RGPD et données étudiantes : guide complet pour les écoles

Le RGPD s'applique à chaque donnée que votre école collecte sur un prospect ou un étudiant

Depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD — Règlement 2016/679) encadre tout traitement de données personnelles dans l'Union européenne. Pour une école supérieure, cela couvre un périmètre bien plus large que les dossiers d'inscription : formulaires de contact, interactions chatbot, analytics du site, données de JPO, résultats académiques, données de santé, et même les photographies prises lors d'événements campus.

La non-conformité n'est pas un risque théorique. En 2025, la CNIL a prononcé des sanctions contre des organismes de formation pour défaut de base légale et collecte excessive de données. Le plafond des amendes — 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial — concentre les esprits.

Ce guide couvre les obligations concrètes pour les établissements d'enseignement supérieur privés : types de données, bases légales, consentement, droits des personnes, rôle du DPO, et les implications de l'IA Act pour les outils d'admission et les chatbots.

Les catégories de données personnelles traitées par une école

Données des prospects (pré-inscription)

Les données collectées avant l'inscription constituent le premier périmètre RGPD d'une école. Elles incluent :

• Données d'identification — nom, prénom, adresse email, numéro de téléphone, recueillis via formulaires de contact, chatbot, ou inscription JPO
• Données de navigation — pages visitées, temps passé, source d'acquisition, recueillies par Google Analytics ou équivalent
• Données conversationnelles — questions posées au chatbot, historique de conversation, langue utilisée
• Données de candidature — CV, lettres de motivation, relevés de notes, pièces d'identité

89 % des prospects posent une question sur les frais de scolarité et 78 % s'interrogent sur l'alternance (Source : analyse de 12 000 conversations chatbot Skolbot, sept. 2025 — fév. 2026). Ces échanges constituent des données personnelles dès qu'un identifiant (nom, email) est associé à la conversation.

Données des étudiants inscrits

Une fois inscrit, l'étudiant génère un volume de données nettement plus important :

• Données académiques — notes, assiduité, progression, diplômes
• Données financières — frais de scolarité, échéanciers de paiement, bourses
• Données de vie campus — accès bâtiments (badge), restauration, logement partenaire
• Données sensibles — handicap, situation sociale, données de santé (infirmerie, PAI)

Les données sensibles (article 9 du RGPD) exigent des protections renforcées : base légale spécifique, limitation stricte de l'accès, et interdiction de traitement automatisé pour la prise de décision sauf exceptions explicites.

Données des alumni

Le traitement des données alumni (annuaire, dons, événements réseau) nécessite une base légale distincte de celle utilisée pendant la scolarité. Le consentement donné pour l'inscription ne couvre pas automatiquement le suivi post-diplôme.

Les bases légales applicables dans l'enseignement supérieur

Les 6 bases légales du RGPD et leur application aux écoles

Le RGPD (article 6) définit six bases légales pour le traitement de données personnelles. Dans l'enseignement supérieur, quatre sont principalement utilisées :

• Exécution d'un contrat (article 6.1.b) — Base la plus solide pour les données liées à l'inscription, la scolarité et la facturation. Le contrat de formation justifie le traitement des données nécessaires à son exécution.

• Intérêt légitime (article 6.1.f) — Applicable au marketing de recrutement (envoi de brochures, relances) et à l'analytics du site. Exige un test de mise en balance documenté : l'intérêt de l'école ne doit pas primer sur les droits de la personne. Le EDPB (Comité européen de la protection des données) recommande une documentation formelle de cette balance pour chaque traitement.

• Consentement (article 6.1.a) — Requis pour les newsletters marketing, le dépôt de cookies non essentiels, et le partage de données avec des partenaires. Le consentement doit être libre, spécifique, éclairé et univoque. Un formulaire de contact avec une case pré-cochée « Je souhaite recevoir des communications » ne constitue pas un consentement valide.

• Obligation légale (article 6.1.c) — Concerne la transmission de données aux autorités (rectorat, MESRi, Parcoursup) et la conservation des diplômes pour une durée légale.

