Faut-il le consentement de chaque ancien pour figurer dans l'annuaire ?

Pas forcément. Le consentement est l'une des bases légales possibles, mais l'intérêt légitime de l'école ou de l'association à maintenir le lien avec ses diplômés peut aussi en constituer une, à condition de le documenter et de respecter les droits des personnes. Dans tous les cas, l'ancien doit être informé et pouvoir s'opposer. Pour choisir la bonne base légale dans votre situation, référez-vous aux ressources de la CNIL.

L'école peut-elle transmettre les listes de diplômés à l'association d'anciens ?

Oui, mais cette transmission doit être encadrée : une convention entre l'école et l'association précise ce qui est transmis, dans quel but et avec quelles garanties. Les personnes concernées doivent être informées de ce partage. Sans ce cadre écrit, le transfert d'un fichier de diplômés expose les deux structures. La CNIL détaille les modalités d'un tel partage de données.

Combien de temps peut-on conserver les données des anciens ?

Le RGPD ne fixe pas de durée universelle : la règle est de conserver les données aussi longtemps que nécessaire à la finalité poursuivie, puis de les supprimer ou de les anonymiser. Pour un annuaire alumni, tant que la relation est active, la conservation se justifie ; une politique de durée claire et un nettoyage régulier sont attendus. Définissez vos durées en vous appuyant sur les recommandations de la CNIL.

Un fichier Excel d'anciens élèves est-il conforme au RGPD ?

Un fichier Excel n'est pas illégal en soi, mais il est très difficile à rendre conforme dans la durée : copies multiples, envois par email, absence de traçabilité et de contrôle d'accès. Le vrai risque n'est pas l'outil, c'est la perte de maîtrise sur les copies qui circulent. Un annuaire centralisé où chaque membre gère son profil est généralement plus simple à sécuriser et à documenter.

Tous les articles

École7 juin 20269 min de lecture

RGPD et annuaire d'anciens élèves : ce que dit la loi, ce qu'il faut faire

Base légale, information des anciens, droits des membres, durée de conservation : le RGPD appliqué concrètement à l'annuaire alumni, sans jargon juridique.

C'est l'objection numéro un dans presque chaque projet d'annuaire d'anciens élèves : « et le RGPD, on a le droit ?». La crainte est légitime, mais elle repose souvent sur un malentendu. Le RGPD n'interdit pas de tenir un annuaire d'anciens — il l'encadre. Et, paradoxe que cet article va défendre, un annuaire bien tenu est presque toujours plus conformequ'un fichier Excel qui circule de boîte mail en boîte mail.

Voici, sans jargon, ce que dit la loi dans les grandes lignes et surtout ce qu'il faut faire concrètement. Précision importante : cet article expose des principes généraux et stables du RGPD ; pour les modalités précises applicables à votre structure, la source officielle reste la CNIL.

Le RGPD n'est pas l'ennemi de l'annuaire

Le réflexe défensif consiste à se dire « moins on collecte de données, moins on prend de risques, donc ne faisons rien ». C'est une erreur de raisonnement. La réalité d'un réseau d'anciens, ce n'est jamais « zéro donnée » : c'est un fichier de diplômés quelque part, des tableurs envoyés à des bénévoles, des listes exportées d'un ancien CRM, des copies sur des clés USB. Ces données existent déjà — la seule question est de savoir si elles sont maîtrisées.

Le RGPD demande au fond une chose simple : savoir quelles données vous détenez, pourquoi, et qui y accède, et donner aux personnes la main sur leurs informations. Un annuaire centralisé répond précisément à cette exigence. Un Excel partagé, par construction, y échoue. Le cadre légal n'est donc pas un obstacle à l'annuaire : il en est l'argument.

Les principes à respecter en pratique

On peut traduire les grands principes du règlement en cinq questions opérationnelles. Aucune n'est insurmontable pour une école ou une association.

1. Avoir une base légale

Toute collecte de données personnelles doit reposer sur une base légale. Pour un annuaire alumni, deux pistes sont courantes : le consentementde l'ancien (il s'inscrit ou accepte explicitement de figurer) ou l'intérêt légitimede l'école et de l'association à entretenir le lien avec leurs diplômés, à condition de le documenter. Dans la pratique, c'est la convention entre l'école et l'association qui formalise la transmission des listes et sécurise juridiquement la démarche. Le choix de la base légale adaptée se fait au regard des critères de la CNIL.

2. Informer les personnes

Chaque ancien doit pouvoir savoir, simplement : qui détient ses données, pourquoi, combien de temps, et avec qui elles sont partagées. C'est l'objet d'une mention d'information accessible — au moment de l'inscription, dans les emails, dans une page dédiée. La transparence n'est pas qu'une formalité : c'est ce qui transforme une crainte (« que faites-vous de mes données ? ») en confiance.

