Découvrez comment mettre en oeuvre le RGPD pour un organisme de formation
Depuis 2018, il est impossible d’être passé à côté du Règlement Général sur la Protection des Données (RGPD, pour les intimes), et d’autant plus en tant que chef d’entreprise sur le sol européen. L’objectif du RGPD, en tant qu’organisme de formation, c’est avant tout de vous responsabiliser sur la gestion des données personnelles de vos participants, clients ou partenaires.
Pour vous, futur dirigeant ou dirigeant d’un organisme de formation, il ne s’agit pas d’un projet juridique et technique de grande ampleur, il s’agit surtout de bon sens et d’organisation. En effet, vous serez forcément confronté à la collecte de données dans votre activité, que ce soit pour la politique de gestion des cookies de votre site internet ou encore si vous disposez d’un fichier collectant les informations des participants, et dans bien d’autres situations comme filmer des mises en situations lors d’une formation (à noter qu’un traitement de données n’est pas uniquement informatique, il peut s’agir d’une base de données écrite sur papier, elle devra être protégée au même titre).
En tant que responsable du traitement des données, il y a des principes directeurs à respecter, notamment : ne collecter que les données nécessaires à votre activité, faire preuve de transparence dans la collecte (pendant combien de temps les données seront conservées, préciser la finalité de cette collecte…), permettre aux personnes dont les données ont été collectées de faire valoir leurs droits d’opposition, d’effacement…
D’un point de vue pratique, il vous faudra établir un registre RGPD, dans lequel vous allez identifier toutes les activités pour lesquelles vous traitez des données personnelles, par exemple les fichiers de demande de contact, gestion des clients, gestion des participants, gestion des formateurs… Attention, la définition de fichier à caractère personnel comprend tout ensemble structuré et stable de données à caractère personnel. Elles peuvent être enregistrées dans le logiciel de gestion de votre organisme (type Digiforma, GesCOF, Dendreo, Galaxy…), mais aussi dans un fichier Excel, un lutin conservant des cartes de visite ou des feuilles d’émargement.
Pour chacune de ces collectes d’information, vous devrez définir :
- Le nom du responsable du traitement
- Le nom du logiciel ou de l’application
- Les objectifs poursuivis
- Les catégories de personnes concernées
- Les catégories de données collectées (en précisant s’il y a des données sensibles)
- La durée de conservation des catégories de données
- Les catégories de destinataires de données
- Si des transferts de données hors UE ont lieu
- Les mesures de sécurité organisationnelles et techniques prévues pour préserver la confidentialité des données
La collecte de certaines données, particulièrement sensibles, est strictement encadrée par le RGPD et requiert une vigilance particulière. Il s’agit des données révélant l'origine prétendument raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale des personnes, des données génétiques et biométriques, des données concernant la santé, la vie sexuelle ou l’orientation sexuelle des personnes, des données relatives aux condamnations pénales ou aux infractions, ainsi que du numéro d'identification national unique (NIR ou numéro de sécurité sociale).
La règle fixée par le premier alinéa de l’article 9 du RGPD est qu’il est interdit de collecter des données sensibles. Sous certaines conditions très strictes il y aura cependant des exceptions à cette interdiction.
Tout organisme de formation disposant d’un site internet, devra également veiller à mettre sa politique de gestion des cookies en conformité avec le RGPD :
- Bandeau d’information
- Possibilité de gérer l’acceptation ou le refus des cookies
- Listing et finalité de chaque cookie utilisé sur le site (suivi des préférences, suivi de l’audience…)
Il vous reste encore à passer en revue toutes les situations de la vie de votre organisme de formation où vous recueillez des données personnelles ou en faites usage pour vous assurer que vous informez correctement les personnes concernées, par exemple :
- Mentionner dans vos contrats de sous-traitance que l’intervenant s’engage à détruire les données personnelles des participants en sa possession (feuille de présence, feuille d’évaluation, film, photographie)
- Mentionner dans vos mailing le droit accès, la rectification ou l’effacement des coordonnées
- Mentionner dans vos formulaires d’inscription le droit accès, la rectification ou l’effacement des coordonnées
- Mentionner à vos clients dans le cadre de vos formations intra-entreprise l’usage qui sera fait des données : gestion de convention de formation, d’édition de la feuille de présence et de gestion des relations commerciales…
Enfin, pour les organismes de formation qui sont certifiés Qualiopi, vous devrez rester vigilants à ne pas faire passer votre préoccupation de traçabilité, inhérente à une démarche qualité avant le respect de la protection des données de vos participants.
Cela peut vous sembler insurmontable, mais il existe de nombreuses solutions pour vous : assister à des formations de sensibilisation sur le RGPD, déléguer la mission à un délégué à la protection des données (DPO) ou encore se former en ligne, grâce au module certifiant de la CNIL (Commission Nationale Informatique et Liberté).
En bref, face au RGPD, vous êtes bien entourés !
Respecter le RGPD est obligatoire. Mais s’y intéresser, le comprendre et se former c’est surtout un gage de confiance pour les personnes avec qui vous serez amené à travailler, et pour vous un investissement sur le long terme.