ChatGPT
Claude
Perplexity
Gemini
GrokPourquoi les hautes écoles belges transfèrent des données hors UE sans toujours le réaliser
Une haute école à Bruxelles qui utilise Google Workspace pour ses admissions, Zoom pour ses entretiens avec des candidats internationaux, et Salesforce pour son suivi des prospectes, transfère chaque jour des données personnelles vers des serveurs américains. Ce constat n'est pas spécifique à la Belgique — mais le cadre juridique et l'autorité de contrôle compétente le sont.
Plus de 30 % des étudiants inscrits dans les hautes écoles et universités de la Fédération Wallonie-Bruxelles sont de nationalité étrangère (données ARES, 2024-2025). Cette proportion impose structurellement des flux transfrontaliers pour la gestion des candidatures, la communication avec les familles, et l'organisation des entretiens d'admission à distance via des outils de visioconférence.
La Belgique est un État membre de l'Union européenne : le RGPD (Règlement 2016/679) est d'application directe. Mais l'application locale du RGPD est supervisée par l'APD (Autorité de protection des données) — et non par la CNIL française. L'APD a ses propres priorités d'action, ses propres lignes directrices, et une jurisprudence spécifique au secteur éducatif belge. C'est cette spécificité qu'il faut maîtriser pour être conforme en Belgique.
Le cadre juridique : RGPD Chapitre V et loi belge du 30 juillet 2018
Le Chapitre V du RGPD (articles 44 à 49) pose les règles applicables aux transferts internationaux de données. Son principe est identique dans tous les États membres : les données personnelles de résidents de l'Espace économique européen (EEE) ne peuvent sortir de l'EEE que si un niveau de protection équivalent est garanti dans le pays destinataire.
En Belgique, la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (LVP) transpose et complète le RGPD. Pour les transferts internationaux, la LVP n'ajoute pas de contraintes spécifiques au Chapitre V — les mécanismes applicables sont identiques dans l'ensemble de l'UE. C'est le rôle de l'APD, et non de la CNIL, qui constitue la différence pratique essentielle.
Trois mécanismes couvrent l'essentiel des situations rencontrées par les établissements belges.
Les décisions d'adéquation
La Commission européenne reconnaît certains pays tiers comme offrant un niveau de protection équivalent à celui de l'UE. Parmi les pays adéquats les plus pertinents pour les institutions belges : le Royaume-Uni, le Canada (organisations commerciales), le Japon, la Corée du Sud, et la Nouvelle-Zélande. Les États-Unis bénéficient du Data Privacy Framework (DPF) depuis juillet 2023 — mais uniquement pour les entreprises certifiées DPF. Un transfert vers un sous-traitant américain non certifié nécessite les clauses contractuelles types.
Les clauses contractuelles types (CCT)
Les CCT 2021 (décision d'exécution 2021/914) constituent le mécanisme de transfert le plus répandu dans le secteur SaaS. Google, Microsoft, Zoom, Salesforce et la quasi-totalité des prestataires cloud américains s'appuient sur elles dans leurs accords de traitement des données. Depuis l'arrêt Schrems II de la CJUE (juillet 2020), les CCT doivent être complétées par une évaluation d'impact sur le transfert (TIA — Transfer Impact Assessment).
L'APD et l'EDPB (Comité européen de la protection des données) ont tous deux publié de la documentation sur les TIA. C'est la documentation de l'APD — et non de la CNIL — qui fait foi pour les établissements belges en cas de contrôle.
Les règles d'entreprise contraignantes (BCR)
Les BCR peuvent être approuvées par l'APD comme autorité chef de file pour les entreprises ayant leur établissement principal en Belgique. Elles s'adressent aux groupes multinationaux — pas aux hautes écoles ou universités indépendantes.
Ce que l'APD surveille : les transferts dans le viseur
L'APD belge a adopté une position alignée avec l'EDPB sur les transferts vers les États-Unis. Depuis l'adoption du DPF en juillet 2023, l'APD considère que les transferts fondés sur le DPF sont valides — pour les entreprises certifiées — mais rappelle que les CCT et la TIA restent nécessaires pour les traitements non couverts par la certification DPF.
