ChatGPT
Claude
Perplexity
Gemini
GrokCe que couvre le RGPD sur votre site d'école
Le Règlement général sur la protection des données (RGPD — 2016/679) couvre l'intégralité des traitements de données personnelles dès lors qu'ils concernent des personnes situées dans l'Union européenne. Pour un site d'école supérieure privée, cela inclut tout ce qui se passe avant même qu'un prospect remplisse son premier formulaire : les cookies analytiques qui tracent son parcours, le pixel de retargeting Meta chargé dès la page d'accueil, et le chatbot qui enregistre ses questions.
Le périmètre est plus large qu'on ne le pense généralement :
- Données de navigation — adresse IP, pages visitées, durée de session, source d'acquisition
- Données de formulaire — nom, email, téléphone, programme d'intérêt, niveau d'étude
- Données conversationnelles — historique du chatbot, questions posées, langue utilisée
- Données d'événement — inscription JPO, participation à un webinaire de présentation, téléchargement de brochure
- Données de suivi publicitaire — identifiants publicitaires, signaux de conversion Parcoursup
Chacun de ces traitements nécessite une base légale valide (RGPD, article 6). Pour les cookies non essentiels et les formulaires à finalité marketing, cette base légale est le consentement : libre, spécifique, éclairé et univoque. C'est ce que la CNIL contrôle en priorité depuis 2022, et que le plan de contrôle 2026 de l'autorité maintient parmi ses cibles dans le secteur éducatif.
Pour une vue d'ensemble de toutes vos obligations RGPD, consultez notre guide RGPD complet pour les écoles.
Quels cookies nécessitent un consentement ?
Tous les cookies ne sont pas soumis au même régime. La distinction fondamentale de la doctrine CNIL oppose les cookies strictement nécessaires — exemptés de consentement — aux autres catégories, toutes soumises à consentement préalable.
| Catégorie | Exemples courants sur un site d'école | Consentement requis ? |
|---|---|---|
| Strictement nécessaires | Session de connexion espace candidat, panier inscription, préférences de langue | Non |
| Fonctionnels | Mémorisation du formulaire pré-rempli, préférences d'affichage du chatbot | Non (si strictement fonctionnel) |
| Analytiques | Google Analytics 4, Matomo sans anonymisation complète, Hotjar | Oui |
| Marketing / publicitaires | Pixel Meta, Google Ads, LinkedIn Insight Tag, TikTok Pixel | Oui |
| Personnalisation | Recommandation de programme, retargeting comportemental | Oui |
Cookies strictement nécessaires : ils permettent au site de fonctionner. Un cookie qui maintient la session d'un candidat connecté à son espace de candidature entre dans cette catégorie. Pas de bandeau requis, mais une information dans la politique de cookies.
Cookies fonctionnels : la CNIL admet une exemption étroite — le cookie doit être strictement nécessaire à une fonctionnalité explicitement demandée par l'utilisateur. Un cookie qui pré-remplit un formulaire d'inscription JPO à la demande du prospect peut en bénéficier. En revanche, un cookie qui mémorise automatiquement le comportement de navigation pour « améliorer l'expérience » sort de cette exemption.
Cookies analytiques : Google Analytics 4 en configuration standard dépose des cookies soumis à consentement. Une école peut opter pour une configuration avec anonymisation de l'IP et sans identifiants persistants — mais la CNIL exige que la solution soit documentée et que le prestataire ne réutilise pas les données à d'autres fins. Matomo autohébergé avec anonymisation complète bénéficie d'une exemption de consentement sous conditions.
Cookies marketing et publicitaires : ils constituent la catégorie la plus sensible. Le pixel Meta chargé sur la page d'inscription JPO, le tag Google Ads sur la page de confirmation de candidature, le LinkedIn Insight Tag qui traque les visiteurs professionnels — tous exigent un consentement explicite obtenu avant leur chargement. Un bandeau qui les charge dès l'arrivée sur la page, avant tout clic, est non conforme.
Cookies de personnalisation : le suivi des comportements pour personnaliser les recommandations de programmes (« vous avez regardé le Bachelor Marketing, voici nos masters »), le retargeting comportemental pour afficher des annonces après la visite du site — tous exigent un consentement distinct des analytics.
Pour approfondir la protection des données des prospects au-delà de la politique cookies, consultez notre guide dédié aux équipes admissions.
Formulaires de contact, JPO et newsletters : les règles spécifiques
Les formulaires constituent le deuxième grand périmètre du consentement RGPD sur un site d'école. Chaque type de formulaire obéit à des règles précises.
