skolbot.Chatbot IA pour écoles
ProduitTarifs
Démo gratuite
Démo gratuite
Guide opérationnel de protection des données prospects étudiants
  1. Accueil
  2. /Blog
  3. /Conformité
  4. /Protéger les données de vos prospects étudiants : guide RGPD opérationnel
Retour au blog
Conformité10 min read

Protéger les données de vos prospects étudiants : guide RGPD opérationnel

Comment collecter, stocker et utiliser les données prospects en conformité RGPD. Checklist opérationnelle pour les équipes admissions et marketing.

S

Équipe Skolbot · 12 mars 2026

Résumer cet article avec

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Sommaire

  1. 01Vos prospects ont des droits avant même de s'inscrire
  2. 02Les bases légales pour traiter les données prospects
  3. Le consentement (article 6.1.a)
  4. L'intérêt légitime (article 6.1.f)
  5. L'exécution de mesures précontractuelles (article 6.1.b)
  6. 03Ce que vous collectez — et ce que vous ne devriez pas collecter
  7. Le principe de minimisation
  8. Les données collectées par le chatbot
  9. 04Les durées de conservation : la zone grise
  10. Durées recommandées par type de données
  11. L'erreur du « on garde tout »
  12. 05Les droits des prospects : ce que votre équipe doit savoir répondre
  13. 06Le cas des mineurs
  14. 07Checklist opérationnelle pour les équipes admissions
  15. Collecte des données
  16. Stockage et accès
  17. Conservation et purge
  18. Exercice des droits
  19. 08Les 5 erreurs RGPD les plus fréquentes en admissions
  20. 09L'enjeu de confiance : au-delà de la conformité

Vos prospects ont des droits avant même de s'inscrire

La conformité RGPD ne commence pas à l'inscription. Elle commence au premier contact. Dès qu'un prospect communique son adresse email, son nom ou son numéro de téléphone — via un formulaire, un chatbot, un salon ou une JPO — l'école devient responsable de traitement au sens du RGPD (Source : CNIL, fiche « Responsable de traitement », mise à jour 2025).

Ce point est crucial parce que les équipes admissions et marketing traitent des données de prospects bien avant la phase de candidature formelle. Et ces données de prospects sont souvent les moins protégées de tout le système d'information : fichiers Excel partagés par email, listes de contacts exportées depuis un salon sans consentement documenté, conversations chatbot stockées sans politique de rétention.

62 % des écoles interrogées n'ont pas de procédure documentée pour le traitement des données prospects (Source : enquête Skolbot auprès de 62 responsables marketing d'écoles, décembre 2025). Ce guide opérationnel comble cette lacune.

Pour un aperçu global de la conformité RGPD dans l'enseignement supérieur, consultez notre guide RGPD complet pour les données étudiantes.

Les bases légales pour traiter les données prospects

Le RGPD exige une base légale pour chaque traitement de données personnelles. Dans le contexte du recrutement étudiant, trois bases légales sont pertinentes.

Le consentement (article 6.1.a)

Le consentement est la base la plus utilisée — et la plus mal implémentée. Pour être valide, il doit être libre (pas de consentement marketing obligatoire pour obtenir une brochure), spécifique (un consentement par finalité, pas un « J'accepte tout »), éclairé (informations visibles au moment de la collecte, pas juste un lien) et univoque (action active, pas de case pré-cochée).

Erreur fréquente : collecter des emails sur un salon via une tablette avec un simple « Laissez-nous votre email pour plus d'infos » ne constitue pas un consentement RGPD valide.

L'intérêt légitime (article 6.1.f)

L'intérêt légitime permet de traiter des données sans consentement explicite — relance de formulaire abandonné, informations complémentaires sur une formation d'intérêt. Il ne justifie pas l'envoi de communications non sollicitées, le partage avec des partenaires, ou le scoring comportemental. Chaque recours doit être documenté dans une analyse de mise en balance.

L'exécution de mesures précontractuelles (article 6.1.b)

Lorsqu'un prospect dépose une candidature, le traitement de son dossier est nécessaire à l'exécution de mesures précontractuelles. Base légale solide, mais limitée à la phase de candidature formelle.

Ce que vous collectez — et ce que vous ne devriez pas collecter

Le principe de minimisation

Le RGPD impose de ne collecter que les données strictement nécessaires à la finalité déclarée. En pratique, cela signifie que chaque champ de formulaire doit pouvoir être justifié.

Données nécessaires pour une demande d'information : nom, prénom, email, formation d'intérêt. Quatre champs suffisent.

Données discutables : date de naissance (pourquoi en avez-vous besoin avant la candidature ?), adresse postale (envoyez-vous vraiment des brochures papier ?), numéro de téléphone (allez-vous réellement appeler ?).

