ChatGPT
Claude
Perplexity
Gemini
GrokLa nLPD n'est pas le RGPD — mais elle aboutit aux mêmes durées
La nouvelle Loi fédérale sur la protection des données (nLPD), entrée en vigueur le 1er septembre 2023, est le cadre de référence pour les établissements d'enseignement supérieur suisses. La Suisse n'est pas membre de l'Union européenne, et la nLPD est un texte de droit fédéral autonome — non une transposition du RGPD. Pourtant, les deux cadres convergent sur un point essentiel : les données personnelles ne doivent pas être conservées au-delà de ce qui est nécessaire aux finalités pour lesquelles elles ont été collectées.
Le Préposé fédéral à la protection des données et à la transparence (PFPDT), autorité de surveillance fédérale, recommande dans ses lignes directrices une durée de 3 ans pour les données de prospection à compter du dernier contact actif — alignée sur les bonnes pratiques européennes. Pour une Haute école spécialisée (HES), l'EPFL, une université cantonale ou un établissement privé accrédité par l'AAQ (Agence d'accréditation et d'assurance qualité des hautes écoles suisses), cette recommandation concerne directement les prospects qui ont téléchargé une brochure, participé à une journée d'information, ou échangé avec un chatbot sans finaliser leur inscription.
Un point important pour les HES qui accueillent des étudiants de l'UE/EEE : la Suisse bénéficie d'une décision d'adéquation de la Commission européenne, ce qui signifie que les transferts de données entre l'UE et la Suisse sont autorisés sans mécanisme supplémentaire. En revanche, les établissements qui traitent des données de résidents de l'UE doivent respecter le RGPD en parallèle — les deux cadres coexistent.
Pour le cadre général de la protection des données dans l'enseignement supérieur suisse, consultez notre guide nLPD pour les données étudiantes.
Tableau des durées de conservation par catégorie de données
La nLPD ne fixe pas de durées légales précises pour chaque type de traitement. Elle pose le principe de proportionnalité (article 6 nLPD) : seules les données nécessaires peuvent être collectées, pour le temps nécessaire. Le tableau suivant intègre les recommandations du PFPDT et les obligations légales suisses :
| Catégorie de données | Durée de conservation active | Base |
|---|---|---|
| Contact prospect non converti (email, téléphone) | 3 ans depuis le dernier contact actif | Principe de proportionnalité nLPD — recommandation PFPDT |
| Dossier de candidature non retenu | 2 ans depuis la décision de refus | Prescription civile — CO art. 127 |
| Dossier administratif étudiant inscrit | 5 ans après la fin des études | Prescription quinquennale CO |
| Données financières et comptables (écolage) | 10 ans | Code des obligations suisse — art. 958f CO |
| Données de paiement par carte bancaire | 15 mois | Délai de rétrofacturation CB |
| Données de navigation et cookies | 13 mois maximum | Recommandation PFPDT |
| Conversations chatbot sans identifiant | 30 jours | Principe de minimisation nLPD |
| Conversations chatbot liées à un prospect identifié | 3 ans (rattachées au profil prospect) | Recommandation PFPDT |
Les durées s'entendent en conservation active. Au-delà, les données doivent être supprimées ou anonymisées — sauf obligation légale de conservation (données comptables, preuves contractuelles) qui justifie un archivage intermédiaire à accès restreint.
Les principes clés de la nLPD pour la gestion des durées
Proportionnalité (article 6 nLPD)
Le principe de proportionnalité est la clé de voûte de la nLPD. Il impose que les données collectées soient adéquates, pertinentes et limitées à ce qui est nécessaire. Pour une HES, cela signifie qu'un formulaire de préinscription ne devrait pas demander la date de naissance ou le numéro de téléphone si seul l'email est nécessaire pour la relance. Conserver ces données pendant 5 ans au motif qu'elles « pourraient être utiles » viole le principe.