Erreur fréquente : le consentement comme base par défaut

Beaucoup d'écoles utilisent le consentement comme base légale unique pour tous les traitements. C'est une erreur stratégique. Le consentement est révocable à tout moment (article 7.3), ce qui signifie que si un étudiant retire son consentement, l'école perd le droit de traiter ses données — y compris celles nécessaires à sa scolarité.

La bonne approche : utiliser l'exécution du contrat pour les traitements liés à la formation, l'obligation légale pour les transmissions réglementaires, l'intérêt légitime pour le recrutement (avec test de balance documenté), et le consentement uniquement pour le marketing et les cookies.

Le consentement dans le contexte éducatif

Consentement des mineurs

Le RGPD (article 8) fixe le seuil de consentement numérique à 16 ans, mais chaque État membre peut l'abaisser jusqu'à 13 ans. En France, la loi Informatique et Libertés modifiée fixe ce seuil à 15 ans. Pour les écoles post-bac, la majorité des prospects sont majeurs, mais les programmes de prépa intégrée ou de BTS accueillent des mineurs.

Pour les prospects mineurs : le consentement des parents ou tuteurs légaux est requis pour tout traitement basé sur le consentement (newsletter, cookies marketing). Les formulaires doivent prévoir un mécanisme de vérification (email parental, double opt-in).

Consentement et chatbot IA

Un chatbot IA qui collecte des données personnelles doit informer le prospect avant le début de la conversation :

• Qu'il interagit avec une intelligence artificielle (obligation de transparence IA Act, article 52)
• Quelles données sont collectées et pourquoi
• Comment exercer ses droits (accès, rectification, effacement)
• La durée de conservation des conversations

Un bandeau d'information au lancement du chatbot, avec lien vers la politique de confidentialité, remplit cette obligation. Le chatbot ne doit pas conditionner l'accès à l'information à la fourniture de données personnelles : un prospect doit pouvoir poser des questions sur les programmes sans donner son nom ou son email.

Les droits des personnes concernées

Les 8 droits que votre école doit garantir

Le RGPD confère aux personnes concernées (prospects, étudiants, alumni) huit droits fondamentaux. Votre école doit disposer de procédures opérationnelles pour répondre à chacun dans un délai d'un mois :

• Droit d'accès (article 15) — L'étudiant peut demander une copie de toutes les données que vous détenez sur lui.
• Droit de rectification (article 16) — Correction des données inexactes ou incomplètes.
• Droit à l'effacement (article 17) — Le « droit à l'oubli ». Limité par les obligations de conservation légale (diplômes, comptabilité).
• Droit à la limitation (article 18) — Gel du traitement en cas de contestation.
• Droit à la portabilité (article 20) — Transfert des données dans un format structuré vers un autre établissement.
• Droit d'opposition (article 21) — Refus du traitement basé sur l'intérêt légitime, y compris le profilage marketing.
• Droit de ne pas être soumis à une décision automatisée (article 22) — Fondamental pour les outils d'admission qui utilisent l'IA.
• Droit de retirer son consentement (article 7.3) — À tout moment, sans justification.

L'effacement en cascade : un défi technique

Quand un prospect exerce son droit à l'effacement, toutes les données le concernant doivent être supprimées de tous les systèmes : CRM, chatbot, outil d'emailing, analytics nominatives, backups. Le coût d'acquisition par étudiant varie de 1 500 à 2 200 EUR en France (Source : estimations basées sur données EAIE, StudyPortals, EAB, Campus France). Chaque demande d'effacement représente donc une perte d'investissement marketing — raison de plus pour minimiser les données collectées dès le départ.

La suppression doit être effective dans un mois. Un processus d'effacement en cascade documenté, testé régulièrement, est indispensable.

Le DPO : rôle et obligations pour les écoles

Quand la désignation d'un DPO est-elle obligatoire ?

Le RGPD (article 37) rend la désignation d'un Délégué à la protection des données (DPO) obligatoire lorsque le traitement est effectué par un organisme public, ou lorsque les activités de base du responsable de traitement exigent un suivi régulier et systématique des personnes à grande échelle.

