ChatGPT
Claude
Perplexity
Gemini
GrokQuand un prospect vous écrit pour demander la suppression de ses données, vous disposez de 30 jours calendaires pour y répondre — et dans la grande majorité des cas, vous devez accéder à cette demande. Le droit à l'effacement prévu par l'Article 17 du RGPD est l'un des droits les plus fréquemment exercés par les prospects étudiants, et l'un de ceux pour lesquels les écoles sont le plus souvent en défaut.
Ce guide couvre les obligations légales, la procédure opérationnelle, les exceptions que vous pouvez invoquer — et ce que cela implique concrètement pour votre chatbot IA et votre CRM. Pour le cadre général de la conformité RGPD dans l'enseignement supérieur, consultez notre guide RGPD complet pour les données étudiantes.
Ce qu'est le droit à l'effacement (Article 17 RGPD)
Le droit à l'effacement — parfois appelé "droit à l'oubli" — oblige tout responsable de traitement à supprimer les données personnelles d'une personne concernée lorsque certaines conditions sont réunies. La CNIL le définit comme le droit d'obtenir, dans les meilleurs délais, l'effacement de données vous concernant.
En pratique, pour une école, cela signifie supprimer toutes les données du prospect dans tous les systèmes où elles sont stockées : CRM, outil d'emailing, base chatbot, fichiers partagés, sauvegardes actives. Le délai légal de réponse est d'1 mois à compter de la réception de la demande (Article 12 RGPD). Ce délai peut être étendu à 3 mois pour les demandes complexes, à condition d'informer le demandeur de ce report dans le premier mois.
Le responsable de traitement doit également notifier les éventuels sous-traitants (prestataire CRM, éditeur de chatbot, agence marketing) de la demande d'effacement, afin qu'ils procèdent à leur tour à la suppression des données concernées.
Quand le droit s'applique-t-il aux données prospects ?
L'Article 17 liste 6 motifs déclenchant l'obligation d'effacement. Dans le contexte du recrutement étudiant, 3 motifs sont régulièrement activés.
| Déclencheur | Base légale initiale du traitement | Effacement obligatoire |
|---|---|---|
| Retrait du consentement marketing | Consentement (Art. 6.1.a) | Oui — immédiat, sans condition |
| Données devenues inutiles (délai dépassé) | Intérêt légitime ou consentement | Oui — la CNIL recommande 3 ans max |
| Exercice du droit d'opposition | Intérêt légitime (Art. 6.1.f) | Oui — sauf motif légitime impérieux |
Retrait du consentement. Dès qu'un prospect retire son consentement — en cliquant sur "se désabonner", en envoyant un email, ou en utilisant le formulaire de contact de votre site — le traitement fondé sur ce consentement n'a plus de base légale. L'effacement doit suivre sans délai. Il ne suffit pas de cesser les envois marketing ; les données doivent être supprimées.
Données devenues inutiles. La CNIL recommande une durée maximale de 3 ans après le dernier contact actif pour les données de prospects commerciaux. Au-delà, le traitement n'a plus de finalité légitime et les données doivent être purgées — même sans demande explicite du prospect.
Droit d'opposition. Un prospect peut s'opposer à un traitement fondé sur l'intérêt légitime de l'école (relances, scoring comportemental, segmentation). Sauf motif légitime impérieux de votre part, vous devez cesser le traitement et effacer les données.
Pour une couverture complète de la gestion du consentement, consultez notre guide sur le consentement cookies et formulaires RGPD pour les écoles.
Les cas où vous pouvez refuser (légitimement)
L'Article 17(3) du RGPD prévoit des exceptions. Ces exceptions sont limitatives — vous ne pouvez pas invoquer un "intérêt général" flou pour refuser une demande d'effacement.
Obligation légale ou réglementaire. Si vous êtes tenu par une obligation légale de conserver certaines données (comptabilité, contentieux en cours, obligations fiscales), vous pouvez refuser l'effacement pour ces données spécifiques. Les données de facturation d'un étudiant inscrit relèvent par exemple de l'obligation comptable (10 ans sous le Code de commerce).
