ChatGPT
Claude
Perplexity
Gemini
GrokLa nLPD encadre chaque donnée qu'une école suisse collecte sur un candidat ou un étudiant
Depuis le 1er septembre 2023, la nouvelle Loi fédérale sur la protection des données (nLPD, RS 235.1) régit tout traitement de données personnelles en Suisse. Pour une HES, une université cantonale, une EPF ou une école privée de type Glion, Les Roches, EHL ou IMD, le périmètre dépasse les seuls dossiers d'admission : formulaires de contact, conversations chatbot, analytics, attestations de notes, données de santé recueillies par l'infirmerie, et photographies prises lors d'événements campus.
La Suisse n'est pas membre de l'Union européenne. Le cadre applicable n'est donc pas le RGPD, mais la nLPD, supervisée par le Préposé fédéral à la protection des données et à la transparence (PFPDT). Le régime de sanctions est radicalement différent : là où le RGPD prévoit des amendes administratives contre l'entreprise, la nLPD prévoit des amendes pénales jusqu'à CHF 250'000 contre la personne physique responsable (art. 60 à 63 nLPD). Cette différence change le profil de risque pour un directeur d'admissions ou un DSI d'école.
Ce guide couvre les obligations concrètes pour les établissements suisses : catégories de données, base juridique, information du candidat, droits des personnes concernées, nécessité ou non d'un DPO, registre des activités et cohabitation avec le RGPD pour les candidats ressortissants de l'EEE.
Les catégories de données personnelles traitées par une école suisse
Données des candidats et des étudiants
Avant même l'inscription, l'école collecte un volume substantiel de données au sens de l'art. 5 nLPD : identité (nom, courriel, natel), navigation, conversations chatbot, pièces de candidature (CV, lettre de motivation, attestations de maturité gymnasiale, professionnelle ou spécialisée).
84 % des candidats à une école suisse posent une question sur les taxes d'études ou les bourses cantonales avant de déposer un dossier (Source : analyse de 9'400 conversations chatbot Skolbot sur écoles suisses, sept. 2025 – fév. 2026). Dès qu'un identifiant est associé à la conversation, celle-ci constitue un traitement soumis à la nLPD.
Une fois inscrit, l'étudiant génère des données académiques (crédits ECTS, diplômes Bachelor et Master système de Bologne), financières (taxes de CHF 1'000 à 2'000/an dans le public, CHF 15'000 à 40'000/an dans le privé, bourses cantonales), de vie campus et sensibles (art. 5 let. c nLPD : santé, handicap, situation sociale). Les données sensibles exigent un consentement exprès (art. 6 al. 7 nLPD) dès qu'elles sortent du strict nécessaire au contrat de formation.
Données des alumni
Le traitement des données d'anciens étudiants (annuaire, dons, événements réseau) exige une base juridique distincte. L'accord donné lors de l'inscription ne couvre pas automatiquement le suivi post-diplôme : la finalité change, donc l'information doit être renouvelée.
Les bases juridiques applicables dans l'enseignement supérieur suisse
La nLPD ne reprend pas les six bases légales du RGPD. Elle fonctionne selon les principes de licéité, de bonne foi et de proportionnalité (art. 6 nLPD), sans obligation générale de consentement préalable. Pour une école suisse, cela se décline ainsi :
- Exécution du contrat de formation — Base la plus solide pour l'inscription, la scolarité et la facturation. Le contrat passé entre l'étudiant et la HES, l'université cantonale ou l'EPF justifie les traitements nécessaires à son exécution.
- Intérêt prépondérant (art. 31 nLPD) — Applicable au marketing de recrutement, à l'analytics et aux relances. Exige une pesée des intérêts documentée.
- Obligation légale — Transmission aux autorités cantonales, à swissuniversities pour la coordination des admissions HES, ou à l'AAQ pour l'accréditation. La LAHE (RS 414.20) cadre ces transmissions.
- Consentement exprès — Requis pour les données sensibles, le profilage à risque élevé (art. 5 let. g nLPD), les transferts hors pays adéquats et les newsletters marketing.
Beaucoup d'écoles importent mécaniquement leur politique RGPD et la renomment. C'est une erreur : la nLPD ne requiert pas, par principe, un consentement pour chaque traitement, mais elle impose le régime pénal personnel mentionné plus haut. La bonne approche suisse est de construire sa conformité directement sur la nLPD, puis d'ajouter les obligations RGPD pour les candidats ressortissants de l'EEE.
