Guide de la conformité RGPD

Guide de la conformité RGPD d’un organisme de formation

Liste succincte des différents points à aborder pour commencer votre conformité au RGPD qui est obligatoire :

Pour des informations plus complètes nous vous recommandons d’explorer les excellents guides de la CNIL sur le sujet.

Un organisme de formation est il concerné par le RGPD ?

Oui !
La mise en place du RGPD est un processus interne à votre organisme. Il ne suffit pas « d’utiliser des logiciels conformes RGPD ». Vous devez mettre en place une politique de collecte et de gestion responsable des données personnelles de vos clients et stagiaires que vous stockez sur divers supports, et sur lesquelles vous réalisez des traitements.

FormAZ est un des supports sur lesquels vous stockez ces données, et a donc la responsabilité d’implémenter le RGPD en tant que sous-traitant. Nous proposons diverses fonctions décrites plus bas pour vous faciliter la vie dans ce cadre. En pratique centraliser les données dans un minimum d’outils vous facilitera la vie.

La plupart des tâches courantes réalisées par un organisme de formation pour l’exécution opérationnelle des formations ne posent pas de soucis particuliers pour la mise en conformité RGPD. Il faudra faire attention à la sécurité, limiter la collecte aux données minimales vraiment nécessaires et pour une durée limitée, et permettre aux clients et stagiaires de demander la récupération et la destruction de ces données.

Vous devrez porter en revanche une attention particulière à votre utilisation des données à des fins commerciales. C’est l’esprit même du RGPD de lutter contre les abus sur ce point. Vous utilisez des données qui vous ont été confiées pour une formation à d’autres fins, il vous faudra absolument communiquer clairement sur ces traitements et obtenir le consentement éclairé des personnes.

Il est important de noter que votre organisme de formation est le responsable de traitement et que FormAZ est un sous-traitant de votre activité d’organisme de formation.

Quelles sont les obligations RGPD d’un organisme de formation ?

L’organisme de formation, responsable de traitement, détermine les finalités et les moyens du traitement des données à caractère personnel.

Le responsable de traitement est responsable du respect des règles du RGPD en matière de traitement des données à caractère personnel.

Il doit notamment :

• Obtenir le consentement des personnes concernées avant de collecter leurs données à caractère personnel
• Informer les personnes concernées de la manière dont leurs données sont collectées, utilisées et conservées
• Assurer la sécurité des données à caractère personnel
• Limiter la collecte des données à caractère personnel aux données nécessaires à la finalité du traitement
• Supprimer les données à caractère personnel lorsque le traitement n’est plus nécessaire

Le responsable de traitement peut désigner un sous-traitant – FormAZ par exemple – pour traiter des données à caractère personnel en son nom.

Le sous-traitant est soumis aux mêmes obligations que le responsable de traitement en matière de protection des données.

Le responsable de traitement doit tenir un registre des traitements de données à caractère personnel qu’il met en place.
Ce registre doit notamment indiquer les finalités du traitement, les catégories de données à caractère personnel concernées, les destinataires des données, la durée de conservation des données, et les mesures de sécurité mises en place.

Le responsable de traitement doit également répondre aux demandes des personnes concernées concernant leurs données à caractère personnel. Il doit notamment leur fournir une copie de leurs données à caractère personnel, les informer de la manière dont leurs données sont utilisées, et répondre à leurs demandes de rectification, de suppression ou de limitation du traitement de leurs données.

Le responsable de traitement peut être sanctionné par la Commission nationale de l’informatique et des libertés (CNIL) en cas de non-respect du RGPD. Les sanctions peuvent aller jusqu’à 4 % du chiffre d’affaires mondial annuel de l’organisme, ou 20 millions d’euros, le montant le plus élevé étant retenu.

Comment collecter les données des stagiaires ?

Le RGPD (Règlement général sur la protection des données) est un règlement de l’Union européenne qui a été adopté le 27 avril 2016 et est entré en vigueur le 25 mai 2018. Le RGPD a pour objectif de renforcer et unifier la protection des données personnelles des personnes physiques au sein de l’UE.

Les organismes de formation sont soumis au RGPD dans la mesure où ils collectent et traitent des données personnelles de leurs stagiaires. Les données personnelles sont toutes les informations relatives à une personne physique identifiable, telles que son nom, son prénom, son adresse, son numéro de téléphone, son adresse e-mail, etc.