Données problématiques : nationalité (sauf si pertinent pour les conditions d'admission internationales), situation familiale, revenus des parents. Ces données sont parfois collectées « au cas où » mais constituent un risque RGPD sans justification documentée.

Chaque champ supplémentaire dans un formulaire réduit le taux de complétion de 5 à 8 % (Source : analyse Skolbot sur 45 formulaires de contact d'écoles, 2025). La minimisation des données n'est pas seulement une obligation légale — c'est un levier de conversion. Notre article sur les benchmarks de conversion des sites d'écoles confirme cette corrélation.

Les données collectées par le chatbot

Un chatbot collecte davantage de données qu'un formulaire. Les prospects partagent spontanément des informations sensibles (handicap, difficultés financières, santé). Trois mesures sont indispensables : information préalable que la conversation est enregistrée, purge automatique des données sensibles, et accès restreint aux historiques de conversation.

Les durées de conservation : la zone grise

La durée de conservation est le point faible de la plupart des écoles. La CNIL recommande une durée maximale de 3 ans après le dernier contact actif pour les données de prospects (Source : CNIL, référentiel « Gestion commerciale », 2023). Mais cette recommandation est un plafond, pas un objectif.

Durées recommandées par type de données

Données de premier contact (formulaire, chat) : 12 mois après le dernier contact si le prospect n'a pas candidaté. Au-delà, le projet de formation est probablement abandonné.

Données de candidature non aboutie : 24 mois après le dernier contact. Le prospect pourrait représenter une candidature l'année suivante.

Données de candidature refusée : 6 mois après la notification de refus. Conserver plus longtemps n'a pas de justification opérationnelle.

Conversations chatbot : 12 mois, avec anonymisation automatique des données sensibles à 30 jours.

Données d'événements (JPO, salons) : 12 mois après l'événement si le prospect n'a pas engagé de démarche ultérieure.

L'erreur du « on garde tout »

47 % des écoles conservent les données prospects indéfiniment (Source : enquête Skolbot, décembre 2025). Double risque : réglementaire (amendes CNIL de 20 000 à 400 000 EUR pour conservation excessive) et opérationnel (délivrabilité dégradée, métriques faussées, surface d'attaque accrue).

Les droits des prospects : ce que votre équipe doit savoir répondre

Le RGPD confère huit droits aux personnes concernées. En pratique, quatre sont régulièrement exercés par les prospects étudiants.

Droit d'accès (art. 15) : le prospect peut demander quelles données vous détenez. Réponse obligatoire sous 30 jours, ce qui implique de savoir où sont stockées les données (CRM, chatbot, fichiers, emails).

Droit de rectification (art. 16) : correction des données erronées, propagée à tous les systèmes.

Droit d'effacement (art. 17) : suppression de toutes les données. Absolu quand le traitement repose sur le consentement. La suppression doit être effective dans tous les systèmes : CRM, base email, chatbot, fichiers partagés. Pour tout savoir sur la mise en œuvre pratique, consultez notre guide complet sur le droit à l'effacement des prospects.

Droit d'opposition (art. 21) : opposition au marketing direct, absolue et sans justification requise. Un prospect qui dit « arrêtez de m'envoyer des emails » doit être désinscrit immédiatement.

Le cas des mineurs

En France, le consentement est autonome à partir de 15 ans (Source : article 45 de la loi Informatique et Libertés). En dessous, le consentement parental est requis. Pour les programmes pré-bac, les salons d'orientation et les réseaux sociaux, intégrez une question sur l'âge dans vos formulaires et prévoyez un parcours de consentement parental si nécessaire.

Checklist opérationnelle pour les équipes admissions

Collecte des données

  • Chaque formulaire affiche les informations obligatoires (identité du responsable de traitement, finalité, durée de conservation, droits)
  • Les cases de consentement ne sont pas pré-cochées
  • Les consentements sont granulaires (un par finalité)
  • Le chatbot s'identifie comme IA et informe que les conversations sont enregistrées
  • Les formulaires de salon incluent les mentions RGPD
  • Seules les données nécessaires sont collectées (principe de minimisation)

Stockage et accès

  • Les données prospects sont stockées dans un CRM avec contrôle d'accès par rôle
  • Aucun fichier Excel contenant des données personnelles ne circule par email
  • Les accès aux données sont journalisés
  • Les données sensibles (handicap, situation familiale) sont isolées avec un accès restreint
  • Les mots de passe du CRM respectent les recommandations CNIL (12 caractères minimum, MFA activé)

Conservation et purge

  • Une politique de durée de conservation est documentée et appliquée
  • Un processus de purge automatique est paramétré dans le CRM
  • Les prospects sans interaction depuis 12 mois sont purgés ou font l'objet d'une séquence de réactivation avant suppression
  • Les données de candidatures refusées sont supprimées à 6 mois

Exercice des droits

  • Un processus de réponse aux demandes d'accès, rectification et suppression est documenté
  • L'équipe admissions sait qui contacter en interne pour traiter une demande
  • Le délai de réponse de 30 jours est respecté et suivi
  • Les désabonnements marketing sont traités immédiatement

Les 5 erreurs RGPD les plus fréquentes en admissions

Erreur 1 : le fichier Excel du salon. Collecter 200 emails sur un salon, les s'envoyer par email, puis les importer dans le CRM sans consentement documenté. Triple infraction.