L'information du candidat et le chatbot d'admission
Le devoir d'information (art. 19 nLPD) impose à l'école d'informer la personne concernée, de manière adéquate, lors de la collecte : identité du responsable, finalités, catégories de destinataires et transferts à l'étranger. Pour un chatbot d'admission, cette information prend la forme d'un bandeau au lancement de la conversation, avec lien vers la politique complète. Le bandeau doit exister dans chacune des langues activées — un chatbot qui répond en allemand ou en italien avec une information uniquement en français ne remplit pas l'obligation.
Le consentement reste requis pour le profilage à risque élevé : évaluation automatisée de dossiers par IA, scoring comportemental, tri algorithmique. L'école doit obtenir un consentement exprès, documenté, et permettre à la personne concernée de demander une révision humaine (art. 21 nLPD).
Les droits des personnes concernées
La nLPD garantit des droits que l'école doit honorer dans un délai raisonnable (30 jours dans la pratique consolidée) :
- Droit d'accès (art. 25 nLPD) — Copie de l'ensemble des données traitées
- Droit de rectification (art. 32 nLPD) — Correction des données inexactes
- Droit à la remise ou à la transmission (art. 28 nLPD) — Équivalent partiel de la portabilité RGPD
- Droit d'opposition — Refus du traitement basé sur l'intérêt prépondérant
- Droit à l'effacement — Déductible du principe de proportionnalité
- Droit à une décision humaine (art. 21 nLPD) — Pour toute décision individuelle automatisée
Le coût d'acquisition par étudiant inscrit se situe entre CHF 2'500 et CHF 3'500 en Suisse (estimation sectorielle consolidée sur 18 écoles suisses privées et publiques, 2024-2025). Chaque demande d'effacement représente donc une perte d'investissement non récupérable — argument supplémentaire pour appliquer strictement la minimisation dès la collecte. Un processus d'effacement en cascade documenté, testé au moins une fois par an, est indispensable. Voir notre guide sur la protection des données dans les écoles suisses.
Le DPO : obligatoire ou recommandé pour votre école ?
Contrairement au RGPD, la nLPD ne rend obligatoire la désignation d'un conseiller à la protection des données que pour les organes fédéraux (art. 10 nLPD). Pour une école privée, une HES cantonale ou une université cantonale, la désignation est facultative mais fortement recommandée, et offre un avantage concret : elle dispense de consulter le PFPDT en cas d'analyse d'impact concluant à un risque élevé résiduel (art. 23 nLPD).
Un conseiller interne connaît les processus de l'école mais risque un conflit d'intérêts s'il cumule la fonction avec un rôle décisionnel. Un conseiller externe apporte une indépendance garantie et une expertise transverse. Dans les deux cas, le conseiller doit avoir accès direct à la direction, disposer de moyens suffisants et ne pas être sanctionné pour l'exercice de sa mission.
Le registre des activités de traitement
L'art. 12 nLPD rend le registre obligatoire dès 250 employés, OU en cas de traitement de données sensibles à grande échelle, OU de profilage à risque élevé. La quasi-totalité des HES, universités cantonales et écoles privées significatives tombent sous l'une de ces conditions : une école de 500 étudiants traite nécessairement des données sensibles (santé, handicap, situation sociale) à grande échelle.
Pour chaque activité, le registre doit décrire : responsable du traitement, finalité, catégories de personnes concernées et de données, destinataires, durée de conservation, garanties en cas de communication à l'étranger, et mesures techniques et organisationnelles. Le PFPDT publie un modèle adaptable, particulièrement utile pour les écoles qui démarrent leur conformité.
Hébergement et transferts à l'étranger
La nLPD ne prescrit pas un hébergement obligatoirement suisse, mais encadre strictement les transferts à l'étranger (art. 16 nLPD). Le Conseil fédéral tient une liste des États offrant une protection adéquate : l'UE et l'EEE y figurent, facilitant les flux. Les États-Unis ne bénéficient pas d'une adéquation générale ; les transferts vers les fournisseurs américains (certains LLM, certains outils d'emailing) nécessitent des garanties contractuelles complémentaires.
