skolbot.Chatbot IA pour écoles
ProduitTarifs
Démo gratuite
Démo gratuite
Guide RGPD pour la protection des données étudiantes dans les universités et hautes écoles belges
  1. Accueil
  2. /Blog
  3. /Conformité
  4. /RGPD et données étudiantes : guide complet pour les écoles belges
Retour au blog
Conformité17 min read

RGPD et données étudiantes : guide complet pour les écoles belges

Tout ce qu'une école supérieure en Fédération Wallonie-Bruxelles doit savoir sur le RGPD : bases légales, consentement, DPO, APD, IA Act et loi belge du 30 juillet 2018. Guide pratique.

S

Équipe Skolbot · 17 avril 2026

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Sommaire

  1. 01Le RGPD s'applique à chaque donnée que votre établissement collecte sur un candidat ou un étudiant
  2. 02Les catégories de données personnelles traitées par une école belge
  3. Données des candidats (pré-inscription)
  4. Données des étudiants inscrits
  5. Données des alumni
  6. 03Les bases légales applicables dans l'enseignement supérieur belge
  7. Les 6 bases légales du RGPD et leur application aux établissements FWB
  8. Tableau comparatif : RGPD et spécifications belges
  9. Erreur fréquente : le consentement comme base par défaut
  10. 04Le consentement dans le contexte éducatif belge
  11. Consentement des mineurs
  12. Consentement et chatbot IA
  13. 05Les droits des personnes concernées
  14. Les 8 droits que votre école doit garantir
  15. L'effacement en cascade : un défi technique
  16. 06Le DPO : rôle et obligations pour les écoles belges
  17. Quand la désignation d'un DPO est-elle obligatoire ?
  18. DPO interne ou externe ?
  19. 07L'IA Act et ses implications pour les écoles belges
  20. Classification des systèmes IA dans l'éducation
  21. Calendrier d'entrée en application
  22. 08Obligations concrètes pour une école en FWB
  23. Tableau synthèse des obligations
  24. Framework Skolbot « Privacy-by-default pour chatbot d'admission »
  25. 09Sécurité des données : mesures techniques et organisationnelles
  26. Le principe de minimisation
  27. Mesures techniques indispensables
  28. Analyse d'impact (AIPD)

Le RGPD s'applique à chaque donnée que votre établissement collecte sur un candidat ou un étudiant

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD — Règlement 2016/679) encadre tout traitement de données personnelles dans l'Union européenne. La Belgique, en tant qu'État membre, applique intégralement le RGPD, complété par la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (publiée au Moniteur belge). Pour une université, une haute école ou une école de gestion privée, le périmètre couvert dépasse largement les dossiers d'inscription : formulaires de contact, interactions chatbot, analytics du site, inscriptions aux Cours ouverts, résultats académiques, données de santé, photographies de campus.

La non-conformité n'est pas un risque théorique. L'Autorité de protection des données (APD) a, via sa Chambre Contentieuse, prononcé en 2025 plusieurs décisions contre des organismes de formation pour défaut de base légale et collecte excessive. Début 2026, l'APD a confirmé que l'IA dans le secteur éducatif figure parmi ses axes de contrôle prioritaires — notamment les outils de profilage des candidats et les chatbots sans information de transparence conforme. Le plafond des amendes — 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial — concentre les esprits, y compris dans les hautes écoles aux budgets plus modestes.

Ce guide couvre les obligations concrètes pour les établissements d'enseignement supérieur en Fédération Wallonie-Bruxelles (FWB) : types de données, bases légales, consentement, droits des personnes, rôle du DPO, et implications de l'IA Act pour les outils d'admission et les chatbots.

Mise à jour avril 2026 — Cet article a été actualisé avec le calendrier de conformité IA Act, les dernières décisions de la Chambre Contentieuse de l'APD et les ajustements du décret Paysage.

Les catégories de données personnelles traitées par une école belge

Données des candidats (pré-inscription)

Les données collectées avant l'inscription constituent le premier périmètre RGPD. Contrairement à la France, il n'existe pas de plateforme Parcoursup en Belgique : chaque candidat s'inscrit directement auprès de l'établissement de son choix (sauf pour les filières contingentées comme la médecine, où l'ARES organise un examen d'entrée). Cela place la responsabilité de la collecte initiale entièrement sur l'école.

