ChatGPT
Claude
Perplexity
Gemini
GrokQuand un prospect envoie un courriel pour demander la suppression de toutes ses données, la haute école a un mois pour répondre et agir — délai fixé par l'article 12 du RGPD (Règlement UE 2016/679). En Belgique, ce délai s'applique directement, complété par la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données (LVP). L'autorité de contrôle est l'APD (Autorité de protection des données) — et non la CNIL française. Une absence de réponse ou une réponse tardive expose l'établissement à des sanctions pouvant atteindre 20 millions EUR ou 4 % du chiffre d'affaires mondial.
Pour les équipes admissions et marketing des hautes écoles et universités de la Fédération Wallonie-Bruxelles (FWB), ce droit s'applique aux prospects bien avant toute inscription : un candidat qui a téléchargé une brochure, rempli un formulaire Campus Days ou interagi avec un chatbot de recrutement peut exercer ce droit à tout moment. Ce guide vous explique comment traiter ces demandes de manière conforme, efficace et traçable.
Pour comprendre le cadre général de protection des données dans l'enseignement supérieur belge, consultez notre guide RGPD et données étudiantes pour les établissements belges.
Ce que le RGPD et la LVP prévoient pour le droit à l'effacement
L'article 17 du RGPD consacre le droit à l'effacement, également appelé « droit à l'oubli ». Toute personne physique peut demander à un responsable de traitement d'effacer ses données personnelles, et ce responsable est tenu d'y donner suite dans les situations prévues par le règlement. La LVP belge ne modifie pas le fond de ce droit mais précise certains aspects procéduraux applicables aux organismes d'intérêt public, dont font partie les hautes écoles subventionnées et les universités de la FWB.
Qui peut exercer ce droit ? Toute personne physique dont les données sont traitées par l'établissement — y compris un simple prospect qui n'a jamais franchi la porte de l'école. Il n'y a pas de condition d'inscription préalable. Le prospect qui a laissé son email sur un stand du Salon Educa Bruxelles, le lycéen qui a posé une question à votre chatbot, l'adulte en reprise d'études qui a demandé une documentation sur le minerval : tous sont des personnes concernées au sens du RGPD.
Quel délai ? Un mois à compter de la réception de la demande (article 12 RGPD). Ce délai peut être prorogé de deux mois supplémentaires en cas de demandes multiples ou complexes, à condition d'informer le demandeur dans le premier mois. L'APD contrôle le respect de ces délais lors de ses inspections — une réponse le 32e jour suffit à constituer un manquement documentable.
Quelle forme pour la demande ? Aucune forme particulière n'est imposée. Une demande par email, via un formulaire de contact ou même verbalement lors d'une journée portes ouvertes déclenche le délai. L'établissement peut demander une pièce d'identité pour vérifier l'identité du demandeur, mais ne peut pas subordonner le traitement de la demande à cette vérification si l'identité est déjà certaine.
Les trois déclencheurs principaux d'une demande d'effacement
Toutes les demandes d'effacement ne se valent pas juridiquement. L'article 17 RGPD liste six situations dans lesquelles le droit à l'effacement s'applique de plein droit. Pour les prospects d'une haute école ou université belge, trois situations sont de loin les plus fréquentes.
| Situation | Base légale de l'effacement (art. 17 RGPD) | Effacement obligatoire |
|---|---|---|
| Le prospect retire son consentement aux communications marketing | Art. 17.1.b — retrait du consentement (art. 7.3 RGPD) | Oui, pour toutes les données collectées sur la base de ce consentement |
| Les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées (ex. candidature non aboutie depuis plus de 3 ans) | Art. 17.1.a — données plus nécessaires | Oui, automatiquement par purge planifiée, ou sur demande |
| Le prospect s'oppose au traitement fondé sur l'intérêt légitime et aucun motif impérieux ne prévaut | Art. 17.1.c — opposition fondée sur art. 21 RGPD | Oui, sauf motifs impérieux documentés |
| Les données ont été collectées sans base légale valide (ex. achat de liste, collecte sans information préalable) | Art. 17.1.d — traitement illicite | Oui, sans délai |
| Le prospect est mineur et avait consenti lors d'une interaction avec un service de la société de l'information | Art. 17.1.f — données collectées auprès d'un mineur | Oui, sans condition |
Dans la pratique des hautes écoles belges, la situation la plus courante est le retrait du consentement marketing : un prospect qui s'est désabonné d'une newsletter et souhaite aller plus loin en demandant la suppression complète de son profil. La deuxième situation fréquente est l'opposition au traitement fondé sur l'intérêt légitime, notamment lorsque l'établissement maintient un profil prospect dans son CRM sans avoir obtenu de consentement explicite.
