ChatGPT
Claude
Perplexity
Gemini
GrokAvertissement réglementaire : Cet article a une vocation informative et ne constitue pas un conseil juridique. Pour les situations propres à votre établissement, consultez un avocat spécialisé en protection des données ou votre Délégué à la protection des données (DPO).
Le registre des traitements est un document obligatoire pour toute école privée dès lors qu'elle traite des données personnelles à grande échelle ou de manière non occasionnelle. Si votre école gère des candidatures, envoie des e-mails marketing et déploie un chatbot sur son site, elle a très probablement trois registres distincts à tenir — et la plupart des établissements n'en tiennent aucun correctement.
Ce guide vous donne un modèle opérationnel, ligne par ligne, pour les trois activités de traitement les plus fréquentes dans une école privée. Aucun jargon inutile : chaque colonne expliquée, chaque erreur courante listée.
Ce que l'article 30 RGPD impose réellement à votre école
L'article 30 du RGPD oblige tout responsable de traitement à tenir un registre écrit de toutes ses activités de traitement de données personnelles. Pour une école privée, cela couvre sans exception : la gestion des candidatures, la prospection commerciale, la communication avec les anciens élèves, le suivi des paiements, les outils RH internes — et tout outil numérique tiers que vous avez intégré à votre site ou à vos processus.
Le registre n'est pas une formalité déclarative à envoyer à la CNIL. C'est un document interne, actualisé en continu, que vous devez être en mesure de présenter à tout moment en cas de contrôle. En 2025, la CNIL a sanctionné plusieurs établissements d'enseignement pour défaut de registre ou registre incomplet — les montants atteignaient 20 000 à 75 000 €.
Qui est obligé ? En principe, l'exemption pour les "moins de 250 salariés" ne s'applique pas si le traitement est régulier (ce qui est le cas dès que vous collectez des candidatures) ou porte sur des données sensibles (origine, santé, situations de handicap). Votre école est donc concernée, quelle que soit sa taille.
Pour une vue d'ensemble du cadre légal, consultez notre guide RGPD sur les données étudiantes.
Les trois activités de traitement prioritaires à documenter
Votre registre n'a pas à couvrir 40 activités dès le premier jour. Commencez par les trois qui représentent 90 % du risque et 100 % des données prospects.
1. Gestion des admissions et candidatures
Cette activité collecte les données les plus sensibles : identité complète, résultats académiques, lettre de motivation, parfois CV, références de lycée. La base légale est l'exécution d'un contrat (ou des mesures précontractuelles), à condition que le candidat ait initié la démarche. Si votre école utilise Parcoursup, vous êtes co-responsable de traitement avec le MESRI pour les données transmises via la plateforme.
2. Marketing et prospection
E-mails de relance, événements portes ouvertes, retargeting publicitaire, campagnes SMS : chaque contact avec un prospect non encore candidat nécessite un consentement ou relève de l'intérêt légitime sous conditions strictes. La base légale change selon le canal et la relation préexistante. L'erreur la plus fréquente est de cocher "intérêt légitime" sans avoir réalisé le test en trois étapes recommandé par la CNIL.
3. Chatbot et interactions automatisées
72% des questions prospects sont automatisables par un chatbot IA (Source : analyse Skolbot, 12 000 conversations 2025-2026) — et chaque conversation génère des données personnelles à documenter dans le registre. Le prénom saisi dans le widget, l'adresse e-mail demandée pour envoyer une brochure, les métadonnées de session : tout cela constitue un traitement distinct qui doit figurer dans votre registre avec sa propre ligne, sa propre base légale et ses propres durées de conservation.
Modèle de registre : tableau prêt à remplir
Le tableau ci-dessous reprend les colonnes minimales requises par l'article 30 RGPD, complétées par une colonne "Transferts hors UE" indispensable si vous utilisez des outils américains (Google Workspace, HubSpot, OpenAI, etc.).