Point d'attention spécifique : l'APD s'aligne sur la position de l'EDPB et de plusieurs autorités nationales (dont la DPA néerlandaise et la DSB autrichienne) sur Google Analytics. Même configuré avec le DPF, Google Analytics transfère des données identifiantes vers les États-Unis — la TIA doit être documentée avec soin. Des alternatives hébergées dans l'UE (Matomo auto-hébergé, Plausible) sont recommandées pour les établissements qui souhaitent éviter ce risque résiduel.
Cartographie des outils utilisés dans les hautes écoles et universités belges
| Outil | Données traitées | Mécanisme de transfert | Hébergement UE disponible | Statut APD |
|---|---|---|---|---|
| Google Workspace for Education | Email, Drive, Meet, formulaires | CCT 2021 + DPF | Oui (EU Data Boundary — activation requise) | Conforme si TIA documentée + EU Boundary activé |
| Microsoft 365 / Teams | Email, SharePoint, Teams | CCT 2021 + DPF | Oui (EU Data Boundary) | Conforme si TIA documentée |
| Zoom | Vidéoconférence, enregistrements | CCT 2021 + DPF | Oui (résidence des données UE) | Conforme si résidence activée + TIA |
| Salesforce | CRM candidatures, pipeline admissions | CCT 2021 + DPF | Oui (instance UE) | Conforme |
| HubSpot | Marketing, email, analytics | CCT 2021 + DPF | Oui (instance UE) | Conforme |
| Mailchimp | Emailing | CCT 2021 | Non — serveurs USA | Risque résiduel — envisager Brevo (hébergé UE) |
| Google Analytics 4 | Analytics comportemental | CCT 2021 + DPF | Non | À documenter avec soin — TIA nécessaire |
| Skolbot | Chatbot prospectes | Hébergement EEE | Oui | Traitement intra-EEE — pas de transfert hors UE |
Deux observations spécifiques à la situation belge. Premièrement, de nombreuses hautes écoles utilisent des systèmes de gestion académique belges ou européens (Helios, STIC, Plunet) — ces traitements n'impliquent pas de transfert hors EEE. Deuxièmement, les universités membres de l'accord Microsoft Campus Agreement belge (négocié par Belnet) bénéficient de conditions contractuelles centralisées — vérifiez si ces conditions incluent les clauses TIA conformes aux exigences post-Schrems II.
Recruter international depuis la Belgique : expositions spécifiques
Les hautes écoles et universités belges recrutent principalement dans trois directions :
Les pays francophones d'Afrique (Maroc, Sénégal, Côte d'Ivoire, Cameroun, RDC...) : ces pays ne bénéficient pas de décision d'adéquation européenne. Si vous utilisez un CRM américain pour gérer des candidats marocains ou sénégalais, le flux est double — mais ce qui déclenche les obligations RGPD, ce ne sont pas les données de ces candidats africains (le RGPD protège les résidents de l'EEE, pas tous les ressortissants étrangers), c'est l'usage du même CRM pour des données de candidats résidant dans l'EEE. Les CCT restent nécessaires pour le CRM.
Les pays de l'EEE (France, Pays-Bas, Allemagne...) : les données de ces candidats sont protégées par le RGPD. Leur transfert vers un CRM américain déclenche les obligations du Chapitre V.
Les pays hors EEE sans décision d'adéquation (USA, Chine, Inde, Émirats...) : si vous communiquez des données de ces candidats à des partenaires universitaires hors EEE pour des programmes de double diplôme, la convention de partenariat doit inclure les garanties adéquates.
Pour un guide complet sur la stratégie de recrutement international, consultez notre article recruter des étudiants internationaux.
Plan d'action en 90 jours pour les hautes écoles belges
Jours 1 à 30 : cartographie et inventaire
Listez l'ensemble des outils SaaS utilisés dans votre établissement (admissions, marketing, scolarité, communication, IT). Pour chacun : identifiez le siège de l'éditeur, la localisation des serveurs, le mécanisme de transfert déclaré, et l'existence d'un DPA (accord de traitement des données) signé conforme à l'article 28 RGPD.
Résultat attendu : une cartographie des transferts en format tableur, avec statut de conformité par outil.
