ChatGPT
Claude
Perplexity
Gemini
GrokLe RGPD en Belgique : un cadre européen, une application locale
Le RGPD (Règlement 2016/679) est directement applicable dans tous les États membres de l'Union européenne. Mais chaque pays dispose de marges de manoeuvre pour préciser certaines dispositions — notamment concernant le secteur de l'enseignement. En Belgique, c'est la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel qui transpose et complète le RGPD.
Pour les Hautes écoles et universités belges, cette loi a des implications concrètes qui diffèrent de ce qu'appliquent les établissements français sous supervision de la CNIL. L'autorité de contrôle en Belgique est l'APD (Autorité de protection des données) — anciennement Commission de la protection de la vie privée. L'APD est bilingue (français et néerlandais), dispose de son propre pouvoir de sanction, et a développé une jurisprudence spécifique au secteur éducatif.
L'APD : qui elle est, ce qu'elle fait, et pourquoi elle concerne votre Haute école
L'APD est structurée en plusieurs organes : le Comité de direction, le Service d'inspection, la Chambre contentieuse, et le Centre de connaissances. Pour les établissements d'enseignement supérieur, trois de ces organes sont directement pertinents.
Le Centre de connaissances publie des avis et des recommandations sectorielles. Il a rendu plusieurs avis sur le traitement des données dans l'enseignement, notamment sur l'utilisation de plateformes numériques d'apprentissage, la vidéosurveillance dans les bâtiments scolaires, et les conditions de traitement des données des candidats à l'admission.
Le Service d'inspection mène des enquêtes, soit sur plainte d'un citoyen, soit de sa propre initiative. Un candidat refusé qui ne reçoit pas de réponse à sa demande d'accès à ses données peut saisir l'APD, ce qui déclenche une procédure d'enquête.
La Chambre contentieuse prononce les sanctions. Depuis 2020, l'APD a infligé des amendes significatives à des organisations belges pour non-conformité au RGPD. Le secteur de l'enseignement n'est pas à l'abri : l'APD a déjà sanctionné des institutions pour des traitements de données d'étudiants non conformes.
Ce que la loi du 30 juillet 2018 ajoute au RGPD
La loi belge complète le RGPD sur plusieurs points qui concernent directement les établissements d'enseignement supérieur :
Âge du consentement numérique
En Belgique, l'âge à partir duquel un mineur peut consentir seul au traitement de ses données dans le cadre de services en ligne est fixé à 13 ans (art. 7 de la loi). C'est pertinent pour les Hautes écoles qui proposent des dispositifs d'information en ligne (chatbots, formulaires de pré-inscription, newsletters) auxquels des candidats de 16-17 ans peuvent accéder.
En pratique, les candidats à l'enseignement supérieur ont généralement 17-18 ans, ce qui les place au-dessus du seuil. Mais pour les programmes préparatoires ou les actions de recrutement ciblant des élèves de 5e et 6e secondaire (équivalent Première et Terminale en France), cette disposition peut s'appliquer.
Traitement de données à des fins d'archivage dans l'intérêt public
Les établissements d'enseignement supérieur bénéficient d'une base légale spécifique pour conserver certaines données à des fins d'archivage dans l'intérêt public, de recherche scientifique ou de statistiques (art. 89 RGPD, transposé par la loi belge). Cela concerne les données de parcours académique, les résultats, et les statistiques d'insertion professionnelle — pas les données marketing collectées dans le cadre du recrutement.
DPO obligatoire
Le RGPD impose la désignation d'un délégué à la protection des données (DPO) pour les organismes publics. La loi belge étend cette obligation aux « organismes qui exercent une mission d'intérêt public ». Les Hautes écoles libres subventionnées, bien que créées par des pouvoirs organisateurs privés, exercent une mission d'intérêt public au sens de la loi — ce qui rend la désignation d'un DPO obligatoire.
