ChatGPT
Claude
Perplexity
Gemini
GrokPourquoi la conformité RGPD et APD d'un chatbot est un critère d'achat non négociable
En Belgique, la conformité d'un chatbot d'enseignement supérieur ne se résume pas au seul RGPD européen : elle intègre aussi les dispositions de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (LVP), qui transpose et précise le RGPD pour le contexte belge. L'autorité de contrôle nationale est l'Autorité de Protection des Données (APD), dotée de pouvoirs d'enquête, de médiation et de sanction pleinement opérationnels depuis 2020.
Ce double cadre — européen et national — crée des obligations spécifiques que les Hautes écoles et universités de la Fédération Wallonie-Bruxelles doivent intégrer dans leurs critères de sélection de fournisseurs. La dimension temporelle compte également : un chatbot répond en 3 secondes, 24h/24 et 7j/7, contre 47 heures en moyenne par courriel (Source : Audit mystery shopping Skolbot, 2025, 80 établissements FR). Cet avantage opérationnel ne vaut que si chaque conversation s'appuie sur un cadre de traitement des données conforme.
L'APD a déjà sanctionné des institutions belges pour des traitements de données d'étudiants non conformes. Pour les Hautes écoles évaluées par l'AEQES (Agence pour l'Évaluation de la Qualité de l'Enseignement Supérieur), une mise en cause publique par l'APD fragilise le rapport d'accréditation et la confiance des futurs étudiants. Pour le cadre réglementaire complet applicable en Belgique, consultez notre guide RGPD et APD pour les données étudiantes.
Les 8 critères techniques RGPD/LVP à exiger de tout fournisseur de chatbot
Un fournisseur de chatbot est un sous-traitant au sens de l'article 28 du RGPD (Règlement UE 2016/679) et de la loi du 30 juillet 2018. Il traite des données personnelles de vos candidats pour votre compte, sous votre responsabilité de traitement. Sa non-conformité est votre non-conformité aux yeux de l'APD. Ces 8 critères constituent la liste minimale à exiger avant signature.
1. Hébergement des données en Europe
Toutes les données personnelles des candidats à vos Hautes écoles doivent être hébergées sur des serveurs situés dans l'Espace économique européen. En Belgique, l'APD a adopté une position stricte sur les transferts hors UE, cohérente avec celle de l'EDPB. Exigez la localisation précise des datacenters dans le contrat — Belgique, Pays-Bas, Allemagne ou France sont les localisations les plus robustes d'un point de vue réglementaire belge.
2. Contrat de traitement des données (DPA) complet
L'article 28 du RGPD, repris par la loi du 30 juillet 2018, impose un contrat de sous-traitance documentant les finalités du traitement, les catégories de données, les obligations de sécurité, les conditions de sous-traitance ultérieure, et les droits d'audit. En Belgique, l'APD a sanctionné des responsables de traitement pour l'absence de DPA avec leurs prestataires technologiques. Ne signez aucun bon de commande sans DPA préalablement validé par votre délégué à la protection des données (DPD).
3. Chiffrement bout-en-bout
Le chiffrement doit couvrir les données en transit (TLS 1.3 minimum) et les données au repos (AES-256 sur les bases de données et les sauvegardes). La loi du 30 juillet 2018 reprend l'exigence de sécurité appropriée de l'article 32 du RGPD sans la préciser davantage, mais l'APD considère que l'absence de chiffrement constitue un manquement caractérisé en 2026. Demandez les certifications ISO 27001 ou SOC 2 Type II comme preuve d'une politique de sécurité formalisée.
4. Gestion des consentements intégrée
La loi belge fixe l'âge du consentement numérique à 13 ans (article 7 LVP), contre 15 ans en France. Pour les Hautes écoles accueillant des candidats en rhétorique (6e secondaire, souvent 17-18 ans), ce n'est pas un enjeu direct — mais pour les établissements proposant des programmes de type passerelle aux mineurs, le mécanisme de consentement parental doit être géré nativement par le chatbot. Vérifiez que la gestion des consentements est horodatée, par finalité, et stockée comme preuve exportable.
