skolbot.Chatbot IA pour écoles
ProduitTarifs
Démo gratuite
Démo gratuite
Illustration isométrique de serveurs de données avec bouclier RGPD-APD et flux cloud hors UE – conformité Belgique
  1. Accueil
  2. /Blog
  3. /Conformité
  4. /Données candidats hébergées hors UE : qui est conforme en Belgique en 2026 ?
Retour au blog
Conformité14 min read

Données candidats hébergées hors UE : qui est conforme en Belgique en 2026 ?

Google Workspace, Meta Ads et OpenAI transfèrent les données de vos candidats vers des serveurs américains. Guide de conformité RGPD/APD 2026 pour les hautes écoles belges.

S

Équipe Skolbot · 26 juin 2026

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Sommaire

  1. 01Quelles données de vos candidats quittent l'UE sans que vous le sachiez
  2. Les outils d'admissions les plus exposés
  3. Le contexte belge multilingue aggrave l'exposition
  4. 02RGPD et loi LVP : les règles belges sur les transferts hors UE
  5. L'autorité compétente : l'APD, pas la CNIL
  6. Les mécanismes de transfert valides en 2026
  7. Ce que l'APD a dit sur Google Analytics
  8. 03Google Workspace, Meta Ads, OpenAI — qui est conforme en Belgique
  9. Tableau de conformité par outil (perspective APD 2026)
  10. Google Workspace : le piège de la configuration par défaut
  11. Meta Ads : le pixel qui collecte plus que prévu
  12. OpenAI : le cas le plus complexe en 2026
  13. 045 mesures concrètes pour votre établissement belge
  14. 1. Inventoriez vos flux de données hors EEE
  15. 2. Activez l'EU Data Boundary sur Google Workspace et Microsoft 365
  16. 3. Signez et archivez les DPA avec chaque sous-traitant
  17. 4. Documentez une TIA pour chaque transfert résiduel
  18. 5. Mettez en place une procédure "DPD first" pour tout nouveau prestataire
  19. 05Questions fréquentes
  20. L'APD belge est-elle aussi active que la CNIL sur les transferts hors UE ?
  21. Notre université utilise Google Workspace hébergé aux Pays-Bas — sommes-nous conformes ?
  22. Le consentement des candidats suffit-il à légitimer un transfert hors UE via le pixel Meta ?
  23. Faut-il informer les candidats des transferts vers des pays tiers ?
  24. Nos outils hébergés en Belgique ou en France sont-ils exemptés de ces obligations ?

Cet article est informatif. Pour des questions juridiques spécifiques, consultez votre délégué à la protection des données (DPD) ou un avocat spécialisé en droit belge de la protection des données.

Quelles données de vos candidats quittent l'UE sans que vous le sachiez

Chaque haute école ou université belge qui dispose d'un site web avec un formulaire de candidature, d'un pixel publicitaire et d'un outil de messagerie automatisée transfère quotidiennement des données personnelles vers des serveurs situés en dehors de l'Espace économique européen (EEE). Ce n'est pas une hypothèse — c'est la conséquence directe de l'architecture des outils numériques les plus utilisés dans le secteur.

58 % des candidats en contact avec des établissements belges sont non-francophones — un chiffre qui monte à 65 % à Bruxelles, où la dimension internationale des candidatures est encore plus marquée. (Source : détection de langue automatique sur 8 500 conversations Skolbot, 2025-2026.) Cette diversité linguistique, propre au contexte belge avec ses trois communautés linguistiques, signifie que les établissements déploient des outils multilingues — chatbots, formulaires, CRM — dont les sous-traitants sont souvent américains.

Les outils d'admissions les plus exposés

Un candidat qui visite votre site de haute école déclenche, sans le savoir, une série de transferts de données. Le pixel Meta (Facebook/Instagram Ads) transmet son comportement de navigation aux serveurs de Meta Platforms Inc. à Menlo Park, Californie. Google Analytics envoie son adresse IP pseudonymisée et ses données de session vers les infrastructures de Google LLC. Si votre établissement utilise un chatbot d'admissions connecté à l'API d'OpenAI, les questions du candidat — parfois accompagnées de son nom ou de détails sur son profil académique — transitent vers les serveurs d'OpenAI, également aux États-Unis.

