Registre des activités de traitement nLPD pour écoles et HES suisses : modèle PFPDT

Art. 12 nLPD : l'obligation de registre qui s'applique à votre école, même en dessous de 250 collaborateurs

Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (nLPD, RS 235.1) est en vigueur en Suisse. Elle remplace l'ancienne LPD de 1992 et introduit, à l'image du RGPD européen, une série d'obligations de documentation — dont la plus structurante pour les écoles est le registre des activités de traitement prévu par l'article 12 nLPD.

La nLPD n'est pas le RGPD. C'est un texte de droit fédéral suisse autonome, dont l'autorité de surveillance est le Préposé fédéral à la protection des données et à la transparence (PFPDT) — non la CNIL. Et ses sanctions sont pénales, non administratives : jusqu'à CHF 250'000 contre la personne physique responsable.

Pour une HES privée accréditée AAQ, une école de management telle qu'IMD ou GSEM, une institution hôtelière comme EHL, Glion Institute of Higher Education ou Les Roches, ou toute école supérieure traitant des données de candidats internationaux — la question du registre des activités de traitement n'est plus théorique.

Pour le cadre réglementaire nLPD global applicable à votre établissement, consultez notre guide nLPD données étudiantes pour les écoles suisses.

nLPD vs RGPD : la différence essentielle sur le registre

Le RGPD européen (art. 30) impose un registre à toute organisation de 250 salariés ou plus, avec une dérogation pour les organisations en dessous de ce seuil — sauf traitement régulier ou de données sensibles. La nLPD adopte une logique similaire mais formulée différemment.

L'article 12 nLPD impose le registre à :

Toute organisation traitant des données personnelles à grande échelle (aucun seuil numérique précis — appréciation qualitative)
Toute organisation traitant des données sensibles de façon régulière (santé, situation sociale, opinions religieuses ou politiques, données biométriques, etc.)
Toute organisation effectuant du profilage à risque élevé

L'exemption pour les PME de moins de 250 personnes n'existe sous la nLPD que si les traitements ne comportent aucun de ces éléments à risque élevé. Or une école — même petite — qui :

Utilise un chatbot IA collectant les préférences de milliers de candidats
Réalise du scoring ou de la segmentation dans son CRM
Traite des aménagements d'examens (données de santé)
Gère des dossiers financiers avec garanties bancaires (familles en situation financière précaire)

…est nécessairement dans le champ du registre obligatoire, indépendamment de sa taille. Le PFPDT ne compte pas les collaborateurs — il regarde la nature des traitements.

Ce que doit contenir le registre selon le PFPDT

Le registre des activités de traitement doit documenter, pour chaque activité identifiée, les informations suivantes selon l'art. 12 nLPD :

La désignation de l'activité de traitement (nom intelligible)
La finalité du traitement (pourquoi ces données sont collectées)
Les catégories de données traitées (coordonnées, données académiques, données de santé, etc.)
Les catégories de personnes concernées (candidats, étudiants, anciens élèves, prospects)
Les catégories de destinataires (prestataires CRM, fournisseurs d'emailing, sous-traitants chatbot)
Si applicable : les transferts de données hors de Suisse et les garanties associées
Les durées de conservation ou les critères pour les déterminer

Le PFPDT recommande un format structuré, mis à jour à chaque nouveau traitement ou modification substantielle d'un traitement existant. Ce n'est pas un document figé — c'est un outil de pilotage vivant.

Pour les durées de conservation des données de prospection, consultez notre article dédié sur la rétention des données prospects selon la nLPD qui détaille les recommandations du PFPDT catégorie par catégorie.

Modèle de registre : trois activités de traitement types pour une HES ou école privée suisse

Le tableau suivant illustre, avec des exemples concrets pour le contexte suisse, comment renseigner les fiches du registre pour les trois activités de traitement les plus critiques dans un établissement d'enseignement supérieur.