Pour une école supérieure privée, la CNIL considère que le suivi de centaines ou milliers de prospects et d'étudiants constitue un traitement à grande échelle. La désignation d'un DPO est donc, dans la pratique, quasi systématiquement requise.

DPO interne ou externe ?

Les deux options sont légitimes. Un DPO interne connaît mieux les processus de l'école mais risque le conflit d'intérêts s'il cumule avec une fonction décisionnelle (directeur IT, directeur juridique). Un DPO externe apporte une expertise spécialisée et une indépendance garantie, mais nécessite un temps d'acculturation aux spécificités de l'enseignement supérieur.

Le DPO doit avoir accès direct à la direction, ne peut être sanctionné pour l'exercice de sa mission, et doit disposer de moyens suffisants (budget, temps, outils).

L'IA Act et ses implications pour les écoles

Classification des systèmes IA dans l'éducation

L'IA Act européen (Règlement 2024/1689) classe les systèmes d'intelligence artificielle par niveau de risque. Pour l'enseignement supérieur, deux catégories sont pertinentes :

Risque élevé (Annexe III) — Les systèmes d'IA utilisés pour l'admission, l'évaluation des candidatures, ou la notation automatisée des examens sont classés à haut risque. Ils exigent :

• Un système de gestion des risques documenté
• Des jeux de données d'entraînement de qualité, représentatifs et sans biais
• Une supervision humaine effective (l'IA recommande, l'humain décide)
• Une transparence complète envers les personnes concernées
• Un enregistrement dans la base de données européenne des systèmes IA à haut risque

Risque limité (article 52) — Les chatbots d'information pré-admission relèvent du risque limité. L'obligation principale est la transparence : le prospect doit savoir qu'il interagit avec une IA. Pas d'évaluation de conformité, pas d'enregistrement, mais une obligation d'information claire.

Calendrier d'entrée en application

L'IA Act entre en application progressivement. Les interdictions concernant les systèmes à risque inacceptable sont effectives depuis février 2025. Les obligations pour les systèmes à haut risque s'appliquent pleinement à partir d'août 2026. Les écoles qui utilisent des outils d'IA pour le tri des candidatures doivent se préparer dès maintenant.

Obligations spécifiques par pays

France — CNIL

La CNIL est l'autorité de contrôle française. Au-delà du RGPD, la loi Informatique et Libertés impose des obligations supplémentaires :

• Consentement numérique à 15 ans (vs 16 dans le RGPD)
• Obligations renforcées pour les cookies (lignes directrices CNIL sur les cookies et traceurs)
• Registre des traitements obligatoire et accessible au DPO
• Analyse d'impact obligatoire pour tout traitement de données d'étudiants à grande échelle

Allemagne — BfDI

Le BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) supervise la protection des données au niveau fédéral, mais chaque Land dispose de sa propre autorité de contrôle pour l'éducation. Les Landesdatenschutzbeauftragte appliquent des interprétations parfois divergentes, ce qui complique la conformité pour les écoles multi-campus en Allemagne.

Espagne — AEPD

L'AEPD (Agencia Española de Protección de Datos) a publié des guides spécifiques pour le secteur éducatif, incluant des lignes directrices sur l'utilisation de plateformes numériques dans l'enseignement et la captation d'images dans les établissements.

Pays-Bas — AP

L'AP (Autoriteit Persoonsgegevens) porte une attention particulière au secteur éducatif néerlandais. Des sanctions ont été prononcées contre des établissements pour l'utilisation de logiciels de surveillance d'examens en ligne (proctoring) sans base légale adéquate.

Portugal — CNPD

La CNPD (Comissão Nacional de Proteção de Dados) applique le RGPD dans le contexte spécifique de la loi 58/2019. Les établissements portugais doivent porter une attention particulière à la conservation des données des diplômés, encadrée par des durées légales nationales.

Royaume-Uni — ICO

Le ICO (Information Commissioner's Office) applique le UK GDPR post-Brexit. Les écoles européennes qui recrutent au Royaume-Uni doivent traiter le transfert de données comme un transfert international, avec les garanties appropriées (clauses contractuelles types).

