ChatGPT
Claude
Perplexity
Gemini
GrokPourquoi le consentement RGPD sur votre formulaire de candidature n'est pas ce que vous imaginez (contexte belge)
La Belgique est membre de l'Union européenne. Le RGPD (Règlement UE 2016/679) s'y applique directement depuis le 25 mai 2018 — sans transposition nécessaire pour les dispositions du règlement lui-même. L'autorité nationale de contrôle est l'APD (Autorité de protection des données), bilingue, dotée de pouvoirs de sanction pleinement opérationnels depuis 2020. Ce n'est pas la CNIL française, et la comparaison s'arrête là.
La loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel — généralement désignée LVP — transpose et complète le RGPD pour le contexte national. Pour les formulaires de candidature étudiante, ses apports ne bouleversent pas le cadre européen : l'essentiel des règles applicables découle directement du RGPD lui-même.
Ce qui frappe, à l'examen des formulaires en ligne de hautes écoles et d'universités belges, c'est la multiplication de cases à cocher inutiles. Des établissements demandent un consentement explicite pour traiter une candidature, alors que deux bases légales plus solides s'appliquent sans la moindre case à cocher :
- L'exécution de mesures précontractuelles (art. 6.1.b RGPD) : le candidat remplit un formulaire de candidature, ce qui constitue une démarche précontractuelle à l'initiative de la personne concernée. Traiter son dossier ne nécessite pas son « consentement » — c'est la finalité même pour laquelle il vous contacte.
- L'intérêt légitime (art. 6.1.f RGPD) : pour les communications liées au suivi du dossier, les relances, ou les informations relatives à la procédure d'admission, l'intérêt légitime de l'établissement à maintenir le contact avec un candidat actif est une base légale robuste, confirmée par l'APD dans plusieurs avis.
Autre différence fondamentale avec la France : il n'existe pas de Parcoursup en Belgique. Les hautes écoles et universités de la Fédération Wallonie-Bruxelles gèrent leurs inscriptions directement. Pour les filières contingentées — médecine, dentisterie, kinésithérapie — c'est l'ARES (Académie de recherche et d'enseignement supérieur) qui organise l'examen d'entrée, mais chaque établissement reste responsable de son propre formulaire de candidature et de la politique de confidentialité qui l'accompagne. Cette responsabilité directe est totale, non partagée avec une plateforme nationale.
Ce que l'APD exige sur un formulaire de candidature en Belgique
L'article 13 du RGPD — transposé par la LVP — définit l'information minimale à fournir lors de la collecte de données à caractère personnel. Pour un formulaire de candidature étudiant, voici ce qui est requis, ce qui est facultatif, et ce qui est contre-productif.
| Élément | Obligatoire | Format recommandé | Exemple |
|---|---|---|---|
| Identité du responsable de traitement | Oui | Texte ou lien | « Haute École XYZ, Avenue des Arts 1, 1000 Bruxelles » |
| Finalités du traitement | Oui | Texte court | « Traitement de votre dossier et communication des résultats d'admission » |
| Base légale | Oui | Texte clair | « Intérêt légitime (art. 6.1.f RGPD) » |
| Durée de conservation | Oui | Précise | « 2 ans après la fin de la procédure d'admission » |
| Droits des personnes | Oui | Lien vers politique | Lien « Vos droits RGPD » |
| Contact DPD | Si DPD désigné | Email ou formulaire | dpd@hauteecole.be |
| Case à cocher pour le traitement de candidature | NON | — | Inutile et contre-productif |
| Case à cocher pour emails marketing | Oui, si envoi prévu | Opt-in séparé, non pré-coché | « Je souhaite recevoir des informations sur les programmes » |
Le délégué à la protection des données (DPD) — désigné DPO en anglais — est obligatoire pour les hautes écoles belges qui exercent une mission d'intérêt public, y compris les établissements du réseau libre subventionné. Ses coordonnées doivent figurer sur le site web et peuvent être mentionnées sur le formulaire si elles ne sont pas déjà accessibles via la politique de confidentialité liée.
La mention des droits des personnes peut prendre la forme d'un lien vers la politique de confidentialité complète — elle n'a pas à être rédigée in extenso sur le formulaire. L'APD accepte les formats synthétiques à condition que l'information complète soit accessible en un clic.
Pour approfondir les obligations documentaires qui entourent ces traitements, consultez notre guide RGPD complet sur les données étudiantes.
Les 3 erreurs de consentement spécifiques aux établissements belges
1. Le sur-consentement : demander une case à cocher pour tout
C'est l'erreur la plus répandue. Un établissement ajoute une case « J'accepte que mes données soient traitées dans le cadre de ma candidature » — en pensant bien faire. Ce faisant, il crée un problème là où il n'y en avait pas. Si le traitement est fondé sur l'intérêt légitime ou les mesures précontractuelles, demander un consentement en parallèle brouille la base légale et fragilise juridiquement l'ensemble du traitement. L'APD a clarifié que le consentement est particulièrement inadapté dans les contextes où il existe un déséquilibre de pouvoir entre la personne concernée et le responsable de traitement — ce qui est précisément le cas d'un candidat face à l'établissement qui va décider de son admission.
