseignement supérieur et la formation professionnelle relèvent généralement uniquement de FERPA (ou d'aucune des deux).
COPPA a changé. La règle amendée de la FTC est entrée en vigueur le 23 juin 2025, avec une conformité totale exigée pour le 22 avril 2026 — de nouvelles règles sur la biométrie, le consentement au partage à des tiers et la conservation des données.
Les lois des États et le RGPD viennent s'ajouter. La Californie (SOPIPA), l'Illinois (SOPPA) et l'État de New York (Ed Law 2-d) ajoutent des obligations contractuelles et de suppression ; les apprenants de l'UE et du Royaume-Uni amènent le RGPD.

FERPA : ce qu'elle protège et qui elle engage

FERPA donne aux parents — et aux « élèves éligibles » une fois qu'ils atteignent 18 ans ou entrent à l'université — des droits sur leurs dossiers scolaires : le droit de les consulter, de demander des corrections, et de contrôler qui d'autre voit les informations personnellement identifiables qu'ils contiennent. Elle engage l'école, pas directement le prestataire. Mais dès qu'une école envoie des données d'élèves vers votre plateforme, vous êtes attiré dans l'orbite de FERPA par le mécanisme qui rend l'edtech possible.

L'exception du « responsable scolaire »

FERPA permet à une école de divulguer des dossiers scolaires sans consentement parental distinct à une partie qui exécute un service que l'école ferait sinon elle-même — un « responsable scolaire » ayant un « intérêt éducatif légitime ». C'est la base juridique sur laquelle votre SaaS détient les carnets de notes, l'assiduité ou les données d'évaluation. Le hic, ce sont les conditions attachées : vous devez être sous le contrôle direct de l'école pour l'utilisation et la conservation des dossiers, vous ne pouvez utiliser les données qu'à la finalité autorisée, et vous ne pouvez pas les re-divulguer sans autorisation. En clair : l'école détient la relation avec les données ; vous êtes un sous-traitant agissant selon ses instructions.

Des étudiants universitaires travaillant ensemble autour d'ordinateurs portables dans une bibliothèque — des apprenants de l'enseignement supérieur dont les dossiers scolaires sont protégés par FERPA

Ce que cela signifie pour votre produit

Parce que FERPA publie des principes plutôt qu'une check-list de contrôles, les districts et les universités la traduisent en clauses contractuelles et en questionnaire de sécurité. Pour signer en tant que responsable scolaire, on vous demandera généralement de : conserver les données strictement à la finalité éducative contractée ; accorder à l'école l'accès, la correction et la suppression sur demande ; protéger les dossiers par des garanties raisonnables (contrôle d'accès, chiffrement, journalisation) ; vous engager à notifier les violations ; et supprimer ou restituer les données à la fin du contrat. Rien de cela n'est de l'ingénierie exotique — c'est du développement logiciel sur mesure rigoureux où la confidentialité est traitée comme une exigence de premier ordre. Les équipes qui peinent sont celles qui ont d'abord construit une application grand public et ont ensuite tenté de la rendre « compatible FERPA » après coup.

COPPA : la date limite 2026 et ce qui a changé

COPPA s'applique aux opérateurs de services en ligne destinés aux enfants de moins de 13 ans, ou qui ont une connaissance effective de collecter des informations personnelles auprès d'utilisateurs de moins de 13 ans. Elle est antérieure au web moderne (1998), mais la FTC vient de lui apporter sa mise à jour la plus importante depuis 2013 — et il y a une date butoir attachée.

Ce que les amendements de 2025 ont changé

La biométrie et les identifiants sont désormais des informations personnelles. La définition des « informations personnelles » inclut expressément les identifiants biométriques — données de reconnaissance faciale, empreintes vocales, empreintes digitales, schémas rétiniens — et les identifiants délivrés par l'État. La télésurveillance, les outils vocaux et les fonctionnalités photo sont pleinement concernés.
Consentement distinct pour le partage à des tiers. Un consentement global unique ne couvre plus tout. Vous avez désormais besoin d'un consentement parental distinct et vérifiable avant de divulguer les données des enfants à des tiers à des fins telles que la publicité ciblée. Le consentement pour faire fonctionner le service n'est pas un consentement au partage en aval.
Pas de conservation indéfinie. Les opérateurs ne peuvent conserver les informations personnelles des enfants qu'aussi longtemps que raisonnablement nécessaire à la finalité de leur collecte, et doivent adopter une politique de conservation écrite. Le stockage indéfini « au cas où nous en aurions besoin » est désormais une infraction.
L'exception scolaire est restée, et est restée étroite. Une école peut toujours autoriser la collecte à la place d'un parent — mais uniquement pour le contexte éducatif, jamais pour la publicité ou le profilage.

