ChatGPT
Claude
Perplexity
Gemini
GrokLa règle centrale : 3 ans depuis le dernier contact actif
La CNIL fixe à 3 ans la durée de conservation maximale des données de prospection commerciale à compter du dernier contact actif avec la personne. Pour une école privée, cela concerne directement tous les prospects qui ont renseigné un formulaire, discuté avec un chatbot, ou participé à une journée portes ouvertes sans aller au bout du processus d'inscription.
Ce délai de 3 ans n'est pas une recommandation de bon sens : il découle du principe de limitation de la conservation posé à l'article 5(1)(e) du RGPD, qui impose que les données personnelles ne soient conservées que le temps nécessaire aux finalités pour lesquelles elles ont été collectées. Dépasser ce délai sans déclencher une procédure d'effacement ou d'archivage intermédiaire expose l'école à un manquement caractérisé, sanctionnable par la CNIL lors d'un contrôle.
Pour le cadre global de la conformité RGPD dans votre école, consultez notre guide RGPD complet pour les données étudiantes.
Le tableau complet des durées par catégorie de données
Les durées de conservation ne sont pas uniformes. Elles dépendent de la nature des données, de leur finalité, et parfois d'obligations légales extérieures au RGPD. Voici les durées à documenter dans votre registre des traitements :
| Catégorie de données | Durée de conservation active | Base |
|---|---|---|
| Contact prospect non converti (email, téléphone) | 3 ans depuis le dernier contact | Référentiel CNIL prospection, 2020 |
| Dossier de candidature non retenu | 2 ans depuis la décision de refus | Recommandation CNIL |
| Dossier administratif étudiant inscrit | 5 ans après la fin de scolarité | Prescription quinquennale |
| Données financières et comptables | 10 ans | Code de commerce, art. L123-22 |
| Données de paiement par carte bancaire | 15 mois | Délai de rétrofacturation CB |
| Données de navigation et cookies | 13 mois maximum | Référentiel CNIL cookies, 2020 |
| Conversations chatbot sans identifiant | 30 jours | Minimisation des données |
| Conversations chatbot liées à un prospect identifié | 3 ans (rattachées au profil prospect) | Référentiel CNIL prospection, 2020 |
Deux précisions importantes : premièrement, le délai de 3 ans pour les prospects se remet à zéro à chaque contact actif — une relance à laquelle le prospect répond, une réinscription à une JPO, un email ouvert avec clic. Deuxièmement, quand aucun contact n'intervient pendant 3 ans, les données doivent soit être supprimées, soit basculer en archivage intermédiaire si une obligation légale justifie leur conservation (litige potentiel, obligation comptable).
Conservation active et archivage intermédiaire : la distinction que les écoles oublient
La CNIL distingue deux phases dans le cycle de vie d'une donnée :
La durée de conservation active correspond à la période pendant laquelle la donnée est utilisée pour sa finalité initiale — la prospection, la relation avec le candidat, la gestion de la scolarité. La donnée est accessible à l'équipe opérationnelle (admissions, marketing, scolarité).
L'archivage intermédiaire s'applique lorsque la donnée n'est plus nécessaire à la finalité courante mais doit être conservée pour couvrir un risque juridique (prescription d'une action en justice, obligation comptable, preuve contractuelle). Pendant cette phase, l'accès est restreint à un nombre limité de personnes — DPO, direction juridique — et la donnée est isolée des systèmes opérationnels.
L'erreur courante dans les écoles : maintenir des fiches prospects dans le CRM actif pendant 5 ou 6 ans au motif que "elles pourraient encore candidater". C'est une violation du principe de limitation de conservation, et les données en question ne bénéficient d'aucune base légale valide après 3 ans d'inactivité.
La base légale de la prospection : intérêt légitime ou consentement ?
Pour la prospection des candidats, deux bases légales sont mobilisables selon la situation :
L'intérêt légitime (article 6(1)(f) du RGPD) est la base adaptée pour les prospects qui ont manifesté un intérêt actif — remplissage d'un formulaire, participation à une JPO, téléchargement d'une brochure. La relation préexistante justifie la prospection ultérieure, à condition qu'une balance d'intérêts soit documentée et que chaque communication offre un mécanisme de désinscription simple.
Le consentement ([article 6(1)(a)]) est obligatoire pour le cold emailing — contacts achetés sur une liste externe, prospects dont le premier point d'entrée est une prospection directe sans relation préalable. Le consentement doit être libre, spécifique, éclairé et univoque. Un formulaire dont la case marketing est pré-cochée ne remplit pas ces conditions.
La distinction est importante pour la durée de rétention : si votre école revient vers un prospect après 3 ans sans obtenir un nouveau consentement explicite, le traitement devient illicite quelle que soit la base légale initiale.
Article 30 RGPD : documenter les durées dans le registre des traitements
L'article 30 du RGPD impose à chaque responsable de traitement de tenir un registre documentant, pour chaque traitement : la finalité, les catégories de données, les destinataires, et les durées de conservation prévues. Cette obligation est souvent le maillon faible lors des contrôles CNIL.
Ce que votre registre doit préciser pour les données prospects :
- La durée de conservation active (3 ans depuis le dernier contact actif)
- Le déclencheur de la suppression ou du basculement en archivage intermédiaire
- Le responsable de l'action (DPO, responsable CRM, prestataire)
- Le système concerné (CRM, outil d'emailing, plateforme chatbot, outil d'analytics)
Nos bonnes pratiques pour la protection des données prospects détaillent comment structurer cette documentation dans votre registre, avec des exemples de fiches de traitement.
