ChatGPT
Claude
Perplexity
Gemini
GrokCe qu'un chatbot IA collecte concrètement sur vos prospects en Belgique
Un chatbot IA de recrutement étudiant collecte des données personnelles dès la première interaction — bien avant que le prospect saisisse son nom. Adresse IP, horodatage de session, messages tapés, programme consulté : chacun de ces éléments est une donnée personnelle au sens du RGPD (Règlement 2016/679) et de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données (LVP), qui complète le RGPD en droit belge.
72 % des questions posées aux chatbots de hautes écoles sont automatisables (FAQ simple), 21 % nécessitent un contexte institutionnel, 7 % nécessitent un humain. (Source : Classification automatique sur 12 000 conversations Skolbot, 2025.) Chacune de ces 12 000 conversations est un traitement de données soumis au RGPD et à la LVP. Et le chatbot a un avantage décisif sur les autres canaux : temps de réponse de 3 secondes, 24/7, contre 47 h par email et 72 h par formulaire (Source : Audit mystery shopping Skolbot, 2025, 80 établissements). Saisir cette opportunité nécessite une infrastructure de collecte conforme au droit belge.
Voici les catégories de données qu'un chatbot d'une haute école belge collecte typiquement :
- Données conversationnelles — texte des messages, horodatage, langue utilisée, durée de session
- Données d'identification volontaire — prénom, nom, adresse email, numéro de téléphone (si le prospect les communique pour être recontacté)
- Données d'intérêt — programme(s) consulté(s), niveau d'études visé (bachelier/master), modalité recherchée (plein temps, alternance IFAPME/EFP)
- Données démographiques volontaires — nationalité, âge, pays de résidence (si collectées via un formulaire intégré)
- Données techniques — adresse IP, type d'appareil, navigateur, identifiant de session
L'APD (Autorité de protection des données) — autorité de contrôle belge, distincte de la CNIL française — rappelle que chaque traitement effectué via un chatbot doit reposer sur une base légale valide, et que les personnes doivent être informées de l'existence du traitement dès l'ouverture de la conversation. Pour une cartographie complète des données traitées par votre établissement, consultez notre guide RGPD et données étudiantes pour les établissements belges.
Les bases légales applicables à chaque catégorie de données
La base légale n'est pas un détail formel : c'est la colonne vertébrale de votre conformité. Une base légale incorrecte invalide l'ensemble du traitement. Le RGPD en propose six (article 6), complétées par la LVP belge sur certains points. Quatre couvrent la quasi-totalité des traitements d'un chatbot de haute école :
Consentement (article 6.1.a RGPD / art. 7 LVP) — La personne a donné son accord libre, spécifique, éclairé et univoque. C'est la base légale adaptée pour les communications marketing ultérieures (relances, newsletters, invitations Campus Days) déclenchées à partir d'une interaction chatbot. L'APD belge a précisé que le consentement dans la relation candidat-établissement est souvent fragile en raison du déséquilibre de pouvoir : documenter l'absence de conditionnement de l'accès à l'information à l'octroi du consentement est impératif.
Mesures précontractuelles (article 6.1.b) — Le traitement est nécessaire pour répondre à une demande de la personne avant la conclusion d'un contrat. Un prospect qui demande des informations sur le minerval ou les conditions d'inscription : le traitement de son email pour lui envoyer la documentation relève de cette base.
Intérêt légitime (article 6.1.f) — Le traitement est nécessaire aux fins des intérêts légitimes du responsable, à condition de ne pas prévaloir sur les droits de la personne. L'analyse des conversations anonymisées pour améliorer la qualité du chatbot peut relever de cette base. Attention : une balance d'intérêts documentée est obligatoire ; l'APD belge contrôle ce point lors de ses audits.
Obligation légale (article 6.1.c) — Pertinent si les données collectées doivent être conservées pour répondre aux obligations de l'ARES (Académie de recherche et d'enseignement supérieur) ou aux exigences du Décret Paysage.