  • Données d'identification — nom, prénom, adresse email, numéro de téléphone, recueillis via formulaires de contact, chatbot, Cours ouverts ou Campus Days
  • Données de navigation — pages visitées, temps passé, source d'acquisition
  • Données conversationnelles — questions posées au chatbot, historique, langue utilisée (français, néerlandais, anglais)
  • Données de candidature — CV, lettre de motivation, relevés de notes, CESS (Certificat d'enseignement secondaire supérieur), carte d'identité

89 % des candidats posent une question sur le minerval et 72 % s'interrogent sur les débouchés ou la formation en alternance via IFAPME/EFP (Source : analyse de 8 400 conversations chatbot Skolbot sur établissements FWB, sept. 2025 — fév. 2026). Ces échanges constituent des données personnelles dès qu'un identifiant (nom, email) est associé à la conversation.

Données des étudiants inscrits

Une fois inscrit, l'étudiant génère un volume de données nettement plus important :

  • Données académiques — notes, assiduité, progression dans le parcours (crédits ECTS), diplômes (bachelier, master, doctorat)
  • Données financières — minerval, échéanciers de paiement, bourses FWB, complément de minerval pour étudiants non-UE
  • Données de vie campus — accès bâtiments (badge pour les auditoires), restauration, kot conventionné
  • Données sensibles — handicap, situation sociale, données de santé (service médical, aménagements raisonnables)

Les données sensibles (article 9 du RGPD) exigent des protections renforcées : base légale spécifique, limitation stricte de l'accès, et interdiction de traitement automatisé pour la prise de décision, sauf exceptions explicites.

Données des alumni

Le traitement des données alumni (annuaire, dons, événements réseau) nécessite une base légale distincte de celle utilisée pendant la scolarité. Le consentement donné pour l'inscription ne couvre pas automatiquement le suivi post-diplôme — un point sur lequel la Chambre Contentieuse de l'APD s'est déjà exprimée dans des décisions visant des ASBL d'anciens étudiants.

Les bases légales applicables dans l'enseignement supérieur belge

Les 6 bases légales du RGPD et leur application aux établissements FWB

Le RGPD (article 6) définit six bases légales pour le traitement de données personnelles. Dans l'enseignement supérieur, quatre sont principalement utilisées :

  • Exécution d'un contrat (article 6.1.b) — Base la plus solide pour les données liées à l'inscription, la scolarité et la facturation. Le contrat de formation matérialisé par le paiement du minerval justifie le traitement des données nécessaires à son exécution.

  • Intérêt légitime (article 6.1.f) — Applicable au marketing de recrutement (envoi de brochures, relances avant Cours ouverts) et à l'analytics du site. Exige un test de mise en balance documenté : l'intérêt de l'école ne doit pas primer sur les droits de la personne. L'APD, comme le EDPB (Comité européen de la protection des données), recommande une documentation formelle.

  • Consentement (article 6.1.a) — Requis pour les newsletters marketing, le dépôt de cookies non essentiels, et le partage de données avec des partenaires. Le consentement doit être libre, spécifique, éclairé et univoque. L'APD est particulièrement stricte sur la qualité du consentement cookies : un bandeau avec bouton « Accepter » sans bouton « Refuser » équivalent en visibilité est considéré comme non conforme depuis les lignes directrices APD de 2023.

  • Obligation légale (article 6.1.c) — Concerne la transmission de données aux autorités belges (ARES, AEQES dans le cadre des évaluations qualité, administration de la FWB pour les subventions) et la conservation des diplômes.