Sécurité des données : mesures techniques et organisationnelles

Le principe de minimisation

L'article 5.1.c du RGPD impose de ne collecter que les données strictement nécessaires à la finalité déclarée. Pour un chatbot, cela signifie : ne pas exiger le nom, l'email ou le numéro de téléphone pour répondre à une question sur les programmes. La collecte d'identifiants ne se justifie que lorsque le prospect souhaite être recontacté.

Mesures techniques indispensables

• Chiffrement — En transit (TLS 1.3) et au repos (AES-256) pour toutes les données personnelles
• Hébergement européen — Serveurs dans l'UE, conformément aux recommandations de l'EDPB sur les transferts internationaux
• Pseudonymisation — Séparation des identifiants directs et des données comportementales
• Journalisation des accès — Traçabilité de qui accède à quelles données, quand
• Sauvegardes chiffrées — Avec test de restauration régulier
• Suppression automatisée — Purge des données au-delà de la durée de conservation définie

Analyse d'impact (AIPD)

L'article 35 du RGPD exige une analyse d'impact relative à la protection des données (AIPD) avant tout traitement susceptible d'engendrer un risque élevé. Pour une école, cela concerne :

• Le déploiement d'un chatbot IA collectant des données personnelles
• L'utilisation d'outils d'IA pour l'évaluation des candidatures
• La vidéosurveillance du campus
• Le profilage des prospects à des fins marketing

L'AIPD doit décrire le traitement, évaluer sa nécessité et sa proportionnalité, identifier les risques, et proposer des mesures d'atténuation.

FAQ

Un chatbot IA est-il conforme au RGPD ?

Oui, à condition de respecter quatre obligations : informer le prospect qu'il interagit avec une IA (transparence IA Act), ne collecter que les données strictement nécessaires (minimisation), proposer un accès, une rectification et un effacement faciles (droits des personnes), et héberger les données dans l'UE. Un chatbot conforme informe avant de collecter, et ne conditionne pas l'accès à l'information à la fourniture de données personnelles.

Combien de temps peut-on conserver les données d'un prospect non inscrit ?

La CNIL recommande une durée maximale de 3 ans après le dernier contact pour les données de prospection commerciale. Pour un prospect qui n'a jamais donné suite : effacement après 3 ans. Pour un candidat dont le dossier a été refusé : conservation du dossier pendant 1 an (contentieux éventuel), puis effacement. Ces durées doivent figurer dans le registre des traitements.

L'IA Act interdit-il l'utilisation de l'IA pour les admissions ?

Non. L'IA Act ne l'interdit pas, mais la classe comme système à haut risque (Annexe III). Cela impose des obligations renforcées : gestion des risques, qualité des données d'entraînement, supervision humaine effective, transparence envers les candidats, et enregistrement. L'IA peut recommander, mais la décision finale d'admission doit rester humaine.

Faut-il désigner un DPO dans une école de 500 étudiants ?

Dans la pratique, oui. La CNIL considère que le traitement de données de centaines d'étudiants (notes, données financières, santé) constitue un traitement à grande échelle. La désignation d'un DPO est donc quasi systématiquement requise pour les écoles supérieures, quelle que soit leur taille. Le DPO peut être mutualisé entre plusieurs établissements ou externalisé.

Comment gérer une demande d'effacement d'un étudiant diplômé ?

L'effacement ne peut pas être total : l'école a l'obligation légale de conserver les preuves de délivrance du diplôme (obligation légale, article 6.1.c). Les données financières sont soumises à des durées de conservation comptable (10 ans en France). En revanche, les données de vie campus, de navigation, et de communication marketing doivent être effacées. Documentez la réponse par écrit en détaillant les données effacées et celles conservées avec leur base légale.

La conformité RGPD n'est pas un projet ponctuel. C'est un processus continu qui touche chaque service de votre école — admissions, scolarité, marketing, IT, direction. Les établissements qui l'intègrent dès la conception de leurs outils (privacy by design) protègent leurs étudiants et se protègent eux-mêmes.

Pour comprendre comment l'IA Act modifie spécifiquement les obligations des écoles, consultez notre article sur l'IA Act et l'enseignement supérieur. Pour les mesures techniques de protection, découvrez notre guide sur la protection des données des prospects.