5. Durées de conservation configurables
L'APD recommande des durées de conservation alignées sur la recommandation RGPD : 3 ans après le dernier contact actif pour les prospects, avec purge automatisée. Pour les universités comme l'ULB ou l'UCLouvain qui gèrent des volumes importants de candidatures, la purge manuelle est structurellement impossible. Exigez une configuration granulaire par type de données et une automatisation de la suppression à l'échéance.
6. Droit à l'effacement opérationnel
L'effacement d'un prospect doit être effectif en cascade sur tous les systèmes : logs du chatbot, CRM synchronisé, outil d'emailing, backups balisés. L'APD a rendu des décisions imposant à des responsables de traitement de démontrer que l'effacement était complet — pas uniquement dans la base principale. Demandez une procédure documentée avec délai de traitement garanti et liste exhaustive des systèmes couverts.
7. Transparence IA : déclaration automatique au candidat
L'IA Act (Règlement UE 2024/1689), applicable en Belgique comme dans toute l'UE, impose d'informer les utilisateurs qu'ils interagissent avec un système d'IA. Pour les Hautes écoles belges, cette mention doit être bilingue si le chatbot opère en Région de Bruxelles-Capitale ou sert des candidats des deux communautés linguistiques. Le fournisseur doit intégrer cette mention automatiquement dans le message d'accueil.
8. Journaux d'audit complets
En cas de contrôle APD ou de plainte d'un candidat, vous devez être en mesure de prouver la conformité de chaque traitement. Les journaux doivent tracer : collectes de données avec base légale, consentements recueillis, demandes d'exercice de droits et leurs traitements, transferts vers des systèmes tiers. L'APD accepte les journaux électroniques comme preuve, à condition qu'ils soient horodatés, intègres (non modifiables), et conservés au minimum 3 ans.
Tableau de comparaison : les critères à valider chez votre fournisseur
| Critère | Niveau requis | Questions à poser au fournisseur |
|---|---|---|
| Hébergement des données | 100 % dans l'EEE, datacenter nommé contractuellement | « Où précisément vos serveurs sont-ils hébergés ? Pouvez-vous le garantir dans le DPA ? » |
| DPA (contrat sous-traitance) | Conforme article 28 RGPD + LVP, signé avant déploiement | « Disposez-vous d'un DPA standard conforme à la loi belge du 30 juillet 2018 ? » |
| Chiffrement en transit | TLS 1.3 minimum sur tous les endpoints | « Votre infrastructure est-elle certifiée ISO 27001 ou SOC 2 ? » |
| Chiffrement au repos | AES-256 sur bases de données et backups | « Vos backups sont-ils également chiffrés ? Avec quel algorithme ? » |
| Consentement | Horodaté, par finalité, exportable, gestion mineurs | « Comment gérez-vous le consentement pour les candidats de moins de 16 ans ? » |
| Durées de conservation | Configurables par catégorie, purge automatisée | « La purge automatique est-elle native ou nécessite-t-elle une intervention manuelle ? » |
| Droit à l'effacement | Cascade complète documentée, délai garanti | « Quels systèmes sont couverts par une demande d'effacement ? Quel délai de traitement ? » |
| Transparence IA (IA Act) | Mention automatique dès l'ouverture, multilingue si besoin | « La mention IA est-elle disponible en français et en néerlandais ? » |
| Journaux d'audit | Horodatés, intègres, exportables, conservés 3 ans minimum | « Vos journaux d'audit sont-ils exportables ? Sur quelle durée sont-ils conservés ? » |
| Sous-traitants ultérieurs | Liste exhaustive, garanties RGPD équivalentes | « Quels sous-traitants ultérieurs utilisez-vous ? Ont-ils tous un DPA avec vous ? » |
Ce que doit contenir votre contrat de sous-traitance : 5 clauses essentielles
Un DPA signé ne vaut que ce que ses clauses garantissent. Voici les 5 points que votre DPD doit valider avant que votre Haute école ou université s'engage.
