La semaine dernière, une dirigeante d’un petit OF spécialisé en bilan de compétences m’a appelée, paniquée. Son auditeur, lors de l’audit de surveillance, lui avait demandé comment elle garantissait la protection des données personnelles de ses bénéficiaires. Elle avait un registre de traitement… quelque part dans un dossier Google Drive. Une politique de confidentialité sur son site ? Copiée-collée d’un modèle trouvé en ligne. Un process clair pour répondre à une demande de suppression de données ? Rien du tout. Résultat : une non-conformité mineure et un plan d’actions correctives à produire sous trois mois. Ce scénario, je le vois se multiplier. Et honnêtement, il m’inquiète autant qu’il me motive à vous en parler.
RGPD et Qualiopi : deux obligations distinctes qui se croisent
Commençons par poser les bases. Le Règlement Général sur la Protection des Données (RGPD), entré en application le 25 mai 2018 via le Règlement (UE) 2016/679, s’applique à tout organisme qui collecte et traite des données personnelles de résidents européens. Votre OF n’y échappe pas, quelle que soit sa taille.
De l’autre côté, le Référentiel National Qualité (RNQ), fondé sur le décret n° 2019-565 du 6 juin 2019 et ses arrêtés modificatifs, exige des organismes certifiés Qualiopi qu’ils adoptent une démarche d’amélioration continue couvrant l’ensemble de leur fonctionnement. Et la gestion des données personnelles fait partie intégrante de ce fonctionnement.
Concrètement, plusieurs indicateurs Qualiopi touchent directement ou indirectement le RGPD :
- Indicateur 1 : les conditions d’information du public. Vos mentions légales, votre politique de confidentialité et vos formulaires de collecte de données sont autant de supports d’information vérifiés.
- Indicateur 6 : les modalités de contractualisation. Vos contrats et conventions doivent mentionner les conditions de traitement des données personnelles du stagiaire.
- Indicateur 26 : la veille sur les innovations technologiques et pédagogiques. L’utilisation d’outils numériques (LMS, visioconférence, EDOF) implique une vigilance RGPD permanente.
- Indicateur 32 : les mesures d’amélioration continue. Votre plan d’actions correctives doit intégrer la conformité RGPD comme un axe de progrès identifié.
Pour approfondir la logique des preuves attendues par l’auditeur, je vous recommande la lecture de notre article Audit Qualiopi : les preuves vérifiées par l’auditeur.
Quelles données personnelles collecte réellement un OF ?
Quand je pose cette question en accompagnement, la réponse est souvent la même : « Oh, juste le nom, le prénom et le mail. » Permettez-moi de sourire. En réalité, un organisme de formation collecte une quantité considérable de données, parfois sensibles :
- Données d’identification : nom, prénom, date de naissance, adresse, numéro de téléphone, adresse e-mail.
- Données professionnelles : employeur, poste, numéro de NDA du formateur sous-traitant, identifiant CPF du bénéficiaire.
- Données financières : numéro de prise en charge OPCO, coordonnées bancaires pour le règlement.
- Données sensibles au sens du RGPD : situation de handicap (pour le référent handicap), résultats d’évaluations, attestations de compétences, bilans de compétences dont le contenu est strictement confidentiel.
- Données de connexion : logs de votre plateforme FOAD, temps passé, adresses IP.
Toutes ces données doivent faire l’objet d’un registre des activités de traitement, conformément à l’article 30 du RGPD. La CNIL met à disposition un modèle de registre que je vous encourage vivement à utiliser comme base.
Les obligations concrètes pour votre OF
1. Désigner un responsable de traitement (et éventuellement un DPO)
En tant que dirigeant d’OF, vous êtes le responsable de traitement au sens du RGPD. Vous décidez des finalités et des moyens de traitement des données. Pour les structures de plus grande taille ou celles qui traitent des données sensibles à grande échelle (CFA, organismes proposant des bilans de compétences), la désignation d’un Délégué à la Protection des Données (DPO) est fortement recommandée, voire obligatoire dans certains cas prévus par l’article 37 du RGPD.
2. Informer clairement vos bénéficiaires
Chaque collecte de données doit s’accompagner d’une information claire, lisible et accessible. Cela concerne vos formulaires d’inscription, vos conventions de formation, votre site internet, vos questionnaires de satisfaction. Les articles 13 et 14 du RGPD détaillent les mentions obligatoires : identité du responsable de traitement, finalités, base légale, durée de conservation, droits des personnes.
3. Sécuriser les données collectées
L’article 32 du RGPD impose des mesures techniques et organisationnelles appropriées. Pour un OF, cela signifie par exemple : mots de passe robustes sur vos outils, chiffrement des échanges de données sensibles, sauvegardes régulières, limitation des accès aux seules personnes habilitées. Si vous utilisez des sous-traitants (hébergeur, plateforme LMS, outil de visioconférence), vous devez vérifier leurs garanties RGPD et formaliser un contrat de sous-traitance conforme à l’article 28.