Recommandation pour une école suisse : exiger de tout prestataire un hébergement en Suisse ou dans l'EEE, et un contrat de sous-traitance (DPA) conforme à la nLPD — pas seulement au RGPD. De nombreux prestataires proposent un DPA RGPD par défaut ; il faut demander explicitement la variante nLPD ou une clause de conformité duale. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne, ce qui simplifie les flux UE → Suisse, mais cette adéquation n'est pas symétrique avec les États-Unis.
nLPD vs RGPD : comparaison pratique pour une école
Pour une école qui accueille des candidats suisses et ressortissants de l'EEE, les deux cadres cohabitent.
| Aspect | nLPD (Suisse) | RGPD (UE) |
|---|---|---|
| Entrée en vigueur | 1er septembre 2023 | 25 mai 2018 |
| Autorité de contrôle | PFPDT | CNIL, BfDI, AEPD… |
| DPO obligatoire | Non (sauf organe fédéral) | Oui au-delà de certains seuils |
| Registre des activités | Dès 250 employés OU données sensibles à grande échelle | Dès 250 employés OU traitement régulier à risque |
| Base du traitement | Licéité + proportionnalité + bonne foi | 6 bases légales limitatives |
| Consentement requis pour | Données sensibles, profilage à risque élevé, transferts non adéquats | Données sensibles, marketing, cookies non essentiels |
| Sanction maximale | CHF 250'000 (amende pénale, personne physique) | 20 M€ ou 4 % du CA mondial (administrative, entreprise) |
| Notification de violation | Au PFPDT dans les meilleurs délais | Sous 72 heures |
| Décision automatisée | Droit à révision humaine (art. 21 nLPD) | Droit à ne pas être soumis (art. 22 RGPD) |
| Analyse d'impact | Obligatoire en cas de risque élevé (art. 22 nLPD) | Obligatoire en cas de risque élevé (art. 35 RGPD) |
La conséquence pratique la plus importante : le régime pénal de la nLPD cible la personne physique responsable, pas l'entreprise. Un directeur d'admissions qui néglige son devoir d'information, ou un DSI qui omet une analyse d'impact obligatoire, s'expose personnellement à une amende jusqu'à CHF 250'000. C'est un changement de profil de risque radical par rapport au modèle RGPD où la sanction pèse sur la structure.
L'IA dans les admissions : pas de loi IA suisse, mais la nLPD s'applique
Contrairement à l'UE qui a adopté l'AI Act, la Suisse n'a pas de loi spécifique sur l'intelligence artificielle en 2026. Le Conseil fédéral a engagé des travaux préparatoires, mais la régulation de l'IA dans les écoles repose sur la nLPD, le droit sectoriel (LAHE, lois cantonales) et les lignes directrices du PFPDT.
Pour une école qui utilise un chatbot d'admission ou un outil d'IA pour le tri des candidatures, les obligations sont :
- Information du candidat (art. 19 nLPD) — Indiquer qu'il interagit avec un système automatisé
- Révision humaine (art. 21 nLPD) — La décision finale d'admission doit rester humaine, l'école doit pouvoir le prouver
- Analyse d'impact (art. 22 nLPD) — Obligatoire pour tout scoring automatisé de candidatures
Dès lors qu'une école suisse cible activement des candidats en France, Allemagne, Italie ou autre État de l'EEE (JPO à Paris, partenariats avec des lycées italiens), le RGPD et l'AI Act s'appliquent en parallèle à la nLPD pour ces candidats. Une école qui respecte le RGPD + AI Act pour ses candidats UE respecte a fortiori la nLPD pour ses candidats suisses — mais l'inverse n'est pas vrai.
Spécificités des écoles suisses de référence
| Type d'établissement | Exemples | Régime particulier |
|---|---|---|
| EPF fédérales | EPFL, ETH Zurich | Organe fédéral : DPO obligatoire, contrôle direct du PFPDT |
| Universités cantonales | Unige, Unil, Unibe, UniZH, UniFR, USI | nLPD + loi cantonale de protection des données |
| HES publiques | HES-SO, ZHAW, FHNW, BFH, SUPSI | nLPD + articulation multi-cantonale (cas HES-SO : 7 cantons romands) |
| Écoles privées internationales | Glion, Les Roches, EHL, IMD, Webster Geneva | nLPD + RGPD (candidats UE) + réglementations tierces |
Pour un panorama complet du secteur privé, voir notre guide de l'enseignement supérieur privé en Suisse.
Sécurité des données : mesures techniques et organisationnelles
L'art. 6 al. 3 nLPD impose la minimisation : ne collecter que les données strictement nécessaires. Pour un chatbot, cela signifie ne pas exiger nom, courriel ou natel pour répondre à une question sur les taxes d'études. L'identification n'est justifiée qu'au moment où le candidat souhaite être recontacté.