Tableau comparatif : RGPD et spécifications belges

ThèmeRGPD (base UE)Spécification belge (loi 30 juillet 2018)
Autorité de contrôleImposée par l'État membreAPD — Chambre Contentieuse (décisions) + Chambre de première ligne (médiation)
Âge du consentement numérique16 ans (article 8)13 ans — seuil abaissé en droit belge
Registre des traitementsObligatoire (article 30)Applicable ; inspections récurrentes de l'APD dans le supérieur
SanctionsJusqu'à 20 M€ ou 4 % CAApplicables en Belgique + sanctions pénales complémentaires (loi 2018, art. 222-230)
Transposition nationaleÀ la charge de chaque ÉtatLoi du 30 juillet 2018 (Moniteur belge)
DPO dans le secteur publicObligatoireÉgalement obligatoire pour les universités FWB (organismes d'intérêt public)

Erreur fréquente : le consentement comme base par défaut

Beaucoup d'écoles utilisent le consentement comme base légale unique pour tous les traitements. C'est une erreur stratégique. Le consentement est révocable à tout moment (article 7.3), ce qui signifie que si un étudiant retire son consentement, l'école perd le droit de traiter ses données — y compris celles nécessaires à sa scolarité.

La bonne approche : exécution du contrat pour les traitements liés à la formation, obligation légale pour les transmissions à l'ARES ou au MESRi de la FWB, intérêt légitime pour le recrutement (avec test documenté), consentement uniquement pour le marketing et les cookies.

Le consentement dans le contexte éducatif belge

Consentement des mineurs

Le RGPD (article 8) fixe le seuil de consentement numérique à 16 ans, mais chaque État membre peut l'abaisser jusqu'à 13 ans. La Belgique a retenu le seuil plus bas : 13 ans. Pour les établissements post-secondaire, la majorité des candidats sont majeurs, mais certains bacheliers entament leurs études à 17 ans après un parcours scolaire accéléré.

Pour les candidats mineurs : le consentement des parents ou tuteurs légaux est requis pour tout traitement basé sur le consentement. Les formulaires doivent prévoir un mécanisme de vérification (email parental, double opt-in).

Consentement et chatbot IA

Un chatbot IA qui collecte des données personnelles doit informer le candidat avant le début de la conversation :

  • Qu'il interagit avec une intelligence artificielle (obligation de transparence IA Act, article 50)
  • Quelles données sont collectées et pourquoi
  • Comment exercer ses droits (accès, rectification, effacement) auprès du DPO de l'école
  • La durée de conservation des conversations

Un bandeau d'information au lancement du chatbot, avec lien vers la politique de confidentialité et coordonnées du DPO, remplit cette obligation. Le chatbot ne doit pas conditionner l'accès à l'information à la fourniture de données personnelles : un candidat doit pouvoir poser une question sur le minerval ou sur la vie en kot sans décliner son identité.

Les droits des personnes concernées

Les 8 droits que votre école doit garantir

Le RGPD confère aux personnes concernées (candidats, étudiants, alumni) huit droits fondamentaux. Votre école doit disposer de procédures opérationnelles pour répondre à chacun dans un délai d'un mois :

  • Droit d'accès (article 15) — L'étudiant peut demander copie de toutes les données détenues.
  • Droit de rectification (article 16) — Correction des données inexactes.
  • Droit à l'effacement (article 17) — Le « droit à l'oubli ». Limité par les obligations de conservation (diplômes, comptabilité).
  • Droit à la limitation (article 18) — Gel du traitement en cas de contestation.
  • Droit à la portabilité (article 20) — Transfert vers un autre établissement (utile pour les réorientations fréquentes entre UCLouvain, ULB, ULiège ou hautes écoles).
  • Droit d'opposition (article 21) — Refus du traitement fondé sur l'intérêt légitime.
  • Droit de ne pas être soumis à une décision automatisée (article 22) — Fondamental pour les outils d'admission IA.
  • Droit de retirer son consentement (article 7.3) — À tout moment.

L'effacement en cascade : un défi technique

Quand un candidat exerce son droit à l'effacement, toutes les données le concernant doivent disparaître de tous les systèmes : CRM, chatbot, outil d'emailing, analytics nominatives, backups. Le coût d'acquisition par étudiant est plus bas qu'en France dans le marché FWB (~900 à 1 400 EUR, selon les analyses Skolbot et le rapport ARES 2025), mais chaque demande d'effacement reste une perte d'investissement marketing. D'où l'importance de la minimisation dès la collecte.