Pour être en conformité avec le RGPD, les organismes de formation doivent respecter un certain nombre d’obligations, notamment :

• Obtenir le consentement des stagiaires avant de collecter et traiter leurs données personnelles.
• Informer les stagiaires de la manière dont leurs données personnelles sont collectées, utilisées et conservées.
• Limiter la collecte et le traitement des données personnelles aux seules informations nécessaires à la réalisation des finalités pour lesquelles elles sont collectées.
• Garantir la sécurité des données personnelles.
• Effacer les données personnelles des stagiaires lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.

Comment un organisme de formation peut-il se mettre en conformité avec le RGPD ?

Pour mettre en conformité au RGPD votre organisme de formation, vous pouvez commencer par les étapes suivantes :

• Rédiger une politique de confidentialité qui informe les stagiaires de la manière dont leurs données personnelles sont collectées, utilisées et conservées.
• Obtenir le consentement des stagiaires avant de collecter et traiter leurs données personnelles.
• Limiter la collecte et le traitement des données personnelles aux seules informations nécessaires à la réalisation des finalités pour lesquelles elles sont collectées.
• Utiliser des moyens de sécurité adaptés pour protéger les données personnelles contre les accès non autorisés, les altérations, les destructions et la perte.
• Effacer les données personnelles des stagiaires lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.

Il est impératif de désigner dans votre organisme de formation qui sera en charge de la mise en place de la politique de protection des données personnelles dans votre organisme. Cette personne doit avoir le statut et les compétences adéquates.
Le DPO (Délégué à la Protection des Données) est la personne chargée de la mise en place de la politique de protection des données personnelles et d’assurer la protection effective de ces données personnelles dans votre organisme.

Sa désignation est obligatoire pour certaines structures, comme les entités publiques par exemple.
Même en l’absence d’obligation légale, la désignation d’un DPO est très importante pour toute entreprise. Le DPO peut être interne comme externe, il doit avoir le statut et les compétences adéquates.

Autres procédures à mettre en place dans votre organisme de formation

Nous vous conseillons de mettre en place deux procédures qui permettent de réagir en cas de violation de données et de demande d’exercice de droit d’un stagiaire.

Quelle est la procédure en cas de violation des données ?

Les organismes qui traitent des données personnelles (responsable du traitement ou sous-traitant) doivent prévoir et mettre en place des procédures globales en matière de violation de données personnelles.

Ces procédures doivent concerner l’ensemble du processus : la mise en place de mesures visant à détecter immédiatement une violation, à l’endiguer rapidement, à analyser les risques engendrés par l’incident et à déterminer s’il convient de notifier l’autorité de contrôle, voire les personnes concernées. Ces procédures participent ainsi à la documentation de la conformité au RGPD.

Toutes les violations ne doivent pas nécessairement être notifiées à l’autorité de contrôle ou aux personnes concernées. Lorsqu’elle est nécessaire, cette information des personnes concernées doit en revanche être la priorité du responsable du traitement, car cela leur permet de prendre des mesures destinées à les protéger de ces risques.

L’obligation de notifier dépend du risque que la violation de données personnelles fait peser sur les droits et libertés des individus dont les données ont été impactées.

Si la violation n’entraîne pas de risque pour les droits et libertés des personnes concernées, le responsable du traitement :

• Doit documenter, en interne sous forme d’un registre, la violation qui vient de se produire ;
• Ne doit pas notifier cette violation ni à la CNIL, qui peut en revanche contrôler cette documentation interne, ni aux personnes concernées.

Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement :

• Doit documenter, en interne sous forme d’un registre, la violation qui vient de se produire ;
• Doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h.

Si la violation entraîne un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement :

• Doit documenter, en interne sous forme d’un registre, la violation qui vient de se produire ;
• Doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h ;
• Doit communiquer la violation aux personnes concernées, au plus tôt.

Quelles est la procédure en cas de demande d’exercice de droit RGPD d’un stagiaire ?

Un stagiaire comme toute personne concernée par le traitement de ses données personnelles bénéficie de droits (droit d’accès, de rectification, d’introduire une réclamation auprès de la CNIL, et sous conditions, le droit d’effacement, de limitation, d’opposition, de retirer son consentement et de s’opposer au traitement de ses données à des fins de marketing).

Pour exercer ces droits, il convient d’adresser une demande écrite avec les informations nécessaires (coordonnées complètes et copie du titre d’identité) par courrier postal ou e-mail.

Le responsable de traitement dispose d’un délai de réponse d’un mois. Si pour une raison quelconque il ne peut pas faire suite à une demande, il doit expliquer à la personne concernée pourquoi sa demande a été rejetée.