skolbot.Chatbot IA pour l'enseignement supérieur
ProduitTarifsBlogComparatifAI Check
Démo gratuite
Démo gratuite
Bouclier de protection des données avec croix suisse et flux de données chiffrés en vue isométrique
  1. Accueil
  2. /Blog
  3. /Conformité
  4. /nLPD et protection des données : obligations pour les écoles suisses
Retour au blog
Conformité14 min read

nLPD et protection des données : obligations pour les écoles suisses

Guide pratique de la nouvelle Loi fédérale sur la protection des données (nLPD) pour les écoles supérieures suisses : obligations, PFPDT, chatbots et données candidats.

S

Équipe Skolbot · 28 mars 2026

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Sommaire

  1. 01La nLPD n'est pas le RGPD : ce que les écoles suisses doivent comprendre
  2. 02Ce que la nLPD change par rapport à l'ancienne LPD
  3. Les principes fondamentaux (article 6 nLPD)
  4. Les différences clés avec le RGPD
  5. 03Le PFPDT : votre autorité de référence
  6. Ce que le PFPDT attend des écoles
  7. 04Obligations pratiques pour les écoles suisses
  8. 1. Le registre des activités de traitement
  9. 2. L'information des candidats
  10. 3. La durée de conservation
  11. 4. Le transfert de données à l'étranger
  12. 05L'IA et les chatbots : obligations spécifiques
  13. Ce que la nLPD dit sur l'IA
  14. L'Analyse d'Impact relative à la Protection des Données (AIPD)
  15. Chatbot conforme : checklist pratique
  16. 06Le RGPD s'applique-t-il aux écoles suisses ?
  17. Oui, dans certains cas
  18. La double conformité : comment s'y prendre
  19. 07Plan d'action de mise en conformité nLPD
  20. Phase 1 : Audit (1 mois)
  21. Phase 2 : Documentation (2 mois)
  22. Phase 3 : Implémentation (2-3 mois)
  23. Phase 4 : Maintenance continue
  24. 08FAQ — nLPD et protection des données pour les écoles suisses
  25. Mon école a moins de 250 employés, suis-je quand même concernée par la nLPD ?
  26. Dois-je nommer un délégué à la protection des données (DPO) ?
  27. Mon chatbot stocke les conversations — est-ce conforme ?
  28. Comment gérer les données des candidats européens soumis au RGPD ?
  29. Les bourses cantonales impliquent-elles des obligations supplémentaires ?

La nLPD n'est pas le RGPD : ce que les écoles suisses doivent comprendre

La confusion est compréhensible. La nouvelle Loi fédérale sur la protection des données (nLPD), entrée en vigueur le 1er septembre 2023, s'inspire directement du RGPD européen et partage avec lui de nombreux principes. Mais la Suisse n'est pas membre de l'Union européenne, et la nLPD est un cadre juridique autonome avec ses propres spécificités — des spécificités qui ont des conséquences concrètes sur la façon dont votre école collecte, traite et conserve les données de ses candidats.

La distinction n'est pas académique. Une école suisse qui appliquerait le RGPD à la lettre sans tenir compte de la nLPD pourrait être en conformité européenne mais en infraction fédérale — et inversement. Et pour les écoles qui accueillent des étudiants de l'UE/EEE, les deux cadres s'appliquent en parallèle.

Ce guide traduit les obligations de la nLPD en actions pratiques pour les équipes admissions, les directions IT et les responsables de la protection des données des hautes écoles et écoles privées suisses.

