RGPD

RGPD et annuaire alumni : check-list 12 points avant d'ouvrir

Votre projet alumni est prêt à lancer. Base nettoyée, plateforme choisie, comm préparée. Puis le DPO envoie son mail : "12 points à vérifier avant mise en production". Deux mois de retard, négociations musclées avec l'éditeur, parfois abandon du projet. Voici la check-list RGPD complète pour un annuaire alumni, à valider avant de choisir votre plateforme — pas après.

14 avril 2026 Lecture ~8 min Par Thibault Sabathier
TL;DR

Le RGPD bloque 30 % des projets alumni quand le DPO est consulté trop tard. Check-list de 12 points à valider avant signature plateforme : base légale, registre, durée de conservation, transferts hors UE, cookies, droit à l'oubli en 3 clics, portabilité, notification de violation 72 h, AIPD si scoring mentor, DPA signé. Hébergement France privilégié vs Schrems II.

Pourquoi le RGPD tue 30 % des projets alumni

Le schéma se répète dans 1 projet alumni sur 3. Direction alumni choisit une plateforme, négocie le contrat, paramètre, prépare la communication. Le DPO de l'école ou de l'association est consulté en dernière minute — parfois à J-15 du lancement. Il bloque. Le projet prend 2 à 6 mois de retard, ou pire, change complètement de plateforme en cours de contrat déjà signé.

Trois cas de refus reviennent systématiquement. Premier : refus de validation de l'hébergement US après l'arrêt Schrems II. Deuxième : refus de l'import automatique de profils LinkedIn sans consentement explicite des personnes. Troisième : refus d'envoi d'emails massifs sans opt-in documenté par un log horodaté. Chacun de ces refus est légitime — et prévisible si le DPO est consulté en amont.

L'impact typique : 2 à 6 mois de retard, coûts cachés de double paramétrage, perte de confiance interne direction / DSI, et dans 15 % des cas observés, résiliation du contrat éditeur avec frais de sortie. La leçon est simple : valider la conformité RGPD avant la signature, pas après.

Les 12 points critiques à valider

Voici la check-list minimale à faire signer par le DPO avant de signer avec un éditeur. Aucun de ces points n'est négociable côté conformité — ils sont tous dans la lettre ou l'esprit du RGPD et des recommandations CNIL.

  1. Base légale du traitement. Intérêt légitime de l'école pour l'annuaire institutionnel, ou consentement explicite pour l'asso alumni. Documenter le choix dans le registre des traitements. Ne pas confondre les deux : ils n'ont pas les mêmes obligations.
  2. Registre des traitements à jour. Obligation CNIL pour toute entité > 250 salariés ou traitant des données sensibles. L'annuaire alumni doit y figurer avec finalités, durée, destinataires.
  3. Durée de conservation. Alumni = toute la vie ? Non. Définir une durée (souvent 10 ans après dernière connexion) et un process de purge automatique. Conserver "par défaut" est une violation.
  4. Transferts hors UE. Depuis Schrems II, hébergement France ou UE recommandé. Si transfert US inévitable, SCC (Clauses Contractuelles Type) + mesures complémentaires documentées.
  5. Cookies et traceurs. Bandeau conforme CNIL (délibération 2020), refus aussi simple que l'acceptation, journal de consentement conservé 5 ans. Pas de traceurs tant que pas de consentement.
  6. Anonymisation vs pseudonymisation. Pour les statistiques d'insertion (CGE/CTI), l'anonymisation est requise — pas juste la pseudonymisation. Voir le guide enquête CGE pour les modalités exactes.
  7. Droit à l'oubli. Un alumni supprime son compte en 3 clics depuis son espace, pas via un email au support qui mettra 3 semaines. Processus documenté, délai maximum 30 jours.
  8. Droit de portabilité. Export JSON ou CSV de toutes les données de l'utilisateur sur demande, livré en 30 jours maximum. Tester la fonctionnalité avant mise en prod.
  9. Notification de violation. Process interne documenté pour informer la CNIL sous 72h en cas de faille. Inclure le process éditeur dans le DPA.
  10. DPO désigné. École publique : obligation. Asso alumni : selon seuils et traitements. Possibilité de mutualiser un DPO externe entre école et asso si gouvernance claire.
  11. AIPD (Analyse d'Impact). Obligatoire pour les traitements à risque : scoring mentorat automatisé, enrichissement LinkedIn, croisement de données sensibles, profilage. Non optionnel.
  12. DPA signé avec l'éditeur. Annexe obligatoire au contrat. Un éditeur qui refuse de signer un DPA est rédhibitoire — pas de contrat sans DPA.

