skolbot.Chatbot IA pour écoles
ProduitTarifs
Démo gratuite
Démo gratuite
Guide nLPD opérationnel de protection des données prospects étudiants en Suisse
  1. Accueil
  2. /Blog
  3. /Conformité
  4. /Données prospects en Suisse : guide nLPD opérationnel
Retour au blog
Conformité12 min read

Données prospects en Suisse : guide nLPD opérationnel

Comment collecter, stocker et traiter les données prospects selon la nLPD suisse. PFPDT, bases légales, droits des candidats : checklist pour HES et universités suisses.

S

Équipe Skolbot · 25 avril 2026

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Sommaire

  1. 01Vos prospects ont des droits dès le premier contact — et la loi suisse s'applique
  2. 02Les bases légales pour traiter les données prospects selon la nLPD
  3. Le consentement (art. 17 nLPD)
  4. L'intérêt prépondérant (art. 31 nLPD)
  5. L'exécution d'un contrat (art. 13 al. 2 let. a nLPD)
  6. 03Ce que vous collectez — et le principe de proportionnalité
  7. La proportionnalité, fondement nLPD (art. 6 al. 2 nLPD)
  8. Les données collectées par le chatbot
  9. 04Les durées de conservation selon la nLPD
  10. Durées recommandées par type de données
  11. L'erreur du "on garde tout"
  12. 05Les droits des prospects selon la nLPD
  13. 06Le cas des mineurs en Suisse
  14. 07Checklist opérationnelle pour les équipes admissions
  15. Collecte des données
  16. Stockage et accès
  17. Conservation et purge
  18. Exercice des droits
  19. 08Les 5 erreurs nLPD les plus fréquentes en admissions suisses
  20. 09L'enjeu de confiance : au-delà de la conformité

Vos prospects ont des droits dès le premier contact — et la loi suisse s'applique

La protection des données ne commence pas à l'inscription. Elle commence au premier contact. Dès qu'un prospect transmet son courriel, son nom ou son natel — via un formulaire, un chatbot ou lors d'un Info-day — la HES ou l'université devient responsable du traitement au sens de la loi fédérale suisse.

La Suisse n'est pas membre de l'Union européenne. Le RGPD ne s'applique pas directement — la loi applicable est la nLPD (nouvelle Loi fédérale sur la protection des données, RS 235.1), en vigueur depuis le 1er septembre 2023. La nLPD s'inspire du RGPD dans ses principes, mais s'en distingue sur des points structurels importants : pas d'amendes administratives d'entreprise — les sanctions pénales visent les personnes physiques responsables jusqu'à CHF 250 000. L'autorité de contrôle est le PFPDT (Préposé fédéral à la protection des données et à la transparence).

Ce point est crucial parce que les équipes admissions et communication des HES, universités cantonales et écoles privées suisses traitent des données de prospects bien avant la phase de candidature formelle. En Suisse, il n'existe pas de plateforme centralisée d'admission : les HES organisent leurs procédures via swissuniversities ou leurs portails propres, et les universités cantonales (Unige, Unil, UniFR, UNe...) gèrent leurs admissions de façon autonome. Les données prospects entrent par des canaux multiples et décentralisés.

62 % des établissements n'ont pas de procédure documentée pour le traitement des données prospects (Source : enquête Skolbot, décembre 2025). Ce guide traduit les exigences nLPD en actions concrètes pour les équipes admissions et marketing des établissements suisses.

Pour le cadre nLPD complet, consultez notre guide nLPD pour la protection des données dans les écoles suisses.

Les bases légales pour traiter les données prospects selon la nLPD

L'article 13 nLPD reconnaît plusieurs bases légales pour un traitement licite de données personnelles. Dans le contexte du recrutement étudiant, trois bases sont principalement pertinentes.

Le consentement (art. 17 nLPD)

Le consentement est valide s'il est libre (pas de conditionnalité), spécifique (une finalité par consentement), éclairé (information fournie avant la collecte) et univoque (action positive). Bien que la nLPD ne soit pas aussi explicite que le RGPD sur les cases pré-cochées, le PFPDT recommande les mêmes bonnes pratiques : consentement actif, case décochée par défaut.