Ce que la nLPD change par rapport à l'ancienne LPD

Les principes fondamentaux (article 6 nLPD)

La nLPD repose sur six principes qui encadrent tout traitement de données personnelles :

  1. Licéité — le traitement doit reposer sur une base juridique (consentement, intérêt prépondérant, obligation légale)
  2. Bonne foi et proportionnalité — ne collecter que ce qui est nécessaire au but poursuivi
  3. Finalité — les données ne peuvent être utilisées que pour le but annoncé lors de la collecte
  4. Exactitude — les données doivent être correctes et à jour
  5. Conservation limitée — les données sont supprimées dès que le but du traitement est atteint
  6. Sécurité — des mesures techniques et organisationnelles protègent les données

Pour une école, ces principes s'appliquent à toute la chaîne du recrutement : du premier contact sur le site web à l'inscription effective, en passant par les JPO, les entretiens, et les outils numériques utilisés pour communiquer avec les candidats.

Les différences clés avec le RGPD

AspectnLPD (Suisse)RGPD (UE)
Autorité de surveillancePFPDTAutorités nationales (CNIL, etc.)
Sanctions maximalesCHF 250 000 (personnes physiques)4 % du CA mondial ou 20 M EUR
Registre des traitementsObligatoire (sauf PME < 250 pers.)Obligatoire (sauf PME < 250 pers.)
DPO (délégué)Facultatif (recommandé)Obligatoire dans certains cas
Analyse d'impact (AIPD)Obligatoire si risque élevéObligatoire si risque élevé
Notification de violationDès que possible au PFPDT72 heures à l'autorité
ConsentementPas toujours requis (intérêt prépondérant suffit)Souvent requis (base légale stricte)
Portée territorialeEffets en SuisseEffets dans l'UE

Deux différences méritent une attention particulière. Premièrement, la nLPD sanctionne les personnes physiques responsables de la violation (jusqu'à CHF 250 000), pas l'entreprise en tant que telle. En pratique, cela signifie que le directeur, le responsable IT ou le DPO de votre école peut être personnellement sanctionné. Deuxièmement, la nLPD ne requiert pas systématiquement le consentement comme base de traitement — l'intérêt prépondérant peut suffire dans le cadre d'une relation pré-contractuelle (candidature = intention de s'inscrire).

Le PFPDT : votre autorité de référence

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est l'autorité fédérale de surveillance en matière de protection des données. Contrairement à la CNIL française ou au ICO britannique, le PFPDT n'a pas de pouvoir de sanction directe — les sanctions sont prononcées par les tribunaux pénaux sur la base d'une dénonciation du PFPDT ou d'un tiers.

Ce que le PFPDT attend des écoles

Le PFPDT a publié en 2024-2025 plusieurs guides pratiques pertinents pour les établissements d'enseignement supérieur :

  • Guide sur le traitement des données dans le contexte de l'intelligence artificielle — directement applicable aux chatbots et outils IA utilisés dans les admissions
  • Lignes directrices sur le profilage — pertinent si votre CRM segmente les candidats en fonction de leur comportement en ligne
  • Recommandations sur la communication de données à l'étranger — essentiel si vous utilisez des prestataires basés hors de Suisse

Le PFPDT insiste sur le principe de transparence proactive : les personnes concernées (vos candidats) doivent savoir, avant de fournir leurs données, ce qui est collecté, pourquoi, par qui, et pendant combien de temps. L'information doit être facilement accessible — pas enfouie dans une politique de confidentialité de 30 pages.

Obligations pratiques pour les écoles suisses

1. Le registre des activités de traitement

Toute école de 250 employés ou plus doit tenir un registre des activités de traitement (article 12 nLPD). En dessous de ce seuil, l'obligation ne s'applique que si le traitement présente un risque élevé pour les personnes concernées — ce qui est le cas dès que vous traitez des données sensibles (santé, religion, origine) ou que vous faites du profilage.

