ChatGPT
Claude
Perplexity
Gemini
GrokQuand un prospect transmet un courriel pour demander la suppression de toutes ses données, la HES ou l'université suisse doit répondre dans un délai raisonnable — le Préposé fédéral à la protection des données et à la transparence (PFPDT) recommande de s'aligner sur la pratique européenne d'un mois. La base légale est la nouvelle Loi fédérale sur la protection des données (nLPD), en vigueur depuis le 1er septembre 2023. La Suisse n'est pas membre de l'Union européenne : le RGPD européen ne s'applique pas directement, même si la nLPD bénéficie d'une décision d'adéquation de l'UE et s'en inspire largement. Une absence de réponse ou un refus non fondé expose l'établissement à des procédures du PFPDT et, dans les cas graves, à des poursuites pénales — la nLPD prévoit des sanctions pénales pour les personnes physiques responsables, une spécificité suisse par rapport au RGPD.
Le contexte suisse présente d'autres particularités importantes pour les équipes d'admission. La Suisse compte quatre langues nationales, et les établissements de Suisse romande (cantons de Genève, Vaud, Neuchâtel, Jura, Fribourg et Valais romand) traitent des prospects principalement francophones, mais dans un cadre juridique fédéral unique. Les établissements cibles — universités cantonales (Unige, Unil, UniFR), écoles polytechniques fédérales (EPFL), hautes écoles spécialisées (HES-SO, HEP, HES privées comme EHL, Glion, Les Roches) — relèvent tous de la nLPD fédérale, sans loi cantonale superposée.
Pour comprendre le cadre général de protection des données dans l'enseignement supérieur suisse, consultez notre guide complet nLPD et données étudiantes en Suisse.
Ce que la nLPD prévoit : le droit à l'effacement à l'article 32
L'article 32 de la nLPD consacre le droit à la rectification et à l'effacement. Toute personne concernée peut demander au responsable du traitement de rectifier des données inexactes ou incomplètes, et d'effacer des données dont le traitement est illicite ou dont la conservation n'est plus justifiée au regard des finalités déclarées. Ce droit se distingue du droit d'accès (article 25 nLPD) et du droit à la portabilité (prévu par la nLPD dans des conditions plus restrictives qu'en RGPD) — chacun obéit à ses propres conditions d'exercice.
Qui peut exercer ce droit ? Toute « personne concernée » au sens de la nLPD — terme qui désigne la personne physique dont les données font l'objet d'un traitement. Contrairement au RGPD, la nLPD suisse s'applique aussi aux données des personnes morales (entreprises) dans certains contextes, mais pour les prospects d'un établissement d'enseignement supérieur, il s'agit quasi exclusivement de personnes physiques. Un candidat qui a rempli un formulaire de demande d'information sur les frais en CHF, participé à un Info-day, ou échangé avec le chatbot de l'établissement : tous sont des personnes concernées dont le droit à l'effacement s'applique dès le premier traitement de leurs données.
Quel délai ? La nLPD ne fixe pas de délai chiffré unique pour répondre à une demande d'effacement — elle impose une réponse dans un « délai raisonnable ». Le PFPDT recommande explicitement de s'aligner sur le délai d'un mois du RGPD européen. Ce délai peut être prorogé en cas de demandes multiples ou de complexité particulière, à condition d'informer le demandeur dans le délai initial. Adopter le standard d'un mois protège l'établissement en cas de contrôle PFPDT et facilite la gestion opérationnelle des demandes.
Quelle forme pour la demande ? Aucune forme particulière n'est imposée par la nLPD. La demande peut être formulée par courriel, via un formulaire de contact, par courrier postal ou verbalement lors d'un Info-day. L'établissement peut demander une vérification d'identité proportionnée — mais ne peut pas rendre l'exercice du droit dépendant d'une procédure administrative disproportionnée. Une demande de copie du passeport comme condition préalable à tout traitement d'une demande d'effacement serait disproportionnée selon les orientations du PFPDT.