Pour les données sensibles — voir section suivante —, l'article 9 RGPD impose une base supplémentaire, et la LVP belge abaisse à 13 ans le seuil de consentement numérique (article 7 LVP), contrairement aux 16 ans prévus par défaut dans le RGPD.
Le principe de minimisation : ne collecter que le nécessaire
La minimisation des données (article 5.1.c RGPD) est le principe le plus violé en pratique sur les chatbots de hautes écoles belges. Il impose de ne collecter que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Ce que cela signifie concrètement pour votre chatbot :
- Le chatbot ne doit pas exiger un email pour répondre à une question sur les programmes. L'email n'est nécessaire que si le prospect souhaite être recontacté ou recevoir un document.
- Le numéro de registre national ne doit jamais être collecté lors d'une première interaction informative : c'est une donnée à protection particulière en droit belge.
- L'âge précis n'est pas nécessaire si le chatbot doit uniquement déterminer si le prospect est en 5e/6e secondaire ou déjà titulaire d'un CESS. Une indication de niveau suffit.
- Les logs de conversation complets ne doivent pas être conservés indéfiniment. La finalité de la conservation (amélioration du service, transfert CRM) doit être définie avant la mise en production, pas après.
L'APD a intégré le principe de privacy by design dans ses contrôles et recommande de l'appliquer dès la conception du chatbot, en particulier pour les établissements qui organisent des examens d'entrée pour filières contingentées (médecine, dentisterie, kinésithérapie).
Données sensibles : nationalité, santé, situation sociale
Certaines données collectables via un chatbot de haute école belge entrent dans la catégorie des données sensibles de l'article 9 RGPD. Leur traitement est interdit par défaut, sauf exception explicitement listée.
Nationalité et origine : la nationalité n'est pas en elle-même une donnée sensible, mais dès lors qu'elle révèle ou peut révéler une origine ethnique ou raciale, l'article 9 s'applique. Un chatbot qui collecte la nationalité pour segmenter les prospects (« étudiants hors-UE », « étudiants non-européens ») doit analyser si ce traitement ne constitue pas un traitement de données d'origine déguisé. En Belgique, les étudiants hors-UE paient un complément de frais d'inscription — la collecte de nationalité à cette fin est légitime, mais doit être documentée.
Santé et handicap : les prospects cherchant des informations sur les aménagements raisonnables, les dispositifs d'accessibilité ou les services spécialisés pour étudiants en situation de handicap communiquent potentiellement des données de santé. Le chatbot doit être configuré pour ne pas enregistrer ces informations dans des champs libres non sécurisés. Si une collecte est nécessaire (orientation vers un service d'accompagnement), elle doit reposer sur le consentement explicite (article 9.2.a) avec information préalable complète.
Situation financière : les demandes relatives aux allocations d'études FWB, aux kots à loyer modéré ou aux exonérations du minerval peuvent révéler la situation socio-économique du prospect. Ce n'est pas une donnée sensible au sens strict, mais c'est une donnée confidentielle qui exige une base légale robuste et une sécurisation appropriée.
Règle pratique : configurez votre chatbot pour détecter les topics sensibles et rediriger vers un humain ou un formulaire sécurisé, plutôt que de collecter ces informations dans l'interface conversationnelle standard.
