ChatGPT
Claude
Perplexity
Gemini
GroknLPD et formulaire de candidature : ce que votre HES ou université cantonale doit savoir
La Suisse n'est pas membre de l'Union européenne. Le texte qui régit la protection des données de vos candidats n'est pas le RGPD, mais la nouvelle Loi fédérale sur la protection des données (nLPD, RS 235.1), en vigueur depuis le 1er septembre 2023. L'autorité de surveillance compétente est le Préposé fédéral à la protection des données et à la transparence (PFPDT) — et non une autorité européenne.
Cette précision n'est pas que juridique. Elle a des conséquences directes sur la façon dont vous rédigez votre formulaire de candidature, sur les mentions obligatoires, et surtout sur ce que vous n'avez pas besoin de faire — et qui freine pourtant de nombreux candidats.
Le premier réflexe de beaucoup de HES romandes et d'universités cantonales est de copier-coller une approche RGPD : case à cocher, consentement explicite pour chaque étape, politique de confidentialité de trente pages. Ce n'est pas ce que la nLPD exige pour un formulaire de candidature. La nLPD reconnaît un motif justificatif — l'intérêt prépondérant de l'établissement au sens de l'article 31 nLPD — qui couvre le traitement des données nécessaires à l'instruction d'une candidature. En d'autres termes : si un candidat remplit votre formulaire pour postuler à votre Bachelor en gestion, vous n'avez pas besoin de son consentement coché pour traiter ses données à cette fin. Vous avez besoin de l'informer.
La nuance est décisive. Sur le plan de l'expérience utilisateur, elle change tout.
Sur le plan du recrutement étudiant, le contexte suisse a également ses spécificités : il n'existe pas de Parcoursup. L'admission se fait soit directement auprès de l'établissement, soit via le portail swissuniversities.ch pour les HES (programmes Bachelor et Master), l'EPFL et l'ETH Zurich gérant leurs propres portails d'admission. Chaque institution reste responsable du traitement de ses données candidats, quel que soit le canal d'entrée.
Ce que la nLPD exige sur un formulaire de candidature suisse
L'article 19 de la nLPD impose une obligation d'information — structurellement similaire à l'article 13 du RGPD — lors de toute collecte de données personnelles. Le tableau ci-dessous détaille ce qui est obligatoire, recommandé, ou simplement inutile sur votre formulaire de candidature.
| Élément | Obligatoire | Format recommandé | Exemple |
|---|---|---|---|
| Identité du responsable du traitement | Oui | Texte ou lien | « HES-SO Genève, Rue de la Prairie 1, 1202 Genève » |
| Finalités du traitement | Oui | Texte court | « Traitement de votre candidature et communication des résultats » |
| Destinataires des données | Oui (nLPD art. 19) | Texte ou lien | « Données transmises au service des admissions uniquement » |
| Durée de conservation | Recommandé | Précise | « 2 ans après la fin de la procédure d'admission » |
| Droits des personnes | Oui | Lien vers politique | Lien « Votre politique de confidentialité » |
| Contact PFPDT ou délégué | Si désigné | Courriel ou formulaire | datenschutz@hes.ch |
| Case à cocher pour le traitement de candidature | NON | — | Inutile et contre-productif |
| Case à cocher pour newsletters | Oui, si envoi prévu | Opt-in séparé, non pré-coché | « Je souhaite recevoir des informations sur les formations » |
Deux points méritent d'être soulignés. Premièrement, la case à cocher pour le traitement de la candidature elle-même n'est pas requise par la nLPD — et elle ne doit pas bloquer la soumission du formulaire. Deuxièmement, si vous envisagez d'envoyer des courriels de relance ou des newsletters, un opt-in distinct et non pré-coché est nécessaire : c'est la seule case à cocher que la nLPD justifie sur un formulaire de candidature.
La déclaration de protection des données (en allemand : Datenschutzerklärung) doit par ailleurs être accessible publiquement sur votre site — pas uniquement dans le pied de page, et de préférence depuis le formulaire lui-même. C'est une exigence de transparence proactive que le PFPDT contrôle lors de ses évaluations.