La suppression doit être effective dans un mois. Un processus d'effacement en cascade documenté, testé régulièrement, est indispensable.

Le DPO : rôle et obligations pour les écoles belges

Quand la désignation d'un DPO est-elle obligatoire ?

Le RGPD (article 37) rend obligatoire la désignation d'un Délégué à la protection des données (DPO) lorsque le traitement est effectué par un organisme public, ou lorsque les activités de base impliquent un suivi régulier et systématique de personnes à grande échelle.

En pratique en Belgique :

  • Universités (ULB, UCLouvain, ULiège, UNamur, UMons, USL-B) — organismes d'intérêt public subventionnés, DPO obligatoire.
  • Hautes écoles (HELB, HE Léonard de Vinci, HEH, HELMo) — organismes d'intérêt public, DPO obligatoire.
  • Écoles de gestion et business schools (Solvay, Louvain School of Management, ICHEC, HEC Liège, Vlerick) — intégrées aux universités ou à large diffusion, DPO considéré comme obligatoire par l'APD dans ses lignes directrices 2022 sur l'enseignement supérieur.

DPO interne ou externe ?

Les deux options sont légitimes. Un DPO interne connaît mieux les processus mais risque le conflit d'intérêts s'il cumule avec une fonction décisionnelle. Un DPO externe apporte une expertise spécialisée et une indépendance, mais demande un temps d'acculturation aux spécificités FWB (décret Paysage, évaluation AEQES, relations avec l'ARES).

Le DPO doit avoir accès direct à la direction (rectorat pour une université, direction générale pour une haute école), ne peut être sanctionné pour l'exercice de sa mission, et dispose de moyens suffisants.

L'IA Act et ses implications pour les écoles belges

Classification des systèmes IA dans l'éducation

L'IA Act européen (Règlement 2024/1689) s'applique directement en Belgique. La coordination est assurée par l'APD au niveau fédéral, en lien avec les autorités sectorielles. L'IA Act classe les systèmes par niveau de risque. Pour l'enseignement supérieur, deux catégories sont pertinentes :

Risque élevé (Annexe III) — Les systèmes IA utilisés pour l'admission, l'évaluation des candidatures ou la notation automatisée des examens sont classés à haut risque. Ils exigent :

  • Un système de gestion des risques documenté
  • Des jeux de données d'entraînement représentatifs (pas seulement des candidats issus de la Communauté française — un biais linguistique français/néerlandais est à surveiller)
  • Une supervision humaine effective (l'IA recommande, le jury d'admission décide)
  • Une transparence complète envers les candidats
  • Un enregistrement dans la base de données européenne des systèmes IA à haut risque

Risque limité (article 50) — Les chatbots d'information pré-admission relèvent du risque limité. L'obligation principale est la transparence : le candidat doit savoir qu'il interagit avec une IA.

Calendrier d'entrée en application

  • Février 2025 — Interdictions effectives (systèmes à risque inacceptable). Déjà en vigueur.
  • Août 2025 — Obligations de gouvernance et codes de conduite.
  • Août 2026 — Conformité complète pour les systèmes à haut risque.

Au T1 2026, le Bureau européen de l'IA a confirmé que les chatbots d'information pré-admission relèvent du risque limité (obligation de transparence). En revanche, les écoles belges qui envisagent un scoring automatisé des candidatures — pratique encore rare en FWB mais testée dans certaines écoles de gestion — n'ont plus que 5 mois pour se mettre en conformité.

Pour comprendre l'écosystème FWB dans lequel ces obligations s'appliquent, consultez notre guide de l'enseignement supérieur privé en Belgique.