Erreur fréquente : collecter des courriels lors d'un Info-day via une tablette sans mention des finalités de traitement ne constitue pas un consentement nLPD valide.

L'intérêt prépondérant (art. 31 nLPD)

L'intérêt prépondérant du responsable de traitement peut justifier un traitement sans consentement, dès lors que l'intérêt de la personne concernée ne prime pas. Il peut couvrir la relance d'un dossier de candidature non finalisé ou l'envoi d'informations complémentaires sur une formation d'intérêt avéré. Il ne justifie pas les newsletters promotionnelles non sollicitées, le partage de données avec des partenaires, ou le profilage comportemental.

L'exécution d'un contrat (art. 13 al. 2 let. a nLPD)

Lorsqu'un prospect dépose une candidature auprès d'une HES-SO, d'une université cantonale ou d'une école privée (EHL, IMD, Glion...), le traitement de son dossier relève de mesures précontractuelles. Base légale solide, mais limitée à la phase de candidature formelle — pas au recrutement amont.

Ce que vous collectez — et le principe de proportionnalité

La proportionnalité, fondement nLPD (art. 6 al. 2 nLPD)

La nLPD impose la proportionnalité : les données doivent être adéquates, pertinentes, et limitées à ce qui est nécessaire à la finalité déclarée. Ce principe est fonctionnellement équivalent à la minimisation du RGPD.

Données nécessaires pour une demande d'information : nom, prénom, courriel, formation d'intérêt. Quatre champs suffisent.

Données discutables : date de naissance (justifiable si le programme accueille des mineurs ou des étudiants en CFC), numéro de natel (uniquement si un rappel est réellement prévu).

Données disproportionnées : numéro AVS lors d'un premier contact informel (clairement disproportionné au sens de l'art. 6 al. 2 nLPD), situation familiale, revenus des parents. Ces données constituent un risque de conformité sans justification documentée.

Chaque champ supplémentaire dans un formulaire réduit le taux de complétion de 5 à 8 % (Source : analyse Skolbot sur 45 formulaires de contact d'écoles, 2025). La proportionnalité n'est pas qu'une exigence légale — c'est un levier de conversion.

Les données collectées par le chatbot

Un chatbot collecte davantage de données qu'un formulaire. Les prospects partagent spontanément des informations sensibles (santé, difficultés financières, handicap). La nLPD classe les données de santé comme données sensibles (art. 5 let. c nLPD), soumises à une protection renforcée et nécessitant une base légale explicite pour leur traitement. 89 % des prospects posent une question sur les frais en CHF lors de leur premier contact chatbot (Source : analyse Skolbot, 12 000 conversations, 2025-2026).

Trois mesures sont indispensables : information préalable sur l'enregistrement de la conversation, anonymisation automatique des données sensibles à 30 jours, et accès restreint aux historiques.

Les durées de conservation selon la nLPD

La nLPD impose la suppression des données dès que la finalité est atteinte (article 6, alinéa 3). Il n'existe pas de recommandation chiffrée publiée par le PFPDT pour les données prospects — mais le principe de proportionnalité permet d'établir une politique défendable et documentée.

Durées recommandées par type de données

Type de donnéesDurée recommandéeFondement nLPD
Premier contact (formulaire, chat, Info-day)12 mois sans engagementArt. 6 al. 3 — finalité atteinte
Candidature non aboutie24 moisArt. 6 al. 3 — candidature possible an+1
Candidature refusée6 mois après notificationProportionnalité — pas de finalité au-delà
Conversations chatbot12 mois (données sensibles : anonymisation à 30 j)Art. 5 let. c — données sensibles
Données d'événements (Info-days, salons)12 mois sans démarche ultérieureArt. 6 al. 3 — finalité atteinte
Dossiers étudiants inscritsDurée cantonale applicableRéglementation cantonale

L'erreur du "on garde tout"

47 % des écoles conservent les données prospects indéfiniment (Source : enquête Skolbot, décembre 2025). En Suisse, ce comportement expose les responsables concernés — dirigeants, responsables IT — à une mise en cause pénale personnelle sous la nLPD. Les sanctions ne sont pas des amendes d'entreprise mais des poursuites individuelles.