Jours 31 à 60 : documentation et contractualisation
Pour chaque outil en transfert hors EEE, vérifiez les CCT dans le DPA. Téléchargez et validez les TIA fournies par les éditeurs (disponibles sur les portails de conformité Google, Microsoft, Zoom, Salesforce). Mettez à jour votre registre des traitements (article 30 RGPD) avec les informations de transfert pour chaque entrée concernée. Si votre établissement n'a pas encore désigné de DPO, c'est le moment de le faire — la LVP belge impose cette désignation aux institutions exerçant une mission d'intérêt public, ce qui inclut les hautes écoles subventionnées.
Jours 61 à 90 : validation et gouvernance continue
Faites valider la cartographie et les TIA par votre DPO (interne ou externalisé). Mettez en place une procédure d'évaluation systématique pour chaque nouveau prestataire : tout nouvel outil doit passer par le DPO avant déploiement, avec vérification des CCT et de la TIA. Formez les équipes admissions et marketing au réflexe de base : aucun outil touchant des données personnelles ne peut être mis en production sans validation DPO.
FAQ
L'APD belge est-elle aussi stricte que la CNIL française sur les transferts hors UE ?
L'APD et la CNIL sont toutes deux membres de l'EDPB et partagent les mêmes positions de principe. Sur les transferts, leurs positions sont alignées depuis l'adoption du DPF en 2023. La CNIL a historiquement été plus proactive sur les mises en demeure publiques (notamment sur Google Analytics en 2022-2023). L'APD belge intervient principalement sur plainte ou dans le cadre d'investigations sectorielles. Pour les hautes écoles belges, le risque de sanction APD est réel — plusieurs décisions de la Chambre contentieuse depuis 2020 ont visé des acteurs du secteur éducatif. La prudence documentaire s'impose.
Notre haute école utilise Microsoft 365 hébergé aux Pays-Bas — sommes-nous conformes ?
L'hébergement aux Pays-Bas maintient les données dans l'EEE et évite les transferts hors UE pour les données principales. C'est une bonne pratique. Cependant, certains services Microsoft 365 (support technique, logs de diagnostic, services d'IA) peuvent encore transiter vers les États-Unis. Il faut donc maintenir les CCT dans le DPA Microsoft et documenter une TIA pour ces transferts résiduels. L'option "EU Data Boundary" de Microsoft, activée explicitement dans l'Admin Center, réduit significativement ces transferts résiduels et simplifie la TIA.
Un candidat étranger refusé peut-il demander l'effacement de ses données de candidature ?
Oui. Le droit à l'effacement (article 17 RGPD) s'applique à tout résident de l'EEE dont les données sont traitées par votre établissement — quelle que soit la nationalité du candidat, dès lors qu'il réside dans l'UE/EEE. Pour les hautes écoles belges, le délai de réponse est d'un mois (article 12.3 RGPD). La suppression doit être effective dans tous les systèmes : CRM, chatbot, emails archivés, et chez tous les sous-traitants. Documentez la demande et la suppression pour pouvoir en justifier auprès de l'APD en cas de contrôle.
Faut-il une TIA pour transférer des données vers le Royaume-Uni après le Brexit ?
Non. Le Royaume-Uni bénéficie d'une décision d'adéquation de la Commission européenne, confirmée en 2025. Les transferts vers des prestataires britanniques ou vers des serveurs hébergés au Royaume-Uni ne nécessitent ni CCT ni TIA. Cette décision est réexaminée périodiquement — consultez les mises à jour de l'APD en cas d'évolution du statut d'adéquation du Royaume-Uni.
La conformité aux transferts internationaux n'est pas optionnelle pour les institutions belges qui recrutent à l'international. La bonne nouvelle : les mécanismes sont standardisés à l'échelle européenne, les grands éditeurs SaaS proposent des DPA conformes, et l'APD fournit une documentation accessible sur son site. L'effort réside dans la documentation et la gouvernance continue — pas dans une réforme technique majeure.
Testez Skolbot sur votre école en 30 secondesÀ lire aussi : RGPD et APD : obligations pour les hautes écoles belges · Guide RGPD et données étudiantes
