À une époque où les données circulent et se multiplient à une vitesse fulgurante, la protection des informations personnelles est devenue cruciale. Le RGPD, ou règlement général sur la protection des données, encadre le traitement des données personnelles au sein de l’Union européenne, qu’elles soient sous forme numérique ou conservées sur un support papier.
Les traitements de données sont omniprésents dans tous les domaines rendant obligatoire la conformité au RGPD, des organisations.
À qui le RGPD est-il indispensable ?
Le règlement général sur la protection des données (RGPD) établit un cadre juridique solide, permettant aux entreprises y compris les organismes de formation et leurs sous-traitants, de mener leurs activités tout en garantissant la protection des données personnelles. Ce règlement renforce la confiance des utilisateurs en assurant la sécurité et la confidentialité des informations qu’ils partagent.
Cet article propose une présentation complète du règlement général sur la protection des données (RGPD).
Il abordera les aspects suivants :
- I – La réglementation générale visant à protéger les données personnelles.
- II – Le traitement des données, en définissant des méthodes efficaces de collecte des informations personnelles.
- III – La sécurisation des données des apprenants dans le cadre de la sous-traitance.
- IV – La mise à jour du registre des activités de traitement, un élément clé pour assurer la conformité au RGPD.
I – La réglementation générale visant à protéger les données personnelles
Ce règlement a été conçu pour suivre les évolutions technologiques, notamment l’essor du numérique et du commerce en ligne et pour renforcer les droits des personnes sur l’utilisation de leurs données.
Il s’inscrit dans la continuité de la loi française informatique et libertés de 1978, en harmonisant les règles à l’échelle européenne.
Historique sur la protection des données
Les organismes de formation collectent et traitent une variété de données personnelles, notamment les inscriptions des stagiaires, le suivi des formations, les évaluations et les facturations aux entreprises. Il est essentiel pour eux de comprendre et d’appliquer les principes du RGPD afin d’assurer la conformité et de protéger les informations personnelles des apprenants.
Des sanctions en cas de non-respect
Les sanctions pour non-conformité sont lourdes, allant de simples avertissements à des amendes pouvant atteindre plusieurs millions d’euros et elles concernent toutes les structures.
Quelques exemples de sanctions prononcées par la CNIL
| Entreprise | Manquements | Sanctions prononcées par la CNIL |
| Google LLC et Google Ireland Limited | Non-respect des règles sur les cookies avec une impossibilité à les refuser. | Amende de 150 millions d’euros et astreinte de 100 000 euros par jour de retard. |
| Boulangerie (procédure simplifiée) | Information des personnes, obligation de traiter les données de façon licite (vidéosurveillance), minimisation des données. | Amende administrative de 5 000 euros. |
| Société gérant une plateforme d’appels pour le secrétariat de professionnels | Minimisation des données, information des personnes et transparence, défaut de sécurité des données. | Amende administrative de 10 000 euros. |
| Avocat (procédure simplifiée) | Défaut de coopération avec la CNIL, non-respect du droit à l’effacement . | Amende administrative de 5 000 euros. |
II – Le traitement des données et les méthodes efficaces de collecte des informations personnelles
La protection des données concerne non seulement les informations directement identifiables (nom, prénom, etc.), mais aussi les données plus sensibles comme les informations de santé, les données biométriques ou encore les données relatives aux résultats des examens.
Comprendre ce qu’est une donnée personnelle au sens du RGPD
Une donnée personnelle englobe toute information se rapportant à une personne physique identifiable. Cela inclut les informations permettant d’identifier directement une personne (comme son nom ou prénom) ou indirectement, via un identifiant (numéro de stagiaire / client, téléphone), des données biométriques, ou tout autre élément spécifique lié à son identité (physique, génétique, culture, etc.).
Les données personnelles
Les données sensibles
Sécuriser le traitement des données
Pour respecter les exigences du RGPD les organismes de formation doivent encadrer de manière très stricte les traitements de ces données.
Être vigilant sur le traitement des données
Le traitement des données c’est toute opération ou ensemble d’opérations effectuées sur des données personnelles, qu’il s’agisse de données informatisées ou sur papier incluant ces aspects ci-dessous.