Les 3 erreurs de consentement dans les établissements suisses
1. Le sur-consentement
La première erreur est la plus courante : demander un consentement explicite pour des traitements qui reposent légalement sur un motif justificatif (intérêt prépondérant au sens de l'art. 31 nLPD). Résultat : un formulaire alourdi par des cases à cocher inutiles, une expérience candidat dégradée, et une friction supplémentaire à chaque étape. La loi n'exige pas cet empilement — il reflète une transposition mécanique du RGPD européen, inappropriée au contexte suisse.
91 % des visiteurs quittent un site d'école sans laisser de coordonnées (Source : analyse Skolbot, 30 établissements, 2025–2026). Dans un contexte où les HES suisses font face à une concurrence accrue des universités cantonales et des EPF pour attirer les meilleurs candidats, cette déperdition est critique. Chaque friction supplémentaire dans le formulaire amplifie ce taux d'abandon.
2. La déclaration de protection des données introuvable
La nLPD exige que les personnes concernées puissent accéder facilement à l'information sur le traitement de leurs données. Pourtant, dans de nombreux établissements, la politique de confidentialité est enfouie dans le pied de page, disponible en allemand uniquement, ou n'a pas été mise à jour depuis l'entrée en vigueur de la nLPD en septembre 2023. Cette situation expose l'établissement à une recommandation du PFPDT, voire à une procédure en cas de dénonciation — les sanctions pénales pouvant atteindre CHF 250'000 pour la personne physique responsable.
La Suisse est quadrilingue : pour une HES romande recevant des candidats francophones, germanophones et italophones, la déclaration doit exister au minimum en français — et idéalement dans les langues de votre bassin de recrutement.
3. Le formulaire conditionnel
Soumettre le traitement de la candidature elle-même à un consentement préalable est contraire aux principes de la nLPD et, dans la plupart des cas, juridiquement injustifié. Si le consentement est une condition sine qua non de la soumission du formulaire, et que ce consentement porte sur un traitement qui repose déjà sur un motif justificatif, vous créez une obligation fictive. Le PFPDT considère ce type de consentement conditionné comme potentiellement invalide, puisqu'il n'est pas donné librement.
La solution minimale nLPD pour votre formulaire de candidature
Une notice d'information conforme à la nLPD n'a pas besoin d'être longue. Elle doit être claire, accessible avant la soumission, et rédigée dans la langue du candidat. Voici un exemple de mention courte, adaptable par tout établissement suisse :
Les données personnelles que vous nous communiquez dans ce formulaire sont traitées par [Nom de l'établissement], [adresse], en tant que responsable du traitement, aux fins d'instruction de votre candidature et de communication des résultats. Ces données sont transmises au service des admissions et, le cas échéant, au jury d'admission. Elles sont conservées pendant 2 ans à compter de la fin de la procédure. Vous disposez d'un droit d'accès, de rectification et d'effacement de vos données, ainsi que du droit de vous opposer au traitement, en vous adressant à [courriel ou lien formulaire]. Pour toute question relative à la protection de vos données, consultez notre [politique de confidentialité] ou contactez notre conseiller à la protection des données : [courriel].
Cette mention couvre les exigences de l'article 19 nLPD : responsable du traitement, finalités, destinataires, durée de conservation, et droits des personnes. Elle peut être affichée directement sous le bouton de soumission, ou via un lien d'expansion (accordéon) pour ne pas alourdir visuellement le formulaire.
Un point clé par rapport au RGPD : sous la nLPD, la Datenschutzerklärung doit être accessible en permanence depuis votre site, même en dehors du contexte du formulaire. Un lien stable dans la navigation principale (ou dans le pied de page, à condition qu'il soit effectivement visible) est requis.
Pour les candidatures transitant par le portail swissuniversities.ch, la notice de l'établissement doit compléter celle du portail — ce dernier déclinant sa responsabilité pour les traitements effectués par les institutions dans leurs propres systèmes d'admission.
HES via swissuniversities.ch vs. candidature directe : deux logiques différentes
Le portail swissuniversities.ch facilite les candidatures aux programmes HES en Suisse. Il dispose de sa propre notice de protection des données couvrant la navigation et les données de session sur la plateforme. Mais dès que votre établissement reçoit et traite un dossier de candidature, c'est votre école qui devient responsable du traitement au sens de l'art. 5 let. j nLPD — pas swissuniversities.ch.