Obligations concrètes pour une école en FWB

Tableau synthèse des obligations

ObligationFondementApplicable à
Registre des traitementsRGPD art. 30 + loi 2018Toutes les écoles, dès le 1er étudiant
Désignation DPORGPD art. 37Universités, hautes écoles, écoles privées à grande diffusion
AIPD (analyse d'impact)RGPD art. 35Chatbot IA, IA d'admission, vidéosurveillance campus, profilage
Politique de confidentialitéRGPD art. 13-14Tout site web et chatbot public
Conformité cookiesLoi 2018 + lignes directrices APDTout site web
Notification de violationRGPD art. 3372 h à l'APD en cas d'incident
Clauses de sous-traitanceRGPD art. 28Éditeurs SaaS (chatbot, CRM, emailing)
Transferts hors UERGPD chap. VHébergement, outils d'analytics

Framework Skolbot « Privacy-by-default pour chatbot d'admission »

Chez Skolbot, nous appliquons un framework simple pour tout chatbot déployé dans une université ou haute école FWB :

  1. Zéro collecte passive — le chatbot ne demande jamais nom/email tant que le candidat n'exprime pas explicitement le souhait d'être recontacté. Les 12 premières minutes de conversation sont anonymes.
  2. Hébergement UE souverain — stockage en région europe-west, pas de transfert transatlantique.
  3. Zero-party data uniquement — les seules données personnelles exploitées sont celles que le candidat a volontairement fournies en réponse à une question claire (« Voulez-vous qu'un conseiller vous recontacte ? »).
  4. Durée de conservation différenciée — conversations anonymes purgées à 90 jours, données identifiées alignées sur le cycle de recrutement (12 mois après la dernière interaction).
  5. Bouton « supprimer mes données » accessible dans l'interface chatbot.

Ce framework répond aux attentes de la Chambre Contentieuse de l'APD et réduit drastiquement la surface d'exposition.

Sécurité des données : mesures techniques et organisationnelles

Le principe de minimisation

L'article 5.1.c du RGPD impose de ne collecter que les données strictement nécessaires. Pour un chatbot d'école, cela signifie : ne pas exiger nom, email ou téléphone pour répondre à une question sur les programmes, le minerval ou la durée du blocus. La collecte d'identifiants ne se justifie que lorsque le candidat souhaite être recontacté.

Mesures techniques indispensables

  • Chiffrement — En transit (TLS 1.3) et au repos (AES-256)
  • Hébergement européen — Serveurs dans l'UE, conformément aux recommandations de l'EDPB sur les transferts internationaux
  • Pseudonymisation — Séparation des identifiants et des données comportementales
  • Journalisation des accès — Traçabilité conforme aux attentes APD
  • Sauvegardes chiffrées — Avec test de restauration régulier
  • Suppression automatisée — Purge selon les durées de conservation

Analyse d'impact (AIPD)

L'article 35 du RGPD exige une AIPD avant tout traitement susceptible d'engendrer un risque élevé. Pour une école FWB :

  • Déploiement d'un chatbot IA collectant des données personnelles
  • Utilisation d'outils IA pour l'évaluation des candidatures
  • Vidéosurveillance des auditoires et des bâtiments
  • Profilage des candidats à des fins marketing

L'AIPD doit décrire le traitement, évaluer sa nécessité et sa proportionnalité, identifier les risques, et proposer des mesures d'atténuation. En cas de risque résiduel élevé, consultation préalable de l'APD obligatoire (article 36).

FAQ

Mon école doit-elle nommer un DPO ?

Dans la pratique, oui. L'APD considère qu'une université ou haute école en FWB traite des données de plusieurs centaines à plusieurs milliers d'étudiants (notes, données financières, santé, handicap) — ce qui constitue un traitement à grande échelle au sens du RGPD. Même une école de gestion privée à 500 étudiants est concernée. Le DPO peut être mutualisé entre plusieurs établissements (fréquent dans les pôles académiques Louvain et Liège) ou externalisé. Pour les universités, qui sont des organismes d'intérêt public, le DPO est obligatoire sans discussion.

Quels sont les pouvoirs de l'APD ?

L'Autorité de protection des données dispose d'un pouvoir d'investigation, de médiation (Chambre de première ligne) et de sanction (Chambre Contentieuse). Elle peut imposer des amendes administratives jusqu'à 20 M€ ou 4 % du CA mondial, ordonner la mise en conformité, interdire temporairement un traitement, ou porter l'affaire devant la Cour des marchés. La Chambre Contentieuse publie ses décisions sur autoriteprotectiondonnees.be, et les recours sont portés devant la Cour des marchés (Bruxelles). Un point différenciant par rapport à la France : la loi du 30 juillet 2018 prévoit aussi des sanctions pénales complémentaires.