Cas spéciaux : doubles adhérents, alumni étrangers, données sensibles

Certaines situations compliquent le tableau standard. Le cas du double adhérent d'abord : un alumni est à la fois dans l'annuaire institutionnel de l'école (base légale : intérêt légitime) et dans le fichier de l'association alumni (base légale : consentement). Les deux traitements coexistent mais doivent être documentés séparément. Ne pas mélanger les bases légales dans un seul traitement opaque.

Deuxième cas : les alumni résidant hors UE. Le RGPD s'applique dès lors que la collecte est effectuée par une entité UE, même avec des utilisateurs finaux non-UE. Un alumni français expatrié à Singapour reste protégé par le RGPD dans sa relation avec l'école française. Les exports de données vers des pays tiers (pour un événement local par exemple) nécessitent les mêmes garanties que les transferts US.

Troisième cas : les données sensibles (religieuses, politiques, santé, orientation sexuelle, appartenance syndicale). À proscrire par défaut dans un annuaire alumni. Si collecte nécessaire — par exemple pour un groupe d'affinité confessionnel — consentement explicite ET finalité légitime ET stockage isolé des autres données. Pour les cas extra-UE spécifiques, voir le guide RGPD diaspora qui détaille les règles croisées diaspora / RGPD.

Hébergement France vs SCC (Schrems II en pratique)

L'arrêt Schrems II de la Cour de Justice de l'Union Européenne (juillet 2020) a fragilisé tout transfert de données vers les États-Unis. Le motif : le CLOUD Act américain permet aux autorités fédérales d'accéder aux données stockées par les entreprises US, même si les serveurs sont situés en UE. Cette extraterritorialité est incompatible avec le niveau de protection RGPD.

Deux solutions en pratique. Solution A : hébergement France ou UE chez un acteur non soumis au CLOUD Act. Les trois références : OVHcloud (Roubaix, Gravelines, Strasbourg), Scaleway (Paris), Outscale (Dassault, qualifié SecNumCloud). C'est la solution recommandée par la CNIL et le choix le plus simple pour un DPO.

Solution B : Clauses Contractuelles Type (SCC nouvelle version 2021) avec mesures complémentaires documentées. Acceptées juridiquement mais régulièrement contestées en pratique, et les DPO des écoles publiques refusent majoritairement cette voie pour les données étudiants et alumni.

Conséquence directe sur le marché : les DPO d'écoles publiques bloquent régulièrement AlumnForce quand des composants sont hébergés hors UE, et Hivebrite dont l'infrastructure principale est aux États-Unis. L'hébergement France devient un avantage concurrentiel décisif pour les contrats école publique ou associations reconnues d'utilité publique.

Template de DPA à signer avec votre éditeur

Le DPA (Data Processing Agreement) est l'annexe au contrat qui encadre le rôle du sous-traitant (l'éditeur) vis-à-vis du responsable de traitement (l'école ou l'asso). Sans DPA, le contrat est non conforme au RGPD. La CNIL fournit un modèle public à adapter.

Les 9 clauses obligatoires du DPA sont précisées à l'article 28 du RGPD :

  • Objet, nature et finalité du traitement
  • Durée du traitement et modalités de fin de contrat
  • Types de données traitées et catégories de personnes concernées
  • Obligations et droits du responsable de traitement
  • Sous-traitants en cascade (liste à jour, droit de contestation)
  • Instructions documentées du responsable de traitement
  • Confidentialité du personnel du sous-traitant
  • Sécurité du traitement (mesures techniques et organisationnelles)
  • Assistance du sous-traitant pour les droits des personnes et les violations

Points de négociation fréquents : responsabilité en cas de violation (plafonnée ou non), droit d'audit (réel ou sur documents), sous-traitants en cascade (changement avec préavis 30 jours). Un éditeur qui refuse de négocier ces points est à écarter — les DPO les exigeront de toute façon.

Check-list finale avant signature

Avant de signer le contrat avec l'éditeur, faire valider par le DPO les 12 points ci-dessus. Pour chacun, exiger une réponse écrite de l'éditeur, pas seulement un argumentaire commercial. Un "Proof of Compliance" écrit engage l'éditeur ; un discours de commercial ne vaut rien en cas de contrôle.

  • Obtenir le registre des traitements mis à disposition par l'éditeur
  • Vérifier l'hébergement France ou les garanties SCC sur pièce
  • Tester en conditions réelles les droits RGPD (suppression de compte, export de données)
  • Valider le modèle de DPA avec le juridique école et le DPO
  • Documenter toutes les réponses dans un tableau de conformité signé à la date de mise en production

Pour aller plus loin : section dédiée sur la page /alumni/ (infrastructure et hébergement France), et le guide migration propre depuis Excel qui détaille la gestion des consentements lors de la bascule des anciennes données.

Une plateforme alumni conforme dès le jour 1

Hébergement France (OVH), DPA signé, gestion des droits automatisée, consentement tracé. Essai 14 jours, sans engagement.

Vérifier la conformité Réserver une démo