Le mécanisme du consentement scolaire

Dans un cadre de classe, obtenir le consentement parental individuel pour chaque application est impraticable, c'est pourquoi la FTC permet à une école de consentir au nom des parents — à condition que le service soit utilisé uniquement à des fins éducatives et que les données ne soient utilisées qu'à cette fin. C'est un privilège aux bords tranchants : si vous utilisez aussi les données pour améliorer des produits sans rapport, construire des profils publicitaires ou entraîner des modèles à d'autres fins, le consentement de l'école ne s'étend pas pour couvrir cela, et vous avez besoin d'un consentement parental pour ces usages. Votre produit doit être capable de distinguer l'usage autorisé par l'école de tout le reste et de verrouiller les données en conséquence.

Où FERPA, COPPA et les lois des États se recoupent

Pour un produit K-12, les deux lois fédérales s'appliquent ensemble : FERPA régit les dossiers scolaires que l'école vous confie, tandis que COPPA régit l'acte de collecter des informations personnelles auprès de l'enfant de moins de 13 ans. Elles ne sont pas en conflit — elles couvrent des angles différents des mêmes données — mais vous devez satisfaire les deux. Et puis les États en rajoutent, souvent avec des règles plus strictes et plus spécifiques :

Californie — SOPIPA : interdit d'utiliser les données des élèves K-12 pour la publicité ciblée ou pour construire des profils non éducatifs, et exige une sécurité et une suppression raisonnables.
Illinois — SOPPA : impose des exigences contractuelles détaillées entre les écoles et les prestataires, des délais de notification des violations, et la transparence publique sur les données collectées.
État de New York — Education Law 2-d : exige des clauses spécifiques de sécurité et de confidentialité des données, une déclaration des droits des parents, et des engagements des prestataires sur le chiffrement et la suppression.

Comme ces lois engagent les prestataires indépendamment du lieu de votre siège, un produit edtech national se construit de fait selon le plus petit dénominateur commun le plus strict. Si vos apprenants traversent l'Atlantique, le RGPD et le RGPD britannique s'appliquent aussi à ces utilisateurs — notre guide sur le RGPD pour les fondateurs américains vendant dans l'UE couvre ce que cela ajoute, et une grande partie (base légale, minimisation, conservation, droits des personnes) fait écho à ce que FERPA et COPPA demandent déjà.

La check-list d'ingénierie : confidentialité dès la conception

Le point rassurant, c'est que tous ces régimes convergent vers la même construction. Considérez ce qui suit comme l'architecture de référence pour tout produit qui touche des données d'élèves — concevez-le dès le premier sprint, car chaque élément est bien moins coûteux à construire qu'à greffer avant une revue de sécurité.

Minimisation des données. Ne collectez que les champs dont la finalité éducative a besoin. Les données que vous ne collectez jamais sont celles que vous n'avez jamais à protéger, pour lesquelles vous n'avez jamais à consentir, ni à supprimer.
Contrôle d'accès basé sur les rôles (RBAC). Enseignants, élèves, parents, administrateurs et votre propre personnel ne voient chacun que ce que leur rôle justifie. Chaque accès à un dossier est autorisé et attribuable.
Chiffrement partout. TLS en transit et chiffrement fort au repos pour les dossiers scolaires et les données des enfants, avec une gestion des clés sensée.
Journalisation d'audit. Une trace immuable de qui a accédé ou modifié quels dossiers, conservée assez longtemps pour satisfaire les contrats de district et pour enquêter sur un incident.
Conservation et suppression. Une politique de conservation écrite avec suppression automatisée lorsque les données ne sont plus nécessaires ou qu'un contrat prend fin — désormais une exigence explicite de COPPA, pas seulement une bonne hygiène.
Suivi du consentement et de la finalité. Enregistrez la base sur laquelle vous détenez les données de chaque enfant (autorisation scolaire vs consentement parental) et imposez que les données ne soient utilisées qu'à cette fin.
Isolation des locataires. Les données d'un district ne doivent jamais fuir vers celles d'un autre. Pour la plupart de l'edtech, c'est une décision d'architecture SaaS multi-tenant prise tôt, pas un correctif.
Des preuves à la demande. Un rapport SOC 2, un accord de traitement des données et une cartographie claire des données transforment une revue de sécurité de plusieurs mois en une simple case à cocher — voyez notre guide SOC 2 Type II pour les startups pour savoir comment y parvenir.