Mesures techniques indispensables :
- Chiffrement en transit (TLS 1.3) et au repos (AES-256)
- Hébergement Suisse ou EEE dans un pays reconnu adéquat
- Pseudonymisation entre identifiants directs et données comportementales
- Journalisation des accès : qui, quoi, quand, pour quelle finalité
- Sauvegardes chiffrées avec test de restauration annuel documenté
- Suppression automatisée à l'expiration de la durée de conservation
L'art. 22 nLPD exige une analyse d'impact avant tout traitement à risque élevé : chatbot IA, scoring automatisé de candidatures, vidéosurveillance étendue, profilage marketing fin. Si l'analyse conclut à un risque élevé résiduel, l'école doit consulter le PFPDT — sauf si elle a désigné un DPO qui valide lui-même (art. 23 nLPD). C'est l'un des bénéfices concrets de la désignation volontaire en école privée.
Pour calibrer les analyses d'impact selon le volume réel traité, l'Office fédéral de la statistique (OFS) publie les données officielles sur les effectifs et flux de mobilité dans l'enseignement supérieur suisse.
FAQ
Ma HES doit-elle nommer un DPO ?
La nLPD ne rend la désignation d'un conseiller à la protection des données obligatoire que pour les organes fédéraux. Une HES publique cantonale ou une école privée n'a donc pas l'obligation stricte, contrairement au RGPD. Cela dit, la désignation est fortement recommandée : elle dispense de consulter le PFPDT en cas d'analyse d'impact concluant à un risque élevé résiduel (art. 23 nLPD), offre un interlocuteur clair pour les candidats exerçant leurs droits, et protège la direction contre le risque pénal personnel. Pour une HES de plus de 1'000 étudiants, la désignation est devenue une pratique de place.
Que risque mon école en cas de violation de la nLPD ?
La nLPD prévoit des amendes pénales, et non administratives comme le RGPD. Elles visent la personne physique responsable du manquement (directeur, DPO, DSI, responsable admissions selon le cas), et non l'entreprise. Le plafond est de CHF 250'000 pour les infractions intentionnelles aux devoirs d'information, de renseignement, de collaboration ou de diligence (art. 60 à 63 nLPD). En parallèle, l'école s'expose à un préjudice réputationnel et à des actions civiles. Pour les écoles qui traitent aussi des données de candidats UE, s'ajoutent les sanctions RGPD (jusqu'à 4 % du CA mondial).
Combien de temps conserver les données des candidats ?
Le principe est la proportionnalité : aussi longtemps que nécessaire à la finalité, pas plus. Durées recommandées dans la pratique consolidée suisse :
- Prospect sans suite (JPO, formulaire, chatbot sans candidature) — 2 ans après le dernier contact
- Candidat refusé — 1 an (délai de recours éventuel), puis effacement
- Étudiant inscrit — données académiques pendant la scolarité + conservation perpétuelle de la preuve de délivrance du diplôme
- Données financières — 10 ans (art. 958f CO, prescription comptable)
- Analytics nominatives — 13 mois maximum, conformément aux recommandations PFPDT
Ces durées doivent figurer au registre et être communiquées dans la politique de confidentialité.
Faut-il héberger les données en Suisse obligatoirement ?
Non. La nLPD autorise l'hébergement dans tout État adéquat, ce qui inclut l'EEE. Mais pour une école suisse, exiger un hébergement en Suisse ou dans l'EEE (avec DPA conforme à la nLPD) reste la meilleure pratique. Les fournisseurs américains nécessitent des garanties contractuelles complémentaires. Pour un chatbot IA, vérifiez que le fournisseur LLM utilise des instances hébergées en Suisse ou en Europe, et non des endpoints US par défaut.
Un chatbot IA d'admission est-il conforme à la nLPD ?
Oui, à cinq conditions : informer le candidat qu'il interagit avec un système automatisé (art. 19 nLPD), limiter la collecte aux données nécessaires (art. 6 al. 3 nLPD), permettre l'exercice des droits d'accès, de rectification et de remise, héberger dans un pays adéquat, et garantir une décision humaine finale pour toute admission ou refus (art. 21 nLPD). L'information doit être disponible dans chacune des langues actives. Notre guide du chatbot multilingue pour école suisse détaille la mise en œuvre pratique.
La conformité nLPD n'est pas un projet ponctuel. C'est un processus continu qui traverse admissions, scolarité, communication, marketing, IT et direction. Les établissements qui l'intègrent dès la conception de leurs outils (protection dès la conception, art. 7 nLPD) protègent leurs candidats et se protègent eux-mêmes — y compris leurs dirigeants face au risque pénal personnel spécifique au régime suisse.
Testez Skolbot sur votre école en 30 secondes