En pratique, beaucoup de Hautes écoles de petite taille mutualisent un DPO avec d'autres établissements du même réseau (réseau libre catholique, réseau officiel des villes et provinces, etc.). C'est conforme au RGPD, à condition que le DPO soit effectivement accessible et dispose des moyens nécessaires.
Les traitements de données dans le cycle de recrutement étudiant
Le cycle de recrutement d'une Haute école implique de multiples traitements de données personnelles. Chacun doit être identifié, documenté dans le registre des traitements (art. 30 RGPD), et justifié par une base légale.
| Étape du recrutement | Données collectées | Base légale probable | Durée de conservation recommandée |
|---|---|---|---|
| Visite du site web (analytics) | Adresse IP, pages visitées, durée | Consentement (cookies) ou intérêt légitime (analytics agrégés) | 26 mois max |
| Interaction chatbot | Prénom, programme d'intérêt, questions posées, langue | Intérêt légitime de l'établissement | 12 mois après fin de campagne |
| Inscription JPO | Nom, prénom, email, téléphone, programme d'intérêt | Mesures précontractuelles (art. 6.1.b) | Jusqu'à 3 mois après la JPO |
| Dépôt de candidature | Dossier complet (identité, diplômes, relevés de notes, CV, lettre de motivation) | Mesures précontractuelles + obligation légale | Durée du cycle d'admission + 1 an pour les non-inscrits |
| Candidat admis et inscrit | Toutes les données académiques et administratives | Exécution du contrat + obligations légales | Durée des études + 10 ans (archivage légal) |
| Candidat refusé | Dossier de candidature + motif de refus | Obligation légale (décret Paysage : motivation des décisions) | 12 mois après la décision |
La base légale la plus fréquemment invoquée par les établissements pour le recrutement est l'exécution de mesures précontractuelles (art. 6.1.b RGPD) : le candidat demande des informations en vue d'une éventuelle inscription, ce qui constitue une démarche précontractuelle. L'APD a confirmé cette interprétation dans plusieurs avis.
Les pièges fréquents dans les Hautes écoles belges
Le formulaire par email non sécurisé
Encore trop de Hautes écoles acceptent des candidatures par email : le candidat envoie son dossier en pièces jointes à une adresse générique (admissions@ecole.be). Ces pièces — relevés de notes, copies de diplômes, parfois copies de carte d'identité — sont stockées dans une boîte mail partagée, accessible à plusieurs personnes, sans chiffrement ni traçabilité. L'APD considère cette pratique comme non conforme au principe de sécurité (art. 32 RGPD).
Le tableur Excel partagé
Le suivi des candidatures via un fichier Excel partagé sur un réseau interne ou un service cloud (OneDrive, Google Sheets) pose des problèmes de traçabilité, de contrôle d'accès et de suppression. Qui a accédé aux données de tel candidat ? Quand un candidat non inscrit demande l'effacement de ses données, comment garantir qu'elles sont supprimées de toutes les copies ? L'APD a sanctionné des organisations pour ce type de pratique.
Le transfert de données vers un prestataire sans DPA
Si votre Haute école utilise un CRM, un chatbot, un outil d'emailing ou une plateforme de gestion des candidatures fournis par un prestataire externe, un accord de traitement des données (DPA) conforme à l'article 28 du RGPD est obligatoire. Ce DPA doit préciser : les données traitées, les finalités, les mesures de sécurité, la localisation des serveurs, les sous-traitants éventuels, et les procédures en cas de violation de données.
Le consentement comme base légale par défaut
L'erreur la plus fréquente est de se reposer systématiquement sur le consentement comme base légale. L'APD a clarifié que dans le contexte éducatif, le consentement est rarement la base légale appropriée pour les traitements liés à l'admission — il existe un déséquilibre de pouvoir entre l'établissement et le candidat qui rend le consentement « non libre » au sens du RGPD. Les bases légales plus robustes sont l'exécution de mesures précontractuelles et l'intérêt légitime.