Identifier la finalité du traitement de données personnelles
Tout traitement de données personnelles doit être justifié par une finalité précise, clairement définie avant même la collecte des données. Cela signifie que les données ne doivent être utilisées que pour des objectifs spécifiques et légitimes. En plus de cette finalité, le consentement des personnes concernées est nécessaire. Ce consentement doit être libre, spécifique, éclairé et explicite avant que les données soient collectées ou utilisées.
Dans un organisme de formation, les traitements de données incluent notamment :
Définir une méthode pour collecter des données personnelles
Pour collecter des données personnelles dans un organisme de formation tout en respectant le RGPD, il est essentiel de suivre une démarche structurée et conforme à la législation.
Voici les principales étapes à respecter.
Définir les finalités du traitement
- Pourquoi collectez-vous ces données ?
- Identifiez précisément les objectifs (par exemple, inscriptions, suivi pédagogique, facturation).
- Assurez-vous que chaque collecte de données a une finalité légitime, transparente et proportionnée aux besoins de l’organisme de formation.
Identifier les données nécessaires
- Quelles données sont indispensables ?
- Limitez la collecte aux seules données nécessaires pour atteindre les finalités définies (principe de minimisation des données).
- Évitez de collecter des informations inutiles ou excessives par rapport aux objectifs (par exemple, éviter de collecter des données sur la santé sauf si cela est absolument nécessaire).
Obtenir un consentement éclairé
- Comment obtenir le consentement des personnes concernées ?
- Informez clairement les apprenants et autres parties concernées (formateurs, financeurs) sur la nature des données collectées, leur usage et leurs droits (droit d’accès, de rectification, d’effacement, etc.).
- Recueillez un consentement libre, spécifique, informé et explicite avant la collecte des données personnelles en fournissant une case à cocher ou une signature dans les formulaires papier ou en ligne.
Fournir une information transparente
- Comment informer les personnes concernées ?
Indiquez au moment de la collecte, les informations suivantes :
- L’identité de l’organisme de formation.
- La finalité du traitement.
- La base légale (consentement, exécution d’un contrat, obligation légale).
- Les destinataires des données (sous-traitants, partenaires).
- La durée de conservation des données.
- Les droits des personnes concernées et comment les exercer.
- La possibilité de retirer leur consentement à tout moment.
Mettre en place des mesures de sécurité
- Comment sécuriser les données collectées ?
- Protégez les données des apprenants en utilisant des mesures techniques et organisationnelles adaptées (chiffrement, contrôle des accès, sauvegarde des données).
- Veillez à ce que seuls les personnels autorisés puissent accéder aux données, et que les fichiers papier soient conservés dans des lieux sécurisés.
Tenir un registre des traitements
- Comment documenter vos pratiques ?
- Tenez un registre des activités de traitement des données mentionnant les finalités, les catégories de données traitées, les mesures de sécurité mises en place et les durées de conservation.
- Actualisez régulièrement ce registre pour refléter les pratiques réelles de votre organisme.
Établir des contrats de sous-traitance conformes
- Comment gérer les relations avec les sous-traitants ?
- Si vous faites appel à des prestataires externes pour traiter les données, assurez-vous qu’ils respectent le RGPD en insérant des clauses spécifiques dans les contrats (mesures de sécurité, obligation de confidentialité, respect des instructions documentées).
Permettre l’exercice des droits des personnes concernées
- Comment faciliter l’accès aux droits ?
- Mettez en place des procédures simples pour permettre aux personnes concernées d’exercer leurs droits (accès, rectification, effacement, etc.). Cela peut être fait via un formulaire en ligne, un contact direct ou un espace dédié sur votre site web.
Gérer la conservation et la suppression des données
- Combien de temps conserver les données et comment les supprimer ?
- Fixez une durée de conservation adaptée pour chaque type de données, en fonction de vos obligations légales et contractuelles.
- Une fois cette durée expirée, supprimez ou anonymisez les données de manière sécurisée.