Activité de traitement	Finalité	Catégories de données	Personnes concernées	Destinataires	Transferts hors CH	Durée de conservation
Candidature HES via swissuniversities	Traitement des dossiers d'admission, sélection des candidats	Données d'identité, dossier académique (notes, diplômes), lettre de motivation, pièces justificatives	Candidats suisses et internationaux	Services admissions, AAQ (accréditation), jury de sélection	Non (swissuniversities hébergé en Suisse)	2 ans après décision de refus ; 5 ans après fin des études pour admis
Marketing et emailing — prospectus CHF	Acquisition et qualification de prospects, envoi de documentation (brochures programme, journées portes ouvertes, salons)	Email, prénom, nom, pays d'origine, programme d'intérêt, source du contact	Prospects non inscrits, participants aux événements	Fournisseur d'emailing (ex. Mailchimp, Brevo), CRM (HubSpot/Salesforce)	Selon hébergement — décision d'adéquation EU/CH si prestataire UE	3 ans depuis le dernier contact actif
Chatbot IA admissions 24h/24	Réponse aux questions FAQ, qualification des leads, transfert vers conseiller admissions	Prénom, email (si fourni), programme d'intérêt, contenu des échanges, métadonnées de session	Prospects anonymes et identifiés, candidats internationaux	Fournisseur chatbot IA (contrat de sous-traitance nLPD requis), CRM si lead qualifié	Oui si hébergement hors CH — vérifier art. 16–17 nLPD	30 jours (anonyme) ; 3 ans rattaché au profil prospect (identifié)

Ce modèle est indicatif. Chaque établissement doit l'adapter à ses traitements réels, ses prestataires et ses flux de données spécifiques.

Le cas particulier de l'admission directe en Suisse

Contrairement à la France avec Parcoursup, la Suisse ne dispose pas d'une plateforme nationale centralisée unique pour toutes les filières. L'admission dans le système suisse fonctionne selon deux modalités principales :

HES (Hautes écoles spécialisées) : la coordination nationale passe par swissuniversities.ch pour certaines filières. Les candidatures sont déposées directement auprès des établissements via leurs portails propres. Les HES publiques (HES-SO, BFH, OST, FHO, etc.) pratiquent des écolages de l'ordre de CHF 1'500/an ; les HES et business schools privées se situent entre CHF 15'000 et CHF 40'000/an.
Écoles privées et schools of hotel management (EHL, Glion, Les Roches) : admission 100 % directe, sans coordination nationale. Les candidats passent par les portails de candidature propres aux établissements, échangent par email et chatbot avec les conseillers admissions, et soumettent leurs dossiers en ligne.

Cette diversité d'admission implique des flux de données hétérogènes — portails internes, formulaires tiers, CRM, emailing — que le registre des activités de traitement doit cartographier exhaustivement.

Chatbot IA et registre nLPD : une activité à documenter en priorité

Les écoles privées suisses sont parmi les premières en Europe à avoir adopté les chatbots IA pour le recrutement international. Un chatbot présent sur le site d'une école hôtelière lausannoise répond 24h/24 à des prospects de 80 pays, en anglais, français, mandarin et arabe. 72 % des questions des candidats sont des FAQ automatisables par un chatbot IA, et seulement 7 % nécessitent une intervention humaine (Source : classification automatique sur 12 000 conversations Skolbot, 2025). Et les résultats sont mesurables : +62 % de leads qualifiés et -38 % de coût par lead sont observés après déploiement d'un chatbot IA bien paramétré (Source : résultats médians sur 18 écoles, optimisations de funnel concomitantes incluses, période 2024–2025).

Mais ce même chatbot est, aux yeux de la nLPD, une activité de traitement à part entière. Elle doit figurer dans le registre avec ses propres entrées, et déclenche généralement une EFVP (évaluation facteurs risques, équivalent nLPD de l'AIPD) si le traitement est à grande échelle ou implique du profilage.

