Gérer un réseau d’anciens, c’est traiter des données alumni qui sont, au regard du RGPD, des données personnelles à part entière. Coordonnées, postes, parcours : une école ou une association d’anciens qui les collecte, les enrichit et les exploite endosse des obligations précises, sous peine de sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La bonne nouvelle est que la conformité repose sur quelques principes clairs. Cet article fait le point sur ce qu’une école a le droit de faire de ses données alumni. Il a une vocation informative et ne remplace pas l’avis d’un délégué à la protection des données ou d’un juriste sur votre situation précise.
Les données alumni sont-elles concernées par le RGPD ?
Oui, sans ambiguïté. Toute information se rapportant à une personne identifiée ou identifiable est une donnée personnelle, et c’est le cas du nom, de l’email, du poste ou de l’employeur d’un diplômé. L’école ou l’association qui décide des finalités et des moyens du traitement en est le responsable de traitement, c’est-à-dire le garant de la conformité.
Un point mérite une vigilance particulière : une base alumni ne doit pas contenir de données sensibles (origine, opinions politiques ou religieuses, appartenance syndicale, santé, orientation sexuelle), dont le traitement est en principe interdit hors cas très encadrés. Une base d’anciens bien tenue se limite aux données utiles à l’animation du réseau.
Sur quelle base légale traiter les données des alumni ?
Tout traitement doit reposer sur l’une des six bases légales prévues par l’article 6 du RGPD. Dans le cas des alumni, deux sont réellement mobilisables : le consentement et l’intérêt légitime.
L’intérêt légitime est souvent la base la plus adaptée pour animer un réseau d’anciens. Contacter d’anciens étudiants pour les inviter à rejoindre la communauté peut s’y rattacher, car les alumni peuvent raisonnablement s’attendre à un tel usage dans ce contexte. Cette base impose toutefois des conditions strictes : une information claire des personnes, une justification documentée, un lien de désinscription dans chaque email, une collecte limitée au nécessaire, et la possibilité de s’opposer au traitement.
Le consentement s’impose, lui, dans les cas plus engageants, en particulier la prospection commerciale par voie électronique vers des personnes qui ne font pas déjà partie du réseau. Il doit alors être libre, spécifique, éclairé et univoque, et recueilli pour chaque finalité.
| Base légale | Quand l’utiliser pour les alumni | Conditions clés |
|---|---|---|
| Intérêt légitime | Animer le réseau, inviter les anciens, communiquer | Transparence, désinscription, minimisation, droit d’opposition |
| Consentement | Prospection électronique, finalités non attendues | Accord libre, spécifique, éclairé, par finalité |
Collecter et enrichir une base alumni : jusqu’où peut-on aller ?
Le principe de minimisation commande de ne collecter que les données pertinentes et nécessaires à une finalité définie à l’avance. On ne collecte pas « au cas où ».
La question la plus délicate concerne l’enrichissement d’une base à partir de sources externes, comme les réseaux professionnels ou les données publiques d’entreprise. C’est possible, mais ce n’est pas un blanc-seing. Lorsque les données ne sont pas collectées directement auprès de la personne, le RGPD impose une obligation d’information, dans un délai raisonnable, sur l’origine et l’usage des données. L’enrichissement doit en outre rester proportionné et passer le test de pondération propre à l’intérêt légitime, entre l’intérêt de l’organisation et les droits des personnes. Mené avec transparence et traçabilité des sources, l’enrichissement est conforme. Mené en silence, il devient un risque. La tenue de données exactes et à jour est d’ailleurs elle-même une exigence du RGPD, ce qui fait de la fiabilisation une obligation autant qu’un confort opérationnel.
Lire plus : Comment fiabiliser et nettoyer sa base de données alumni
Combien de temps conserver les données alumni ?
Le principe de conservation limitée interdit de garder les données indéfiniment. Pour les anciens adhérents d’un réseau, la CNIL recommande une suppression ou un archivage trois ans après le dernier contact. Une conservation à des fins de relance reste possible sur la base de l’intérêt légitime, sans dépasser ce même horizon.
| Type de données | Durée recommandée |
|---|---|
| Anciens adhérents / membres inactifs | 3 ans après le dernier contact |
| Données liées aux dons (reçus fiscaux) | 6 ans (prescription fiscale) |
| Coordonnées bancaires d’un don ponctuel | À supprimer dès le prélèvement effectué |
Définir ces durées et les documenter dans un registre est l’un des réflexes les plus simples pour démontrer sa conformité.
Les droits des anciens élèves sur leurs données
Chaque ancien dispose de droits que l’école doit pouvoir honorer facilement : l’accès à ses données, leur rectification, leur effacement, et le droit d’opposition au traitement, particulièrement lorsque celui-ci repose sur l’intérêt légitime. Concrètement, cela suppose un canal de contact identifié, un lien de désinscription fonctionnel dans les communications, et un délai de réponse maîtrisé. Faciliter l’exercice de ces droits n’est pas seulement une obligation : c’est aussi ce qui entretient la confiance d’une communauté que l’on souhaite garder engagée.
Lire plus : pourquoi votre base de données alumni devient obsolète en moins d’un an ?
Plateforme alumni et RGPD : responsable de traitement ou sous-traitant ?
Dès qu’une école confie ses données à un outil externe, la répartition des rôles devient centrale. L’école reste le responsable de traitement ; la plateforme qui héberge et traite les données pour son compte est un sous-traitant, qui n’agit que sur instructions. Cette relation doit être encadrée par un contrat précisant les garanties de sécurité, la confidentialité et le sort des données en fin de contrat.
S’y ajoutent quelques réflexes de gouvernance : désigner un délégué à la protection des données (DPO) joignable, tenir un registre des activités de traitement, et restreindre l’accès aux seules personnes habilitées. Une plateforme de gestion de réseau alumni sérieuse intègre nativement ces exigences, de l’hébergement sécurisé à la gestion fine des droits d’accès, plutôt que de les traiter comme une option.
FAQ
Peut-on contacter d’anciens étudiants sans leur consentement ? Oui, pour les inviter à rejoindre le réseau ou l’animer, sur la base de l’intérêt légitime, à condition d’informer clairement les personnes, de proposer une désinscription et de respecter leur droit d’opposition. La prospection commerciale électronique, elle, requiert le consentement.
Combien de temps peut-on garder les données d’un ancien ? La CNIL recommande une suppression ou un archivage trois ans après le dernier contact. Les données liées aux dons sont conservées six ans pour les reçus fiscaux.
Peut-on enrichir sa base alumni avec des données issues de LinkedIn ? C’est possible si l’enrichissement reste proportionné et transparent. Lorsque les données ne viennent pas directement de la personne, il faut l’informer de l’origine et de l’usage de ses données.
Qui est responsable quand les données alumni sont sur une plateforme ? L’école ou l’association reste responsable de traitement. La plateforme est un sous-traitant qui agit sur ses instructions, dans le cadre d’un contrat encadrant la sécurité et la confidentialité.
Ce qu’il faut retenir
Les données alumni sont des données personnelles soumises au RGPD, et l’école qui les gère en est responsable. La conformité tient à quelques principes : choisir la bonne base légale, le plus souvent l’intérêt légitime pour animer le réseau et le consentement pour la prospection électronique ; ne collecter que le nécessaire ; enrichir avec transparence ; limiter la durée de conservation à environ trois ans après le dernier contact ; et permettre aux anciens d’exercer leurs droits. Bien menée, la conformité n’est pas un frein à l’animation du réseau : elle en est la condition de confiance.
