skolbot.Chatbot IA pour écoles
ProduitTarifs
Démo gratuite
Démo gratuite
Guide RGPD et LVP de protection des données prospects étudiants en Belgique
  1. Accueil
  2. /Blog
  3. /Conformité
  4. /Données prospects en Belgique : guide RGPD et LVP opérationnel
Retour au blog
Conformité12 min read

Données prospects en Belgique : guide RGPD et LVP opérationnel

Comment collecter, stocker et utiliser les données prospects en conformité RGPD et LVP belge. APD, droits des prospects et checklist pour hautes écoles de la FWB.

S

Équipe Skolbot · 25 avril 2026

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Sommaire

  1. 01Vos prospects ont des droits dès le premier contact
  2. 02Les bases légales pour traiter les données prospects
  3. Le consentement (article 6.1.a RGPD)
  4. L'intérêt légitime (article 6.1.f RGPD)
  5. L'exécution de mesures précontractuelles (article 6.1.b RGPD)
  6. 03Ce que vous collectez — et ce que vous ne devriez pas collecter
  7. Le principe de minimisation (article 5.1.c RGPD)
  8. Les données collectées par le chatbot
  9. 04Les durées de conservation : le point faible le plus fréquent
  10. Durées recommandées par type de données
  11. L'erreur du "on garde tout"
  12. 05Les droits des prospects : ce que votre équipe doit savoir répondre
  13. 06Le cas des mineurs en Belgique
  14. 07Checklist opérationnelle pour les équipes admissions
  15. Collecte des données
  16. Stockage et accès
  17. Conservation et purge
  18. Exercice des droits
  19. 08Les 5 erreurs RGPD les plus fréquentes en admissions belges
  20. 09L'enjeu de confiance : au-delà de la conformité

Vos prospects ont des droits dès le premier contact

La conformité RGPD ne commence pas à l'inscription. Elle commence au premier contact. Dès qu'un prospect communique son adresse email, son nom ou son numéro de téléphone — via un formulaire, un chatbot, un Campus Day ou le Salon Educa Bruxelles — la haute école devient responsable de traitement au sens du RGPD.

En Belgique, le RGPD est directement applicable, mais il est complété par la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données (LVP). L'autorité de contrôle est l'APD (Autorité de protection des données) — non la CNIL française. L'APD dispose des mêmes pouvoirs de sanction que ses homologues européens : amendes jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires mondial, et mise en demeure publique avec impact réputationnel direct.

Ce point est crucial parce que les équipes admissions et marketing des hautes écoles et universités de la Fédération Wallonie-Bruxelles (FWB) traitent des données de prospects bien avant la phase de candidature formelle. Contrairement à la France, il n'existe pas de Parcoursup en Belgique : chaque établissement gère ses propres inscriptions directes. Les données prospects entrent donc par des canaux multiples et décentralisés — formulaires propres, chatbot, Campus Days, Salon Educa, mailings — et ces données sont souvent les moins protégées du système d'information.

62 % des établissements n'ont pas de procédure documentée pour le traitement des données prospects (Source : enquête Skolbot auprès de 62 responsables marketing d'écoles, décembre 2025). Ce guide opérationnel comble cette lacune pour le contexte spécifique des hautes écoles et universités de la FWB.

Pour le cadre RGPD global dans l'enseignement supérieur belge, consultez notre guide RGPD pour les données étudiantes en Belgique.

Les bases légales pour traiter les données prospects

Le RGPD — tel qu'appliqué en Belgique via la LVP — exige une base légale pour chaque traitement de données personnelles. Dans le contexte du recrutement étudiant, trois bases légales sont pertinentes.

Le consentement (article 6.1.a RGPD)

Le consentement est la base la plus utilisée — et la plus mal implémentée. Pour être valide, il doit être libre (pas de consentement marketing obligatoire pour recevoir une brochure), spécifique (un consentement par finalité, pas un "J'accepte tout"), éclairé (mentions visibles au moment de la collecte) et univoque (action active, case non pré-cochée). L'APD a précisé que le déséquilibre de pouvoir entre un candidat et un établissement peut fragiliser la validité du consentement — notamment quand l'accès aux informations de programme est conditionné à son accord.