Les points de vigilance spécifiques pour la fiche chatbot dans le registre :

Sous-traitance : le fournisseur chatbot IA (hébergement du modèle, traitement des conversations) est un sous-traitant au sens de l'art. 9 nLPD. Un contrat de sous-traitance nLPD est obligatoire avant toute mise en production.
Transferts internationaux : si le modèle IA est hébergé aux États-Unis (OpenAI GPT-4, etc.) ou hors de l'EEE, l'art. 16–17 nLPD impose soit une décision d'adéquation, soit des garanties contractuelles équivalentes (clauses types approuvées par le Conseil fédéral). La Suisse bénéficie d'une décision d'adéquation de la Commission européenne pour les flux vers l'UE — mais ce mécanisme ne couvre pas les transferts vers les États-Unis.
Information des personnes : chaque visiteur qui engage la conversation doit être informé qu'il interagit avec une IA, des données collectées, et de la manière d'exercer ses droits (art. 19 nLPD).

Pour un accompagnement sur le choix d'un conseiller à la protection des données pour piloter ces obligations, consultez notre article sur le DPO externalisé pour écoles privées en Suisse.

Transferts de données entre Suisse et UE : la décision d'adéquation en pratique

La Suisse bénéficie d'une décision d'adéquation de la Commission européenne depuis 2000 (confirmée sous le RGPD). Concrètement, cela signifie que :

Une école suisse peut recevoir des données personnelles d'étudiants de l'UE/EEE sans devoir mettre en place de mécanisme de transfert supplémentaire (pas de clauses contractuelles types côté européen obligatoires pour le seul fait du transfert vers la Suisse).
Un prestataire CRM ou emailing basé dans l'UE (France, Allemagne, Pays-Bas) peut traiter des données d'étudiants suisses transmises par votre école sans mécanisme supplémentaire.

Ce que la décision d'adéquation ne couvre pas :

Les transferts depuis la Suisse vers des pays tiers non adéquats (États-Unis, Chine, Inde). Ces flux restent soumis à l'art. 16–17 nLPD.
L'obligation pour l'école suisse de respecter le RGPD si elle cible activement des résidents de l'UE (campagnes géociblées, formulaires en français ciblant la France). Le RGPD s'applique en parallèle de la nLPD dans ce cas.

Dans votre registre, chaque activité de traitement comportant un transfert hors de Suisse doit mentionner : le pays destinataire, le mécanisme de conformité (adéquation, clauses types, exceptions art. 17 nLPD), et le prestataire concerné.

IA et nLPD : pas d'AI Act en Suisse, mais une vigilance PFPDT croissante

Contrairement à l'Union européenne — qui a adopté l'AI Act entré en vigueur en 2024 — la Suisse ne dispose pas d'un cadre légal spécifique à l'intelligence artificielle. Le PFPDT applique la nLPD aux systèmes d'IA via les principes généraux de minimisation, proportionnalité, et sécurité des données. Il publie régulièrement des prises de position et des recommandations sur l'IA générative et les chatbots (disponibles sur edoeb.admin.ch).

Pour les écoles qui déploient des outils d'IA générative dans leur processus d'admissions — analyse de lettres de motivation, scoring de candidats, réponses automatisées par LLM — le registre doit documenter explicitement l'usage de ces systèmes, les catégories de données traitées par le modèle, et les garanties contractuelles avec le fournisseur.

FAQ — Registre des activités de traitement nLPD pour les écoles suisses

Mon école de management privée emploie 80 personnes. Sommes-nous exemptés du registre selon la nLPD ?

Non. L'exemption pour les petites organisations vise les entités qui ne traitent pas de données sensibles, ne font pas de profilage à risque élevé, et dont les traitements ne sont pas réguliers ou à grande échelle. Dès que votre école utilise un CRM pour gérer des milliers de prospects, déploie un chatbot IA, ou traite des aménagements d'examens (données de santé), l'obligation de registre s'applique indépendamment du nombre de collaborateurs.

