ChatGPT
Claude
Perplexity
Gemini
GrokUn audit RGPD en Belgique — avec des spécificités locales qui changent tout
Le RGPD s'applique directement en Belgique, mais la loi du 30 juillet 2018 (LVP) le complète sur des points qui concernent directement les hautes écoles et universités de la Fédération Wallonie-Bruxelles : âge du consentement, obligation de DPO étendue aux organismes d'intérêt public, archivage académique. L'autorité de contrôle est l'APD (Autorité de protection des données), non la CNIL française.
62 % des établissements n'ont pas de procédure documentée pour le traitement des données prospects (Source : enquête Skolbot, décembre 2025). Cette checklist en 20 points adapte l'audit RGPD au contexte spécifique des hautes écoles belges. Pour le cadre réglementaire complet, consultez notre guide RGPD et APD pour les écoles belges.
Partie 1 — Gouvernance et base légale (points 1 à 5)
1. Vérifier la désignation et l'indépendance du DPO
Le DPO est obligatoire pour les hautes écoles subventionnées et universités de la FWB — y compris les établissements du réseau libre exerçant une mission d'intérêt public (RGPD, article 37). La désignation doit être notifiée à l'APD. Les réseaux peuvent mutualiser un DPO, à condition qu'il soit joignable par chaque établissement.
Action : vérifier la lettre de mission, la notification APD, et l'absence de conflit d'intérêts (ne pas cumuler avec directeur IT ou secrétaire académique).
2. Dresser et mettre à jour le registre des traitements
Le registre (article 30 RGPD) liste chaque traitement : finalité, catégories de données, base légale, durées de conservation, et destinataires. Les hautes écoles organisant des formations IFAPME/EFP doivent inclure les traitements spécifiques aux apprenants en alternance.
Action : passer en revue chaque service (admissions, scolarité, marketing, DSI) et vérifier que tous les traitements sont inscrits avec une base légale explicite.
3. Valider la base légale de chaque traitement
Les quatre bases légales principales pour une haute école belge : exécution du contrat (scolarité, minerval), obligation légale (transmissions ARES, diplômes FWB), intérêt légitime (marketing, analytics), consentement (newsletters, cookies). L'APD a précisé que le consentement est souvent fragilisé par le déséquilibre de pouvoir dans la relation candidat-établissement.
Action : vérifier la base légale de chaque traitement. Migrer les traitements indûment basés sur le consentement vers la base appropriée.
4. Vérifier l'existence et la qualité des analyses d'impact (AIPD)
L'article 35 RGPD exige une AIPD pour tout traitement à risque élevé : chatbot IA, outils d'aide à la décision pour les filières contingentées (médecine, dentisterie, kinésithérapie), vidéosurveillance campus, profilage marketing.
Action : lister les traitements à risque élevé et vérifier qu'une AIPD existe pour chacun. Pour les filières contingentées gérées par l'ARES, tout outil IA influençant l'admission est classé haut risque au sens de l'IA Act.
5. Documenter les procédures de réponse aux droits des personnes
Le RGPD confère huit droits, avec une réponse obligatoire sous un mois. L'APD belge reçoit régulièrement des plaintes de candidats non-admis dont la demande d'accès au dossier reste sans réponse. Le Décret Paysage FWB impose déjà la motivation des refus d'admission — la procédure RGPD doit s'y articuler.
Action : simuler une demande d'effacement et mesurer le délai réel sur l'ensemble de la chaîne (CRM, chatbot, emailing, backups).
Partie 2 — Collecte et consentement (points 6 à 10)
6. Auditer chaque point de collecte de données
En Belgique, il n'existe pas de Parcoursup : chaque haute école gère ses propres inscriptions directes. Les données entrent par les formulaires du site, le chatbot, les Campus Days, les salons étudiants (Salon Educa Bruxelles, BEC Liège), et les dossiers de candidature en ligne.
89 % des prospects posent une question sur le minerval lors de leur premier contact (Source : analyse de 12 000 conversations chatbot Skolbot, sept. 2025 — fév. 2026). Ces conversations génèrent des données dès qu'un identifiant est associé.
Action : cartographier chaque formulaire et point de contact — quelles données, quelle information au prospect, quelle base légale.
7. Contrôler la conformité des formulaires de consentement
La LVP belge impose les mêmes exigences que le RGPD : consentement libre, spécifique, éclairé, univoque, case non pré-cochée. Les formulaires des filières contingentées collectent des données sensibles (scores d'examen ARES) qui nécessitent une attention particulière.
Action : auditer chaque formulaire d'inscription aux Campus Days et de pré-candidature. Vérifier cases décochées par défaut et finalités distinctes.
8. Vérifier la gestion du consentement cookies
L'APD a publié une recommandation spécifique sur les cookies (01/2020) : refus aussi simple que l'acceptation, blocage effectif avant consentement, preuve conservée. En 2024, l'APD a prononcé des amendes pour des bandeaux non conformes.