Chatbot IA et conformité APD : les points de vigilance
Le déploiement d'un chatbot IA dans le cadre du recrutement étudiant soulève des questions spécifiques au regard du RGPD et de l'APD.
Transparence algorithmique
L'IA Act européen classe les chatbots d'information dans la catégorie « risque limité » (art. 52), ce qui impose une obligation de transparence : le candidat doit savoir qu'il interagit avec une IA. Le Comité européen de la protection des données (EDPB) a publié des lignes directrices complémentaires sur l'interaction entre RGPD et IA Act. Un message d'introduction du type « Bonjour, je suis l'assistant IA de [nom de l'école]. Je peux répondre à vos questions sur nos programmes et admissions. » suffit à satisfaire cette obligation.
Si le chatbot influence les décisions d'admission (tri automatisé des candidatures, scoring), il bascule dans la catégorie « haut risque » avec des obligations nettement plus contraignantes. Tant que le chatbot informe sans décider, le régime applicable reste proportionné.
Minimisation des données
Le chatbot ne doit collecter que les données nécessaires à la conversation. Demander le numéro national belge ou la date de naissance d'un candidat qui pose une question sur les frais d'inscription est disproportionné. Le prénom, le programme d'intérêt et l'email (si le candidat le fournit volontairement) constituent un périmètre raisonnable pour une interaction informative.
Droit d'effacement
Un candidat qui a interagi avec le chatbot peut demander l'effacement de ses données (art. 17 RGPD). Le prestataire du chatbot doit être en mesure de supprimer les conversations d'un candidat identifié sur demande — ce qui suppose un mécanisme d'identification et de suppression opérationnel.
Hébergement et transferts
Les données collectées par le chatbot doivent être hébergées au sein de l'Union européenne. L'APD est attentive aux transferts vers les États-Unis et a suivi de près les développements post-Schrems II. Un chatbot dont les serveurs sont aux États-Unis sans clauses contractuelles types (CCT) ou sans mécanisme de transfert adéquat expose l'établissement à une sanction.
Plan de conformité APD pour les Hautes écoles
| Action | Responsable | Délai recommandé |
|---|---|---|
| Désigner (ou confirmer) un DPO | Direction + RH | Immédiat |
| Rédiger/mettre à jour le registre des traitements (art. 30) | DPO | 2 mois |
| Auditer les formulaires de candidature en ligne | DPO + DSI | 1 mois |
| Éliminer les collectes par email non sécurisé | DSI + Admissions | 2 mois |
| Vérifier les DPA de tous les prestataires (CRM, chatbot, emailing) | DPO + Juridique | 3 mois |
| Mettre en place une procédure d'exercice des droits des candidats | DPO | 2 mois |
| Former les équipes admissions aux obligations APD | DPO + RH | 4 mois |
| Définir et documenter les durées de conservation | DPO | 3 mois |
Pour les Hautes écoles qui déploient un chatbot IA, l'audit de conformité du prestataire (DPA, hébergement, sous-traitants) doit être réalisé avant la mise en ligne, pas après. Consultez notre guide complet sur l'enseignement supérieur privé en Belgique pour comprendre le cadre institutionnel dans lequel s'inscrivent ces obligations.
Sanctions APD : le risque est réel
L'APD dispose d'un pouvoir de sanction qui va de l'avertissement à l'amende administrative. Les amendes RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial — un plafond théorique, mais les sanctions réelles prononcées par l'APD belge depuis 2020 montrent que l'autorité n'hésite pas à sanctionner.
Pour les Hautes écoles, le risque financier direct est réel mais modéré (les amendes pour les institutions de taille moyenne se comptent en milliers, pas en millions d'euros). Le risque réputationnel est en revanche plus significatif : une décision de l'APD contre une Haute école serait publique et aurait un impact direct sur la confiance des candidats et de leurs parents.