Comment gérer les cookies de mon chatbot ?

Trois règles clés. Premièrement, distinguer les cookies strictement nécessaires (fonctionnement du chatbot, sans lesquels le service ne marche pas) — exemptés de consentement — des cookies analytics et marketing, qui requièrent un consentement actif. Deuxièmement, proposer un bandeau conforme aux lignes directrices APD : boutons « Accepter », « Refuser » et « Paramétrer » avec la même visibilité (pas de pré-cochage, pas de « Continuer à naviguer = accepter »). Troisièmement, conserver la preuve du consentement pendant toute sa durée de validité. Beaucoup d'écoles FWB utilisent encore des bandeaux non conformes hérités de 2018 — c'est un des premiers points audités par l'APD.

Un chatbot IA est-il conforme au RGPD ?

Oui, à condition de respecter quatre obligations : informer le candidat qu'il interagit avec une IA (transparence IA Act, article 50), ne collecter que les données strictement nécessaires (minimisation), proposer un accès, une rectification et un effacement faciles, et héberger les données dans l'UE. Un chatbot conforme informe avant de collecter et ne conditionne pas l'accès à l'information à la fourniture de données personnelles. Pour un déploiement adapté aux budgets FWB, consultez notre guide sur les chatbots IA pour les hautes écoles belges.

Combien de temps peut-on conserver les données d'un candidat non inscrit ?

L'APD recommande une durée maximale de 3 ans après le dernier contact pour la prospection commerciale, alignée sur les pratiques européennes. Pour un candidat n'ayant jamais donné suite : effacement à 3 ans. Pour un candidat dont le dossier a été refusé : conservation du dossier 1 an (contentieux éventuel), puis effacement, à l'exception des éléments nécessaires à la preuve de non-discrimination (article 21 de la loi 2018). Ces durées doivent figurer dans le registre des traitements.

La conformité RGPD n'est pas un projet ponctuel. C'est un processus continu qui touche chaque service de l'école — admissions, scolarité, marketing, IT, rectorat ou direction. Les établissements qui l'intègrent dès la conception de leurs outils (privacy by design) protègent leurs étudiants et se protègent eux-mêmes, tout en renforçant leur crédibilité face à l'APD et à l'AEQES lors des évaluations qualité.

Pour approfondir le cadre belge spécifique, consultez notre guide RGPD et APD pour les écoles supérieures belges. Pour comprendre l'écosystème FWB dans lequel ces obligations s'appliquent, consultez notre guide de l'enseignement supérieur privé en Belgique. Pour aller plus loin sur le déploiement d'un chatbot conforme dans une haute école, voyez notre article sur les chatbots IA pour les hautes écoles belges.

Testez Skolbot sur votre école en 30 secondes

Articles similaires

Guide RGPD et LVP de protection des données prospects étudiants en Belgique
Conformité

Données prospects en Belgique : guide RGPD et LVP opérationnel

Guide de l'IA Act pour les établissements d'enseignement supérieur belges
Conformité

IA Act et enseignement supérieur en Belgique : ce que votre école doit savoir

Checklist audit RGPD haute école Belgique : bouclier, registre des traitements et DPO en illustration isométrique
Conformité

Audit RGPD pour haute école en Belgique : checklist en 20 points

Illustration chatbot IA RGPD données collecte haute école belge FWB, conformité APD 2026
Conformité

Chatbot IA et RGPD en Belgique : quelles données peut-on collecter dans une haute école ?

Illustration isométrique du processus de demande d'effacement RGPD avec bouclier et icônes de documents pour une haute école belge
Conformité

Droit à l'effacement RGPD en Belgique : que faire quand un prospect demande la suppression de ses données

Retour au blog

RGPD · IA Act · Hébergement UE

skolbot.

SolutionTarifsBlogÉtudes de casComparatifAI CheckFAQÉquipeMentions légalesPolitique de confidentialité

© 2026 Skolbot