Exercice de droits en justice. Si le prospect a engagé une procédure judiciaire ou administrative contre l'établissement, vous pouvez conserver les données nécessaires à votre défense. Cette exception s'applique aux données pertinentes pour le litige, pas à l'ensemble du dossier.
Intérêt public (rare). Dans certains cas très spécifiques — établissements menant des recherches académiques reconnues, archives à valeur historique — l'effacement peut être refusé pour les données utilisées à ces fins exclusives.
Nuance critique : le refus partiel. Vous pouvez très bien accéder à une demande d'effacement de façon partielle. Exemple : un prospect vous demande la suppression de ses données. Vous supprimez ses données marketing et chatbot, mais conservez son dossier de candidature formelle pendant 24 mois pour répondre à une éventuelle contestation. Ce refus partiel doit être explicitement motivé et communiqué au demandeur dans le délai d'1 mois.
Procédure de traitement en 5 étapes
Une procédure structurée est indispensable pour respecter le délai de 30 jours et documenter chaque demande. Voici la chronologie opérationnelle recommandée.
J+0 — Réception et accusé. À réception de la demande (email, formulaire, courrier), envoyez immédiatement un accusé de réception au demandeur. Vérifiez l'identité du demandeur si nécessaire (demande de pièce d'identité en cas de doute) et enregistrez la demande dans votre registre des exercices de droits. Notez la date de réception : elle fait courir le délai.
J+2 à J+5 — Analyse de la demande. Identifiez tous les systèmes où les données du prospect sont présentes : CRM, outil emailing, chatbot, Google Sheets partagés, sauvegardes, échanges email internes. Vérifiez si des exceptions légales s'appliquent. En cas de doute, consultez votre DPO.
J+5 à J+15 — Exécution de l'effacement. Procédez à la suppression dans chaque système identifié. Pour les sous-traitants (prestataire CRM, éditeur de chatbot), transmettez-leur la demande par écrit. Documentez chaque action : date, système, responsable.
J+15 à J+25 — Vérification et traçabilité. Vérifiez que l'effacement est effectif dans tous les systèmes. Conservez uniquement la preuve de l'exercice du droit (date de la demande, identité du demandeur, action réalisée) — sans conserver les données supprimées elles-mêmes.
J+30 au plus tard — Réponse au demandeur. Confirmez par écrit que l'effacement a été réalisé, en précisant les systèmes concernés. Si vous avez exercé une exception partielle, expliquez précisément quelles données sont conservées et pourquoi. Conservez une copie de cette réponse.
Durées de conservation des données prospects
La CNIL recommande 3 ans maximum après le dernier contact actif pour les données de prospects (référentiel CNIL "Gestion commerciale", 2023). Cette durée est un plafond légal, pas une cible à atteindre.
Ce qui constitue un "contact actif". Un contact actif est une interaction volontaire du prospect : ouverture d'un email, visite du site depuis un lien envoyé, participation à une JPO, réponse à un message, nouvelle demande d'information. Une simple réception d'email sans ouverture ne renouvelle pas le délai. Les serveurs d'emailing qui marquent automatiquement comme "actif" tout destinataire non désabonné créent une fausse sécurité.
Durées recommandées par type de données :
- Données de premier contact (formulaire, chatbot, salon) : 12 mois après le dernier contact actif si pas de candidature
- Données de candidature non formalisée : 24 mois après le dernier contact actif
- Données de candidature rejetée (refus d'admission) : 2 ans après la notification de refus — délai suffisant pour couvrir un recours administratif
- Conversations chatbot : 12 mois, avec anonymisation automatique à 30 jours pour les données sensibles
Le cas Parcoursup. Les données collectées dans le cadre de Parcoursup ont un régime spécifique : les dossiers de candidature sont conservés 3 ans par le ministère. Pour les écoles hors Parcoursup (BTS privés, bachelors, programmes post-bac directs), les durées CNIL s'appliquent sans particularité.
Pour approfondir la protection des données tout au long du cycle de vie du prospect, consultez notre guide sur la protection des données de vos prospects étudiants.