3. Respecter les droits des personnes

Les anciens disposent de droits sur leurs données : accès, rectification, opposition, suppression. La manière la plus robuste de les honorer n'est pas de traiter chaque demande à la main, mais de laisser chaque membre gérer son propre profil: il met à jour ses informations, choisit ce qu'il publie, se retire s'il le souhaite. Le droit devient alors un usage normal de l'outil, pas une procédure exceptionnelle.

4. Limiter la conservation et sécuriser

On ne conserve les données que le temps nécessaire à la finalité, puis on les supprime ou on les anonymise. On les protège aussi : accès restreint, hébergement sérieux, contrôle de qui peut voir quoi. Sur ce point, deux éléments comptent pour une structure française : un hébergement des données en Europeet une politique de durée de conservation explicite. Les durées précises se définissent selon vos finalités, en s'appuyant sur les référentiels de la CNIL.

5. Encadrer la visibilité

Figurer dans un annuaire ne signifie pas tout exposer à tout le monde. Le principe de minimisation se traduit ici par des contrôles de confidentialité par membre: chacun décide quelles informations sont visibles (email, téléphone, parcours) et par qui (membres de la communauté uniquement, certains groupes, etc.). C'est à la fois plus respectueux et plus rassurant pour les anciens — donc meilleur pour le taux d'adhésion.

Le vrai risque : l'Excel partagé

Revenons au fichier tableur, encore omniprésent. Sur le papier, il paraît inoffensif. En pratique, c'est lui qui pose le plus de problèmes de conformité :

Copies incontrôlées: dès qu'un fichier est envoyé par email, vous en perdez le contrôle. Il existe désormais en dizaines d'exemplaires, sur des messageries personnelles, des ordinateurs de bénévoles, des dossiers partagés.
Aucune traçabilité: impossible de savoir qui a consulté, modifié ou exporté quoi. En cas de demande d'un ancien ou de contrôle, vous ne pouvez rien démontrer.
Droits ingérables : un ancien demande la suppression de ses données ? Il faudrait retrouver et corriger chaque copie — ce qui est, en réalité, impossible.
Sécurité faible: un tableur n'a ni contrôle d'accès fin, ni journalisation, ni gestion de la visibilité par champ.

Autrement dit, l'outil que beaucoup gardent « par prudence » est souvent le moins conforme. Nous détaillons cette bascule dans notre article pourquoi quitter l'annuaire alumni sur Excel.

Checklist conformité en 8 points

Pour passer de la crainte à l'action, voici une liste de contrôle synthétique. Elle ne remplace pas une analyse propre à votre structure, mais elle balise l'essentiel.

Identifier la base légale de votre annuaire (consentement ou intérêt légitime documenté) et la formaliser.
Signer une convention école-association encadrant la transmission des listes de diplômés.
Rédiger une mention d'information claire : qui, quoi, pourquoi, combien de temps, avec qui.
Permettre à chaque membre de gérer son profil (accès, rectification, opposition, suppression en autonomie).
Définir une durée de conservation et programmer un nettoyage régulier des comptes inactifs.
Restreindre les accès aux administrateurs réellement concernés et tenir un registre des traitements.
Activer les contrôles de visibilité par membre pour appliquer la minimisation des données.
Choisir un hébergement des données en Europe et documenter vos mesures de sécurité.

Une plateforme dédiée coche structurellement plusieurs de ces cases — profil géré par le membre, contrôles de confidentialité, hébergement européen, accès administrés. C'est l'un des arguments les plus sous-estimés en faveur d'un annuaire d'école centralisé plutôt que d'un fichier dispersé.

En résumé

Le RGPD ne vous empêche pas d'avoir un annuaire d'anciens élèves vivant et utile. Il vous demande de savoir ce que vous détenez, de l'expliquer, de donner la main aux personnes et de sécuriser l'ensemble. Sur tous ces points, un annuaire centralisé où chaque membre pilote son profil est un allié, pas un risque — bien plus que le tableur qu'on hésite à abandonner. Si vous lancez votre réseau, notre guide créer un réseau alumni reprend ces bonnes pratiques dès le départ.

Article édité par l'équipe AlumniPlatform — juin 2026. Ce contenu présente des principes généraux du RGPD à titre d'information et ne constitue pas un conseil juridique : pour toute situation précise, référez-vous à la CNIL ou à un conseil qualifié. Une erreur factuelle ? Écrivez-nous à contact@alumniplatform.net.