Clause 1 — Finalités strictement limitées. Le contrat doit énumérer les traitements autorisés (répondre aux questions des candidats, qualifier les leads, transférer les données au CRM) et interdire explicitement toute utilisation des données par le fournisseur à des fins propres. Les fournisseurs qui s'accordent le droit d'utiliser les conversations pour entraîner leurs modèles IA intègrent vos données dans leurs produits — sans base légale valide pour vos candidats.
Clause 2 — Localisation contractuellement garantie. La clause doit nommer les datacenters précis et imposer une notification préalable (minimum 30 jours) en cas de changement. « Hébergement en Europe » sans précision est insuffisant au regard des exigences de l'APD, qui attend une traçabilité complète des flux de données.
Clause 3 — Notification de violation de données sous <72 heures. L'article 33 du RGPD impose une notification à l'APD dans les 72 heures. Pour respecter ce délai, votre fournisseur doit vous notifier sous 24 heures maximum. La clause doit définir précisément ce qui constitue une violation, les canaux de communication, et les informations minimales à fournir.
Clause 4 — Droit d'audit contractuel. Vous devez pouvoir vérifier la conformité de votre fournisseur, soit par un audit direct, soit par la production de rapports de certification. En Belgique, l'APD a rappelé que le responsable de traitement ne peut se contenter de la parole du sous-traitant : une vérification documentée est attendue.
Clause 5 — Restitution et destruction des données à la résiliation. À la fin du contrat, le fournisseur restitue toutes vos données dans un format interopérable et détruit l'intégralité de ses copies dans un délai défini. Cette clause protège vos candidats et évite que des données de la Haute école se retrouvent dans les systèmes d'un concurrent ou d'un successeur du fournisseur.
Rappelons que 72 % des questions posées aux chatbots d'école sont automatisables (Source : Classification automatique sur 12 000 conversations Skolbot, 2025). Ce volume de traitement rend indispensable une infrastructure de conformité technique — non une liste de bonnes intentions dans un DPA.
Pour la checklist complète des obligations RGPD de votre établissement, consultez notre audit RGPD pour écoles en 20 points.
Signaux d'alerte : 5 red flags chez un fournisseur de chatbot
Ces signaux doivent vous alerter lors de l'évaluation d'un fournisseur.
-
Pas de DPA disponible en standard belge ou européen. Un fournisseur qui propose uniquement des Terms of Service en anglais sans DPA adapté au droit européen n'est pas prêt pour le marché belge. L'APD est explicite : l'absence de DPA est une violation directe de l'article 28 du RGPD.
-
Hébergement « dans l'UE » non documenté. Des fournisseurs américains installent des nœuds de traitement en Irlande tout en conservant les données de sauvegarde et les logs d'administration aux États-Unis. Exigez la cartographie complète des flux de données, pas une déclaration marketing.
-
Modèle de langage hébergé hors UE sans CCT. Si votre chatbot s'appuie sur OpenAI, Anthropic ou Google (tous basés aux États-Unis) sans Clauses Contractuelles Types signées et sans évaluation de transfert documentée, chaque conversation est un transfert illicite de données hors UE.
-
Absence de mention de la loi belge du 30 juillet 2018. Un fournisseur qui présente une conformité « RGPD » sans mention de la transposition belge ne connaît pas les spécificités du marché. En pratique, cela signifie que son DPA n'a pas été relu par un juriste familier du droit belge.
-
Support pour les exercices de droits uniquement par ticket email. Si un candidat de l'UCLouvain ou de la Haute École Léonard de Vinci dépose une demande d'effacement et que le délai de traitement dépend de la réactivité du support client du fournisseur, vous ne respecterez jamais le délai d'un mois imposé par le RGPD à grande échelle.
