RGPD (GDPR en anglais) est l’acronyme usuel du « Règlement Général de Protection des Données » entré en vigueur dans toute l’Union européenne le 25 mai 2018. Ce règlement remplace en France la loi Informatique et liberté jugée obsolète après l’avènement du Big data.
Le RGPD a pour finalité de renforcer la protection des consommateurs en responsabilisant les entreprises et leurs sous-traitants dans le traitement et la conservation des données. Les OF ne sont pas a priori concernées par les données dites « sensibles » (appartenance religieuse, conviction politique, orientation sexuelle, etc.) dont le recueil est étroitement encadré par la loi, mais, au travers des actions de formation qu’ils organisent, ils sont amenés à collecter fréquemment des données personnelles (ensemble des données telles que les noms, coordonnées (adresse, téléphone, mail) et autres informations type âge, profession, etc.) susceptibles d’être exploitées à des fins commerciales et relevant donc du RGPD.
Pour cette raison et sauf à encourir de lourdes sanctions, les professionnels de la formation se doivent d’agir avec « accountability », c’est-à-dire avec responsabilité et transparence.
Ce qu’il faut faire
Les OF, au même titre que les autres entreprises, doivent tenir un registre des données récoltées mentionnant le but de la collecte (par exemple l’envoi de convocations, la rédaction d’attestation de formation, de certification, etc.) ainsi que la durée d’exploitation prévue (durée de la session ?, durée de la session + durée du suivi pédagogique ?, autre ?).
Cette durée d’exploitation se doit d’être justifiée par un objectif précis : planification de la session, relation après-vente, enquête de satisfaction, etc. et faire l’objet d’un consentement. Seules les données strictement nécessaires à la poursuite de cet objectif peuvent être collectées. Encore faut-il que les mentions d’information fassent état de cette collecte et savoir également sur quelle base juridique se fonde le traitement en question (intérêt légitime ?, contrat ?, obligation légale ?, etc.). Dans le doute, il est bon de demander l’avis d’un avocat.
Du reste, ce n’est pas tout !
De même que l’indicateur 31 de Qualiopi impose de mettre en œuvre des modalités de traitement des réclamations, de même il est impératif pour l’ensemble des OF, qu’ils soient certifiés ou non, d’instaurer des procédures internes pour modifier ou supprimer les données à la première demande des intéressés (ce que la CNIL appelle « l’exercice des droits »).
Il faut également savoir évaluer et gérer les risques liés au traitement des données (comme la perte ou fuite de données, le piratage, etc.) en identifiant clairement le lieu d’hébergement/stockage des informations ainsi que les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés. Dans ce cadre, les OF, comme les autres entreprises, doivent maintenir une documentation assurant la traçabilité des mesures de prévention et mettre au besoin en place une AIPD (Analyse d’Impact Relative à la Protection des Données).
Un autre risque consiste dans l’emploi de sous-traitants (formateurs par exemple), susceptibles de divulguer ou employer pour leur compte ces précieuses informations. Il convient donc d’inscrire dans les contrats de sous-traitance des clauses en matière de sécurité, confidentialité et protection des données (ex : « traiter les données uniquement pour la ou les seules finalités qui font l’objet de la sous-traitance », « traiter les données conformément aux instructions documentées du responsable de traitement figurant en annexe du contrat », etc.).
Pour se mettre en conformité avec ces différentes obligations, la CNIL recommande de désigner un délégué à la protection des données (DPO) dès lors que celles-ci dépassent un certain volume (ce qui est généralement le cas d’un OF qui, sans atteindre les proportions des plateformes CPF ou Agora, est amené à récolter des données personnelles à chaque nouvelle session). Le DPO doit piloter la conformité en continu et coopérer avec l’autorité de contrôle. Il a, au sein de l’entreprise, un rôle de sensibilisation, d’information et de conseil.
Pour aller plus loin, n’hésitez pas à consulter le site de la CNIL !