Action : tester le site depuis un navigateur vierge — Google Analytics, pixels Meta et autres trackers ne doivent pas se charger avant « Accepter ».
9. Vérifier le traitement des données de mineurs
La LVP belge fixe le seuil de consentement numérique à 13 ans (article 7) — deux ans sous le seuil français. Cela concerne les actions de recrutement ciblant les 5e et 6e secondaire et les formations CEFA accueillant des mineurs.
Action : vérifier que les formulaires identifient les moins de 13 ans et déclenchent un mécanisme de vérification parentale.
10. Contrôler la minimisation des données collectées
Le principe de minimisation (article 5.1.c RGPD) interdit de collecter plus que le strict nécessaire. Demander le numéro de registre national lors d'une première interaction informative est disproportionné.
Action : lister les champs obligatoires de chaque formulaire et vérifier qu'ils sont justifiés par la finalité.
Partie 3 — Stockage et sécurité (points 11 à 15)
11. Vérifier les durées de conservation et la purge automatisée
L'APD recommande 3 ans après le dernier contact pour les prospects, 10 ans pour la comptabilité, et la durée légale FWB pour les diplômes.
Action : interroger la base CRM — des prospects du Salon Educa 2022 y figurent-ils encore ? Si oui, la purge ne fonctionne pas.
12. Contrôler le chiffrement en transit et au repos
TLS 1.3 en transit, AES-256 au repos sur toute la chaîne : site, APIs, bases de données, sauvegardes.
Action : vérifier via SSL Labs et confirmer le chiffrement au repos de la base étudiants.
13. Vérifier l'hébergement européen des données
La Belgique étant dans l'UE, les recommandations de l'EDPB s'appliquent : hébergement dans l'EEE ou CCT (clauses contractuelles types) pour tout transfert hors EEE.
Action : lister tous les services SaaS. Pour chacun : localisation des serveurs et base juridique si transfert hors UE.
14. Auditer les accès et la journalisation
Principe du moindre privilège et traçabilité : qui accède à quoi, depuis quand ?
Action : extraire la liste des accès CRM et base étudiants. Désactiver les comptes des collaborateurs partis. Confirmer la conservation des logs.
15. Tester les sauvegardes et la restauration
Une sauvegarde jamais restaurée n'est pas une garantie.
Action : demander la date du dernier test de restauration réussi. S'il date de plus de 6 mois, planifier immédiatement.
Partie 4 — Sous-traitants et transferts (points 16 à 18)
16. Vérifier les DPA avec chaque sous-traitant
L'article 28 RGPD (transposé par la LVP) impose un DPA avec chaque prestataire traitant des données pour votre compte : hébergeur, CRM, emailing, chatbot, analytics, plateforme d'admission.
Action : lister tous les sous-traitants et vérifier l'existence d'un DPA signé et à jour. Priorité aux prestataires à fort volume.
17. Contrôler les transferts internationaux de données
Les transferts hors EEE exigent CCT, décision d'adéquation ou règles d'entreprise contraignantes. Microsoft 365, Google Workspace et Salesforce nécessitent des CCT vérifiées. Consultez notre guide sur le transfert de données hors UE.
Action : pour chaque sous-traitant, vérifier la localisation des serveurs et le mécanisme de transfert documenté.
18. Auditer les sous-traitants de vos sous-traitants
L'article 28.2 RGPD impose de connaître les sous-traitants ultérieurs. Votre CRM peut utiliser AWS ; votre chatbot, un modèle IA hébergé hors UE.
Action : demander à chaque sous-traitant sa liste de sous-traitants ultérieurs et vérifier les garanties en cascade.
Partie 5 — IA et obligations spécifiques (points 19 à 20)
19. Classifier vos systèmes d'IA selon l'IA Act
L'IA Act (règlement UE 2024/1689) s'applique directement en Belgique. L'APD coordonne la supervision IA au niveau fédéral. Pour une haute école belge :
- Haut risque : scoring de candidatures, aide à la décision pour les filières contingentées (médecine/kiné/dentisterie), notation automatisée.
- Risque limité : chatbot d'information. Obligation unique : informer le candidat qu'il interagit avec une IA.
Les obligations haut risque entrent en vigueur en août 2026. Pour les filières contingentées, constituer le dossier de conformité maintenant.
Action : inventorier tous les systèmes IA. Pour chaque système à haut risque, constituer un dossier de conformité et vérifier la supervision humaine documentée.
20. Vérifier la transparence algorithmique et la supervision humaine
IA Act et RGPD (article 22) convergent : toute décision automatisée significative exige une supervision humaine. Dans les filières contingentées belges, les décisions d'admission sont réglementées par l'ARES et doivent être motivées selon le Décret Paysage — ce qui renforce l'obligation de traçabilité de tout outil IA impliqué.
Action : pour chaque système IA à haut risque — documentation de la supervision humaine, information du candidat, et procédure de contestation articulée avec les recours ARES.