Les motifs légitimes de refus — le droit à l'effacement n'est pas absolu
L'article 17.3 du RGPD liste des exceptions dans lesquelles l'établissement peut refuser un effacement, totalement ou partiellement. Ces exceptions doivent être appréciées rigoureusement : un refus mal fondé est aussi problématique qu'un effacement injustifié.
Exception 1 — Exercice de la liberté d'expression et d'information. Peu applicable au contexte prospect, mais pertinent si les données sont publiées dans un rapport ou une étude académique.
Exception 2 — Respect d'une obligation légale. Si l'établissement est soumis à une obligation de conservation (comptabilité, dossiers d'inscription, obligations imposées par l'ARES ou le décret Paysage de la FWB), il peut refuser l'effacement pour les données couvertes par cette obligation. Attention : l'obligation légale doit être précise et proportionnée. Conserver l'intégralité d'un dossier prospect pour une obligation comptable portant sur une facture d'inscription est disproportionné si la candidature n'a pas abouti à un contrat.
Exception 3 — Constatation, exercice ou défense de droits en justice. Si l'établissement est impliqué dans une procédure judiciaire impliquant le prospect, il peut conserver les données nécessaires à sa défense. Cette exception est temporaire et limitée aux données strictement utiles à la procédure.
Exception 4 — Archivage dans l'intérêt public, recherche scientifique ou historique. La LVP belge (article 24) contient des dispositions spécifiques sur l'archivage académique qui peuvent justifier une conservation au-delà de la durée standard, mais uniquement pour des données anonymisées ou pseudonymisées dans un cadre de recherche documenté.
La notion de refus partiel est importante en pratique : l'établissement peut effacer les données marketing d'un prospect tout en conservant un enregistrement minimal (nom, date de la demande, confirmation d'effacement) pour démontrer sa conformité à l'APD. Ce « registre des effacements » est une bonne pratique documentaire recommandée par l'APD dans ses lignes directrices.
Procédure en 5 étapes avec calendrier jour par jour
Une demande d'effacement bien traitée suit un processus structuré. Voici la procédure recommandée pour les hautes écoles et universités de la FWB, conforme aux attentes de l'APD.
Jour 1 — Réception et accusé de réception. Accusez réception de la demande dans les 24 à 48 heures. Cet accusé de réception ne vaut pas acceptation de la demande : il confirme simplement que vous l'avez bien reçue et que le délai d'un mois commence à courir. Si la demande arrive par un canal non officiel (réseau social, téléphone), consignez-la par écrit et demandez une confirmation écrite pour la traçabilité.
Jours 2 à 5 — Vérification de l'identité et cartographie des données. Vérifiez l'identité du demandeur si elle n'est pas certaine — sans demander de pièce d'identité de manière systématique. Cartographiez toutes les données détenues sur ce prospect : CRM, outil d'emailing, logs du chatbot, sauvegardes, analytics nominatives, système d'inscription en ligne. Cette étape révèle souvent des données oubliées dans des systèmes secondaires.
Jours 6 à 15 — Évaluation juridique. Déterminez si une exception de l'article 17.3 RGPD s'applique. Consultez le DPO de l'établissement (obligatoire pour les hautes écoles subventionnées FWB). Si une exception partielle s'applique, documentez précisément quelles données sont conservées, pour quelle durée, et sur quelle base légale.