2. Le texte juridique copié-collé des lois
Beaucoup de formulaires affichent des mentions de plusieurs paragraphes, rédigées dans un langage de règlement européen, directement sous les champs de saisie. L'article 12 du RGPD impose que l'information soit fournie « de façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Un candidat de 18 ans qui doit déchiffrer une référence à l'article 6.1.b du RGPD avant de soumettre sa candidature ne satisfait pas à ce critère. Le résultat est doublement négatif : non-conformité au principe de transparence, et abandon de formulaire.
91 % des visiteurs quittent un site d'école sans laisser de coordonnées (Source : analyse entonnoir Skolbot, 30 établissements, 2025-2026). En Belgique, où les candidats comparent souvent plusieurs établissements avant de choisir, chaque friction supplémentaire est une opportunité perdue face à l'établissement concurrent dont le formulaire est plus simple.
3. Le consentement conditionnel : « sans consentement, pas de candidature »
C'est la violation la plus grave. Certains formulaires conditionnent le dépôt de candidature à l'acceptation d'une case de traitement de données. L'article 7(4) du RGPD est explicite : « lors de l'évaluation du caractère libre du consentement, il y a lieu de tenir le plus grand compte de la question de savoir si, notamment, l'exécution d'un contrat, y compris la prestation d'un service, est subordonnée au consentement au traitement de données à caractère personnel qui n'est pas nécessaire à l'exécution de ce contrat. » Un candidat à qui l'on dit « si vous refusez, nous ne pouvons pas traiter votre candidature » ne consent pas librement — ce qui invalide le consentement au sens du RGPD. L'APD belge applique cette règle strictement. La bonne pratique : ne demandez pas de consentement pour la candidature. Fondez-vous sur l'art. 6.1.b et réservez la case à cocher aux finalités optionnelles (communications marketing, invitations à des événements).
La formule minimale belge pour votre formulaire de candidature
Un formulaire de candidature conforme à l'APD et à la LVP peut inclure une mention aussi courte que celle-ci, placée juste avant le bouton de soumission :
Vos données personnelles sont traitées par [Nom de l'établissement], [adresse], dans le cadre du traitement de votre candidature (art. 6.1.b RGPD — mesures précontractuelles). Elles sont conservées 2 ans après la fin de la procédure d'admission. Vous disposez d'un droit d'accès, de rectification et d'effacement. Pour exercer vos droits ou contacter notre délégué à la protection des données : [email DPD ou lien formulaire]. Politique de confidentialité complète : [lien].
Cette formule de cinq lignes couvre l'intégralité des exigences de l'art. 13 RGPD pour un traitement de candidature. Elle nomme le responsable de traitement, la finalité, la base légale, la durée de conservation, les droits et le contact DPD. Elle ne contient aucune case à cocher pour la candidature elle-même.
Si l'établissement prévoit d'envoyer des communications marketing (invitations à des journées portes ouvertes d'autres programmes, newsletters), une case séparée et non pré-cochée peut figurer en dessous :
[ ] Je souhaite recevoir des informations sur les autres programmes et événements de [Nom de l'établissement]. (Facultatif — vous pouvez vous désinscrire à tout moment.)
Cette case relève du consentement (art. 6.1.a RGPD) pour une finalité distincte : les communications commerciales. Elle doit être non pré-cochée, détachée visuellement de la mention principale, et son refus ne doit avoir aucun impact sur le traitement de la candidature.
Pour les établissements qui externalisent la protection des données, notre article sur le DPO externalisé pour établissement privé détaille les modèles de mutualisation conformes à la LVP belge.
Inscription directe vs. filières contingentées : deux logiques de collecte
L'inscription directe : responsabilité totale de l'établissement
Pour la grande majorité des formations en hautes écoles et universités belges — sciences humaines, droit, sciences économiques, ingénierie, arts, paramédical non contingent — l'inscription est directe. Le candidat dépose son dossier sur le site de l'établissement, paie le minerval à l'inscription, et c'est l'établissement qui décide.
Dans ce contexte, l'établissement est seul responsable de traitement pour l'ensemble du cycle : collecte du formulaire, traitement du dossier, communication des résultats, gestion des pièces jointes (diplômes, relevés de notes), archivage ou suppression. Il n'existe pas de plateforme nationale partagée qui diluerait cette responsabilité. La politique de confidentialité doit refléter cette réalité sans ambiguïté.
Les filières contingentées : l'ARES organise l'examen, l'école gère sa candidature
Pour les filières contingentées — médecine, dentisterie, kinésithérapie — l'ARES organise les épreuves d'entrée obligatoires. Mais l'examen ARES et la candidature à un établissement sont deux démarches distinctes avec deux responsables de traitement distincts.