Privacy by design et privacy by default (article 7 nLPD)
La nLPD consacre explicitement les principes de protection des données dès la conception (privacy by design) et par défaut (privacy by default). Pour la gestion des durées, cela se traduit concrètement : votre CRM doit être configuré dès le départ avec des règles de suppression automatique, pas après. Un outil déployé sans politique de conservation documentée n'est pas conforme à l'article 7 nLPD.
Droit à l'effacement (article 32 nLPD)
L'article 32 de la nLPD permet à toute personne concernée de demander la suppression de ses données lorsque leur traitement est illicite. Pour un prospect non inscrit au-delà de 3 ans d'inactivité, le traitement continu devient illicite par manquement au principe de proportionnalité — la demande d'effacement ne peut alors être refusée. Notre guide sur le droit à l'effacement pour les prospects détaille la procédure applicable.
nLPD et RGPD : quand les deux cadres s'appliquent simultanément
Les HES et universités suisses qui recrutent dans l'Espace économique européen — Erasmus+, programmes franco-suisses, étudiants frontaliers de la région Rhône-Alpes ou d'Alsace — peuvent être soumises au RGPD en parallèle de la nLPD. Le RGPD s'applique dès lors que l'établissement cible activement des résidents de l'UE ou traite leurs données dans le contexte d'un service qui leur est offert.
La décision d'adéquation européenne reconnaît que la nLPD offre un niveau de protection équivalent au RGPD pour les transferts depuis l'UE vers la Suisse. Mais cette équivalence ne dispense pas les établissements de respecter les exigences spécifiques du RGPD pour les traitements qui relèvent de son champ d'application territorial. En pratique : documenter les durées de conservation selon les deux référentiels et retenir la plus restrictive.
Swissuniversities et les obligations spécifiques aux HES
Les établissements membres de swissuniversities et accrédités par l'AAQ opèrent dans un cadre institutionnel particulier. Plusieurs cantons ont adopté des lois cantonales sur la protection des données pour les établissements publics — notamment le canton de Vaud (LPrD-VD) et le canton de Genève (LIPAD) — qui s'ajoutent à la nLPD fédérale.
Pour les universités cantonales publiques (Genève, Lausanne, Berne, Fribourg, Neuchâtel), la loi cantonale applicable peut imposer des obligations supplémentaires en matière de conservation des données. Vérifiez le cadre cantonal applicable à votre établissement auprès de votre délégué cantonal à la protection des données.
Les HES privées (par exemple dans les domaines des arts, du design ou du tourisme) relèvent exclusivement de la nLPD fédérale.
Les données chatbot dans le contexte suisse
72 % des questions posées par les prospects aux chatbots d'écoles sont des FAQ simples automatisables, 7 % nécessitent une intervention humaine (Source : Classification automatique sur 12 000 conversations Skolbot, 2025 — content/zpd-bank.json#question-complexity-distribution). Ce volume de données conversationnelles constitue un angle mort fréquent dans les registres des activités de traitement des HES suisses.
La règle applicable selon la nLPD :
- Sans identifiant collecté (prospect anonyme) : les journaux de conversation peuvent être conservés 30 jours à des fins d'amélioration du service, puis supprimés ou anonymisés.
- Avec identifiant associé (email fourni pour être recontacté) : les données de conversation font partie du profil prospect et suivent la règle des 3 ans.
La transparence est obligatoire avant la collecte : le prospect doit savoir qu'il interagit avec une IA, quelles données sont collectées, et comment exercer ses droits. Ce principe découle de l'obligation générale d'information de la nLPD, renforcée pour les traitements automatisés.
Les données hébergées en Suisse bénéficient du cadre nLPD. Pour les outils hébergés dans l'UE (y compris chez des fournisseurs de cloud comme AWS eu-west ou Azure westeurope), la décision d'adéquation couvre les flux dans les deux sens — aucun mécanisme de transfert supplémentaire n'est requis.