Pour une école, le registre doit documenter chaque flux de données candidats :

  • Formulaire de contact du site web — données collectées, durée de conservation, prestataire d'hébergement
  • Chatbot IA — données conversationnelles, langue détectée, programme d'intérêt, transferts vers humain
  • CRM — leads, scores d'engagement, historique d'interactions, segmentation
  • Plateforme d'admission — dossiers de candidature, documents d'identité, relevés de notes
  • Emailing — listes de diffusion, consentements opt-in, taux d'ouverture individuels

2. L'information des candidats

L'article 19 de la nLPD impose d'informer les personnes concernées lors de la collecte de données. Pour un site d'école, cela se traduit par :

  • Bandeau de consentement pour les cookies et le tracking (même si la nLPD est moins stricte que le RGPD sur ce point, les bonnes pratiques l'exigent)
  • Mention claire sur les formulaires indiquant qui collecte les données, pourquoi, et les droits de la personne
  • Transparence IA — si un chatbot IA interagit avec les candidats, ceux-ci doivent savoir qu'ils communiquent avec une machine. C'est une exigence à la fois de la nLPD (transparence) et de l'IA Act européen (obligation de divulgation pour les systèmes IA à risque limité).

3. La durée de conservation

Combien de temps pouvez-vous conserver les données d'un candidat qui n'a pas finalisé son inscription ? La nLPD ne fixe pas de durée précise — elle exige que les données soient supprimées dès que le but du traitement est atteint. En pratique, cela signifie :

  • Candidats inscrits — conservation pendant la durée de la scolarité + durée légale de conservation des dossiers académiques (variable selon les cantons)
  • Candidats admis mais non inscrits — conservation raisonnable pour une relance (6 à 12 mois), puis suppression ou anonymisation
  • Candidats non retenus — conservation du dossier pendant la durée de la procédure de recours (30 jours), puis suppression
  • Visiteurs du chatbot — conservation des conversations pendant une durée définie (recommandation : 6 mois maximum), puis suppression automatique

La clé est d'avoir une politique formalisée et appliquée — pas un usage informel où les données s'accumulent sans limite.

4. Le transfert de données à l'étranger

L'article 16 de la nLPD encadre le transfert de données personnelles à l'étranger. Le transfert est autorisé vers les pays figurant sur la liste du Conseil fédéral (la plupart des pays de l'EEE). Pour les autres pays (notamment les États-Unis), des garanties supplémentaires sont nécessaires — clauses contractuelles types, règles d'entreprise contraignantes, ou consentement explicite.

Pour les écoles, cela concerne directement :

  • Les outils SaaS américains (Google Workspace, Microsoft 365, certains CRM) — les Swiss-US Data Privacy Framework offre un cadre pour ces transferts, mais sa solidité juridique fait débat
  • Les modèles IA hébergés aux États-Unis — si votre chatbot utilise un modèle GPT-4 hébergé par OpenAI aux USA, les conversations des candidats transitent par des serveurs américains
  • Les prestataires marketing (Meta Ads, Google Ads, LinkedIn) — les pixels de tracking collectent des données transférées hors de Suisse

La solution la plus sûre est de privilégier des prestataires qui offrent un hébergement suisse ou européen pour les données personnelles, avec un DPA (Data Processing Agreement) conforme à la nLPD.

L'IA et les chatbots : obligations spécifiques

Ce que la nLPD dit sur l'IA

La nLPD ne contient pas de dispositions spécifiques à l'intelligence artificielle — elle s'applique de manière générale à tout traitement de données, quel que soit le moyen technique utilisé. Mais les recommandations du PFPDT sur l'IA précisent les attentes :

  • Transparence — l'utilisateur doit savoir qu'il interagit avec une IA
  • Explicabilité — si l'IA prend des décisions qui affectent l'utilisateur (tri de candidatures, scoring), le processus doit être explicable
  • Minimisation — le chatbot ne doit collecter que les données nécessaires à la conversation. Si le candidat dit « je m'appelle Marie et je viens de Zurich », le chatbot peut utiliser ces informations pour personnaliser la conversation, mais il ne doit pas les stocker dans un profil permanent sans base juridique.

