Entre les inscriptions en ligne, les feuilles d’émargement (papier ou numériques), les classes virtuelles, l’EDOF/CPF, les enquêtes de satisfaction et la facturation, un organisme de formation manipule tous les jours des données personnelles. Le RGPD est donc une brique de pilotage (process, outils, preuves) qui sécurise votre activité… et votre réputation.
Pourquoi un OF est directement concerné
Un OF traite des données d’apprenants, de prospects, d’intervenants et parfois d’entreprises clientes : identité, coordonnées, parcours, présence, résultats d’évaluation, financements, et tout ce qui transite dans un LMS/CRM ou un logiciel de gestion. La première question à clarifier est votre rôle : dans la majorité des cas, l’OF est “responsable de traitement” (il décide des finalités et des moyens), et ses logiciels (ex. outil de gestion) sont sous-traitants.
Conséquence : même si votre éditeur fait sa part, la responsabilité de conformité reste chez vous (choix des traitements, information des personnes, durée de conservation, droits, sécurité, contrats de sous-traitance).
1) Partir du concret : vos traitements, vos finalités, vos bases légales
Le RGPD vous demande d’être capable d’expliquer pourquoi vous collectez une donnée, pour quoi faire, sur quelle base légale, et combien de temps vous la gardez. La CNIL recommande de formaliser cela dans un registre des activités de traitement (obligation de l’article 30, avec un modèle prêt à l’emploi).
Dans un OF, on retrouve souvent des finalités comme : gestion des inscriptions, exécution du contrat de formation, suivi pédagogique, obligations administratives, facturation, prospection B2B/B2C, amélioration qualité (questionnaires, réclamations). Pour chaque finalité, vous devez choisir une seule base légale pertinente (contrat, obligation légale, intérêt légitime, consentement, etc.).
2) Informer clairement : la conformité se voit dès la collecte
Deux endroits pièges : vos formulaires (site, landing pages, Typeform, Google Forms…) et vos documents OF (conventions/contrats, CGV, livret d’accueil, supports d’inscription). Le RGPD impose d’informer les personnes de manière compréhensible : qui traite, pour quelles finalités, sur quelle base légale, à qui vous transmettez, combien de temps, quels droits et comment les exercer. La CNIL fournit des exemples de mentions d’information et des exemples de formulaires à adapter.
Point pratique : évitez les mentions interminables. Faites une mention courte au moment de la collecte + un lien vers une politique plus complète (web), et un paragraphe RGPD intégré aux conventions/contrats (papier ou PDF).
3) Sous-traitants : sécuriser vos outils
Un OF s’appuie sur des sous-traitants : logiciel de gestion, LMS, signature électronique, visio, emailing, stockage cloud, compta, parfois plateformes CPF. Le RGPD exige un encadrement contractuel : objet, durée, type de données, mesures de sécurité, assistance en cas de droits ou de violation, conditions de sous-traitance ultérieure, etc.
C’est exactement ce que rappellent les ressources terrain côté outils de gestion : vous restez responsable et devez vérifier que votre prestataire apporte des garanties et des paramètres adaptés (droits d’accès, export/suppression, etc.).
4) Sécurité : des mesures simples, mais formalisées
Le RGPD ne vous demande pas la perfection, il demande des mesures proportionnées et la capacité de les démontrer : mots de passe robustes, l’authentification multifacteur (MFA) quand possible, droits par profil (admin, formateur, gestion), postes verrouillés, sauvegardes, chiffrement si disponible, procédures d’habilitation/désactivation, et une logique de traçabilité (journalisation) pour détecter les accès anormaux.
5) Droits des personnes : mettre en place une procédure
Accès, rectification, effacement, opposition, limitation, portabilité : vous devez pouvoir recevoir, qualifier et traiter une demande, même si elle arrive par email “à l’arrache”. C’est un enjeu opérationnel : ce n’est pas juste du droit, c’est de l’organisation interne (qui répond ? où sont les données ? quels sous-traitants ?).
6) Durées de conservation
Conserver sans fin est un classique des non-conformités. La CNIL rappelle que la durée doit être limitée au nécessaire selon la finalité, avec des règles de tri, d’archivage intermédiaire et de suppression/anonymisation. Elle publie un guide et une page dédiée très utile pour fixer une méthode.
7) Violation de données : anticiper plutôt que subir
Perte d’un PC, accès non autorisé à un drive, emailing envoyé au mauvais groupe… Ça arrive. La CNIL rappelle les règles : analyse du risque, documentation interne, et notification à la CNIL sous 72h lorsque c’est requis (et information des personnes concernées dans certains cas). Vos sous-traitants doivent aussi vous alerter sans délai.
DPO et AIPD : est-ce obligatoire pour un OF ?
La désignation d’un DPO (Le délégué à la protection des données) est obligatoire seulement dans certains cas (organismes publics, suivi régulier et systématique à grande échelle, données sensibles à grande échelle, etc.). Beaucoup d’OF n’y sont pas contraints, mais peuvent nommer un référent interne pour cadrer la conformité.
L’AIPD (analyse d’impact) est requise pour les traitements susceptibles d’engendrer un risque élevé. La CNIL met à disposition des repères et des listes pour décider.
La checklist OF : 10 actions qui couvrent 80% du RGPD
- Cartographier vos traitements (inscription, suivi, évaluations, facturation, prospection) et ouvrir un registre CNIL.
- Associer à chaque finalité une base légale cohérente (contrat / obligation légale / intérêt légitime / consentement).
- Mettre une mention RGPD courte sur chaque point de collecte + une politique complète.
- Encadrer vos sous-traitants avec des clauses conformes.
- Définir une matrice d’habilitation (qui accède à quoi) et la revoir à chaque départ/arrivée.
- Fixer des durées de conservation + une routine de purge/archivage.
- Créer une procédure “droits RGPD” (adresse de contact, modèle de réponse, délais, traçabilité).
- Préparer une procédure “incident” (qui fait quoi, modèle de notification, preuves, délai 72h si nécessaire).
- Vérifier les paramètres clés de vos outils (export, suppression, gestion des comptes, logs).
- Documenter : registre + preuves (contrats, captures de paramétrage, versions de mentions, dates de mise à jour).
Conclusion
Pour un organisme de formation, le bon objectif est d’installer une conformité pratique, traçable et cohérente avec vos outils : registre tenu à jour, information claire, sous-traitants encadrés, sécurité maîtrisée, demandes traitées, durées de conservation respectées. Et c’est aussi un signal de sérieux pour vos clients et partenaires, surtout quand la qualité et la conformité deviennent des critères de sélection.