Quelques mesures essentielles pour assurer la conformité RGPD dans les organismes de Formation
| Les mesures à prendre | Que faire ? | Exemples |
| Collecte et gestion du consentement | – Obtenir un consentement libre, spécifique, informé et explicite avant la collecte des données personnelles. – Conserver la preuve du consentement et permettre son retrait à tout moment. |
– Ajouter une case à cocher lors de l’inscription en ligne pour que les apprenants consentent à la collecte de leurs données. – Archiver les formulaires de consentement signés et offrir un mécanisme de retrait en ligne. |
| Cartographie des données | – Recenser les traitements de données et leur finalité (inscription, suivi pédagogique, facturation, etc.). – Identifier les types de données collectées et les parties prenantes. – Mettre à jour régulièrement le registre des traitements. |
– Créer une liste des données traitées : nom, adresse, numéro de téléphone, résultats des évaluations, informations bancaires pour la facturation. – Réviser et mettre à jour ce registre tous les six mois. |
| Sécurisation des données | – Protéger les données numériques par chiffrement, mots de passe robustes et contrôle d’accès. – Sécuriser les fichiers papier dans des lieux verrouillés et restreints. – Prévoir des sauvegardes régulières et un plan de gestion des incidents. |
– Chiffrer les bases de données d’apprenants et utiliser des mots de passe sécurisés pour l’accès aux dossiers numériques. – Verrouiller les armoires contenant les dossiers papier et organiser des sauvegardes régulières. |
| Minimisation des données | – Collecter uniquement les données nécessaires à la finalité du traitement. – Mettre en place une politique de conservation limitée dans le temps. |
– Ne collecter que les données pertinentes pour l’inscription et la formation. – Supprimer les dossiers d’apprenants après un certain délai fixé dans la politique de conservation des données. |
| Droits des personnes concernées | – Faciliter l’exercice des droits des personnes (accès, rectification, suppression, portabilité, limitation). – Informer les personnes sur leurs droits et comment les exercer. |
– Mettre en place un formulaire en ligne permettant aux apprenants de demander l’accès à leurs données ou de demander leur suppression. – Afficher clairement sur le site web les droits des personnes et fournir un point de contact dédié (DPO). |
| Mesures en cas de violations de données | – Créer un plan de gestion des incidents pour signaler les violations à la CNIL dans les 72 heures. – Former le personnel pour réagir efficacement en cas de violation. – Documenter chaque incident. |
– Préparer un modèle de notification à envoyer à la CNIL et aux apprenants en cas de violation de données. – Organiser des formations internes sur la gestion des violations de données. |
| Délégué à la protection des données (DPO) | – Nommer un DPO si nécessaire (en cas de traitement de données sensibles à grande échelle ou pour les organismes publics). – Le DPO assure la conformité et sert de contact avec la CNIL. |
– Désigner un DPO pour gérer les données des apprenants dans une organisation qui traite des données médicales sensibles ou des informations à grande échelle. |
| Contrôle des sous-traitants | – Vérifier que les sous-traitants respectent le RGPD. – Mettre à jour les contrats avec des clauses sur la protection des données. – Encadrer les transferts de données hors UE. |
– Vérifier que les entreprises de cloud computing utilisées pour stocker les données des apprenants, respectent le RGPD et intégrer cette exigence dans les contrats. – Veiller à l’encadrement des transferts hors UE via des clauses contractuelles types. |
| Documentation continue | – Tenir un registre des traitements des données, documentant la finalité, les catégories de données et les mesures de sécurité. – Actualiser régulièrement cette documentation. |
– Créer un registre détaillé indiquant chaque traitement de données, les finalités, les responsables et les mesures de protection en place et le mettre à jour tous les six mois. |
| Encadrement des transferts de données hors UE | – S’assurer que les transferts de données hors de l’Union européenne sont encadrés juridiquement (clauses contractuelles types, BCR, certifications). | – Utiliser des clauses contractuelles types pour encadrer les transferts de données des apprenants vers un prestataire en dehors de l’UE. |
La sécurisation des données des apprenants dans le cadre de la sous-traitance
Pour garantir la protection des données personnelles et respecter le RGPD, les organismes de formation doivent s’assurer que leurs sous-traitants suivent des règles strictes en matière de traitement des données. Cela se traduit par l’insertion de clauses spécifiques dans les contrats de sous-traitance.