| Activité de traitement | Finalité | Base légale (art. 6 RGPD) | Catégories de données | Destinataires | Durée de conservation | Transferts hors UE |
|---|---|---|---|---|---|---|
| Gestion des candidatures | Évaluer les dossiers, organiser les jurys, notifier les candidats | Mesures précontractuelles (art. 6.1.b) | Identité, coordonnées, parcours académique, lettres de motivation, résultats aux concours | Service admissions, jurys internes, Parcoursup (co-RT) | 2 ans après le dernier contact avec le candidat non admis ; durée de scolarité + 5 ans pour les admis | Non (si Parcoursup uniquement) ; Oui si CRM hébergé hors UE → vérifier SCCs |
| Prospection marketing (e-mail & SMS) | Envoyer des communications commerciales, inviter à des événements | Consentement (art. 6.1.a) ou intérêt légitime (art. 6.1.f) selon la relation | Prénom, nom, e-mail, téléphone, niveau d'études visé, source de la lead | Service marketing, prestataire d'envoi (ex. Brevo, Mailchimp) | 3 ans après le dernier contact actif ou retrait du consentement | Oui si outil US → SCCs ou Data Privacy Framework à vérifier |
| Chatbot IA (Skolbot ou équivalent) | Répondre aux questions des prospects, qualifier les leads, orienter vers l'admission | Consentement (art. 6.1.a) collecté via bandeau d'information avant premier échange | Prénom, e-mail (si fournis), contenu des échanges, métadonnées de session (IP, horodatage) | Skolbot SAS (sous-traitant), équipe admissions (si transfert de lead) | 12 mois pour les logs de conversation ; 3 ans pour les leads qualifiés | Selon hébergement du modèle LLM — documenter le pays d'hébergement et le DPA signé |
| Gestion des alumni et anciens élèves | Maintenir le réseau, solliciter des témoignages, proposer des formations continues | Intérêt légitime (art. 6.1.f) ou consentement selon le type de communication | Identité, promotion, e-mail, employeur actuel (si fourni volontairement) | Service alumni, partenaires entreprises avec accord de l'alumni | 10 ans après la fin de la scolarité, puis archivage | Non par défaut ; Oui si outil CRM alumni hébergé hors UE |
| Suivi des paiements et dossiers financiers | Facturer les frais de scolarité, gérer les échéanciers, relancer les impayés | Obligation légale (art. 6.1.c) + exécution du contrat (art. 6.1.b) | Identité, RIB, montants, historique de paiement | Comptabilité interne, banque, cabinet comptable | 10 ans (obligation comptable légale) | Non si comptabilité en France ; Oui si SaaS comptable hébergé hors UE |
Les quatre erreurs les plus fréquentes dans les registres d'écoles privées
Erreur 1 — Une seule ligne pour "toutes les données étudiantes"
Un registre valide liste chaque activité de traitement séparément. Regrouper "admissions + suivi pédagogique + facturation" dans une seule ligne revient à ne pas tenir de registre. La CNIL attend une granularité par finalité.
Erreur 2 — La base légale "intérêt légitime" cochée par défaut
L'intérêt légitime n'est pas une base légale de confort. Il exige un test d'équilibre documenté entre vos intérêts et les droits des personnes concernées. Pour la prospection vers des lycéens mineurs, ce test échoue presque systématiquement — le consentement s'impose.
Erreur 3 — Les durées de conservation absentes ou irréalistes
"Le temps nécessaire" n'est pas une durée. La CNIL impose des durées précises, notamment 3 ans pour les données prospects à compter du dernier contact actif. Un registre sans durées chiffrées sera systématiquement critiqué en cas de contrôle.
Erreur 4 — Les outils SaaS absents du registre
Si vous utilisez Google Workspace, HubSpot, Salesforce, Mailchimp ou un chatbot IA, ces outils sont des sous-traitants au sens du RGPD. Ils doivent figurer dans la colonne "Destinataires" de votre registre, et vous devez avoir signé un DPA (Data Processing Agreement) avec chacun d'eux. L'absence de DPA est une violation en soi, indépendamment du registre.
Chatbot et registre des traitements : ce que votre DPO doit savoir
Le déploiement d'un chatbot IA crée une activité de traitement nouvelle qui n'existait pas dans les modèles de registre standards conçus avant 2023. Elle nécessite une ligne dédiée pour trois raisons :
La finalité est distincte. Le chatbot ne sert pas à "gérer les candidatures" — il sert à qualifier des prospects et à répondre à des questions de premier niveau. Ces finalités sont différentes et doivent être documentées séparément.