Erreur fréquente : collecter des emails lors du Salon Educa Bruxelles via une tablette avec un simple "Laissez votre email pour plus d'infos" ne constitue pas un consentement RGPD valide en Belgique.

L'intérêt légitime (article 6.1.f RGPD)

L'intérêt légitime permet de traiter des données sans consentement explicite — relance d'un formulaire de candidature abandonné, informations complémentaires sur une formation d'intérêt avéré. Il ne justifie pas l'envoi de newsletters non sollicitées, le partage avec des partenaires, ou le scoring comportemental. Chaque recours doit être documenté dans une analyse de mise en balance.

L'exécution de mesures précontractuelles (article 6.1.b RGPD)

Lorsqu'un prospect dépose une candidature directement auprès d'une haute école ou université de la FWB (ULB, UCLouvain, ULiège, UNamur, ICHEC...), le traitement de son dossier est nécessaire à l'exécution de mesures précontractuelles. Base légale solide, mais limitée à la phase de candidature formelle — pas au recrutement amont.

Ce que vous collectez — et ce que vous ne devriez pas collecter

Le principe de minimisation (article 5.1.c RGPD)

Le RGPD impose de ne collecter que les données strictement nécessaires à la finalité déclarée. En pratique, chaque champ de formulaire doit pouvoir être justifié par écrit.

Données nécessaires pour une demande d'information : nom, prénom, email, formation d'intérêt. Quatre champs suffisent.

Données discutables : date de naissance (justifiable si le programme accueille des mineurs), numéro de téléphone (uniquement si un appel est réellement prévu), adresse postale (les brochures papier restent rares en 2026).

Données problématiques : numéro de registre national lors d'un premier contact informel (disproportionné), situation familiale, revenus des parents. Ces données sont parfois collectées "au cas où" mais constituent un risque RGPD sans justification documentée.

Chaque champ supplémentaire dans un formulaire réduit le taux de complétion de 5 à 8 % (Source : analyse Skolbot sur 45 formulaires de contact d'écoles, 2025). La minimisation des données n'est pas seulement une obligation légale — c'est aussi un levier de conversion direct.

Les données collectées par le chatbot

Un chatbot collecte davantage de données qu'un formulaire. Les prospects partagent spontanément des informations sensibles (handicap, difficultés financières, santé). 89 % des prospects posent une question liée à la scolarité ou au minerval lors de leur premier contact chatbot (Source : analyse Skolbot, 12 000 conversations, 2025-2026). Trois mesures sont indispensables : information préalable que la conversation est enregistrée, anonymisation automatique des données sensibles à 30 jours, et accès restreint aux historiques.

Les durées de conservation : le point faible le plus fréquent

L'APD recommande une durée maximale de 3 ans après le dernier contact actif pour les données prospects. Mais cette recommandation est un plafond, pas un objectif — et la plupart des établissements dépassent largement ce plafond sans s'en rendre compte.

Durées recommandées par type de données

Type de donnéesDurée recommandéeJustification
Premier contact (formulaire, chat, Campus Day)12 mois sans engagementProjet d'études probablement abandonné
Candidature non aboutie24 moisCandidature possible l'année suivante
Candidature refusée6 mois après la notificationAucune finalité opérationnelle au-delà
Conversations chatbot12 mois (données sensibles : anonymisation à 30 j)Protection renforcée des données sensibles
Données d'événements (salons, Campus Days)12 mois sans démarche ultérieureFinalité atteinte dès absence d'engagement

L'erreur du "on garde tout"

47 % des écoles conservent les données prospects indéfiniment (Source : enquête Skolbot, décembre 2025). Double risque : réglementaire (amendes APD pour conservation excessive, avec précédents en Belgique) et opérationnel (délivrabilité dégradée, métriques faussées, surface d'attaque accrue en cas d'incident de sécurité).