L'Analyse d'Impact relative à la Protection des Données (AIPD)

L'article 22 de la nLPD impose une AIPD lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits fondamentaux des personnes. Un chatbot IA utilisé pour le recrutement étudiant peut déclencher cette obligation si :

  • Il fait du profilage (attribution automatique de scores d'engagement, segmentation comportementale)
  • Il traite des données à grande échelle (des milliers de conversations par mois)
  • Il utilise de nouvelles technologies (modèles de langage génératifs)

L'AIPD n'est pas un exercice bureaucratique — c'est une analyse structurée qui documente les risques et les mesures de mitigation. Le PFPDT publie un modèle d'AIPD que les écoles peuvent adapter.

Chatbot conforme : checklist pratique

ExigenceActionStatut type
Transparence IAMention visible « Vous échangez avec un assistant IA »À vérifier
Consentement/informationBandeau + mention sur les données collectéesÀ vérifier
MinimisationNe stocker que prénom, langue, programme d'intérêtÀ auditer
Durée de conservationSuppression automatique des conversations après 6 moisÀ configurer
HébergementSuisse ou EEE, vérifié par DPAÀ vérifier avec le prestataire
Transfert à l'étrangerAucun, ou base juridique documentéeÀ documenter
Droit d'accèsProcédure pour fournir l'historique à un candidatÀ mettre en place
Droit d'effacementSuppression sur demande en moins de 30 joursÀ tester
AIPDRéalisée si profilage ou traitement à grande échelleÀ évaluer
Registre des traitementsChatbot documenté comme activité de traitementÀ compléter

Le RGPD s'applique-t-il aux écoles suisses ?

Oui, dans certains cas

Le RGPD s'applique aux traitements de données personnelles de résidents de l'UE/EEE, même par des entités établies hors de l'UE. Pour une école suisse, cela signifie que si vous recrutez activement des candidats dans l'UE — publicité ciblée, salons étudiants en France ou en Allemagne, site web multilingue visant les marchés européens — le RGPD s'applique au traitement des données de ces candidats spécifiques.

En pratique, cela concerne la majorité des écoles privées suisses à vocation internationale. Les candidats français qui s'inscrivent à l'EHL, les Allemands qui intègrent l'IMD, les Italiens qui rejoignent une HES tessinoise — leurs données sont protégées à la fois par la nLPD et par le RGPD.

La double conformité : comment s'y prendre

La bonne nouvelle : la nLPD et le RGPD sont largement compatibles. Une école qui se conforme au RGPD sera en grande partie conforme à la nLPD, et réciproquement. Les écarts concernent principalement :

  • Les sanctions — le RGPD sanctionne l'entreprise, la nLPD sanctionne les personnes physiques responsables
  • Le DPO — obligatoire sous le RGPD dans certains cas, facultatif (mais recommandé) sous la nLPD
  • La notification de violation — 72 heures sous le RGPD, « dès que possible » sous la nLPD
  • Le consentement — plus souvent requis sous le RGPD, l'intérêt prépondérant suffisant plus souvent sous la nLPD

La stratégie la plus efficace est d'appliquer le cadre le plus strict (généralement le RGPD) comme baseline, puis de vérifier les points de divergence avec la nLPD. Un seul DPA avec votre prestataire chatbot peut couvrir les deux cadres s'il est correctement rédigé.

Plan d'action de mise en conformité nLPD

Phase 1 : Audit (1 mois)

  • Cartographier tous les flux de données candidats (site web → CRM → email → chatbot)
  • Vérifier les DPA avec chaque prestataire (CRM, emailing, chatbot, hébergeur)
  • Identifier les transferts de données hors de Suisse et leur base juridique
  • Auditer les durées de conservation actuelles vs. les durées justifiées

Phase 2 : Documentation (2 mois)

  • Rédiger ou mettre à jour le registre des activités de traitement
  • Rédiger une politique de confidentialité conforme à la nLPD (pas un copier-coller d'un template RGPD)
  • Documenter les procédures de droit d'accès et de droit d'effacement
  • Réaliser l'AIPD si applicable (chatbot IA, profilage candidats)