Les droits des prospects selon la nLPD

La nLPD garantit plusieurs droits aux personnes concernées (articles 25 à 28), avec un délai de réponse de 30 jours.

Droit d'accès (art. 25 nLPD) : le prospect peut demander quelles données vous détenez, pour quelle finalité, et à qui elles ont été communiquées. Réponse sous 30 jours, gratuite en principe. Si le traitement est complexe, un délai supplémentaire de 30 jours peut être invoqué avec notification.

Droit de rectification : correction des données inexactes ou incomplètes, propagée à l'ensemble des systèmes concernés.

Droit à l'effacement : suppression de toutes les données, à effectuer dans tous les systèmes : CRM, emailing, chatbot, fichiers, sauvegardes.

Droit à la remise des données (art. 28 nLPD) : la nLPD reconnaît un droit à recevoir ses données dans un format structuré et lisible par machine, fonctionnellement proche de la portabilité RGPD.

Le cas des mineurs en Suisse

La nLPD ne fixe pas de seuil d'âge précis pour le consentement numérique. Le Code civil suisse (art. 13 et suivants) protège les mineurs : les moins de 16 ans requièrent généralement le consentement de leurs représentants légaux pour des traitements de données significatifs. Pour les actions de recrutement visant les gymnasiens, les salons d'orientation, et les campagnes sur réseaux sociaux ciblant les jeunes, intégrez une vérification d'âge dans vos formulaires et documentez le mécanisme de consentement parental dans votre registre des activités de traitement.

Checklist opérationnelle pour les équipes admissions

Collecte des données

  • Chaque formulaire contient les mentions obligatoires (art. 19 nLPD : identité du responsable, finalité, destinataires éventuels, droits de la personne)
  • Les mentions d'information sont visibles avant la collecte — pas uniquement dans une politique de confidentialité en pied de page
  • Le chatbot informe que la conversation est enregistrée et précise la finalité du traitement
  • Les formulaires des Info-days et salons étudiants incluent les mentions nLPD
  • Seules les données nécessaires sont collectées (proportionnalité — art. 6 al. 2 nLPD)

Stockage et accès

  • Les données prospects sont stockées dans un CRM avec contrôle d'accès par rôle
  • Aucun fichier Excel contenant des données personnelles ne circule par courriel
  • Les accès aux données sont journalisés avec horodatage
  • Les données sensibles (santé, situation financière) sont isolées avec accès restreint
  • L'authentification forte (MFA) est activée sur le CRM et les outils de communication

Conservation et purge

  • Une politique de durée de conservation est documentée, validée par la direction et appliquée techniquement
  • Un processus de purge automatique est paramétré dans le CRM
  • Les prospects sans interaction depuis 12 mois sont purgés ou font l'objet d'une séquence de réactivation avant suppression
  • Les données de candidatures refusées sont supprimées à 6 mois

Exercice des droits

  • Un processus de réponse aux demandes d'accès, rectification et effacement est documenté et testé
  • L'équipe admissions sait qui contacter en interne pour traiter une demande
  • Le délai de réponse de 30 jours est suivi dans un registre dédié
  • Les demandes de désinscription au marketing sont traitées immédiatement dans tous les systèmes

Les 5 erreurs nLPD les plus fréquentes en admissions suisses

Erreur 1 : le fichier Excel de l'Info-day. Collecter 100 courriels lors d'un Info-day, les transférer par courriel aux collègues, puis les importer dans le CRM sans base légale documentée. Triple infraction à la nLPD.

Erreur 2 : l'absence de mentions d'information. Formulaire de contact ou dossier de candidature sans information sur la finalité et l'identité du responsable du traitement. Violation directe de l'article 19 nLPD.

Erreur 3 : la conservation infinie. Données de prospects d'un Info-day 2022 toujours actives dans le CRM. Violation du principe de proportionnalité (art. 6 al. 3 nLPD) — et exposition pénale personnelle.

Erreur 4 : la réponse tardive. Une demande d'accès qui circule entre trois services pendant deux mois. Délai de 30 jours dépassé — risque de plainte au PFPDT et procédure de recommandation.