Pour comparer les solutions disponibles pour les établissements d'enseignement supérieur francophones, consultez notre comparatif des chatbots IA pour écoles.
FAQ
Un chatbot hébergé aux États-Unis peut-il être conforme au RGPD en Belgique ?
Oui, sous conditions — les mêmes que dans le reste de l'UE. Le Data Privacy Framework (DPF) adopté en 2023 autorise les transferts vers des entreprises américaines certifiées. Mais l'APD belge a suivi les positions strictes de l'EDPB et des autorités irlandaise et allemande sur la vigilance vis-à-vis des transferts transatlantiques. Si vous optez pour un fournisseur américain, exigez : certification DPF active et à jour, Clauses Contractuelles Types signées dans le DPA, et une évaluation de transfert (TIA) documentée et accessible lors d'un contrôle APD.
Que doit mentionner l'AIPD pour un chatbot de recrutement étudiant en Belgique ?
L'Analyse d'Impact relative à la Protection des Données (AIPD) — requise par l'article 35 du RGPD pour tout traitement à risque élevé — doit, pour un chatbot de recrutement, documenter : la description du traitement (modèle IA, données collectées, architecture), l'évaluation de nécessité et de proportionnalité, les risques identifiés (profilage, transfert hors UE, conservation excessive), les mesures d'atténuation, et la consultation éventuelle de l'APD si un risque résiduel élevé subsiste. Nos informations sur la collecte de données RGPD par chatbot détaillent les critères déclencheurs spécifiques.
Le chatbot doit-il afficher un bandeau d'information dès l'ouverture en Belgique ?
Oui, et ce bandeau doit être accessible dans la langue du candidat. En Région de Bruxelles-Capitale, si votre Haute école s'adresse à des candidats francophones et néerlandophones, le message d'accueil doit idéalement être disponible dans les deux langues. Le contenu minimal : identification comme IA (IA Act), identité du responsable de traitement, finalité du traitement, lien vers la politique de confidentialité complète. Ce message doit s'afficher automatiquement, sans action préalable de l'utilisateur.
Quelle est la durée de conservation recommandée des transcripts de conversation en Belgique ?
L'APD s'aligne sur les recommandations RGPD : 3 ans après le dernier contact actif pour les données de prospects identifiés. Les logs techniques anonymisés peuvent être conservés jusqu'à 12 mois pour l'amélioration du service, à condition que l'anonymisation soit effective (irréversible). Ces durées doivent figurer dans votre registre des traitements et être appliquées par une purge automatisée — le droit belge ne distingue pas la suppression automatique de la suppression manuelle, mais l'APD vérifie l'effectivité des procédures lors des contrôles.
En cas de violation de données, quel est le délai de notification à l'APD ?
Le délai est de 72 heures après la prise de connaissance de la violation pour notifier l'APD (article 33 RGPD, applicable via la loi du 30 juillet 2018). L'APD dispose d'un formulaire de notification en ligne, disponible en français et en néerlandais. Si la violation présente un risque élevé pour les droits des personnes concernées, celles-ci doivent également être notifiées sans délai injustifié. En pratique, vous ne respecterez ce délai de 72 heures que si votre fournisseur s'engage contractuellement à vous alerter dans les 24 heures suivant sa propre découverte de l'incident.
Déployer un chatbot conforme au RGPD et à la loi belge du 30 juillet 2018 est aujourd'hui la condition sine qua non pour exploiter pleinement le potentiel de l'IA conversationnelle dans le recrutement étudiant. Les +62 % de leads qualifiés et les -38 % de coût par lead mesurés sur les établissements utilisant Skolbot (Source : Résultats médians sur 18 écoles, période 2024-2025) présupposent une infrastructure conforme, capable de collecter et de traiter les données des candidats sans exposer votre Haute école à une intervention de l'APD.
Demandez une démo personnalisée