4. Respecter les durées de conservation
C’est le point qui fait le plus souvent défaut. On garde tout, « au cas où ». Or, le RGPD exige une durée de conservation limitée et justifiée. Pour les données liées à une action de formation, les recommandations de la CNIL sur les durées de conservation et les obligations légales (BPF conservé cinq ans, pièces comptables dix ans) doivent être croisées. Au-delà de ces durées, les données doivent être supprimées ou anonymisées.
5. Gérer les demandes d’exercice des droits
Vos stagiaires, vos apprentis, vos bénéficiaires de bilan de compétences ont le droit d’accéder à leurs données, de les rectifier, de demander leur effacement, de s’opposer à certains traitements. Vous devez disposer d’une procédure formalisée pour répondre à ces demandes dans un délai d’un mois. En audit de surveillance, c’est un point que l’auditeur peut tout à fait vérifier dans le cadre de l’indicateur 32.
Erreurs fréquentes que je constate en accompagnement
Après plus de vingt ans dans la formation professionnelle et des centaines d’OF accompagnés via Digi-Certif, je retrouve systématiquement les mêmes écueils :
- Confondre politique de confidentialité et CGV. Ce sont deux documents distincts. La politique de confidentialité traite spécifiquement de la gestion des données personnelles. Les CGV encadrent la relation commerciale.
- Ne pas mettre à jour le registre de traitement. Vous avez changé de plateforme LMS ? Ajouté un outil d’émargement numérique ? Votre registre doit refléter ces évolutions. Un registre figé depuis trois ans est un signal d’alerte pour la CNIL comme pour l’auditeur Qualiopi.
- Oublier les sous-traitants. Votre formateur indépendant qui accède aux dossiers de vos stagiaires est un sous-traitant au sens du RGPD. Votre prestataire qui héberge votre plateforme FOAD aussi. Chacun doit être couvert par un accord contractuel spécifique.
- Stocker des données sensibles sans protection. J’ai vu des bilans de compétences stockés dans des dossiers partagés sans restriction d’accès, des fiches de situation de handicap envoyées par mail non chiffré. C’est un risque juridique majeur.
- Ne pas former son équipe. Le RGPD n’est pas qu’un sujet de dirigeant. Vos formateurs, votre assistante administrative, votre référent handicap manipulent des données personnelles au quotidien. Ils doivent être sensibilisés, et cette sensibilisation doit être tracée — ce qui alimente d’ailleurs l’indicateur 22 du RNQ.
RGPD, DREETS et contrôles : le risque réel
Ne pensez pas que le RGPD est un sujet théorique. La CNIL a prononcé plus de 500 sanctions depuis l’entrée en vigueur du RGPD, et les organismes de formation ne sont pas épargnés. Par ailleurs, les DREETS, dans le cadre de leurs contrôles administratifs et financiers des OF, peuvent vérifier le respect de la réglementation générale — y compris le RGPD. Un manquement grave peut constituer un élément à charge lors d’un contrôle de la France Compétences ou d’une procédure de signalement.
Si vous souhaitez comprendre le panorama complet des contrôles possibles et anticiper sereinement, notre article La qualité en formation professionnelle est en crise replace ces enjeux dans leur contexte systémique.
Construire votre conformité RGPD pas à pas
Je vous propose une méthode simple, en cinq étapes, que j’utilise avec les OF que j’accompagne chez Digi-Certif :
- Étape 1 — Cartographier vos traitements. Listez toutes les données que vous collectez, pour quelle finalité, sur quelle base légale, combien de temps vous les conservez et à qui vous les transmettez.
- Étape 2 — Rédiger ou mettre à jour votre registre. Utilisez le modèle CNIL et adaptez-le à votre activité (actions de formation, bilans de compétences, VAE, apprentissage).
- Étape 3 — Rédiger votre politique de confidentialité. Publiez-la sur votre site et annexez-la à vos supports de contractualisation.
- Étape 4 — Sécuriser et contractualiser. Vérifiez la sécurité de vos outils, signez des accords de sous-traitance RGPD avec vos prestataires techniques et vos formateurs externes.
- Étape 5 — Former et documenter. Sensibilisez votre équipe, tracez cette sensibilisation, et intégrez le RGPD dans votre plan d’actions d’amélioration continue.
Conclusion : le RGPD, un allié de votre démarche qualité
Je sais que le RGPD peut sembler être « encore une couche de contrainte » au-dessus de Qualiopi, du BPF, du NDA et de tout le reste. Mais je vous assure que c’est tout le contraire.