Jours 16 à 25 — Exécution de l'effacement. Supprimez les données dans tous les systèmes identifiés. Demandez aux sous-traitants (plateforme emailing, fournisseur de chatbot, CRM externe) d'exécuter l'effacement dans leurs systèmes — obligation directe de l'article 28 RGPD sur les contrats de sous-traitance. Conservez une trace de l'effacement (date, systèmes concernés, confirmation des sous-traitants).
Jours 26 à 30 — Réponse au demandeur. Répondez formellement au demandeur en confirmant l'effacement, en listant les systèmes concernés, et en expliquant tout refus partiel avec sa base légale. Si des données ont été conservées par exception, informez le prospect de son droit de contester cette décision auprès de l'APD. Conservez une copie de cette réponse dans votre registre des demandes de droits.
Durées de conservation des données prospects en Belgique
La durée de conservation est la clé de voûte d'une gestion conforme des données prospects. Une durée trop longue expose l'établissement à des demandes d'effacement en cascade et à des sanctions APD ; une durée trop courte prive le service recrutement de données utiles pour les campagnes saisonnières.
L'APD belge s'aligne sur les lignes directrices de l'EDPB (Comité européen de la protection des données) : 3 ans après le dernier contact actif est la durée maximale recommandée pour les données de prospects dans un contexte de recrutement. Le « dernier contact actif » s'entend d'une interaction réelle — ouverture d'un email, réponse à un message, participation à un Campus Days — et non d'une simple absence de désabonnement.
Voici les durées recommandées par catégorie de données prospect :
- Coordonnées (email, téléphone, nom) — 3 ans après le dernier contact actif, puis purge automatisée
- Profil d'intérêt (programme, niveau visé) — Liée à la durée du profil prospect, même base de 3 ans
- Logs de conversation chatbot (anonymisés) — 12 mois maximum pour les besoins d'amélioration du service
- Données d'interaction marketing (clics, ouvertures, participation aux Campus Days) — 3 ans après le dernier contact actif
- Données collectées sans base légale valide — Effacement sans délai dès que le manquement est identifié
L'obligation de purge automatisée est souvent sous-estimée : l'APD ne se contente pas de vérifier que les durées sont inscrites dans le registre des traitements, elle contrôle que des mécanismes techniques de purge effective sont en place. Un registre mentionnant « 3 ans » mais un CRM contenant des prospects datant de 2018 est un signal d'alarme lors d'une inspection. Pour une vision complète des obligations de conservation, notre guide de protection des données prospects couvre les bases légales applicables à chaque canal.
Chatbot IA, CRM et droit à l'effacement : les implications concrètes
Les établissements qui utilisent un chatbot IA de recrutement et un CRM font face à une complexité supplémentaire lors d'une demande d'effacement : les données prospect sont disséminées dans plusieurs systèmes, et chaque système a ses propres mécanismes de suppression.
Les établissements partenaires de Skolbot traitent en médiane 195 leads qualifiés par mois (Source : Benchmark Skolbot 2024-2025, panel de 18 établissements). Pour un établissement qui accumule 195 leads par mois, le volume cumulé sur 3 ans représente plus de 7 000 profils. Sans procédure de droit à l'effacement structurée — et sans purge automatisée — ce volume devient rapidement ingérable et expose l'établissement à un risque APD systémique.
Dans le chatbot IA, les données à effacer lors d'une demande incluent : les logs de conversation (même anonymisés partiellement), les profils de prospect créés dans l'interface du chatbot, et les données transmises au CRM via l'intégration. Le contrat avec le fournisseur du chatbot doit prévoir une clause d'effacement sur demande conforme à l'article 28 RGPD — vérifiez que cette clause existe et que le fournisseur peut l'exécuter dans le délai d'un mois.
Dans le CRM, l'effacement doit couvrir le contact principal, mais aussi les activités associées (emails envoyés, notes de relance, interactions Campus Days), les segments et listes auxquels le prospect appartient, et les sauvegardes si elles sont accessibles et non archivées. Certains CRM du marché permettent une suppression « douce » (soft delete) qui masque le contact sans l'effacer réellement — cette pratique n'est pas conforme au RGPD pour une demande d'effacement.