Un cadenas posé sur le clavier d'un ordinateur portable — le chiffrement, le contrôle d'accès et la journalisation d'audit qui protègent les dossiers des élèves au titre de FERPA, COPPA et des lois des États

Fonctionnalités IA, biométrie et nouvelles règles

L'IA est l'endroit où la conformité edtech devient la plus pointue en 2026, car les fonctionnalités les plus enthousiasmantes touchent précisément les données qui intéressent les nouvelles règles. Un tuteur IA lit les réponses en texte libre d'un enfant ; un outil de télésurveillance traite un visage ou une voix ; un moteur adaptatif profile le comportement d'un apprenant. Trois principes maintiennent ces fonctionnalités du bon côté de la ligne :

La biométrie est désormais une information personnelle. La reconnaissance faciale, les empreintes vocales et les empreintes digitales relèvent de la définition COPPA de 2025, de sorte que toute fonctionnalité qui les utilise pour des élèves de moins de 13 ans a besoin d'une base légale et, souvent, d'un consentement distinct — pas d'une clause enfouie dans vos conditions.
Envoyer des données à un modèle est une divulgation. Transmettre les données des enfants à un fournisseur d'IA tiers, ou les utiliser pour entraîner ou affiner un modèle, est un usage de données que l'exception du contexte éducatif peut ne pas couvrir. Excluez par défaut les données des enfants de l'entraînement, et mettez en place un contrat qui interdit au fournisseur d'entraîner ses modèles sur ces données.
Documentez chaque flux. Si vous ne pouvez pas tracer où vont les données d'un enfant lorsqu'il pose une question à votre tuteur IA, vous ne pouvez pas prouver la conformité. Considérez toute fonctionnalité IA comme relevant de la revue de confidentialité dès le premier jour.

Pour les apprenants de l'UE et du Royaume-Uni, l'EU AI Act superpose des obligations de transparence et de gestion des risques — notre check-list EU AI Act pour le SaaS les passe en revue. Câbler des modèles dans un produit existant de manière responsable est une discipline à part entière ; nous couvrons l'ingénierie dans notre travail d'intégration d'IA générative, où la gouvernance des données fait partie de l'intégration, pas d'un projet séparé.

Construire un produit edtech conforme

Que vous construisiez en interne ou avec un partenaire, ce sont les mêmes questions qui séparent un produit qui passe l'achat sans encombre de celui qui cale. Utilisez ceci comme check-list pour votre équipe ou votre prestataire.

1. La confidentialité conçue d'emblée, pas greffée

La minimisation, le RBAC, le chiffrement, la journalisation et la conservation devraient figurer dans le premier schéma d'architecture. Une équipe qui les traite comme des bloquants de lancement dès le départ livre plus vite que celle qui « ajoute la conformité » avant une revue.

2. Une maîtrise des règles réelles

Cherchez des personnes capables d'expliquer l'exception du responsable scolaire, le mécanisme de consentement scolaire de COPPA et les changements de 2026 sans recourir à un modèle générique de politique de confidentialité. Les détails décident de l'architecture.

3. Des preuves, pas des assurances

Un rapport SOC 2, un accord signé de traitement des données et une cartographie des données sont ce en quoi les districts ont confiance. Un partenaire qui les produit sur demande — plutôt que de promettre de « se pencher dessus » — vous fait gagner un cycle de vente.

4. Le multi-tenant et la suppression bien faits

L'isolation des locataires et une suppression fiable et automatisée sont les deux points où l'edtech échoue le plus souvent à une revue. Ils sont architecturaux, donc ils doivent être corrects tôt ou ils sont coûteux à corriger.

5. Une équipe qui reste sur la durée du cycle de vie

Les règles changent — la mise à jour de COPPA le prouve. Une équipe qui possède le produit dans la durée le maintient conforme à mesure que les réglementations et votre ensemble de fonctionnalités évoluent, plutôt que de remettre un instantané qui se périme.

FAQ

FERPA ou COPPA s'appliquent-ils à mon produit edtech ?

Cela dépend de qui l'utilise et de l'âge des utilisateurs. FERPA s'applique lorsque vous traitez des dossiers scolaires pour une école, un district ou une université des États-Unis qui reçoit des financements fédéraux — généralement en tant que « responsable scolaire » sous le contrôle de l'école. COPPA s'applique lorsque vous collectez en ligne des informations personnelles auprès d'enfants de moins de 13 ans, y compris à l'école. De nombreux produits K-12 sont soumis aux deux à la fois. Les produits pour des utilisateurs de 13 ans et plus dans des contextes d'enseignement supérieur ou de formation professionnelle relèvent généralement uniquement de FERPA ou d'aucune des deux, bien que les lois des États et le RGPD puissent toujours s'appliquer.