Synthèse : tableau récapitulatif de la checklist Belgique
| # | Point d'audit | Domaine | Priorité | Fréquence |
|---|---|---|---|---|
| 1 | Désignation DPO + notification APD | Gouvernance | Critique | Annuelle |
| 2 | Registre des traitements (art. 30 RGPD) | Gouvernance | Critique | Semestrielle |
| 3 | Base légale par traitement (LVP + RGPD) | Gouvernance | Critique | À chaque nouveau traitement |
| 4 | Analyses d'impact — AIPD (art. 35) | Gouvernance | Haute | Annuelle |
| 5 | Procédures droits des personnes | Gouvernance | Haute | Annuelle + test simulé |
| 6 | Cartographie des points de collecte | Collecte | Haute | Semestrielle |
| 7 | Conformité formulaires (filières contingentées) | Collecte | Critique | Trimestrielle |
| 8 | Cookies (Recommandation APD 01/2020) | Collecte | Critique | Trimestrielle |
| 9 | Données mineurs (seuil 13 ans — LVP art. 7) | Collecte | Haute | Annuelle |
| 10 | Minimisation des données | Collecte | Moyenne | Semestrielle |
| 11 | Durées de conservation et purge | Stockage | Critique | Semestrielle |
| 12 | Chiffrement en transit et au repos | Sécurité | Critique | Annuelle |
| 13 | Hébergement UE + CCT (EDPB) | Sécurité | Haute | À chaque nouveau prestataire |
| 14 | Accès et journalisation | Sécurité | Haute | Trimestrielle |
| 15 | Sauvegardes et restauration | Sécurité | Haute | Semestrielle |
| 16 | DPA sous-traitants (art. 28 RGPD + LVP) | Sous-traitance | Critique | Annuelle |
| 17 | Transferts internationaux (CCT) | Sous-traitance | Haute | À chaque nouveau prestataire |
| 18 | Sous-traitants ultérieurs | Sous-traitance | Moyenne | Annuelle |
| 19 | Classification IA Act (APD coordination) | IA | Haute | Annuelle |
| 20 | Transparence IA + supervision (Décret Paysage) | IA | Haute | Annuelle |
Comment organiser l'audit en pratique
L'audit mobilise quatre acteurs : le DPO, la direction des admissions, la DSI, et le service marketing. Calendrier : audit complet annuel (20 points) + vérifications trimestrielles sur les points critiques. Chaque point produit une fiche : résultat, preuve, et action corrective. C'est la première documentation demandée par l'APD en cas de contrôle. Pour les hautes écoles déployant un chatbot IA, l'audit du prestataire doit précéder la mise en ligne.
FAQ
La LVP belge impose-t-elle des obligations supplémentaires par rapport au RGPD ?
Oui, sur trois points : le seuil d'âge pour le consentement numérique (13 ans, pas 16), l'obligation de DPO étendue aux organismes d'intérêt public (hautes écoles libres subventionnées incluses), et des dispositions spécifiques sur l'archivage académique dans l'intérêt public. Pour le reste, la LVP transpose fidèlement le RGPD.
Combien de temps dure un audit RGPD pour une haute école belge ?
Entre 3 et 6 semaines selon la taille et la maturité du dispositif. La phase la plus longue est l'audit des sous-traitants (points 16-18), qui dépend du délai de réponse des prestataires. Les universités à plusieurs implantations (UCLouvain, ULiège) doivent prévoir un périmètre étendu.
Notre haute école organise des examens d'entrée pour filières contingentées — obligations spécifiques ?
Oui. Les données d'examen (scores ARES, identité des candidats) sont soumises à des durées de conservation FWB définies et constituent un traitement distinct à risque élevé. Tout outil IA impliqué dans ces examens nécessite une AIPD et un dossier IA Act haut risque. La procédure de contestation doit s'articuler avec les recours légaux du Décret Paysage.
Quelles sont les sanctions APD réelles pour les établissements d'enseignement ?
L'APD peut prononcer des avertissements et des amendes RGPD (jusqu'à 20 millions EUR ou 4 % du CA). Pour les établissements de taille moyenne, les amendes réelles se comptent en milliers d'euros, mais la mise en demeure publique APD a un impact réputationnel direct. 91 % des visiteurs quittent un site d'école sans premier contact (Source : analyse entonnoir Skolbot, 30 écoles, 2025-2026) — un chatbot non conforme bloqué par l'APD coupe votre principal outil de conversion.
Cette checklist en 20 points est le socle de chaque cycle d'audit RGPD pour les hautes écoles et universités de la Fédération Wallonie-Bruxelles. Pour approfondir le cadre réglementaire, consultez notre guide RGPD et données étudiantes en Belgique.
Demandez votre audit RGPD personnalisé pour votre établissement belgeÀ lire aussi : Comparatif des chatbots IA pour l'éducation