Quelle est la différence entre le registre nLPD (art. 12) et le registre RGPD (art. 30) ?

Les obligations sont fonctionnellement similaires — les deux visent à documenter les activités de traitement, leurs finalités, les catégories de données, les destinataires, les durées et les transferts. La différence principale est l'autorité de surveillance (PFPDT pour la nLPD, CNIL ou autre autorité nationale pour le RGPD) et le régime de sanctions (pénales et personnelles sous la nLPD, administratives et collectives sous le RGPD). Une école qui recrute dans l'UE doit tenir un registre conforme aux deux cadres — en pratique, un registre bien documenté selon la nLPD satisfait la plupart des exigences RGPD.

La décision d'adéquation entre l'UE et la Suisse supprime-t-elle l'obligation de documenter les transferts dans le registre ?

Non. La décision d'adéquation facilite les transferts — elle ne supprime pas l'obligation de documentation. Votre registre doit mentionner chaque flux international, y compris ceux vers l'UE, avec la base de licéité applicable (décision d'adéquation, dans ce cas). Le PFPDT peut à tout moment demander à vérifier que vos transferts sont documentés et justifiés.

Notre HES utilise swissuniversities.ch pour les candidatures. Devons-nous documenter cette plateforme dans notre registre ?

Oui. Swissuniversities est un destinataire ou co-responsable de traitement selon la configuration. Si vous transmettez des données de candidats à la plateforme ou en recevez, cette activité doit figurer dans votre registre avec les catégories de données échangées et les conditions contractuelles applicables. Contactez votre référent swissuniversities pour obtenir la documentation de leur traitement.

Le PFPDT a-t-il un modèle officiel de registre des activités de traitement ?

Le PFPDT ne publie pas de modèle unique obligatoire. Il diffuse des recommandations et des exemples sur edoeb.admin.ch. Le registre peut être tenu sur tableur, dans un outil dédié (conformité as-a-service), ou dans un document interne — l'essentiel est qu'il soit à jour, accessible à l'autorité sur demande, et qu'il couvre toutes les activités de traitement identifiées.

Cet article est fourni à titre informatif et ne constitue pas un avis juridique. Pour des questions de conformité nLPD spécifiques à votre établissement, consultez un juriste ou un conseiller en protection des données agréé.

Demandez une démo personnalisée

Art. 12 nLPD : l'obligation de registre qui s'applique à votre école, même en dessous de 250 collaborateurs

Pour le cadre réglementaire nLPD global applicable à votre établissement, consultez notre guide nLPD données étudiantes pour les écoles suisses.

nLPD vs RGPD : la différence essentielle sur le registre

L'article 12 nLPD impose le registre à :

Toute organisation traitant des données personnelles à grande échelle (aucun seuil numérique précis — appréciation qualitative)
Toute organisation traitant des données sensibles de façon régulière (santé, situation sociale, opinions religieuses ou politiques, données biométriques, etc.)
Toute organisation effectuant du profilage à risque élevé

L'exemption pour les PME de moins de 250 personnes n'existe sous la nLPD que si les traitements ne comportent aucun de ces éléments à risque élevé. Or une école — même petite — qui :

Utilise un chatbot IA collectant les préférences de milliers de candidats
Réalise du scoring ou de la segmentation dans son CRM
Traite des aménagements d'examens (données de santé)
Gère des dossiers financiers avec garanties bancaires (familles en situation financière précaire)

…est nécessairement dans le champ du registre obligatoire, indépendamment de sa taille. Le PFPDT ne compte pas les collaborateurs — il regarde la nature des traitements.