Les droits des prospects : ce que votre équipe doit savoir répondre

Le RGPD confère huit droits aux personnes concernées. En pratique, quatre sont régulièrement exercés par les prospects étudiants.

Droit d'accès (art. 15 RGPD) : le prospect peut demander quelles données vous détenez sur lui. Réponse obligatoire sous 30 jours, ce qui implique de savoir où sont stockées les données : CRM, chatbot, fichiers Excel, historiques email.

Droit de rectification (art. 16) : correction des données erronées, propagée à tous les systèmes qui les détiennent.

Droit d'effacement (art. 17) : suppression de toutes les données. Absolu quand le traitement repose sur le consentement. La suppression doit être effective dans tous les systèmes : CRM, base email, chatbot, fichiers partagés, sauvegardes.

Droit d'opposition (art. 21) : opposition au marketing direct, absolue et sans justification requise. Un prospect qui demande à ne plus recevoir d'emails doit être désinscrit immédiatement dans tous les systèmes.

Le cas des mineurs en Belgique

La LVP belge fixe le seuil de consentement numérique à 13 ans (article 7) — deux ans en dessous de la France (15 ans) et trois ans en dessous du seuil RGPD par défaut (16 ans). Ce seuil belge concerne les services de la société de l'information, incluant les formulaires web, les chatbots et les réseaux sociaux. Pour les actions de recrutement ciblant les élèves de 5e et 6e secondaire, les salons d'orientation et les campagnes social media, intégrez une question sur l'âge dans vos formulaires et prévoyez un mécanisme de consentement parental documenté pour les moins de 13 ans.

Checklist opérationnelle pour les équipes admissions

Collecte des données

  • Chaque formulaire affiche les mentions obligatoires (identité du responsable de traitement, finalité, durée de conservation, droits, contact APD)
  • Les cases de consentement ne sont pas pré-cochées
  • Les consentements sont granulaires (un par finalité distincte)
  • Le chatbot s'identifie comme IA et informe que la conversation est enregistrée
  • Les formulaires des Campus Days et salons incluent les mentions RGPD/LVP
  • Seules les données nécessaires sont collectées (minimisation documentée)

Stockage et accès

  • Les données prospects sont stockées dans un CRM avec contrôle d'accès par rôle
  • Aucun fichier Excel contenant des données personnelles ne circule par email
  • Les accès aux données sont journalisés avec horodatage
  • Les données sensibles (handicap, situation familiale) sont isolées avec accès restreint
  • Les mots de passe respectent les recommandations APD (12 caractères minimum, MFA activé)

Conservation et purge

  • Une politique de durée de conservation est documentée, validée et appliquée techniquement
  • Un processus de purge automatique est paramétré dans le CRM
  • Les prospects sans interaction depuis 12 mois sont purgés ou font l'objet d'une séquence de réactivation avant suppression
  • Les données de candidatures refusées sont supprimées à 6 mois

Exercice des droits

  • Un processus de réponse aux demandes d'accès, rectification et suppression est documenté et testé
  • L'équipe admissions sait qui contacter en interne pour traiter une demande
  • Le délai de réponse de 30 jours est respecté et suivi dans un registre
  • Les désabonnements marketing sont traités immédiatement dans tous les systèmes

Les 5 erreurs RGPD les plus fréquentes en admissions belges

Erreur 1 : le fichier Excel du Campus Day. Collecter 200 emails lors du Salon Educa, les envoyer par email aux collègues, puis les importer dans le CRM sans consentement documenté. Triple infraction (collecte sans base légale, transfert non sécurisé, absence de traçabilité).

Erreur 2 : le "opt-in par défaut". Case pré-cochée "J'accepte de recevoir des communications de la haute école". Consentement invalide au sens de la LVP belge — l'APD a sanctionné ce type de pratique.

Erreur 3 : la conservation infinie. Données de prospects du Campus Day 2022 toujours actives dans le CRM. Infraction à l'article 5 RGPD + métriques de campagne faussées par des contacts inactifs.