Implications pour votre chatbot IA et votre CRM
Les établissements partenaires de Skolbot traitent en médiane 195 leads qualifiés par mois (Source : Benchmark Skolbot 2024-2025, panel 18 écoles). À ce volume, une procédure manuelle de gestion des demandes d'effacement n'est pas tenable — et le risque de dépassement du délai de 30 jours est élevé sans automatisation.
Exigences techniques pour le chatbot. Votre chatbot IA doit être capable d'identifier les données d'un prospect à partir de son email ou de son identifiant, et d'en déclencher la suppression dans sa base de données propre. Cela implique : une architecture de données qui n'anonymise pas les identifiants avant la demande d'effacement, une API de suppression exposée à votre équipe DPO ou conformité, et des logs de suppression horodatés. Si votre chatbot envoie des données vers un CRM, la suppression dans le chatbot ne suffit pas — la suppression doit être propagée au CRM via un webhook ou une procédure manuelle documentée.
Alertes CRM et gestion du délai. Paramétrez dans votre CRM un workflow de gestion des demandes de droits : à réception d'une demande taguée "droit d'effacement", une tâche est créée automatiquement avec une échéance à J+25 (5 jours de marge avant la deadline légale). Assignez cette tâche à un référent désigné. Les CRM comme HubSpot, Salesforce ou Brevo permettent ce type d'automatisation nativement. Pour chaque demande traitée, créez un enregistrement d'audit dans le CRM avec : date de réception, date d'exécution, systèmes concernés, résultat (effacement total ou partiel avec justification).
Sauvegardes et données résiduelles. Les sauvegardes automatiques de votre CRM et de votre chatbot peuvent contenir des données déjà "effacées" dans l'interface. Vous n'êtes pas tenu d'effacer ces données immédiatement dans les sauvegardes, mais elles doivent être supprimées lors du prochain cycle de purge de sauvegarde. Documentez cette politique dans votre registre des traitements.
Pour vérifier l'ensemble de votre dispositif RGPD, utilisez notre audit RGPD en 20 points pour les écoles.
Découvrez comment les écoles améliorent leur recrutement avec SkolbotFAQ
Un prospect peut-il demander l'effacement s'il a candidaté formellement ?
Oui, mais vous pouvez opposer une exception partielle. Les données nécessaires à la gestion du dossier de candidature (en cas de contestation, d'appel ou d'obligation réglementaire de l'école) peuvent être conservées le temps nécessaire. Les données purement marketing — historique d'emailing, scoring comportemental, données chatbot — doivent en revanche être effacées sans condition.
Le délai de 30 jours commence-t-il à la date d'envoi ou de réception de la demande ?
À la date de réception de la demande. Si la demande arrive par email un vendredi soir, le délai commence le vendredi, pas le lundi suivant. C'est pourquoi il est recommandé d'envoyer un accusé de réception automatique horodaté dès la réception.
Que faire si on ne retrouve pas toutes les données du prospect ?
Répondez dans le délai imparti en indiquant les systèmes dans lesquels vous avez effectué des recherches et les données trouvées et supprimées. Si des données sont susceptibles d'exister dans des systèmes que vous ne maîtrisez pas directement (sous-traitants), indiquez-le et transmettez la demande à ces sous-traitants. L'absence de réponse dans les 30 jours est une infraction, même si vous ne trouvez pas de données.
L'effacement est-il définitif ou peut-on garder une trace ?
Vous pouvez conserver une trace de la demande et de la procédure (date, identité du demandeur, systèmes concernés, action réalisée) sans conserver les données personnelles elles-mêmes. Cette trace de traitement est nécessaire pour démontrer votre conformité en cas de contrôle CNIL. Elle ne doit contenir que les métadonnées de la procédure, pas les données effacées.
En cas de non-respect, quelles sont les sanctions de la CNIL ?
La CNIL peut prononcer des sanctions allant d'une mise en demeure à une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial (Article 83 RGPD). En pratique, pour les établissements d'enseignement privé, les premières sanctions prennent souvent la forme d'une mise en demeure publique — ce qui nuit à la réputation de l'établissement. L'EDPB publie régulièrement des lignes directrices sur l'application des droits des personnes.