Ce que doit contenir le registre selon le PFPDT

Le registre des activités de traitement doit documenter, pour chaque activité identifiée, les informations suivantes selon l'art. 12 nLPD :

La désignation de l'activité de traitement (nom intelligible)
La finalité du traitement (pourquoi ces données sont collectées)
Les catégories de données traitées (coordonnées, données académiques, données de santé, etc.)
Les catégories de personnes concernées (candidats, étudiants, anciens élèves, prospects)
Les catégories de destinataires (prestataires CRM, fournisseurs d'emailing, sous-traitants chatbot)
Si applicable : les transferts de données hors de Suisse et les garanties associées
Les durées de conservation ou les critères pour les déterminer

Modèle de registre : trois activités de traitement types pour une HES ou école privée suisse

Activité de traitement	Finalité	Catégories de données	Personnes concernées	Destinataires	Transferts hors CH	Durée de conservation
Candidature HES via swissuniversities	Traitement des dossiers d'admission, sélection des candidats	Données d'identité, dossier académique (notes, diplômes), lettre de motivation, pièces justificatives	Candidats suisses et internationaux	Services admissions, AAQ (accréditation), jury de sélection	Non (swissuniversities hébergé en Suisse)	2 ans après décision de refus ; 5 ans après fin des études pour admis
Marketing et emailing — prospectus CHF	Acquisition et qualification de prospects, envoi de documentation (brochures programme, journées portes ouvertes, salons)	Email, prénom, nom, pays d'origine, programme d'intérêt, source du contact	Prospects non inscrits, participants aux événements	Fournisseur d'emailing (ex. Mailchimp, Brevo), CRM (HubSpot/Salesforce)	Selon hébergement — décision d'adéquation EU/CH si prestataire UE	3 ans depuis le dernier contact actif
Chatbot IA admissions 24h/24	Réponse aux questions FAQ, qualification des leads, transfert vers conseiller admissions	Prénom, email (si fourni), programme d'intérêt, contenu des échanges, métadonnées de session	Prospects anonymes et identifiés, candidats internationaux	Fournisseur chatbot IA (contrat de sous-traitance nLPD requis), CRM si lead qualifié	Oui si hébergement hors CH — vérifier art. 16–17 nLPD	30 jours (anonyme) ; 3 ans rattaché au profil prospect (identifié)

Ce modèle est indicatif. Chaque établissement doit l'adapter à ses traitements réels, ses prestataires et ses flux de données spécifiques.

Le cas particulier de l'admission directe en Suisse

HES (Hautes écoles spécialisées) : la coordination nationale passe par swissuniversities.ch pour certaines filières. Les candidatures sont déposées directement auprès des établissements via leurs portails propres. Les HES publiques (HES-SO, BFH, OST, FHO, etc.) pratiquent des écolages de l'ordre de CHF 1'500/an ; les HES et business schools privées se situent entre CHF 15'000 et CHF 40'000/an.
Écoles privées et schools of hotel management (EHL, Glion, Les Roches) : admission 100 % directe, sans coordination nationale. Les candidats passent par les portails de candidature propres aux établissements, échangent par email et chatbot avec les conseillers admissions, et soumettent leurs dossiers en ligne.

Chatbot IA et registre nLPD : une activité à documenter en priorité

Les points de vigilance spécifiques pour la fiche chatbot dans le registre :

Sous-traitance : le fournisseur chatbot IA (hébergement du modèle, traitement des conversations) est un sous-traitant au sens de l'art. 9 nLPD. Un contrat de sous-traitance nLPD est obligatoire avant toute mise en production.
Transferts internationaux : si le modèle IA est hébergé aux États-Unis (OpenAI GPT-4, etc.) ou hors de l'EEE, l'art. 16–17 nLPD impose soit une décision d'adéquation, soit des garanties contractuelles équivalentes (clauses types approuvées par le Conseil fédéral). La Suisse bénéficie d'une décision d'adéquation de la Commission européenne pour les flux vers l'UE — mais ce mécanisme ne couvre pas les transferts vers les États-Unis.
Information des personnes : chaque visiteur qui engage la conversation doit être informé qu'il interagit avec une IA, des données collectées, et de la manière d'exercer ses droits (art. 19 nLPD).

Pour un accompagnement sur le choix d'un conseiller à la protection des données pour piloter ces obligations, consultez notre article sur le DPO externalisé pour écoles privées en Suisse.