Formulaire de contact et demande de brochure
La base légale la plus adaptée est l'intérêt légitime (article 6.1.f) ou les mesures précontractuelles (article 6.1.b) pour l'envoi de la brochure demandée. Le consentement est requis pour les communications marketing ultérieures (newsletters, relances, invitations à d'autres événements). Règle pratique :
- La case « Recevoir les actualités et offres de formation » doit être décochée par défaut
- Un texte distinct doit expliquer à quoi sert chaque case
- Un lien vers la politique de confidentialité doit être visible au point de collecte
Formulaire d'inscription JPO
L'inscription à une Journée Portes Ouvertes repose sur les mesures précontractuelles ou l'intérêt légitime : le prospect a activement demandé à participer, le traitement de ses données pour gérer sa participation est justifié. En revanche, l'utilisation de ces données pour l'inscrire automatiquement à une newsletter de programme, pour le passer dans un pipeline CRM de relance commerciale, ou pour partager ses coordonnées avec des partenaires — tout cela nécessite un consentement spécifique.
Cas particulier Parcoursup : si votre formulaire JPO inclut un champ « Avez-vous un profil Parcoursup ? » pour tracker les conversions entre JPO et candidature, ce traitement constitue une donnée de suivi comportemental. La CNIL considère que le couplage d'un identifiant Parcoursup à un profil de prospect constitue un traitement de données qui mérite une base légale explicite et une information claire.
Newsletter et communications marketing
Le consentement est ici la seule base légale valide. Obligations :
- Double opt-in recommandé (email de confirmation du consentement)
- Horodatage et preuve du consentement conservés (article 7.1 — la charge de la preuve incombe au responsable de traitement)
- Désinscription facile à chaque envoi, sans friction
- Conservation du consentement : si la newsletter n'est pas envoyée pendant plus de 3 ans, le consentement doit être renouvelé
Formulaires mineurs
Les programmes de prépa intégrée ou certains BTS accueillent des prospects mineurs. En France, le seuil de consentement numérique est fixé à 15 ans par la loi Informatique et Libertés. Pour les prospects déclarant moins de 15 ans, un mécanisme de vérification parentale est requis pour tout traitement basé sur le consentement.
Comment implémenter un bandeau cookies conforme CNIL
La recommandation CNIL sur les cookies fixe des exigences précises que beaucoup de sites d'écoles ne respectent pas encore en 2026.
Les 5 obligations non négociables
1. Refus aussi simple que l'acceptation — Le bouton « Refuser » doit être aussi visible, accessible et rapide à utiliser que le bouton « Accepter ». Un bandeau qui affiche « Accepter tout » en vert avec un texte « Gérer mes préférences » en gris pâle ne respecte pas cette obligation.
2. Blocage effectif avant consentement — Les cookies marketing et analytiques ne doivent pas se charger avant le clic sur « Accepter ». Ce n'est pas une question de bandeau affiché, c'est une question de chargement technique réel. Tester avec les outils développeur de votre navigateur : si Google Analytics se charge dans l'onglet Réseau avant tout clic, vous êtes hors conformité.
3. Pas de cookie walls — L'accès au contenu du site ne peut pas être conditionné à l'acceptation des cookies. Un prospect doit pouvoir consulter vos pages de programmes, télécharger une brochure ou poser une question au chatbot sans accepter les traceurs publicitaires.
4. Conservation de la preuve du consentement — La date, l'heure, les choix effectués et la version du bandeau acceptée doivent être conservés. En cas de contrôle CNIL, c'est la première chose demandée.
5. Durée du consentement limitée — La CNIL recommande une durée maximale de 13 mois pour le consentement cookies. Au-delà, le bandeau doit se réafficher.
Choisir une Consent Management Platform (CMP)
Les solutions couramment utilisées par les écoles partenaires Skolbot : Axeptio, Didomi, Cookiebot, OneTrust. Critères de choix pour une école :
- Conformité IAB TCF 2.2 (requis si vous utilisez des partenaires publicitaires programmatiques)
- Capacité à bloquer les scripts tiers conditionnellement (pas juste un bandeau décoratif)
- Interface de configuration sans développeur pour les mises à jour régulières
- Logs de consentement exportables pour audit CNIL
Cas particulier : le chatbot IA et les données de conversation
Le chatbot IA mérite une attention spécifique. 72% des interactions chatbot sur les sites d'écoles portent sur des questions FAQ automatisables — autant de traitements de données soumis au RGPD que votre politique cookies doit couvrir. (Source : Classification automatique sur 12 000 conversations Skolbot, 2025)
Ces interactions génèrent plusieurs types de données :
- Données conversationnelles — texte des messages, horodatage, durée de session
- Données d'identification — nom et email si le prospect les fournit pour être recontacté
- Données comportementales — questions posées, ordre de navigation, abandons
- Données techniques — adresse IP, type d'appareil, navigateur
Et cette métrique illustre l'ampleur de l'enjeu côté expérience : un chatbot IA réduit le taux de rebond de 68% à 41% — mais chaque session génère des données de navigation et d'interaction soumises au RGPD dès lors que des cookies analytics ou de personnalisation sont déposés. (Source : A/B test Skolbot sur 22 sites d'écoles partenaires, sept–déc 2025)
Ce que votre politique cookies doit couvrir pour le chatbot
Cookies strictement nécessaires au fonctionnement du chatbot (session, continuité de la conversation) : exemptés de consentement, mais à documenter dans la politique cookies.