Pour Google Workspace, utilisé par de nombreuses hautes écoles et universités pour leurs communications internes et le traitement des dossiers de candidature, les données restent dans l'UE uniquement si l'option "EU Data Boundary" a été explicitement activée par l'administrateur. Un établissement qui n'a pas effectué cette configuration depuis le panneau d'administration Google transfère des données hors EEE sans s'en rendre compte.

Le contexte belge multilingue aggrave l'exposition

La Belgique compte trois communautés linguistiques — française, néerlandaise et germanophone. Les hautes écoles de la Fédération Wallonie-Bruxelles recrutent des candidats néerlandophones, anglophones et internationaux qui interagissent avec leurs outils en plusieurs langues. Ce contexte pousse les établissements à adopter des solutions SaaS d'éditeurs internationaux plutôt que des outils locaux, augmentant structurellement l'exposition aux transferts hors EEE. La question n'est pas d'éviter ces outils — c'est de les encadrer correctement.

RGPD et loi LVP : les règles belges sur les transferts hors UE

Le RGPD (Règlement UE 2016/679) est d'application directe en Belgique depuis le 25 mai 2018. Son Chapitre V (articles 44 à 49) pose le principe : les données personnelles de résidents de l'EEE ne peuvent quitter l'EEE que si un niveau de protection équivalent est garanti dans le pays destinataire.

En Belgique, la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (LVP) transpose et complète le RGPD. Pour les transferts internationaux, la LVP ne déroge pas au Chapitre V — elle renforce la responsabilité du délégué à la protection des données (DPD), dont la désignation est obligatoire pour les hautes écoles et universités belges exerçant une mission d'intérêt public, y compris les établissements du réseau libre subventionné.

L'autorité compétente : l'APD, pas la CNIL

L'APD (Autorité de protection des données) est l'autorité de contrôle compétente pour la Belgique. Une haute école de Namur ou de Liège ne relève pas de la CNIL française — elle relève exclusivement de l'APD, dont le siège est à Bruxelles. L'APD dispose d'une documentation spécifique sur les transferts vers des pays tiers que les établissements belges doivent consulter en priorité — et non les lignes directrices de la CNIL.

Les mécanismes de transfert valides en 2026

Trois mécanismes couvrent l'essentiel des situations rencontrées par les établissements belges.

Les décisions d'adéquation : la Commission européenne reconnaît certains pays comme offrant un niveau de protection équivalent. Les États-Unis bénéficient du Data Privacy Framework (DPF) depuis juillet 2023, mais uniquement pour les entreprises certifiées DPF. Un prestataire américain non certifié ne peut pas se prévaloir du DPF.

Les clauses contractuelles types (CCT) : adoptées par décision d'exécution 2021/914, elles constituent le mécanisme de transfert le plus répandu dans les contrats SaaS. Depuis l'arrêt Schrems II de la CJUE (juillet 2020), les CCT doivent être complétées par une évaluation d'impact sur le transfert (TIA — Transfer Impact Assessment), documentée dans le registre des traitements de l'établissement. L'EDPB (Comité européen de la protection des données) a publié des recommandations sur la méthodologie TIA que les DPD belges peuvent utiliser directement.

Les dérogations de l'article 49 RGPD : le consentement explicite de la personne concernée ou l'exécution d'un contrat peuvent justifier un transfert ponctuel, mais ces dérogations ne peuvent pas fonder un transfert systématique et répété — elles ne remplacent pas les CCT pour les traitements réguliers d'admissions.