L'ARES est responsable du traitement lié à l'examen et à ses résultats. L'établissement reste pleinement responsable du formulaire de candidature sur son propre site — les données que le futur étudiant y saisit, la durée pendant laquelle elles sont conservées, et les communications qu'il reçoit de l'établissement avant et après l'examen. La mention RGPD sur le formulaire de candidature d'une haute école pour une filière contingentée doit donc nommer uniquement l'établissement comme responsable de traitement, pas l'ARES.
La confusion entre les deux traitements est une source fréquente d'erreur. Un candidat en kinésithérapie qui s'inscrit sur le site de la Haute École Robert Schuman avant son examen ARES doit recevoir l'information RGPD propre à la Haute École Robert Schuman — pas une référence à l'ARES, dont le traitement est séparé et soumis à sa propre politique de confidentialité.
La différence de canal de collecte a aussi un impact direct sur la conversion : un chatbot bien configuré qui guide le candidat vers le formulaire de candidature génère 18,4 % d'inscriptions à une JPO, contre 6,2 % via le formulaire classique sans accompagnement (Source : benchmark Skolbot, 30 établissements, 2025-2026). La conformité RGPD du formulaire n'est pas un obstacle à la conversion — une mention claire et concise rassure le candidat et réduit les abandons, à condition de ne pas surcharger l'interface avec des cases inutiles.
Pour les établissements qui souhaitent optimiser le canal chatbot sans sacrifier la conformité, notre article sur le chatbot RGPD-compliant pour établissements détaille les critères techniques à exiger des fournisseurs.
Concernant les durées de conservation des données collectées à l'étape candidature, consultez également notre guide sur la durée de rétention des données prospect.
FAQ — Consentement RGPD formulaire candidature en Belgique
L'APD exige-t-elle quelque chose de différent par rapport au RGPD européen ?
L'APD applique le RGPD de manière cohérente avec les autres autorités européennes. La loi belge du 30 juillet 2018 (LVP) transpose le RGPD sans y ajouter de spécificités majeures pour les formulaires de candidature. Les principales références de l'APD sur le consentement sont disponibles sur autoriteprotectiondonnees.be. La différence la plus significative concerne l'obligation de DPD (délégué à la protection des données), étendue par la LVP aux hautes écoles libres subventionnées.
Quelle mention mettre sur le formulaire de candidature d'une haute école belge ?
La mention minimale conforme se réduit à cinq éléments : nom et adresse de l'établissement responsable du traitement, finalité (« traitement de votre dossier de candidature »), base légale (« mesures précontractuelles, art. 6.1.b RGPD »), durée de conservation (« 2 ans après la fin de la procédure d'admission »), et lien vers la politique de confidentialité complète mentionnant les droits et le contact du DPD. Une formulation du type : « Vos données sont traitées par [Haute École XYZ], avenue des Arts 1, 1000 Bruxelles, pour le traitement de votre candidature (art. 6.1.b RGPD). Conservation : 2 ans. Droits et contact DPD : [lien politique de confidentialité]. » satisfait à l'ensemble des exigences de l'art. 13 RGPD dans un format que le candidat peut lire en dix secondes.
Puis-je envoyer des emails de relance aux candidats sans consentement explicite ?
Oui, sous réserve du droit d'opposition. L'intérêt légitime de l'établissement à communiquer sur l'avancement du dossier couvre généralement les relances liées à la candidature. Pour les communications commerciales (salons, journées portes ouvertes d'autres programmes), un opt-in séparé est requis. La distinction est claire : tout ce qui concerne directement le dossier du candidat relève des mesures précontractuelles ou de l'intérêt légitime ; tout ce qui déborde vers la promotion de l'établissement nécessite un consentement distinct, librement donné et non pré-coché.
Combien de temps conserver les données d'un candidat non retenu ?
L'APD recommande 2 ans après la fin de la procédure d'admission, en cohérence avec les recommandations européennes. Les données des candidats admis sont conservées pour la durée de la relation contractuelle, puis pour la durée légale d'archivage des données académiques. Pour les candidats n'ayant pas finalisé leur dossier, 12 mois après la fin de la campagne d'admission est défendable devant l'APD. Ces durées doivent figurer dans le registre des traitements (art. 30 RGPD).
Quelles sanctions risque un établissement belge non conforme ?
L'APD peut infliger des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Fin 2025, l'APD a renforcé ses contrôles sur les organismes d'enseignement, notamment sur les formulaires de collecte de données. Pour les hautes écoles de taille moyenne, les amendes réelles se comptent davantage en milliers qu'en millions d'euros — mais la mise en demeure publique de l'APD a un impact réputationnel direct sur la confiance des futurs candidats et de leurs parents. Le risque le plus immédiat reste la plainte d'un candidat non-admis qui conteste le traitement de ses données : l'APD traite ces plaintes dans des délais rapides et les décisions sont rendues publiques.
Un formulaire de candidature conforme à l'APD n'est pas un formulaire surchargé de cases à cocher et de paragraphes juridiques — c'est exactement l'inverse. Cinq lignes de mention claire, zéro case inutile pour le traitement de la candidature, et une case optionnelle non pré-cochée pour les communications marketing : c'est le strict minimum, et c'est suffisant.
Testez Skolbot sur votre établissement en 30 secondes