Erreur 2 : le « opt-in par défaut ». Case pré-cochée « J'accepte de recevoir des communications ». Consentement invalide.

Erreur 3 : la conservation infinie. Données de prospects de 2019 toujours dans le CRM. Infraction + métriques faussées par des contacts morts.

Erreur 4 : la réponse tardive. Une demande de suppression qui circule entre trois services pendant trois semaines. Délai de 30 jours dépassé.

Erreur 5 : le chatbot sans information. Le chatbot collecte nom, email, formation d'intérêt sans informer sur le traitement. Infraction au principe de transparence.

L'enjeu de confiance : au-delà de la conformité

73 % des étudiants de 18-24 ans déclarent que la protection de leurs données influence leur choix d'école (Source : enquête Harris Interactive pour la CNIL, 2025). La conformité RGPD n'est pas qu'une obligation légale — c'est un signal de professionnalisme qui influence directement le recrutement.

FAQ

Le consentement obtenu sur un salon est-il valide ?

Uniquement s'il est documenté, spécifique et éclairé. Un scan de badge ou une signature sur une tablette sans mention des finalités de traitement ne constitue pas un consentement RGPD valide. Prévoyez un formulaire papier ou numérique avec les mentions obligatoires, et conservez la preuve du consentement.

Peut-on envoyer un email de relance sans consentement marketing ?

Oui, dans certains cas, sur la base de l'intérêt légitime. Si le prospect a rempli un formulaire de candidature sans le finaliser, un email de relance lié à cette démarche spécifique est justifiable. En revanche, un email de newsletter ou de promotion d'un autre programme nécessite un consentement explicite.

Que faire en cas de violation de données prospects ?

Notifier la CNIL dans les 72 heures si la violation présente un risque pour les personnes concernées. Informer les prospects affectés si le risque est élevé. Documenter l'incident (nature, données concernées, mesures prises). La procédure doit être connue de tous les personnels ayant accès aux données.

Un sous-traitant (CRM, chatbot) est-il responsable en cas de fuite ?

L'école reste responsable de traitement. Un contrat de sous-traitance (article 28 du RGPD) doit être signé avec chaque prestataire, précisant mesures de sécurité et procédures de notification d'incident.

Comment former les équipes sans DPO interne ?

Prévoyez une session de sensibilisation de 2 heures par an, centrée sur les cas pratiques (collecte en salon, formulaires, relances). Désignez un référent données comme point de contact. La CNIL met à disposition des guides gratuits et des MOOC. Le Comité européen de la protection des données (EDPB) publie également des lignes directrices régulièrement actualisées qui s'appliquent dans toute l'UE.

Le site web de notre école doit-il aussi être accessible aux personnes handicapées ?

Oui, et depuis juin 2025, c'est une obligation légale pour la quasi-totalité des écoles privées. Notre guide sur l'accessibilité numérique des sites d'école détaille les obligations WCAG et RGAA, les sanctions encourues et les 10 points à vérifier en priorité.

Comment mettre en conformité les cookies et formulaires du site d'école ?

La gestion du bandeau cookies, le consentement pour l'analytics et les pixels publicitaires, et la conformité des formulaires JPO ou newsletter ont leurs propres règles. Notre guide sur le consentement cookies et formulaires RGPD pour les écoles détaille chaque cas pratique.

Comment formaliser la conformité RGPD de mon école de A à Z ?

Utilisez notre audit RGPD en 20 points pour les écoles : il couvre la gouvernance, le consentement, la sécurité, la sous-traitance et les obligations IA Act. C'est le cadre structuré pour transformer cette checklist opérationnelle en démarche d'audit complète et auditée.

Articles similaires

Guide RGPD pour la protection des données étudiantes dans l'enseignement supérieur
Conformité

RGPD et données étudiantes : guide complet pour les écoles

Accessibilité numérique site école : schéma WCAG et obligations RGAA pour établissements
Conformité

Accessibilité numérique : obligations pour les sites d'école en 2026

Guide de l'IA Act pour les établissements d'enseignement supérieur
Conformité

IA Act et enseignement supérieur : ce que votre école doit savoir

Retour au blog

RGPD · IA Act · Hébergement UE

skolbot.

SolutionTarifsBlogÉtudes de casComparatifAI CheckFAQÉquipeMentions légalesPolitique de confidentialité

© 2026 Skolbot