Erreur 4 : la réponse tardive. Une demande de suppression qui circule entre trois services pendant six semaines. Délai de 30 jours dépassé — plainte APD probable, coûteuse même sans amende.

Erreur 5 : le chatbot sans information. Le chatbot collecte nom, email et programme d'intérêt sans informer sur l'enregistrement et la finalité. Infraction au principe de transparence de l'article 5.1.a RGPD.

L'enjeu de confiance : au-delà de la conformité

73 % des étudiants de 18-24 ans déclarent que la protection de leurs données influence leur choix d'école (Source : enquête Harris Interactive pour la CNIL, 2025 — données transposables au marché belge). La conformité RGPD n'est pas qu'une obligation légale : c'est un signal de professionnalisme directement perçu par les candidats et leurs parents. Pour les établissements déployant un chatbot IA, la conformité devient aussi un prérequis opérationnel — un outil non conforme bloqué par l'APD coupe le principal canal de premier contact.

Le Comité européen de la protection des données (EDPB) publie des lignes directrices régulièrement actualisées qui s'appliquent dans toute l'UE, Belgique comprise.

FAQ

Le consentement obtenu lors d'un Campus Day est-il valide en Belgique ?

Uniquement s'il est documenté, spécifique et éclairé. Un scan de badge ou une signature sur tablette sans mention des finalités de traitement ne constitue pas un consentement RGPD/LVP valide. Prévoyez un formulaire numérique avec les mentions obligatoires au moment de la collecte, et conservez la preuve du consentement dans votre CRM. L'APD belge a examiné plusieurs cas de collecte non conforme lors de salons étudiants.

Peut-on envoyer un email de relance sans consentement marketing ?

Oui, dans certains cas, sur la base de l'intérêt légitime. Si le prospect a rempli un formulaire de candidature sans le finaliser, un email de relance lié à cette démarche spécifique est justifiable. En revanche, un email de newsletter ou de promotion d'un programme différent nécessite un consentement marketing explicite.

Que faire en cas de violation de données prospects ?

Notifier l'APD dans les 72 heures si la violation présente un risque pour les personnes concernées (article 33 RGPD). Informer les prospects affectés si le risque est élevé (article 34 RGPD). Documenter l'incident dans un registre interne : nature de la violation, données concernées, mesures prises. La procédure doit être connue de tous les personnels ayant accès aux données.

Un sous-traitant (CRM, chatbot) est-il responsable en cas de fuite de données ?

La haute école reste responsable de traitement. Un contrat de sous-traitance (article 28 RGPD, repris par la LVP belge) doit être signé avec chaque prestataire traitant des données pour votre compte, précisant les mesures de sécurité techniques et les procédures de notification d'incident.

Comment former les équipes sans DPO interne ?

Prévoyez une session de sensibilisation de 2 heures par an, centrée sur les cas pratiques (collecte en Campus Day, formulaires, relances). Désignez un référent données comme point de contact interne. L'APD met à disposition des guides gratuits et des ressources pédagogiques. Pour un audit structuré de l'ensemble du dispositif, consultez notre checklist en 20 points pour les hautes écoles belges.

Articles similaires

Illustration isométrique du processus de demande d'effacement RGPD avec bouclier et icônes de documents pour une haute école belge
Conformité

Droit à l'effacement RGPD en Belgique : que faire quand un prospect demande la suppression de ses données

Illustration chatbot IA RGPD données collecte haute école belge FWB, conformité APD 2026
Conformité

Chatbot IA et RGPD en Belgique : quelles données peut-on collecter dans une haute école ?

Guide RGPD pour la protection des données étudiantes dans les universités et hautes écoles belges
Conformité

RGPD et données étudiantes : guide complet pour les écoles belges

Retour au blog

RGPD · IA Act · Hébergement UE

skolbot.

SolutionTarifsBlogÉtudes de casComparatifAI CheckFAQÉquipeMentions légalesPolitique de confidentialité

© 2026 Skolbot