Les plaintes les plus fréquentes concernent le droit d'accès (un candidat refusé qui veut consulter son dossier), le droit d'effacement (un candidat qui demande la suppression de ses données après un désistement), et les manquements à la sécurité (fuite de données suite à un envoi d'email en copie visible à tous les candidats — un classique).
IA Act et enseignement : ce qui arrive en 2026-2027
L'IA Act européen entre progressivement en application. Pour les établissements d'enseignement supérieur, les dispositions pertinentes concernent :
- Obligation de transparence (applicable depuis février 2025) : tout système d'IA interactif doit informer l'utilisateur qu'il interagit avec une IA. Les chatbots sont explicitement visés.
- Systèmes à haut risque dans l'éducation (applicable à partir d'août 2026) : les systèmes d'IA utilisés pour l'admission, l'évaluation ou l'orientation des étudiants sont classés « haut risque ». Cela concerne les algorithmes de tri des candidatures, pas les chatbots informatifs.
- Compétences IA : les établissements doivent s'assurer que leur personnel comprend les systèmes d'IA qu'il utilise. Une formation minimale est attendue pour les équipes en contact avec les outils IA.
Pour les Hautes écoles belges qui déploient un chatbot IA à des fins informatives, les obligations restent proportionnées. Mais la frontière entre « information » et « décision » est mince : un chatbot qui recommande un programme plutôt qu'un autre en fonction du profil du candidat pourrait être requalifié en système à haut risque.
FAQ — RGPD et APD pour les écoles supérieures belges
Notre Haute école est « libre subventionnée » — sommes-nous soumis aux mêmes règles qu'une université publique ?
Oui. Le RGPD s'applique à toute organisation qui traite des données personnelles, quel que soit son statut juridique. Les Hautes écoles libres subventionnées sont soumises aux mêmes obligations que les universités publiques : registre des traitements, DPO, information des personnes concernées, analyse d'impact si nécessaire. La loi belge du 30 juillet 2018 ne fait pas de distinction selon le pouvoir organisateur.
Pouvons-nous utiliser Google Analytics sur notre site sans consentement ?
Non. L'APD s'aligne sur les positions du Comité européen de la protection des données (EDPB) : Google Analytics transfère des données vers les États-Unis et nécessite le consentement explicite de l'utilisateur. Une alternative conforme est l'utilisation d'un outil d'analytics hébergé en UE (Matomo auto-hébergé, Plausible, Fathom) qui ne transfère aucune donnée hors UE.
Combien de temps pouvons-nous conserver les données d'un candidat non inscrit ?
L'APD ne fixe pas de durée impérative, mais recommande de ne pas conserver les données au-delà de ce qui est nécessaire. Pour un candidat qui n'a pas finalisé son inscription, 12 mois après la fin de la campagne d'admission est un horizon raisonnable. Au-delà, les données doivent être anonymisées (pour les statistiques) ou supprimées.
Que faire si un candidat demande la suppression de ses données après avoir retiré sa candidature ?
Vous devez traiter la demande dans un délai d'un mois (art. 12.3 RGPD). La suppression doit être effective dans tous les systèmes : CRM, chatbot, fichiers Excel, emails, et chez tous les sous-traitants concernés. Documentez la demande et la suppression pour pouvoir en justifier auprès de l'APD en cas de contrôle.
Notre DPO est partagé entre trois Hautes écoles du même réseau — est-ce conforme ?
Oui. L'article 37.3 du RGPD prévoit explicitement qu'un groupe d'organismes publics ou d'organismes exerçant une mission d'intérêt public peut désigner un seul DPO, à condition qu'il soit facilement joignable par chaque établissement et par les personnes concernées. Veillez à ce que les coordonnées du DPO soient publiées sur le site web de chaque Haute école et mentionnées dans toutes les politiques de confidentialité.
Testez Skolbot sur votre école en 30 secondes