Ce que l'APD a dit sur Google Analytics

L'APD s'est alignée sur la position de plusieurs autorités européennes — dont la DSB autrichienne et l'AP néerlandaise — concernant Google Analytics. Même configuré avec pseudonymisation et désactivation du partage de données, Google Analytics 4 transfère des données identifiantes vers les États-Unis lorsque l'adresse IP n'est pas masquée en amont. L'APD recommande soit une TIA documentée et robuste, soit le passage à une solution d'analytique hébergée dans l'UE (Matomo auto-hébergé, Plausible). Pour les établissements qui utilisent Google Ads ou Meta Ads en combinaison avec Google Analytics, la surface d'exposition est cumulée.

Google Workspace, Meta Ads, OpenAI — qui est conforme en Belgique

Tableau de conformité par outil (perspective APD 2026)

OutilDonnées candidats traitéesMécanisme de transfertHébergement UE disponibleStatut APD 2026
Google Workspace for EducationEmail, Drive, formulaires candidatureCCT 2021 + DPFOui — EU Data Boundary (activation obligatoire)Conforme si EU Boundary activé + TIA documentée
Google Analytics 4Navigation, comportement, sessionsCCT 2021 + DPFNonTIA nécessaire — risque résiduel documenté
Meta Ads (pixel Facebook/Instagram)Comportement site, audiences personnaliséesCCT 2021 + DPFNonTIA nécessaire — à intégrer dans registre traitements
OpenAI (API)Contenu des conversations candidatsCCT 2021 — DPF incertainNon par défautRisque élevé si données nominatives — DPA et TIA obligatoires
Microsoft 365 / TeamsEmail, documents, réunionsCCT 2021 + DPFOui — EU Data BoundaryConforme si EU Boundary activé + TIA
HubSpotCRM candidatures, email marketingCCT 2021 + DPFOui — instance UEConforme sur instance UE
MailchimpEmailing candidatsCCT 2021Non — serveurs USARisque résiduel — alternative : Brevo (hébergé UE)
SkolbotChatbot candidatsHébergement EEEOuiTraitement intra-EEE — pas de transfert hors UE

Google Workspace : le piège de la configuration par défaut

Google Workspace for Education est utilisé par une grande majorité des hautes écoles et universités belges. L'option "EU Data Boundary" permet de maintenir les données dans l'UE — mais elle n'est pas activée par défaut. Un administrateur système doit l'activer explicitement dans la Google Admin Console, et l'activation ne couvre pas tous les services (certains services de support et de diagnostic restent susceptibles de transiter hors UE). Un DPA (accord de traitement des données) conforme à l'article 28 RGPD est disponible dans les conditions contractuelles Google — vérifiez qu'il est signé et que votre TIA l'intègre.

Meta Ads : le pixel qui collecte plus que prévu

Le pixel Meta installé sur une page "Nos programmes" ou "Candidater" collecte des données comportementales que Meta utilise pour ses propres finalités publicitaires. Depuis les mises à jour de l'API Conversions de Meta (CAPI), les établissements qui transmettent des données de formulaire directement à Meta (email haché, téléphone haché) pour créer des audiences similaires effectuent un transfert de données personnelles vers les États-Unis au sens du RGPD. La base légale applicable est généralement le consentement (art. 6.1.a RGPD), ce qui impose un bandeau cookies conforme permettant un refus effectif — et non un simple affichage informatif.

OpenAI : le cas le plus complexe en 2026

OpenAI propose des CCT dans ses conditions pour les utilisateurs professionnels de l'API, mais la certification DPF d'OpenAI LLC reste partielle et doit être vérifiée sur le registre officiel DPF. Si votre établissement utilise un chatbot d'admissions dont le moteur est l'API OpenAI, les questions des candidats — potentiellement nominatives — transitent vers les serveurs d'OpenAI. Un DPA conforme à l'art. 28 RGPD doit être signé, et une TIA documentée dans le registre des traitements. L'alternative la plus robuste pour les établissements soucieux de conformité est d'utiliser un prestataire dont le modèle de langage est hébergé dans l'EEE, ou d'exiger contractuellement que les données ne soient pas utilisées pour l'entraînement des modèles.