Les principales clauses à intégrer pour assurer la protection des données des apprenants afin d’encadrer les obligations et responsabilités de chaque partie
| Clause | Contenu | Exemple | Comment ? |
| Objectif du traitement | Définir l’objet, la durée, la nature et la finalité du traitement des données personnelles. | Par exemple, gestion des inscriptions des stagiaires ou suivi des résultats des évaluations. | Le contrat spécifie que le sous-traitant ne traite les données que pour la gestion administrative des apprenants. |
| Instruction documentée | Le sous-traitant doit agir uniquement selon les instructions documentées fournies par le responsable du traitement. | Le sous-traitant doit suivre les instructions détaillées données par l’organisme de formation. | L’organisme fournit des instructions écrites précises sur l’utilisation des données via un manuel de procédures. |
| Confidentialité | Garantir que toutes les personnes autorisées à traiter les données respectent une obligation de confidentialité. | Les employés du sous-traitant sont tenus de respecter la confidentialité des données traitées. | Une clause de confidentialité est insérée dans le contrat de travail des employés ayant accès aux données. |
| Mesures de sécurité | Mettre en place des mesures techniques et organisationnelles appropriées pour sécuriser les données traitées. | Chiffrement des données des stagiaires et accès restreint aux systèmes informatiques. | Implémentation de systèmes de chiffrement pour les bases de données et restriction des accès via des autorisations spécifiques. |
| Recours à un autre sous-traitant | Le sous-traitant ne peut recruter un autre sous-traitant sans autorisation écrite du responsable de traitement. | Le sous-traitant doit informer l’organisme avant d’engager un sous-traitant supplémentaire. | Clause exigeant l’approbation préalable écrite avant tout recours à un autre sous-traitant. |
| Exercice des droits des personnes | Aider le responsable de traitement à répondre aux demandes des personnes concernées (droit d’accès, rectification, effacement, etc.). | Le sous-traitant facilite les demandes de suppression ou de modification des données des apprenants. | Le sous-traitant met en place un processus pour traiter les demandes des apprenants en collaboration avec l’organisme. |
| Notification des violations de données | Obligation de notifier toute violation de données dans les meilleurs délais. | Le sous-traitant informe l’organisme dans un délai de 24 heures en cas de violation des données pour permettre au responsable de respecter son obligation de notifier la CNIL sous 72 heures. | Mise en place d’un protocole interne de signalement des incidents avec obligation de notification dans les 24 heures. |
| Audit et contrôle | Permettre au responsable de traitement de réaliser des audits pour vérifier la conformité du sous-traitant avec le RGPD. | Le sous-traitant doit permettre les audits réguliers pour s’assurer de sa conformité aux règles de protection des données. | Réalisation d’audits annuels des pratiques du sous-traitant pour vérifier la protection des données et l’application des mesures adéquates. |
| Sort des données en fin de contrat | Décrire les mesures à prendre concernant les données après la fin du contrat, qu’il s’agisse de leur suppression ou restitution. | À la fin du contrat, les données des apprenants doivent être supprimées ou restituées à l’organisme de formation. | Procédure claire et documentée pour la suppression sécurisée des données après la fin du contrat, avec traçabilité des opérations. |
| Documentation et preuve de conformité | Le sous-traitant doit fournir des preuves de conformité au RGPD à tout moment. | Le sous-traitant tient un registre des activités de traitement et le met à disposition lors d’audits. | Le sous-traitant documente et conserve les preuves de toutes les activités de traitement effectuées pour l’organisme. |
La mise à jour du registre des activités de traitement : un élément important pour assurer la conformité au RGPD
Le registre des activités est un élément important pour piloter et démontrer la conformité des organismes de formation (à la réglementation en matière de protection des données personnelles). Ce document recense les traitements de données et joue un rôle central dans l’analyse des risques et la mise en œuvre d’un plan d’action adapté.
La CNIL propose un modèle gratuit https://www.cnil.fr/fr/RGPD-le-registre-des-activites-de-traitement.