Les données chatbot : un angle mort fréquent
72 % des questions posées par les prospects aux chatbots d'écoles sont des FAQ simples automatisables, 7 % nécessitent une intervention humaine (Source : Classification automatique sur 12 000 conversations Skolbot, 2025 — content/zpd-bank.json#question-complexity-distribution). Ce qui signifie que votre chatbot génère un volume important de données conversationnelles, dont la durée de conservation est rarement documentée dans le registre des traitements.
La règle applicable dépend de l'identification du prospect pendant la conversation :
- Sans identifiant collecté : les logs de conversation peuvent être conservés 30 jours à des fins d'amélioration du service, puis supprimés ou anonymisés.
- Avec identifiant associé (email ou téléphone fourni par le prospect pour être recontacté) : les données de conversation font partie du profil prospect et suivent la règle des 3 ans.
La suppression des logs conversationnels doit être automatisée. Une procédure manuelle de purge trimestrielle est insuffisante — les oublis sont systématiques, et une conversation de 2019 qui traîne dans les logs d'une base de données constitue une violation documentable.
Consultez notre article sur la gestion des cookies et du consentement RGPD pour les données de navigation associées aux sessions chatbot.
Supprimer efficacement : les cinq systèmes à synchroniser
Un prospect qui demande la suppression de ses données ou dont le délai de conservation est échu doit être effacé de l'ensemble des systèmes. Dans une école, cela implique généralement :
- Le CRM (HubSpot, Salesforce, Brevo, etc.) — suppression ou anonymisation de la fiche contact
- La plateforme d'emailing — désinscription et suppression des logs d'envoi contenant l'email
- Le chatbot — suppression des conversations liées à l'identifiant du prospect
- L'outil d'analytics — suppression ou anonymisation des données comportementales liées à un identifiant
- Les backups — procédure de suppression dans les sauvegardes planifiée selon leur cycle de rétention
Cette cascade de suppressions doit être documentée et testée. Notre guide dédié au droit à l'effacement en contexte scolaire détaille chaque étape et les délais légaux de réponse (1 mois maximum).
Pour les écoles utilisant des outils d'IA pour qualifier les candidatures ou personnaliser les communications, la question des biais algorithmiques mérite également attention — voir notre analyse sur les risques liés à l'IA dans le recrutement étudiant.
Comment automatiser la suppression dans votre CRM
La suppression manuelle des données périmées est un objectif inaccessible en pratique : les équipes ne s'en souviennent pas, le turnover efface les procédures, et personne ne se porte volontaire pour passer trois jours à purger une base de données.
Les solutions opérationnelles :
Paramétrer une règle d'archivage automatique dans votre CRM : la plupart des CRM modernes permettent de créer des règles basées sur la date du dernier contact. Une règle "archiver les prospects sans interaction depuis 3 ans" peut s'exécuter nuit et weekend sans intervention humaine.
Utiliser un champ "date de dernier contact actif" systématiquement mis à jour à chaque interaction entrante ou sortante. Ce champ est la colonne vertébrale de votre gestion de la durée de conservation.
Définir le déclencheur d'une interaction active : tous les événements ne remettent pas le compteur à zéro. L'ouverture d'un email sans clic n'est généralement pas considérée comme un contact actif. En revanche, une réponse à un email, un clic sur un lien, une visite à une JPO, ou un nouveau message chatbot constituent des contacts actifs.
Planifier un audit semestriel des volumes de données par tranche d'ancienneté dans votre CRM. Un tableau de bord simple indiquant le nombre de fiches par tranche (0-1 an, 1-2 ans, 2-3 ans, >3 ans) vous donne une vue immédiate du risque de non-conformité.
FAQ — Durée de rétention des données prospects RGPD
Le délai de 3 ans s'applique-t-il aussi si le prospect s'est inscrit dans une autre école ? Oui. Le statut du prospect dans une autre institution n'a aucun effet sur vos obligations. Du point de vue de votre registre de traitements, la personne est restée un prospect non converti. Le délai de 3 ans court depuis son dernier contact actif avec votre école.
Peut-on conserver les données d'un prospect indéfiniment si on les anonymise ? Une donnée véritablement anonymisée — c'est-à-dire dont la réidentification est impossible avec des moyens raisonnables — ne relève plus du RGPD. Elle peut être conservée à des fins statistiques sans limitation de durée. L'anonymisation doit cependant être réelle : pseudonymisation et suppression du seul champ email ne sont pas suffisantes si d'autres données permettent une réidentification indirecte.
Le délai de 3 ans s'applique-t-il aux données papier (formulaires salon) ? Oui. Le RGPD ne distingue pas les supports numériques et physiques. Les formulaires papier collectés lors de salons sont des données personnelles soumises aux mêmes règles de conservation. Ils doivent être numérisés, intégrés au CRM, et soumis à la même politique de suppression.
Que se passe-t-il si un prospect recontacte l'école après 3 ans ? Le délai de conservation repart de zéro à partir du nouveau contact. L'école peut traiter les données collectées lors de cette nouvelle interaction. En revanche, les données de l'interaction précédente (si elles n'ont pas été supprimées à l'échéance) ne peuvent pas être réactivées rétroactivement — leur conservation pendant les 3 ans d'inactivité était irrégulière.
La durée de 3 ans est-elle applicable dans toute l'Union européenne ? L'article 5(1)(e) du RGPD s'applique dans toute l'UE, mais les autorités de contrôle nationales peuvent émettre des recommandations spécifiques. La recommandation de 3 ans émane du référentiel CNIL sur la prospection commerciale (2020). Pour une école opérant dans plusieurs pays, vérifiez les recommandations locales — la durée maximale peut varier à la marge selon les autorités de contrôle nationales.
Découvrez comment les écoles améliorent leur recrutement