Pour les critères techniques à exiger de votre fournisseur de chatbot, consultez notre article sur le chatbot RGPD-compliant pour hautes écoles et universités belges.

5 mesures concrètes pour votre établissement belge

1. Inventoriez vos flux de données hors EEE

Listez l'ensemble des outils numériques qui touchent des données de candidats : formulaires de candidature, CRM, email marketing, analytics, pixels publicitaires, chatbots, outils de gestion académique. Pour chacun, identifiez le siège de l'éditeur, la localisation des serveurs, et le mécanisme de transfert déclaré. L'objectif est une cartographie des transferts mise à jour chaque année — c'est un document que l'APD peut demander lors d'un contrôle.

2. Activez l'EU Data Boundary sur Google Workspace et Microsoft 365

Ces deux configurations réduisent significativement la surface d'exposition aux transferts hors EEE pour les outils les plus utilisés. L'activation ne prend que quelques minutes dans les consoles d'administration, mais elle doit être vérifiée et documentée. Pour Microsoft 365, l'option se trouve dans le Centre d'administration Microsoft 365 sous "Paramètres de l'organisation > Résidence des données". Pour Google Workspace, elle est accessible via la Google Admin Console sous "Paramètres du compte > Profil du compte > Limite de données UE".

3. Signez et archivez les DPA avec chaque sous-traitant

L'article 28 RGPD impose un contrat écrit avec chaque sous-traitant qui traite des données pour votre compte. Pour Google, Meta, OpenAI et Microsoft, ces accords de traitement des données (DPA) sont disponibles sur leurs portails de conformité respectifs. La signature électronique suffit — mais l'archivage est obligatoire, et le DPD doit en conserver une copie accessible en cas de contrôle APD.

4. Documentez une TIA pour chaque transfert résiduel

La TIA n'a pas à être un document de 50 pages. Elle doit répondre à trois questions : quelles données sont transférées, quel est le cadre juridique du pays destinataire (droit américain, notamment le Cloud Act et la FISA Section 702), et quelles mesures supplémentaires compensent les risques résiduels. Les grands éditeurs (Google, Microsoft, Meta) fournissent des TIA pré-complétées sur leurs portails de conformité — votre DPD doit les valider et les adapter au contexte de votre établissement. Intégrez chaque TIA dans votre registre des traitements (art. 30 RGPD).

5. Mettez en place une procédure "DPD first" pour tout nouveau prestataire

Aucun outil numérique touchant des données personnelles de candidats ne doit être déployé sans validation préalable du DPD. Cette procédure doit être formalisée par écrit — même dans un document d'une page — et connue des équipes admissions et marketing. L'APD a sanctionné des établissements pour des déploiements d'outils effectués sans analyse préalable : la responsabilité de l'établissement est engagée dès le premier transfert de données, même si le prestataire est en faute.

Pour une vue d'ensemble de vos obligations documentaires en matière de protection des données, notre guide RGPD complet sur les données étudiantes couvre l'ensemble du cycle de vie des données, de la candidature à l'archivage.

Questions fréquentes

L'APD belge est-elle aussi active que la CNIL sur les transferts hors UE ?

L'APD et la CNIL sont toutes deux membres de l'EDPB et partagent les mêmes positions de principe sur les transferts internationaux. L'APD belge a toutefois ses propres priorités : elle intervient principalement sur plainte et dans le cadre d'enquêtes sectorielles, avec un accent particulier sur les organismes publics et parapublics. Fin 2024 et courant 2025, la Chambre contentieuse de l'APD a rendu plusieurs décisions concernant des entités éducatives belges, dont certaines liées à des transferts de données non documentés. Le risque de sanction est réel et les décisions de l'APD sont rendues publiques, ce qui crée un risque réputationnel direct pour les établissements concernés.

Notre université utilise Google Workspace hébergé aux Pays-Bas — sommes-nous conformes ?