Transferts de données entre Suisse et UE : la décision d'adéquation en pratique

La Suisse bénéficie d'une décision d'adéquation de la Commission européenne depuis 2000 (confirmée sous le RGPD). Concrètement, cela signifie que :

Une école suisse peut recevoir des données personnelles d'étudiants de l'UE/EEE sans devoir mettre en place de mécanisme de transfert supplémentaire (pas de clauses contractuelles types côté européen obligatoires pour le seul fait du transfert vers la Suisse).
Un prestataire CRM ou emailing basé dans l'UE (France, Allemagne, Pays-Bas) peut traiter des données d'étudiants suisses transmises par votre école sans mécanisme supplémentaire.

Ce que la décision d'adéquation ne couvre pas :

Les transferts depuis la Suisse vers des pays tiers non adéquats (États-Unis, Chine, Inde). Ces flux restent soumis à l'art. 16–17 nLPD.
L'obligation pour l'école suisse de respecter le RGPD si elle cible activement des résidents de l'UE (campagnes géociblées, formulaires en français ciblant la France). Le RGPD s'applique en parallèle de la nLPD dans ce cas.

IA et nLPD : pas d'AI Act en Suisse, mais une vigilance PFPDT croissante

FAQ — Registre des activités de traitement nLPD pour les écoles suisses

Mon école de management privée emploie 80 personnes. Sommes-nous exemptés du registre selon la nLPD ?

Quelle est la différence entre le registre nLPD (art. 12) et le registre RGPD (art. 30) ?

La décision d'adéquation entre l'UE et la Suisse supprime-t-elle l'obligation de documenter les transferts dans le registre ?

Notre HES utilise swissuniversities.ch pour les candidatures. Devons-nous documenter cette plateforme dans notre registre ?

Le PFPDT a-t-il un modèle officiel de registre des activités de traitement ?

Demandez une démo personnalisée

Registre des activités de traitement nLPD pour écoles et HES suisses : modèle PFPDT

Art. 12 nLPD : l'obligation de registre qui s'applique à votre école, même en dessous de 250 collaborateurs

nLPD vs RGPD : la différence essentielle sur le registre

Ce que doit contenir le registre selon le PFPDT

Modèle de registre : trois activités de traitement types pour une HES ou école privée suisse

Le cas particulier de l'admission directe en Suisse

Chatbot IA et registre nLPD : une activité à documenter en priorité

Transferts de données entre Suisse et UE : la décision d'adéquation en pratique

IA et nLPD : pas d'AI Act en Suisse, mais une vigilance PFPDT croissante

FAQ — Registre des activités de traitement nLPD pour les écoles suisses

Articles similaires

nLPD et données étudiantes : guide conformité école suisse

IA Act UE et nLPD : checklist de documentation pour les écoles suisses

Formulaire de candidature et nLPD en Suisse : le minimum conforme PFPDT

Registre des activités de traitement nLPD pour écoles et HES suisses : modèle PFPDT

Art. 12 nLPD : l'obligation de registre qui s'applique à votre école, même en dessous de 250 collaborateurs

nLPD vs RGPD : la différence essentielle sur le registre

Ce que doit contenir le registre selon le PFPDT

Modèle de registre : trois activités de traitement types pour une HES ou école privée suisse

Le cas particulier de l'admission directe en Suisse

Chatbot IA et registre nLPD : une activité à documenter en priorité

Transferts de données entre Suisse et UE : la décision d'adéquation en pratique

IA et nLPD : pas d'AI Act en Suisse, mais une vigilance PFPDT croissante

FAQ — Registre des activités de traitement nLPD pour les écoles suisses

Articles similaires

nLPD et données étudiantes : guide conformité école suisse

IA Act UE et nLPD : checklist de documentation pour les écoles suisses

Formulaire de candidature et nLPD en Suisse : le minimum conforme PFPDT