Conformité & achats

RGPD & nLPD suisse pour la communication parents : ce qu'il faut vérifier avant de signer

Si votre école choisit un outil de communication parents conforme au RGPD, la démo produit est la partie facile. La partie difficile, ce sont les documents que votre délégué à la protection des données va réclamer — et la plupart des outils de cette catégorie ont été conçus pour un marché américain où ces documents passent au second plan. Ce guide détaille ce qu'un logiciel scolaire avec hébergement des données en Europe doit réellement prouver, pourquoi la nLPD suisse impose sa propre barre, et les questions exactes à poser à tout fournisseur avant qu'une seule donnée de parent ne change de mains.

Pourquoi la communication parents est sensible sous le RGPD

Une plateforme de communication parents traite des noms, des coordonnées et des informations sur des enfants — et les données d'enfants sont une catégorie particulière qui mérite un soin renforcé. Sous le RGPD (règlement UE 2016/679), l'école est le responsable du traitement et tout fournisseur qui traite ces données pour son compte est un sous-traitant. Cette relation n'est ni facultative ni informelle : le RGPD impose qu'elle soit encadrée par un contrat écrit — le contrat de sous-traitance (DPA).

La première question d'achat n'est donc pas « que sait faire l'outil ? » mais « le fournisseur signera-t-il un DPA, et que dit-il ? » Un fournisseur qui traite le DPA comme une formalité, ou ne le propose que sur son offre entreprise, vous en dit long.

Ce que « hébergement des données en Europe » veut vraiment dire

« Hébergé en Europe » est une formule employée à la légère. Pour une école qui a besoin que les données restent en Europe, les questions qui comptent sont concrètes :

  • Où les données sont-elles stockées ? La base contenant les fiches parents et élèves doit se trouver sur une infrastructure européenne.
  • Où l'IA s'exécute-t-elle ? Si l'outil résume ou traduit des e-mails avec de l'IA, l'inférence elle-même — pas seulement le stockage — doit s'exécuter en Europe. Un modèle hébergé aux États-Unis envoie le contenu à l'étranger même si la base reste en place.
  • Y a-t-il un transfert vers les États-Unis ? Beaucoup d'outils font transiter des métadonnées opérationnelles (facturation, supervision) par des prestataires hors UE. C'est acceptable sous clauses contractuelles types, à condition de le dire clairement.
  • Les données de l'école servent-elles à entraîner une IA ? La réponse doit être un non contractuel, par écrit — pas une phrase de politique de confidentialité modifiable au trimestre suivant.

La position de C’noté sur chacun de ces points est documentée dans le dossier de confiance : hébergement en France, inférence IA à Paris, aucune donnée d'école jamais utilisée pour entraîner un modèle, et une note honnête sur les rares métadonnées opérationnelles susceptibles de transiter par des prestataires hors UE sous clauses contractuelles types.

La nLPD suisse : la deuxième barre

Les écoles qui opèrent en Suisse — y compris les écoles internationales accueillant des familles expatriées — relèvent aussi de la loi fédérale révisée sur la protection des données (la nLPD / LPD, en vigueur depuis septembre 2023). Elle est très proche du RGPD mais reste une loi à part, avec ses propres exigences. Un outil présenté comme « conforme RGPD » n'a pas pour autant franchi la barre suisse. Un logiciel scolaire conforme à la nLPD doit nommer explicitement la nLPD et y aligner son DPA.

C'est un coin de marché réellement mal desservi : la plupart des plateformes de diffusion établies sont centrées sur les États-Unis et disent peu de choses du droit suisse. Un outil conçu en Suisse, pour des écoles internationales, part de là plutôt que de l'ajouter après coup.

Le contrat de sous-traitance : une checklist

Quand vous demandez son DPA à un fournisseur d'outil de communication scolaire, voici ce qu'un DPO y vérifiera :

  • Rôles — l'école désignée comme responsable, le fournisseur comme sous-traitant.
  • Portée & finalité — quelles données sont traitées, et uniquement pour la finalité convenue.
  • Sous-traitants ultérieurs — une liste publiée et à jour des tiers (hébergement, inférence IA) et un droit d'opposition aux changements.
  • Localisation des données — hébergement et inférence en UE, tout transfert transfrontalier couvert par des clauses contractuelles types.
  • Notification de violation — un délai engagé (la norme RGPD est de 72 heures).
  • Entraînement de l'IA — une garantie explicite que vos données ne servent jamais à entraîner des modèles.
  • Suppression & restitution — ce qu'il advient des données à la fin du contrat.

C’noté fournit le DPA, le schéma des flux de données et la liste à jour des sous-traitants avant le pilote — pas après le bon de commande. Le détail est sur la page confiance, rédigé pour la personne qui doit signer.

Une note sur l'exactitude, qui est aussi une question de conformité

Une IA qui résume les e-mails d'une école peut aussi inventer des choses — et un assistant qui invente des informations sur un enfant est un problème de qualité des données et de confiance, pas seulement un défaut de fonctionnalité. La bonne contrainte de conception : l'outil ne répète que ce que l'école a réellement écrit, relie chaque affirmation à sa source, et le dit clairement quand il n'est pas sûr plutôt que de deviner. Cet ancrage fait partie de ce qui rend l'outil défendable face à un DPO, et pas seulement utile à un parent.

À présenter aux achats

Si vous évaluez C’noté pour votre école, les réponses de conformité sont pensées pour être transmises directement à votre délégué à la protection des données. La vue côté acheteur est sur la page pour les écoles, et le dossier sécurité complet — DPA, schéma des flux, liste des sous-traitants — est disponible avant la fin de votre démo via le dossier de confiance.

Voir C’noté pour les écoles