Tableau de synthèse : données, bases légales et durées de conservation
| Type de donnée | Base légale | Durée de conservation | Notes |
|---|---|---|---|
| Messages de la conversation (anonymisés) | Intérêt légitime (art. 6.1.f) | <12 mois | Pour amélioration du service — anonymisation obligatoire |
| Email + nom (prospect qualifié) | Mesures précontractuelles ou consentement | 3 ans après dernier contact actif | Purge automatisée obligatoire |
| Téléphone | Consentement (art. 6.1.a) | 3 ans après dernier contact actif | Consentement spécifique pour prospection téléphonique |
| Programme(s) d'intérêt | Intérêt légitime (art. 6.1.f) | Liée au profil prospect | À documenter dans le registre des traitements |
| Nationalité | Consentement ou mesures précontractuelles | Liée au profil prospect | Vérifier l'absence d'inférence sur l'origine ethnique |
| Âge / niveau d'études | Intérêt légitime (art. 6.1.f) | Liée au profil prospect | Nécessaire pour orienter vers le bon programme |
| Adresse IP (non anonymisée) | Intérêt légitime (art. 6.1.f) | <13 mois | Anonymisation recommandée par l'APD |
| Données de santé ou handicap | Consentement explicite (art. 9.2.a) | Strictement nécessaire | Ne pas collecter dans l'interface standard du chatbot |
| Logs techniques de session | Intérêt légitime (art. 6.1.f) | <3 mois | Sécurité et debugging uniquement |
L'AIPD (Analyse d'Impact) : quand votre chatbot la déclenche-t-il en Belgique ?
L'article 35 RGPD impose une Analyse d'Impact relative à la Protection des Données (AIPD) pour tout traitement susceptible d'engendrer un risque élevé. L'APD belge a publié des lignes directrices précisant les critères déclencheurs pour le contexte belge.
Votre chatbot de haute école déclenche probablement l'obligation d'AIPD si l'un des critères suivants est réuni :
- Traitement à grande échelle : un chatbot traitant plus de quelques milliers de conversations par mois sur un site de haute école atteint rapidement le seuil de grande échelle retenu par l'APD
- Profilage : si le chatbot qualifie le prospect (chaud/froid, programme recommandé) à partir de ses interactions, c'est du profilage au sens de l'article 4.4 RGPD
- Données sensibles : traitement de nationalité à risque d'inférence ethnique, données de santé, données financières sensibles
- Transfert hors UE : si votre prestataire de chatbot utilise des serveurs ou des modèles de langage hébergés hors de l'EEE (États-Unis notamment)
- Filières contingentées : tout outil IA impliqué dans les processus d'admission en médecine, dentisterie ou kinésithérapie est classé à haut risque au sens de l'IA Act, ce qui rend l'AIPD obligatoire
Si l'AIPD conclut à un risque résiduel élevé que vous ne pouvez pas atténuer, vous devez consulter l'APD avant de mettre le traitement en œuvre (article 36 RGPD). Pour les autres obligations techniques et organisationnelles, notre checklist d'audit RGPD pour les hautes écoles belges couvre les 20 points à vérifier.
Mettre en œuvre une collecte conforme : l'interface du chatbot
La conformité RGPD d'un chatbot en Belgique se joue à trois niveaux : l'information préalable, le mécanisme de consentement, et les droits des personnes.
Information préalable (transparence)
Avant la première question, le chatbot doit afficher un message d'accueil incluant :
- L'identité du responsable de traitement (la haute école ou l'université)
- La finalité du traitement (répondre aux questions, qualifier le prospect)
- Un lien vers la politique de confidentialité complète
- La mention que l'interlocuteur est une intelligence artificielle (exigé par l'IA Act UE, applicable directement en Belgique, et dont la supervision est coordonnée par l'APD)
Exemple conforme : « Je suis [Nom du chatbot], l'assistant IA de [Haute École]. Vos échanges sont traités selon notre [politique de confidentialité]. Vous pouvez exercer vos droits à l'adresse dpo@[ecole].be. »
Mécanisme de consentement intégré
Si le chatbot collecte l'email ou le téléphone, un mécanisme de consentement actif doit précéder cette collecte :
- Case à cocher non pré-cochée pour les communications marketing
- Libellé distinct pour chaque finalité (relance prospect, newsletter, invitation Campus Days)
- Horodatage et conservation de la preuve
Droits des personnes : accès, rectification, effacement
Le prospect doit pouvoir exercer ses droits via une voie simple. Pratique courante : afficher l'adresse email du DPO dans l'interface du chatbot et dans la politique de confidentialité. La réponse à une demande d'effacement doit intervenir dans un mois et couvrir tous les systèmes : logs du chatbot, CRM, outil d'emailing, analytics nominatives. Pour les cookies déposés par le widget chatbot, la recommandation APD 01/2020 sur les cookies s'applique — refus aussi simple que l'acceptation, blocage effectif avant consentement.