Qu'est-ce qui a changé dans COPPA pour 2026 ?

La FTC a finalisé les premiers amendements majeurs à COPPA depuis 2013. La règle est entrée en vigueur le 23 juin 2025, avec une conformité totale exigée pour le 22 avril 2026. Changements clés : les identifiants biométriques et ceux délivrés par l'État sont désormais des « informations personnelles » ; vous avez besoin d'un consentement vérifiable distinct avant de partager les données des enfants avec des tiers à des fins telles que la publicité ciblée ; et vous ne pouvez plus conserver indéfiniment les données des enfants — une politique de conservation écrite et une suppression en temps voulu sont exigées. L'exception d'autorisation scolaire demeure mais ne couvre que le contexte éducatif.

Une école peut-elle donner son consentement au nom des parents en vertu de COPPA ?

Oui, dans certaines limites. Une école peut consentir à la place d'un parent lorsque le service est utilisé uniquement à des fins éducatives et que les données ne sont utilisées qu'à cette fin — pas pour la publicité, le profilage ou un usage commercial sans rapport. Tout ce qui va au-delà de la fourniture du service éducatif nécessite un consentement parental vérifiable distinct. Votre produit doit distinguer l'usage autorisé par l'école des autres usages et restreindre les données en conséquence.

Quels contrôles de sécurité FERPA exige-t-il d'un prestataire ?

FERPA établit des principes plutôt qu'une check-list figée, mais pour agir en tant que responsable scolaire vous êtes censé protéger les dossiers scolaires par des garanties raisonnables : contrôle d'accès basé sur les rôles, chiffrement en transit et au repos, journalisation d'audit, minimisation des données, suppression sécurisée et limites de conservation, engagements de notification des violations, et utilisation des données uniquement à la finalité autorisée. Les districts veulent de plus en plus que cela soit prouvé par un rapport SOC 2 et un accord signé de protection des données, et plusieurs États exigent des clauses contractuelles supplémentaires.

FERPA et COPPA s'appliquent-ils si mes utilisateurs sont dans l'UE ou au Royaume-Uni ?

FERPA et COPPA sont des lois américaines couvrant les élèves et les écoles des États-Unis. Pour les apprenants de l'UE ou du Royaume-Uni, le RGPD et le RGPD britannique s'appliquent à la place, avec leurs propres règles sur la base légale, la minimisation, la conservation et les données des enfants. Un produit vendu des deux côtés de l'Atlantique satisfait FERPA et COPPA pour les utilisateurs américains et le RGPD pour les utilisateurs de l'UE et du Royaume-Uni en même temps — mais l'ingénierie sous-jacente se recoupe largement, de sorte qu'une seule architecture de confidentialité dès la conception peut tous les servir.

Comment les tuteurs IA et les chatbots affectent-ils la conformité relative aux données des enfants ?

Les fonctionnalités IA traitent souvent le texte, la voix ou les images des enfants — y compris les identifiants biométriques que les changements COPPA de 2025 examinent. Utiliser les données des enfants pour entraîner un modèle, ou les envoyer à un fournisseur d'IA tiers, est un usage et une divulgation que l'exception du contexte éducatif peut ne pas couvrir, ce qui peut exiger un consentement distinct et un accord avec le fournisseur lui interdisant d'entraîner ses modèles sur ces données. Pour les apprenants de l'UE et du Royaume-Uni, l'EU AI Act et le RGPD ajoutent des obligations. Minimisez ce que voit l'IA, excluez par défaut les données des enfants de l'entraînement, et considérez toute fonctionnalité IA comme relevant de votre revue de confidentialité dès le départ.

Dernière mise à jour le 29 juin 2026. Cet article est une information générale sur FERPA, COPPA et les lois connexes de confidentialité des élèves pour les équipes edtech des États-Unis et de l'UE ; ce n'est pas un conseil juridique. Les exigences réglementaires changent et dépendent de votre produit, de vos utilisateurs et de vos juridictions spécifiques — confirmez vos obligations auprès d'un conseil qualifié avant le lancement.

Services associés

Couverture du service de développement logiciel edtech

Demander une proposition

Partagez quelques détails et un consultant senior vous répondra sous un jour ouvré.

Vous préférez parler directement ? ☎ Appeler le +374 44 871 811 ✉ sales@yusmpgroup.com

Nom

E-mail professionnel

Entreprise

Type de projet

Fourchette de budget

Message