Les trois déclencheurs principaux d'une demande d'effacement en Suisse
Sous la nLPD, les demandes d'effacement de prospects d'établissements suisses se regroupent autour de trois situations récurrentes, chacune avec sa propre base légale et son niveau d'obligation.
| Situation | Base légale de l'effacement (nLPD) | Effacement obligatoire |
|---|---|---|
| Le prospect retire son consentement aux communications marketing ou à l'utilisation de ses données | Art. 32 al. 1 — fin du motif justificatif (consentement retiré, art. 31 al. 1 let. a) | Oui, pour toutes les données dont le traitement reposait uniquement sur ce consentement |
| Les données ne sont plus nécessaires aux fins déclarées (ex. candidature non aboutie depuis plus de 3 ans) | Art. 32 al. 1 — données inutiles au regard des finalités | Oui, automatiquement par calendrier de conservation, ou sur demande |
| Le traitement était illicite dès l'origine (absence de motif justificatif, collecte non déclarée) | Art. 32 al. 1 — traitement illicite | Oui, sans délai, indépendamment de toute demande |
| Les données causent un préjudice au prospect (ex. profil inexact transmis à des tiers) | Art. 32 al. 2 — atteinte à la personnalité | Oui, avec possibilité de mention d'inexactitude si effacement impossible |
| Le prospect s'oppose au traitement fondé sur l'intérêt prépondérant et aucun motif impérieux ne prévaut | Art. 32 lu avec art. 31 al. 1 let. b — balance d'intérêts dépassée | Oui, sauf intérêts prépondérants documentés côté établissement |
Dans la pratique des HES et universités romandes, la situation la plus fréquente est le retrait du consentement marketing suivi d'une demande d'effacement complète du profil dans le CRM. La deuxième situation courante est la collecte de données sans motif justificatif valable — notamment via des listes de contacts issues de salons étudiants où le consentement des prospects n'a pas été correctement documenté. Les frais en CHF des établissements privés (CHF 15 000 à CHF 40 000 par an pour EHL, Glion ou Les Roches) rendent les prospects de ces établissements particulièrement attentifs à la gestion de leurs données personnelles.
Les motifs légitimes de refus — le droit à l'effacement a des limites en droit suisse
La nLPD prévoit des situations où le responsable du traitement peut s'opposer à un effacement ou le restreindre. Ces exceptions s'interprètent de manière stricte et ne peuvent pas être utilisées pour contourner le droit des personnes concernées.
Exception 1 — Obligation légale de conservation. Si une loi fédérale ou cantonale impose la conservation de certaines données (ex. obligations comptables selon le Code des obligations, obligations d'archivage imposées par le SEFRI ou par la LAHE), l'établissement peut refuser l'effacement pour les données couvertes par cette obligation. La conservation doit être strictement limitée aux données nécessaires et à la durée légale — conserver l'intégralité d'un dossier prospect au motif qu'une quittance en CHF doit être archivée 10 ans est disproportionné si la candidature n'a pas abouti à une inscription.
Exception 2 — Défense de droits en justice. Si l'établissement est partie à une procédure judiciaire impliquant le prospect, ou si une telle procédure est raisonnablement prévisible, il peut conserver les données strictement nécessaires à sa défense. Cette exception s'éteint dès la clôture définitive de la procédure.
Exception 3 — Intérêt public ou archivage. La nLPD reconnaît une exception pour les données dont la conservation est nécessaire à des fins d'intérêt public ou d'archivage scientifique, à condition de mettre en œuvre des mesures de protection appropriées (anonymisation, pseudonymisation). Cette exception est particulièrement pertinente pour les EPF fédérales (EPFL, ETH Zurich) qui mènent des activités de recherche institutionnelle, et pour les établissements dont l'accréditation par l'AAQ (Agence suisse d'accréditation et d'assurance qualité) repose sur des données historiques.