Testez Skolbot sur votre établissement en 30 secondes
FAQ
La LVP belge impose-t-elle des obligations supplémentaires par rapport au RGPD pour un chatbot ?
Oui, sur trois points directement pertinents pour un chatbot de haute école belge. Premier point : le seuil de consentement numérique est fixé à 13 ans par la LVP (article 7), et non 16 ans comme prévu par défaut dans le RGPD — ce qui concerne les actions de recrutement ciblant les élèves de 5e et 6e secondaire. Deuxième point : l'obligation de DPO est étendue aux organismes d'intérêt public, ce qui inclut les hautes écoles libres subventionnées. Troisième point : la LVP contient des dispositions spécifiques sur l'archivage académique dans l'intérêt public. Pour le reste, la LVP transpose fidèlement le RGPD.
Quelle durée de conservation pour les conversations chatbot en Belgique ?
L'APD recommande de ne conserver les données conversationnelles que le temps nécessaire à leur finalité. Pour l'amélioration du service : les logs anonymisés peuvent être conservés jusqu'à 12 mois. Pour les prospects qualifiés (email fourni) : 3 ans après le dernier contact actif. Les logs techniques n'ont aucune raison d'être conservés au-delà de 3 mois. Ces durées doivent figurer dans votre registre des traitements et être appliquées par une purge automatisée. L'APD contrôle l'effectivité de ces purges — pas seulement leur existence dans le registre.
Le chatbot peut-il transférer des données au CRM sans consentement supplémentaire ?
Cela dépend de la base légale initiale et de la finalité du CRM. Si la collecte repose sur les mesures précontractuelles ou l'intérêt légitime pour le suivi de la candidature, le transfert au CRM à des fins de suivi est généralement compatible. En revanche, si vous souhaitez utiliser ces données pour des campagnes marketing non directement liées à la demande initiale, un consentement spécifique est requis — et doit avoir été recueilli avant le transfert. Documentez explicitement la finalité du transfert CRM dans votre registre des traitements. En cas de contrôle APD, c'est la première question posée.
Comment informer le prospect qu'il interagit avec une IA en Belgique ?
L'IA Act UE (applicable directement en Belgique) impose que les utilisateurs soient informés qu'ils interagissent avec un système d'IA lorsque ce n'est pas évident. L'APD coordonne la supervision de l'IA Act au niveau fédéral belge. Pour un chatbot textuel sur un site de haute école, la mention doit être claire et immédiate : un nom de bot explicite (ex. « Skolbot, assistant IA »), un message d'accueil mentionnant la nature IA, et une couleur ou icône distinctive. Cette information se cumule avec les mentions RGPD de transparence — un seul message d'accueil bien conçu peut couvrir les deux obligations.
Que faire si un prospect révèle spontanément une condition de santé ou de handicap ?
Configurez votre chatbot pour détecter les topics sensibles (mots-clés liés à la santé, au handicap, à la situation sociale) et déclencher une réponse de redirection : « Pour vous accompagner au mieux sur ce point, notre service d'accompagnement aux étudiants en situation de handicap vous contactera directement. Souhaitez-vous laisser vos coordonnées ? » Ne stockez pas la donnée sensible dans les logs standard du chatbot. Si un stockage est techniquement inévitable (log de session complet), ce champ doit être masqué ou supprimé avant archivage. L'enjeu : éviter que des données de santé se retrouvent dans un CRM marketing sans base légale adéquate au sens de l'article 9 RGPD — une infraction sanctionnable par l'APD belge.