L'hébergement aux Pays-Bas maintient les données principales dans l'EEE, ce qui est une bonne pratique. Cependant, certains services Google Workspace — support technique, logs de diagnostic, services d'IA intégrés comme Gemini for Workspace — peuvent encore transiter vers les États-Unis. Il faut maintenir les CCT dans le DPA Google et documenter une TIA pour ces transferts résiduels. L'activation de l'EU Data Boundary réduit ces transferts résiduels et simplifie la TIA, mais ne les élimine pas totalement.

Le consentement des candidats suffit-il à légitimer un transfert hors UE via le pixel Meta ?

Le consentement (art. 6.1.a RGPD + art. 49.1.a RGPD pour les transferts) peut être une base légale valide pour des transferts non répétitifs. Mais pour un pixel Meta installé sur l'ensemble de votre site, le transfert est systématique et ne peut pas reposer sur la dérogation de l'art. 49 — celle-ci n'est pas faite pour des transferts récurrents à grande échelle. La base légale correcte est le consentement au sens du Règlement ePrivacy (directive 2002/58/CE), recueilli via le bandeau cookies avec un refus aussi simple que l'acceptation. L'APD exige que le refus soit aussi accessible que l'acceptation — un bouton "Tout accepter" sans équivalent "Tout refuser" n'est pas conforme.

Faut-il informer les candidats des transferts vers des pays tiers ?

Oui. L'article 13.1.f RGPD impose de mentionner, lors de la collecte des données, le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert vers un pays tiers, et la référence aux garanties appropriées. En pratique, la politique de confidentialité de votre établissement doit lister les catégories de destinataires hors EEE et les mécanismes de transfert applicables. Un lien vers cette politique depuis chaque formulaire de candidature est le minimum requis. Pour un modèle de mention conforme, consultez notre article sur la durée de rétention et les mentions RGPD pour les données prospect.

Nos outils hébergés en Belgique ou en France sont-ils exemptés de ces obligations ?

Les outils hébergés en Belgique, en France ou dans tout autre État membre de l'UE/EEE ne sont pas soumis aux obligations du Chapitre V RGPD — il n'y a pas de transfert hors EEE. La condition est que le sous-traitant lui-même ne transfère pas ces données vers des sous-sous-traitants situés hors EEE. Il faut vérifier la chaîne de sous-traitance dans le DPA : un hébergeur français qui utilise des services d'infrastructure américains (AWS us-east-1, Azure East US) pour certaines opérations effectue malgré tout des transferts hors EEE. La localisation du siège de l'hébergeur ne détermine pas à elle seule la localisation des données.

La conformité aux transferts de données hors UE n'est pas une formalité administrative que l'on reporte à plus tard. En 2026, l'APD dispose des outils pour identifier les établissements non conformes — sur plainte d'un candidat, dans le cadre d'une enquête sectorielle, ou via une notification de violation de données. Deux mesures simples — l'activation de l'EU Data Boundary sur Google Workspace et Microsoft 365, et la signature des DPA avec chaque sous-traitant — réduisent immédiatement et significativement votre surface de risque, sans nécessiter de refonte technique majeure.

Testez Skolbot sur votre établissement en 30 secondes

Articles similaires

Chatbot RGPD-compliant pour haute école belge — bouclier numérique, drapeau belge et flux données chiffrés
Conformité

Chatbots RGPD-compliant pour hautes écoles et universités belges : critères techniques et fournisseurs

IA biais admission étudiante Belgique risques garde-fous AI Act APD
Conformité

IA et biais dans l'admission étudiante en Belgique : risques et garde-fous

Guide RGPD pour la protection des données étudiantes dans les universités et hautes écoles belges
Conformité

RGPD et données étudiantes : guide complet pour les écoles belges

Retour au blog

RGPD · IA Act · Hébergement UE

skolbot.

SolutionTarifsBlogÉtudes de casComparatifAI CheckFAQÉquipeMentions légalesPolitique de confidentialité

© 2026 Skolbot