(Mise à jour le 7 octobre 2019) Voilà plus d’un an que le Règlement Général sur la Protection des Données est rentré en vigueur en Europe. Comme toutes les entreprises, les organismes de Formation sont soumis à cette réglementation, si collecte des données.
Comme nous, vous avez sans doute reçu des centaines d’email de sociétés vous indiquant la mise à jour de leur politique de confidentialité.
Vous avez vous-même communiqué auprès de vos clients de la mise à jour de votre politique de collecte de données.
C’est l’occasion de faire le point sur ce qu’il fallait faire ou faire de toute urgence pour être en règle.

Quelles données collectées sont considérées comme personnelles ?

Est considérée comme une donnée à caractère personnel toute information qui se rapporte à une personne physique identifiée ou identifiable. Par conséquent, la collecte d’un nom, numéro d’identification, données de localisation, adresse email (hors adresse générique type hello[@]oksolution etc.), code NIR, fonctions, genre etc. sont considérées comme des données personnelles qu’une personne physique pourra demander à consulter ou supprimer.

Peut-on collecter des données relatives à la santé ?

Oui, vous le pouvez si cela est présenté de manière transparente à un individu. Ces données sont considérées comme des données sensibles et sont donc à traiter avec la plus grande attention. Par conséquent, l’Union Européenne à établi dans son règlement une liste plutôt exhaustive de cas où sont autorisés le traitement portant sur des données sensibles tel que le handicap ou les données concernant la santé.

Par exemple, en tant qu’organisme de formation vous pouvez être dans l’obligation de recueillir des informations concernant les allergies de vos stagiaires afin d’anticiper leurs repas. Cette donnée est considérée comme sensible, le stagiaire devra être informé de la finalité de cette collecte d’informations et donner son accord au préalable.

Je suis sous-traitant(e) d’un organisme de formation, suis-je soumis(e) au RGPD ?

Et oui ! Le Règlement s’applique à toutes les entreprises, comités d’entreprise, administrations, associations qui traitent des données à caractère personnel, en leur qualité de responsable de traitement, ainsi qu’à leurs sous-traitants.

En tant que formateur(ice) solo suis-je soumis(e) à la RGPD ?

Oui, les formateurs “personne physique” devront respecter les prescriptions du Règlement dès lors qu’ils traitent, dans un cadre professionnel, des données personnelles. Du moment où vous collectez des données personnelles, vous êtes soumis au règlement.

Les organismes de formation publics sont-ils également concernés par le RGPD ?

Oui, les Greta, les services formation des Universités, entre autre, doivent respecter les principes cités par le texte de loi. Les organismes de formation publics devront par ailleurs, quelle que soit leur taille, obligatoirement désigner un Délégué à la Protection des Données (DPD).

Doit-on obligatoirement rédiger une politique de confidentialité ?

Oui et non ! La RGPD impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données personnelles (articles 12, 13 et 14 du RGPD). Les personnes doivent également être informées de l’usage qui va être fait de leurs données et doivent en principe consentir au traitement de ces dernières (article 7 du RGPD), ou pouvoir s’y opposer (articles 21 et 22 du RGPD). L’organisme de formation est donc tenu de mettre à jour :

• Les mentions légales de son site internet ;
• Et/ou, ses Conditions Générales de Vente (CGV)
• Et/ou rédiger une politique de confidentialité

Une restructuration de l’organisme de formation est-il à prévoir ?

Non mais une adaptation est nécessaire.

1. Votre organisme de formation traite des données sensibles à grande échelle, alors la désignation d’un délégué à la protection des données personnelles est obligatoire. Vous n’êtes pas concernés par cette obligation ? La CNIL recommande néanmoins de désigner en interne une personne chargée de piloter la mise en conformité des données personnelles.
2. Etablir la liste des données que vous collectez et qui les manipule : quelles données traitez-vous et lesquelles sont particulièrement sensibles ? Qui traite les données (employés, sous-traitants, organisations externes, services cloud) ? Quelle est la finalité de la collecte et du traitement des données ? Quelle est leur durée de conservation ? Quelles sont les mesures de sécurité déjà en place pour protéger ces données collectées ?
3. Evaluer ou instaurer des procédures en interne (gestion des réclamations et des demandes de modification ou de suppression des données, notification en cas de fuite de données, etc.) ; Identifier et gérer les risques liés au traitement des données.

Si on fait un point, où en êtes-vous avec le RGPD dans votre organisme de formation. Tout est conforme ? Vous avez encore des interrogations ? N’hésitez pas à poser vos questions dans les commentaires, ou nous faire part de vos remarques par rapport au règlement.