Le sous-traitant est un tiers IA. Contrairement à un formulaire hébergé sur votre propre serveur, un chatbot IA implique un prestataire externe qui traite les données pour vous. Vous devez vérifier où les conversations sont stockées, pendant combien de temps, et si un modèle de langage tiers (OpenAI, Anthropic, Mistral, etc.) est impliqué dans la chaîne de traitement. Notre article sur les fournisseurs de chatbot conformes RGPD pour écoles détaille les points de vigilance par fournisseur.
Le transfert hors UE est probable. La majorité des LLMs sont hébergés sur des serveurs américains. Depuis la fin du Privacy Shield en 2020, ces transferts nécessitent des Clauses Contractuelles Types (SCCs) ou le recours au Data Privacy Framework (DPF) si le prestataire est certifié. Documentez explicitement le mécanisme de transfert dans votre registre.
Si votre école s'interroge sur la désignation d'un responsable pour tenir ce registre, notre article sur le DPO externalisé pour école privée compare les options disponibles. Et si vous évaluez des outils d'IA au sens de l'AI Act, la classification des risques est détaillée dans notre analyse AI Act et écoles.
Maintenir le registre à jour : le processus minimal
Un registre n'est pas un document qu'on produit une fois. L'article 30 RGPD exige qu'il soit "tenu à jour". Concrètement, cela signifie le réviser à chaque :
- Nouvel outil SaaS ou sous-traitant intégré (CRM, chatbot, LMS, outil RH)
- Modification d'une finalité de traitement existante
- Changement de durée de conservation ou de politique de purge
- Incident de sécurité impliquant des données personnelles
Un calendrier de révision annuel minimum, documenté avec une date et un signataire, est la preuve d'accountability que la CNIL attend. Utilisez les outils de conformité CNIL — notamment leur modèle de registre en ligne — pour structurer la démarche si vous partez de zéro.
FAQ — Registre des traitements pour école privée
L'article 30 RGPD s'applique-t-il aux petites écoles privées ?
Oui. L'exemption prévue pour les organisations de moins de 250 salariés ne s'applique pas dès lors que le traitement est régulier (candidatures annuelles, e-mails marketing récurrents) ou porte sur des catégories particulières de données. Une école privée, même de 50 étudiants, traite des données de manière régulière et est donc soumise à l'obligation de registre.
Quelle différence entre registre des traitements et politique de confidentialité ?
Le registre est un document interne, réservé à votre organisation et à la CNIL en cas de contrôle. La politique de confidentialité est un document public, destiné aux personnes dont vous collectez les données, pour les informer de vos pratiques (article 13 et 14 RGPD). Les deux sont obligatoires, mais ils ne se substituent pas l'un à l'autre. Un registre complet vous aide à rédiger une politique de confidentialité exacte — c'est dans cet ordre qu'il faut procéder.
Faut-il nommer un DPO pour tenir le registre ?
La désignation d'un DPO (Délégué à la Protection des Données) est obligatoire pour les établissements publics d'enseignement. Pour les écoles privées, elle devient obligatoire si le traitement "à grande échelle" de données sensibles est avéré. Dans tous les cas, quelqu'un doit être formellement responsable du registre — que ce soit un DPO interne, un DPO externalisé ou un responsable de conformité désigné. L'absence de pilote est l'une des premières choses vérifiées lors d'un contrôle CNIL.
Combien de temps conserver les données prospects dans le registre ?
Le registre lui-même doit être conservé indéfiniment (ou au moins aussi longtemps que l'activité de traitement existe). Les données prospects que vous documentez dans le registre ont, elles, une durée maximale de 3 ans après le dernier contact actif, selon les recommandations CNIL sur la prospection commerciale. Ces deux durées sont distinctes : la durée de conservation des données ≠ la durée de conservation du registre.
Le chatbot doit-il figurer dans le registre des traitements ?
Oui, sans exception. Tout outil qui collecte ou traite des données personnelles — même de manière transitoire — constitue une activité de traitement à documenter. Un chatbot qui collecte un prénom et un e-mail pour envoyer une brochure crée une activité distincte avec sa propre finalité, sa propre base légale et ses propres sous-traitants (l'éditeur du chatbot, l'hébergeur du LLM). Omettre le chatbot du registre expose votre école à une sanction pour registre incomplet.
Demandez une démo personnalisée