Phase 3 : Implémentation (2-3 mois)

  • Configurer la suppression automatique des données obsolètes
  • Déployer les mentions de transparence IA sur le chatbot
  • Former les équipes admissions sur les bonnes pratiques (quelles données demander, comment répondre aux demandes d'accès)
  • Mettre en place un processus de notification de violation (qui contacter, dans quel délai, quelle information communiquer)

Phase 4 : Maintenance continue

  • Audit annuel des flux de données et des prestataires
  • Mise à jour du registre lors de tout changement d'outil ou de processus
  • Veille sur les recommandations du PFPDT et les évolutions réglementaires

FAQ — nLPD et protection des données pour les écoles suisses

Mon école a moins de 250 employés, suis-je quand même concernée par la nLPD ?

Oui. La nLPD s'applique à tous les traitements de données personnelles, quelle que soit la taille de l'organisation. L'exemption pour les PME de moins de 250 employés ne concerne que l'obligation de tenir un registre des activités de traitement — et uniquement si le traitement ne présente pas de risque élevé. Si votre école utilise un chatbot IA, un CRM avec scoring, ou collecte des données sensibles (certificats médicaux pour des demandes d'aménagement), le registre est probablement obligatoire.

Dois-je nommer un délégué à la protection des données (DPO) ?

La nLPD ne l'impose pas, contrairement au RGPD dans certains cas. Mais le PFPDT le recommande fortement pour les organisations qui traitent des données à grande échelle ou des données sensibles. Pour une HES de taille moyenne, nommer un DPO (ou « conseiller à la protection des données » selon la terminologie nLPD) est un investissement raisonnable qui simplifie la conformité et centralise les compétences.

Mon chatbot stocke les conversations — est-ce conforme ?

Oui, à condition de respecter quatre conditions : informer le candidat que la conversation est enregistrée, ne conserver que les données nécessaires (minimisation), définir et appliquer une durée de conservation (recommandation : 6 mois maximum), et permettre la suppression sur demande. Le stockage doit être en Suisse ou dans un pays offrant un niveau de protection adéquat selon la liste du Conseil fédéral.

Comment gérer les données des candidats européens soumis au RGPD ?

Appliquez le cadre le plus protecteur (généralement le RGPD) comme baseline pour tous les candidats, puis vérifiez les points de divergence avec la nLPD. En pratique, un chatbot conforme au RGPD sera conforme à la nLPD à 95 %. Les 5 % restants concernent principalement les modalités de notification de violation et la responsabilité des personnes physiques (spécifique à la nLPD).

Les bourses cantonales impliquent-elles des obligations supplémentaires ?

Oui. Si votre école transmet des données candidats aux services cantonaux de bourses d'études, ce transfert constitue une communication de données à un tiers qui doit être documenté dans votre registre et couvert par une base juridique (généralement le consentement du candidat ou une obligation légale). Les législations cantonales sur la protection des données peuvent imposer des exigences supplémentaires — consultez l'autorité cantonale compétente.

Testez Skolbot sur votre école en 30 secondes

À lire aussi : Chatbot IA pour les écoles suisses · Enseignement supérieur privé en Suisse : guide complet

Articles similaires

Guide opérationnel de protection des données prospects étudiants
Conformité

Protéger les données de vos prospects étudiants : guide RGPD opérationnel

Guide RGPD pour la protection des données étudiantes dans l'enseignement supérieur
Conformité

RGPD et données étudiantes : guide complet pour les écoles

Carte de la Suisse avec indicateurs de visibilité IA par région linguistique en vue isométrique
Visibilité IA

Visibilité IA des écoles suisses : état des lieux 2026

Retour au blog

RGPD · IA Act · Hébergement UE

skolbot.

SolutionTarifsBlogÉtudes de casComparatifAI CheckFAQÉquipeMentions légalesPolitique de confidentialité

© 2026 Skolbot