Exception 4 — Intérêt prépondérant du responsable ou d'un tiers. Si le responsable du traitement peut démontrer que ses intérêts ou ceux d'un tiers sont prépondérants par rapport à ceux du demandeur, il peut s'opposer partiellement à l'effacement. Cette exception doit être documentée avec une balance d'intérêts explicite — le PFPDT contrôle ce point lors de ses vérifications.
La nLPD prévoit également qu'en cas d'impossibilité d'effacer certaines données (ex. données intégrées dans des logs d'audit immuables), le responsable peut apposer une mention d'inexactitude ou de contestation sur les données concernées, en attendant leur effacement lors du prochain cycle technique. Cette solution de remplacement doit être expliquée au demandeur.
Procédure en 5 étapes avec calendrier jour par jour
Une demande d'effacement bien traitée suit un processus structuré. Voici la procédure recommandée pour les équipes d'admission des HES, universités et écoles privées de Suisse romande, conforme aux attentes du PFPDT.
Jour 1 — Réception et accusé de réception. Accusez réception de la demande dans les 24 à 48 heures par courriel. Consignez la demande dans votre registre interne des demandes d'exercice de droits — bonne pratique documentaire directement liée au principe d'accountability de l'article 23 nLPD. Si la demande est formulée dans une autre langue nationale (allemand, italien), traitez-la dans cette langue ou proposez une réponse en français avec traduction disponible sur demande.
Jours 2 à 5 — Vérification de l'identité et cartographie des données. Vérifiez l'identité du demandeur de manière proportionnée. Cartographiez toutes les données détenues sur ce prospect : CRM, plateforme d'envoi de courriels, logs du chatbot, formulaires de candidature en ligne, analytics nominatives, sauvegardes actives. En Suisse, pensez également aux systèmes de gestion académique si le prospect était entré dans une phase avancée de candidature — et aux données éventuellement partagées avec swissuniversities dans le cadre de procédures d'admission coordonnées.
Jours 6 à 15 — Évaluation juridique et consultation interne. Déterminez si une exception nLPD s'applique. Consultez le conseiller à la protection des données de l'établissement, s'il en existe un — la nLPD ne rend pas ce rôle obligatoire pour tous les établissements (contrairement au DPO obligatoire du RGPD pour les organismes publics), mais sa désignation est fortement recommandée par le PFPDT. Si l'établissement n'a pas de conseiller désigné, la décision revient à la direction ou au secrétariat juridique. Documentez l'évaluation et la décision par écrit.
Jours 16 à 25 — Exécution de l'effacement. Supprimez les données dans tous les systèmes identifiés. Notifiez les sous-traitants de l'établissement (fournisseur de chatbot, CRM en SaaS, plateforme emailing) de procéder à l'effacement dans leurs propres systèmes — obligation découlant des contrats de sous-traitance conformes à la nLPD. Si le sous-traitant est situé hors de Suisse, l'article 16 nLPD sur la communication de données à l'étranger s'applique : vérifiez que les garanties contractuelles prévues couvrent également l'obligation d'effacement sur instruction. Conservez une confirmation écrite de chaque sous-traitant.
Jours 26 à 30 (ou dans le mois) — Réponse au demandeur. Répondez par courriel en confirmant l'effacement, en listant les systèmes concernés, et en expliquant tout refus partiel avec sa base légale précise dans la nLPD. Informez le demandeur de son droit de déposer une demande de médiation ou de recommandation auprès du PFPDT si votre réponse ne le satisfait pas. Archivez cette réponse dans votre registre.
Durées de conservation des données prospects en Suisse
La nLPD (article 6) impose le principe de proportionnalité : les données doivent être adéquates, pertinentes et non excessives au regard des finalités. Traduit en termes opérationnels, cela signifie que les données de prospects doivent être supprimées dès qu'elles ne servent plus les finalités déclarées lors de leur collecte. Le PFPDT recommande de formaliser des politiques de conservation documentées — avec des délais chiffrés, des mécanismes de purge automatisée, et un calendrier de révision annuel.