Tableau récapitulatif des éléments essentiels à inclure dans le registre des activités de traitement pour assurer la conformité au RGPD, adapté aux organismes de formation
| Élément du registre | Description | Exemple pour un organisme de formation |
| Identité du responsable de traitement | Nom et coordonnées de l’organisme de formation responsable des traitements de données personnelles. | Nom de l’organisme de formation, adresse et coordonnées du responsable de traitement (exemple : directeur). |
| Délégué à la protection des données (DPO) | Coordonnées du DPO, si applicable. | Nom et contact du DPO chargé de veiller à la conformité des traitements des données des apprenants. |
| Finalités du traitement | Objectifs pour lesquels les données sont collectées et traitées. | Gestion des inscriptions, suivi des évaluations, facturation des formations, communication avec les apprenants. |
| Catégories de personnes concernées | Groupes de personnes dont les données sont traitées. | Stagiaires, formateurs, personnel administratif, clients (entreprises ou particuliers). |
| Catégories de données personnelles | Types de données traitées. | Données d’identification (nom, prénom), données de contact (adresse email, téléphone), données académiques (notes, évaluations). |
| Catégories de destinataires | Entités internes ou externes avec lesquelles les données sont partagées. | Services internes de l’organisme, sous-traitants (exemple : plateforme LMS), OPCO, organismes financeurs. |
| Transferts de données hors de l’UE | Indication de tout transfert de données en dehors de l’Union européenne, y compris les mesures de protection. | Si les données sont hébergées par un prestataire en dehors de l’UE, préciser les clauses de protection utilisées. |
| Durée de conservation des données | Période pendant laquelle les données sont conservées ou critères pour déterminer cette durée. | Conservation des données d’inscription pendant 3 à 5 ans après la fin de la formation. |
| Mesures de sécurité | Description générale des mesures techniques et organisationnelles pour sécuriser les données. | Chiffrement des données, contrôle d’accès, sauvegardes régulières, formation du personnel à la sécurité des données. |
| Base égale du traitement | Fondement juridique pour chaque traitement de données (exemple : consentement, obligation légale, exécution d’un contrat). | Consentement pour l’inscription à une newsletter, exécution d’un contrat pour la gestion des formations. |
| Droits des personnes concernées | Information sur les droits des personnes (accès, rectification, effacement, etc.) et comment les exercer. | Procédure pour les apprenants afin de demander l’accès ou la rectification de leurs données via un formulaire en ligne ou une demande écrite. |
| Sources des données | Origine des données, surtout si elles ne sont pas collectées directement auprès de la personne concernée. | Données d’inscription fournies directement par les apprenants, données de paiement fournies par l’employeur. |
| Décisions automatisées, y compris le profilage | Indication de l’utilisation de décisions automatisées et du profilage, et leur impact sur les personnes concernées. | Utilisation d’un système automatisé pour l’évaluation continue des apprenants, avec possibilité de révision humaine. |
| Documentation des violations de données | Tenue d’un registre des incidents de sécurité et des violations de données, y compris les actions correctives prises. | Enregistrement des violations de sécurité, notification à la CNIL et aux apprenants concernés en cas de risque élevé. |
Conclusion : garantir la conformité au RGPD, une approche globale pour la protection des données et le respect des droits des personnes
En appliquant les principes abordés dans cet article, les organismes de formation peuvent non seulement garantir leur conformité au RGPD, mais aussi protéger efficacement les données personnelles de leurs apprenants, formateurs et partenaires. La mise en place de pratiques rigoureuses, telles que la documentation continue et le contrôle des sous-traitants, contribue à renforcer la sécurité des données tout en respectant les obligations légales.
Le RGPD permet également de garantir les droits fondamentaux des individus, dont le respect est essentiel à toute stratégie de conformité.
Ces droits incluent :
Le responsable du traitement doit répondre aux demandes des personnes dans un délai d’un mois, en s’assurant que les informations fournies sont claires et compréhensibles.
Pour aller plus loin : le site de la CNIL est très complet et propose des informations détaillées, des formations et des outils pour les professionnels.
L’article Guide complet – Comment piloter la conformité au RGPD dans les organismes de formation ? est apparu en premier sur Digiformag.