Dans l'outil d'emailing, le désabonnement ne suffit pas : il faut supprimer le contact de la base, et non le maintenir avec un statut « désinscrit ». L'APD belge a précisé que maintenir une adresse email dans une liste avec un tag « désinscrit » constitue toujours un traitement de données personnelles soumis au RGPD.
Pour les consentements et cookies liés au widget chatbot, notre article sur la conformité cookies RGPD pour les écoles belges détaille les obligations spécifiques. Pour l'audit complet de votre conformité RGPD, consultez notre checklist d'audit RGPD pour les hautes écoles belges.
FAQ
L'APD peut-elle sanctionner une haute école belge pour une seule demande d'effacement mal traitée ?
Oui. L'APD dispose d'un pouvoir de sanction dès le premier manquement documenté — il n'y a pas de seuil minimal de récidive. En pratique, l'APD commence souvent par une mise en demeure ou une recommandation formelle avant d'infliger une amende administrative pour un premier manquement isolé. Cependant, si le manquement révèle l'absence de procédure structurée ou un traitement systématiquement non conforme, la sanction peut être immédiate. Une demande d'effacement traitée hors délai, accompagnée d'une plainte du prospect auprès de l'APD, est l'un des déclencheurs d'inspection les plus courants en Belgique.
Un prospect peut-il demander l'effacement de données collectées par un tiers lors d'un salon étudiant ?
Le prospect doit adresser sa demande au responsable de traitement qui détient ses données — soit la haute école si elle a collecté les données elle-même, soit l'organisateur du salon s'il a transmis les listes à l'école. Si la haute école a reçu des listes de contacts issues d'un salon sans base légale valide (absence de consentement des prospects), elle doit effacer ces données indépendamment de toute demande — c'est le cas de traitement illicite visé par l'article 17.1.d RGPD. L'achat ou la location de listes de prospects étudiants sans consentement préalable est une pratique qui expose directement l'établissement à des sanctions APD.
Le droit à l'effacement s'applique-t-il aux données archivées dans les sauvegardes ?
C'est l'une des questions les plus pratiques et les moins bien documentées. L'APD, suivant la position de l'EDPB, considère que les données présentes dans des sauvegardes de routine (backup) peuvent ne pas être effacées immédiatement si le système de sauvegarde ne permet pas un effacement sélectif, à condition que ces sauvegardes soient isolées du traitement actif et que les données soient effacées lors du prochain cycle de rotation des sauvegardes. Cette position doit être documentée dans votre politique de conservation et expliquée au demandeur dans votre réponse.
Comment gérer une demande d'effacement d'un mineur qui avait interagi avec le chatbot de recrutement ?
La LVP belge fixe le seuil de consentement numérique à 13 ans (contre 16 ans dans le RGPD par défaut). Pour un mineur ayant interagi avec un chatbot de recrutement ciblant les élèves de 5e et 6e secondaire, la demande peut émaner du mineur lui-même ou de ses parents/tuteurs légaux. Dans tous les cas, l'effacement doit être exécuté sans délai et sans condition — l'article 17.1.f RGPD prévoit un droit à l'effacement renforcé pour les données collectées auprès de mineurs dans le contexte des services de la société de l'information. Aucune exception de l'article 17.3 n'est applicable dans ce cas.
Faut-il notifier les sous-traitants de chaque demande d'effacement individuelle ?
Oui, conformément à l'article 28 RGPD. Votre contrat avec chaque sous-traitant (fournisseur de chatbot, plateforme emailing, CRM en SaaS) doit contenir une clause imposant l'effacement sur instruction du responsable de traitement. En pratique, certains fournisseurs proposent des API d'effacement automatisé — vérifiez que ces mécanismes sont opérationnels et testez-les avant d'en avoir besoin. Une haute école qui peut démontrer à l'APD qu'elle a des mécanismes d'effacement testés chez tous ses sous-traitants est en position de conformité solide, même si une demande individuelle a pris 28 des 30 jours disponibles.
Découvrez comment les établissements belges améliorent leur recrutement avec Skolbot