Cookies analytiques du chatbot (mesure de l'usage, taux de réponse, sujets fréquents) : soumis à consentement si un identifiant persistant ou une adresse IP non anonymisée est utilisée.
Informations obligatoires avant la première interaction : conformément à l'IA Act (article 52), le prospect doit être informé qu'il interagit avec une intelligence artificielle. Un message d'accueil du type « Je suis Skolbot, l'assistant IA de [École]. Vos questions sont traitées selon notre [politique de confidentialité]. » remplit cette obligation et améliore la confiance du prospect.
Minimisation des données : le chatbot ne doit pas exiger le nom ou l'email pour répondre à une question sur les programmes. La collecte d'identifiants ne se justifie que lorsque le prospect souhaite être recontacté ou recevoir une documentation personnalisée.
Pour l'ensemble des mesures techniques et organisationnelles à mettre en place, la checklist d'audit RGPD détaille les 20 points à vérifier, incluant spécifiquement la conformité du chatbot.
Découvrez comment les écoles protègent les données de leurs prospects
FAQ
Faut-il un bandeau cookies même si l'école n'utilise que Google Analytics ?
Oui. Google Analytics 4, en configuration standard, dépose des cookies analytiques soumis à consentement selon la doctrine CNIL. L'unique exception concerne une configuration spécifique avec anonymisation complète des IP, absence d'identifiants persistants cross-session, et engagement contractuel de Google à ne pas réutiliser les données — une configuration non standard qui exige une validation au cas par cas. Pour la grande majorité des écoles, Google Analytics = bandeau obligatoire. Et le bandeau doit bloquer effectivement Google Analytics avant le consentement, pas seulement l'afficher.
Comment recueillir le consentement dans un formulaire d'inscription JPO ?
Le traitement des données pour gérer la participation à la JPO repose sur les mesures précontractuelles (article 6.1.b) ou l'intérêt légitime — pas besoin de case à cocher pour ça. Le consentement est requis pour les usages additionnels : inscription à la newsletter, partage avec des partenaires de formation, intégration dans un pipeline de relance commerciale. Ces finalités supplémentaires doivent chacune avoir une case distincte, décochée par défaut, avec un libellé clair. Exemple conforme : « ☐ Je souhaite recevoir les actualités et offres de formation de [École] (newsletter mensuelle, désinscription possible à tout moment). »
Un prospect peut-il exiger la suppression de ses données après une JPO ?
Oui, le droit à l'effacement (article 17 du RGPD) s'applique dès lors que la base légale du traitement était le consentement ou l'intérêt légitime, et que le prospect n'a pas candidaté. L'école doit supprimer les données dans un mois de la demande, dans tous les systèmes : CRM, outil d'emailing, liste d'inscrits JPO, chatbot, analytics nominatives. Si un cookie de suivi publicitaire a été déposé lors de la JPO, les données de navigation associées à cet identifiant doivent également être effacées. Les données qui relèvent d'une obligation légale (comptabilité si un paiement a eu lieu, registre d'accès sécurisé) peuvent être conservées avec documentation de la base légale.
Quelle durée de conservation pour les données de formulaires ?
La CNIL recommande 3 ans après le dernier contact actif pour les données de prospection. Pour un prospect inscrit à une JPO sans donner suite : décompte à partir du jour de la JPO. Pour un formulaire de contact sans réponse du prospect : <3 ans à compter de la collecte. Pour un candidat dont le dossier a été refusé : conservation pendant 1 an maximum (délai contentieux), puis effacement. Ces durées doivent figurer dans votre registre des traitements et être appliquées par une purge automatisée — pas sur la base d'un nettoyage manuel annuel qui n'a lieu qu'en théorie.