Pour les HES, universités et écoles privées suisses, les durées suivantes constituent une pratique de référence conforme à la nLPD :
- Coordonnées (courriel, natel, nom) — 3 ans après le dernier contact actif, puis suppression automatisée. Cette durée s'aligne sur la pratique généralement admise par le PFPDT pour les activités de marketing en ligne.
- Profil d'intérêt (filière, niveau Bachelor HES ou Master visé, modalité) — Lié à la durée du profil prospect, même règle des 3 ans.
- Logs de conversation chatbot (anonymisés) — 12 mois maximum pour l'amélioration du service ; les logs nominatifs n'ont aucune raison d'exister au-delà de 30 jours après la fin de la session.
- Interactions marketing (clics, ouvertures, présences à des Info-days) — 3 ans après le dernier contact actif.
- Données collectées sans motif justificatif valable — Suppression sans délai, indépendamment de toute demande.
Une particularité suisse : les établissements privés de renom (EHL, Glion, Les Roches, IMD) qui opèrent à l'international traitent des données de prospects provenant de nombreux pays. Lorsque ces prospects sont résidents de l'UE, le RGPD européen s'applique en parallèle de la nLPD (principe d'applicabilité territoriale du RGPD). Dans ce cas, l'établissement doit respecter le délai le plus strict des deux régimes — soit un mois pour le RGPD. La décision d'adéquation dont bénéficie la Suisse facilite les transferts de données, mais ne supprime pas la nécessité de gérer les droits individuels sous chaque régime applicable. Notre guide de protection des données prospects en Suisse couvre les spécificités de cette situation.
Chatbot IA, CRM et droit à l'effacement : les implications concrètes en Suisse
Les établissements suisses qui combinent un chatbot IA de recrutement et un CRM font face à un défi de cohérence lors d'une demande d'effacement : les données prospects sont réparties dans plusieurs systèmes, souvent hébergés hors de Suisse.
Les établissements partenaires de Skolbot traitent en médiane 195 leads qualifiés par mois (Source : Benchmark Skolbot 2024-2025, panel de 18 établissements). Pour une HES ou une école privée suisse qui génère 195 leads qualifiés par mois, le stock de données prospects atteint plusieurs milliers de profils sur 3 ans. Sans procédure structurée de réponse aux demandes d'effacement et sans purge automatisée périodique, ce volume devient un risque réglementaire croissant sous la nLPD.
Dans le chatbot IA, une demande d'effacement doit couvrir : les logs de conversation nominatifs, le profil créé dans l'interface du chatbot, et les données transmises au CRM via l'intégration. Vérifiez que votre contrat avec le fournisseur du chatbot prévoit une clause d'effacement sur instruction et que ce fournisseur peut l'exécuter dans un mois. Si le chatbot est hébergé hors de Suisse (serveurs aux États-Unis ou dans l'UE), l'article 16 nLPD sur les transferts internationaux s'applique — des clauses contractuelles types ou d'autres garanties appropriées doivent être en place.
Dans le CRM, la suppression doit couvrir le contact principal, les activités associées (courriels envoyés, notes de relance, présences aux Info-days), les segments et listes d'appartenance, et les sauvegardes dans la mesure du possible. Les CRM qui proposent uniquement un « archivage » sans suppression réelle ne satisfont pas aux exigences de la nLPD pour une demande d'effacement — vérifiez les capacités techniques de suppression de votre outil avant d'en avoir besoin en urgence.
Dans l'outil d'envoi de courriels, la désinscription ne suffit pas : l'adresse courriel doit être supprimée de la base, et non conservée avec un statut « opt-out ». Le PFPDT a confirmé que maintenir une adresse courriel à des fins de « gestion des exclusions » constitue toujours un traitement de données personnelles soumis à la nLPD.