Erreur 5 : le chatbot sans information préalable. Le chatbot collecte nom, courriel et programme d'intérêt sans informer de l'enregistrement et de la finalité. Violation de l'obligation d'information de l'article 19 nLPD.

L'enjeu de confiance : au-delà de la conformité

73 % des étudiants de 18-24 ans déclarent que la protection de leurs données influence leur choix d'école (Source : enquête Harris Interactive, données transposables au contexte suisse, 2025). La conformité nLPD n'est pas seulement une obligation légale — c'est un signal de sérieux institutionnel qui influence directement l'attractivité de votre école auprès de candidats de plus en plus sensibilisés à leurs droits numériques.

Pour les établissements recrutant des candidats de France ou d'Allemagne, une double conformité nLPD + RGPD est souvent nécessaire — appliquer les standards RGPD comme référence couvre la quasi-totalité des exigences nLPD.

FAQ

En quoi la nLPD diffère-t-elle du RGPD pour la gestion des données prospects ?

Sur les grands principes (licéité, proportionnalité, transparence, droits des personnes), la nLPD est proche du RGPD. Trois différences structurelles sont significatives : (1) pas d'amendes administratives d'entreprise — les sanctions pénales nLPD visent les personnes physiques jusqu'à CHF 250 000 ; (2) le conseiller à la protection des données (CPD) est facultatif sous nLPD, obligatoire dans certains cas sous RGPD ; (3) il n'existe pas d'IA Act suisse contraignant — la régulation de l'IA repose sur les recommandations du PFPDT.

Peut-on envoyer un courriel de relance sans consentement explicite ?

Oui, sur la base de l'intérêt prépondérant (art. 31 nLPD), si le prospect a entamé une démarche de candidature sans la finaliser et si la relance est directement liée à cette démarche. Un courriel de newsletter ou de promotion d'un programme différent nécessite un consentement explicite documenté.

Que faire en cas de violation de données prospects ?

L'article 24 nLPD impose de notifier le PFPDT dans les meilleurs délais (72 heures est la pratique recommandée, alignée sur le standard RGPD) lorsque la violation présente un risque élevé pour les personnes concernées. Informer les prospects affectés si le risque est élevé. Documenter l'incident dans un registre interne : nature de la violation, données concernées, mesures correctives prises.

Un prestataire CRM ou chatbot hébergé aux États-Unis est-il conforme à la nLPD ?

Les articles 16 et 17 nLPD encadrent les transferts hors de Suisse. Pour les États-Unis, un mécanisme documenté est nécessaire : Swiss-US Data Privacy Framework (si le prestataire est certifié) ou clauses contractuelles types nLPD. Un outil américain sans mécanisme documenté constitue un transfert non conforme, engageant la responsabilité personnelle des décideurs. Consultez notre guide sur le transfert de données hors zone adéquate.

Comment former les équipes sans conseiller à la protection des données ?

La nLPD ne rend pas le CPD obligatoire. Prévoyez néanmoins une session de sensibilisation annuelle de 2 heures, centrée sur les cas pratiques : Info-days, formulaires de candidature, relances. Désignez un référent données interne comme point de contact. Le PFPDT met à disposition des guides pratiques. Pour un audit structuré de l'ensemble du dispositif, consultez notre checklist nLPD en 20 points pour les écoles suisses.

Articles similaires

Guide nLPD pour la protection des données étudiantes dans l'enseignement supérieur suisse
Conformité

nLPD et données étudiantes : guide conformité école suisse

Illustration isométrique du processus de demande d'effacement nLPD avec bouclier et icônes de documents pour une HES ou université suisse
Conformité

Droit à l'effacement en Suisse : que faire quand un prospect demande la suppression de ses données

Illustration chatbot IA nLPD collecte de données haute école suisse, conformité PFPDT 2026
Conformité

Chatbot IA et nLPD : quelles données peut-on collecter dans une haute école en Suisse ?

Retour au blog

RGPD · IA Act · Hébergement UE

skolbot.

SolutionTarifsBlogÉtudes de casComparatifAI CheckFAQÉquipeMentions légalesPolitique de confidentialité

© 2026 Skolbot