Cela a une conséquence pratique : votre propre déclaration de protection des données doit couvrir explicitement le traitement des données candidats reçues via ce portail, et la notice sur votre formulaire (ou dans votre courriel d'accusé de réception) doit s'appliquer à ces données.
Pour les programmes Master HES avec admission directe, la situation est identique. L'EPFL et l'ETH Zurich, qui gèrent leurs propres portails d'admission, ont développé des politiques de confidentialité spécifiques à leurs systèmes — un modèle que les HES romandes et les universités cantonales ont intérêt à reproduire pour leurs propres candidatures directes.
La comparaison entre les canaux de premier contact est instructive. Selon les données Skolbot (analyse 2025–2026), 18,4 % des prospects s'inscrivent à une journée portes ouvertes (JPO) via le chatbot, contre 6,2 % via le formulaire classique. L'écart s'explique en partie par la friction du formulaire traditionnel — dont les cases à cocher de consentement inutiles font partie. Un formulaire conforme à la nLPD, dépouillé des obligations fictives, est aussi un formulaire qui convertit mieux.
FAQ — nLPD et formulaire de candidature en Suisse
La nLPD est-elle très différente du RGPD pour les formulaires de candidature ?
La nLPD, entrée en vigueur le 1er septembre 2023, s'aligne fortement sur le RGPD. Les principales différences pour les formulaires de candidature sont : l'obligation de publier une politique de confidentialité accessible, l'absence de registre d'activités de traitement obligatoire pour les petites structures (<250 collaborateurs sans traitement à risque), et une terminologie légèrement différente. Consultez les guides du PFPDT pour les spécificités suisses.
Quelle mention mettre sur le formulaire de candidature d'une HES suisse ?
La mention minimale doit indiquer le nom et l'adresse de l'établissement responsable du traitement, la finalité (instruction de la candidature), les destinataires (service des admissions), la durée de conservation (recommandation : 2 ans après la fin de la procédure), et un lien vers la politique de confidentialité complète. Un exemple adapté à l'usage romand : « Vos données sont traitées par [HES-SO / HEIG-VD / HEIA-FR / etc.], [adresse], aux fins d'instruction de votre candidature. Pour en savoir plus sur vos droits et la durée de conservation, consultez notre [politique de confidentialité]. » Un courriel de contact du conseiller à la protection des données peut être ajouté si l'établissement en a désigné un.
Puis-je envoyer des courriels de relance aux candidats sans consentement explicite ?
Oui, sous réserve que le traitement repose sur un motif justificatif (intérêt prépondérant de l'établissement au sens de l'art. 31 nLPD) et que le candidat dispose d'un droit d'opposition. Les relances liées au dossier de candidature entrent généralement dans ce cadre.
Combien de temps conserver les données d'un candidat non retenu ?
Deux ans après la fin de la procédure d'admission est la durée généralement recommandée, alignée avec les délais de prescription ordinaires du droit suisse. Les données des candidats admis sont conservées pour la durée de la relation et conformément aux obligations légales des hautes écoles. Pour un cadrage complet des durées de rétention, consultez notre article sur la durée de rétention des données prospect.
Quelles sanctions risque un établissement suisse non conforme ?
Le PFPDT peut ouvrir des procédures et émettre des recommandations. La nLPD prévoit des sanctions pénales (amendes jusqu'à CHF 250'000) pour les personnes physiques en cas de violation grave. Contrairement à l'UE, il n'y a pas d'amende administrative directe à l'encontre de l'organisation pour l'infraction de base.
Mettre son formulaire de candidature en conformité avec la nLPD n'est pas un projet lourd. C'est une notice claire, une politique de confidentialité accessible, et l'abandon des cases à cocher inutiles. Le bénéfice est double : votre établissement est conforme vis-à-vis du PFPDT, et votre taux de conversion s'améliore mécaniquement.
Pour aller plus loin, consultez notre guide nLPD et données étudiantes, notre comparatif des fournisseurs de chatbot conformes protection des données pour les écoles, et notre guide sur le délégué à la protection des données externalisé pour écoles privées.
Testez Skolbot sur votre établissement en 30 secondes