Pour les consentements et cookies liés au widget chatbot, notre article sur la conformité nLPD et cookies pour les écoles suisses détaille les obligations spécifiques. Notre checklist d'audit nLPD pour les HES et écoles privées suisses vous permet d'évaluer votre niveau de conformité global.
FAQ
Le PFPDT peut-il sanctionner directement une HES suisse pour une demande d'effacement mal traitée ?
La nLPD donne au PFPDT des pouvoirs de recommandation et de décision — il peut émettre des recommandations contraignantes et, en cas de non-respect, saisir le Tribunal administratif fédéral. Les sanctions pénales prévues par la nLPD (amendes jusqu'à CHF 250 000) visent les personnes physiques responsables — dirigeants, responsables IT ou responsables de la protection des données — et non l'établissement en tant que personne morale, contrairement au RGPD. C'est une spécificité importante de la nLPD : la responsabilité pénale est personnelle. Un directeur des admissions qui ignore délibérément une demande d'effacement peut être personnellement sanctionné.
La nLPD s'applique-t-elle aux prospects qui contactent une HES suisse depuis l'étranger ?
Oui. La nLPD s'applique à tout traitement de données de personnes résidant en Suisse, et — sur le modèle du RGPD — elle s'étend aux traitements de personnes à l'étranger si le responsable du traitement est établi en Suisse ou si le traitement est lié à des activités déployées en Suisse. Pour les établissements comme l'EPFL ou les écoles privées internationales, cela signifie que des prospects résidant en France, en Belgique ou au Québec peuvent exercer leurs droits sous la nLPD. Si ces personnes résident dans l'UE, le RGPD européen s'applique également, avec ses propres délais et mécanismes. Gérer les deux régimes en parallèle est la pratique standard pour les établissements suisses à recrutement international.
Le droit à l'effacement couvre-t-il les recommandations produites par le chatbot IA (profils, scores) ?
Oui. Si le chatbot IA produit des profils de prospects, des scores de qualification (lead chaud/froid) ou des recommandations stockées dans le CRM, ces éléments dérivés sont des données personnelles au sens de la nLPD dès lors qu'ils sont liés à une personne identifiable. Une demande d'effacement couvre donc aussi les profils dérivés générés automatiquement à partir des interactions. Si ces profils ont été communiqués à des tiers (autre département, prestataire de relance téléphonique), l'établissement doit notifier ces tiers de l'effacement — obligation de l'article 32 al. 3 nLPD.
Faut-il désigner un conseiller à la protection des données pour traiter les demandes d'effacement ?
La nLPD ne rend pas la désignation d'un conseiller à la protection des données obligatoire pour tous les établissements, contrairement au DPO du RGPD européen qui est obligatoire pour les organismes publics et certaines catégories de responsables de traitement. Cependant, le PFPDT recommande fortement cette désignation, en particulier pour les établissements qui traitent des données à grande échelle (HES, universités, grandes écoles privées). Un conseiller désigné facilite la gestion des demandes d'effacement, la tenue du registre des activités de traitement, et la conduite des analyses d'impact. Son existence est également un signal de conformité proactif lors d'une vérification par le PFPDT ou dans le cadre de l'accréditation institutionnelle par l'AAQ.
Comment l'établissement doit-il gérer les données de prospects transmises à swissuniversities ou à d'autres organismes de coordination ?
Swissuniversities et les organismes de coordination de l'enseignement supérieur suisse sont des responsables de traitement distincts. Si des données ont été partagées dans le cadre de procédures coordonnées, chaque organisation est responsable des données qu'elle détient. L'établissement doit notifier swissuniversities ou tout autre organisme destinataire de l'effacement, conformément à l'article 32 al. 3 nLPD, et documenter cette notification. Si le transfert initial vers ces organismes s'est fait sans motif justificatif valable, l'effacement est d'autant plus impératif, et l'établissement doit corriger sa pratique pour les transferts futurs.
Découvrez comment les HES et universités suisses améliorent leur recrutement avec Skolbot