Documenter les durées : le registre des activités de traitement
La nLPD impose aux organisations qui traitent des données à grande échelle — ce qui est le cas d'un cégep, d'une HES ou d'une université — de tenir un registre des activités de traitement. Ce registre doit préciser, pour chaque traitement :
- La finalité du traitement
- Les catégories de données concernées
- Les catégories de destinataires
- Les durées de conservation ou les critères permettant de les déterminer
Pour les données prospects, le registre doit documenter : la durée active (3 ans depuis le dernier contact actif), le déclencheur de suppression ou d'archivage, le responsable de l'action, et les systèmes concernés (CRM, outil d'email, chatbot, analytics).
Nos bonnes pratiques pour la protection des données prospects en Suisse détaillent comment structurer cette documentation avec des exemples de fiches de traitement adaptées aux établissements suisses.
Suppression automatique : les cinq systèmes à synchroniser
Un prospect dont le délai de conservation est échu ou qui exerce son droit à l'effacement doit être supprimé de l'ensemble des systèmes. Pour une HES ou une université suisse :
- Le CRM (HubSpot, Salesforce, Microsoft Dynamics, etc.) — suppression ou anonymisation de la fiche contact
- La plateforme d'emailing — désinscription et suppression des logs d'envoi contenant l'email
- Le chatbot — suppression des conversations liées à l'identifiant du prospect
- L'outil d'analytics — suppression ou anonymisation des données comportementales
- Les sauvegardes — procédure de suppression planifiée selon le cycle de rétention des backups
Cette cascade doit être documentée, testée régulièrement, et exécutable dans un délai raisonnable. Le PFPDT n'a pas fixé de délai légal précis pour répondre aux demandes de suppression, mais recommande de s'aligner sur le délai de 30 jours en vigueur dans l'UE — une pratique que les établissements recrutant dans l'UE doivent de toute façon respecter au titre du RGPD.
FAQ — Durée de conservation des données prospects sous la nLPD
La nLPD fixe-t-elle une durée légale de 3 ans pour les données de prospection ? Non. La nLPD pose le principe de proportionnalité sans fixer de durée spécifique pour chaque type de traitement. La recommandation de 3 ans émane des lignes directrices du PFPDT et des bonnes pratiques internationales. C'est votre politique interne — documentée dans votre registre des activités de traitement — qui constitue votre référence légale. Le PFPDT vérifiera que cette politique existe, est cohérente et est effectivement respectée.
Notre HES est établie dans le canton de Vaud. La LPrD-VD s'ajoute-t-elle à la nLPD ? Oui, si votre HES est un établissement public cantonal. La loi vaudoise sur la protection des données relatives aux personnes (LPrD-VD) s'applique aux institutions relevant du droit public cantonal. Les HES privées relèvent exclusivement de la nLPD fédérale. Consultez le Préposé cantonal vaudois pour les obligations spécifiques à votre statut.
Les données collectées en CHF pour l'écolage ont-elles une durée différente des données de prospection ? Oui. Les données financières liées à l'écolage (contrats, factures, paiements) sont soumises à l'article 958f du Code des obligations suisse, qui impose une conservation de 10 ans. Les données de prospection pure (contact avant inscription) suivent la règle des 3 ans. Les deux catégories doivent être distinctes dans votre registre.
La décision d'adéquation européenne protège-t-elle notre HES contre les sanctions RGPD ? Non. La décision d'adéquation facilite les transferts de données entre l'UE et la Suisse, mais elle ne dispense pas les établissements suisses de respecter le RGPD pour les traitements qui entrent dans son champ d'application territorial. Si votre HES cible activement des étudiants résidant dans l'UE (campagnes Google Ads géociblées, pages en français ciblant la France ou la Belgique), le RGPD s'applique à ces traitements.
Un prospect qui a passé sa maturité gymnasiale en Suisse mais réside maintenant en France peut-il invoquer le RGPD ? Oui. Le RGPD s'applique en fonction de la résidence de la personne au moment du traitement, pas de sa nationalité. Un résident français qui contacte votre HES via un formulaire en ligne bénéficie des protections du RGPD, y compris le délai de réponse d'un mois et les bases légales RGPD.
Découvrez comment les HES améliorent leur recrutement
