Les organismes de formation professionnelle collectent des donnees variees sur les stagiaires, les entreprises clientes et les formateurs : dossiers d’inscription, evaluations, attestations, financements (CPF, OPCO, Pole emploi). Le RGPD impose un cadre strict pour proteger ces informations, d’autant que la formation professionnelle implique souvent des relations tripartites entre le stagiaire, l’employeur et l’organisme de formation.
Les donnees traitees par les organismes de formation
Un organisme de formation traite de nombreuses categories de donnees : identite et coordonnees des stagiaires, niveau de qualification, parcours professionnel, objectifs de formation, evaluations et resultats, emargements, donnees de connexion aux plateformes e-learning, coordonnees des financeurs (OPCO, CPF, employeurs), informations de facturation et donnees des formateurs.
Certaines formations touchent a des sujets sensibles : formations en sante (donnees medicales des stagiaires soignants), formations liees au handicap (donnees RQTH), formations en reinsertion (donnees sociales). Ces donnees necessitent des precautions renforcees.
Relations tripartites et responsabilites
Dans le cadre de la formation professionnelle continue, trois acteurs interviennent : l’organisme de formation, l’entreprise cliente (ou le financeur public) et le stagiaire. Il est essentiel de clarifier les roles de chacun au regard du RGPD. L’organisme de formation est generalement responsable de traitement pour la gestion pedagogique et administrative des formations. L’entreprise cliente peut etre co-responsable pour les donnees qu’elle transmet.
Les relations avec les OPCO, le CPF (Caisse des Depots) et Pole emploi impliquent des transmissions de donnees encadrees par des textes reglementaires specifiques. L’organisme de formation doit documenter ces flux de donnees dans son registre des traitements.
Certification Qualiopi et RGPD
La certification Qualiopi, obligatoire pour les organismes de formation financees sur fonds publics ou mutualises, inclut des exigences en matiere de gestion des donnees. Les indicateurs lies a l’information des publics, au suivi des formations et a l’amelioration continue impliquent la collecte et le traitement de donnees personnelles. La conformite RGPD est un complement naturel de la demarche Qualiopi.
Plateforme e-learning et donnees de connexion
Les formations a distance generent des volumes importants de donnees numeriques : temps de connexion, progression dans les modules, resultats aux quiz, interactions sur les forums. Ces donnees sont utiles pour le suivi pedagogique et la justification des heures de formation aupres des financeurs, mais elles revelent egalement les habitudes de travail des stagiaires.
L’organisme doit informer les stagiaires de la collecte de ces donnees de tracking, de leur finalite (suivi pedagogique, justification aupres du financeur) et de la duree de conservation. Les donnees de connexion detaillees ne doivent pas etre conservees au-dela de la duree necessaire a la justification de la formation.
Durees de conservation specifiques
Les organismes de formation sont soumis a des obligations de conservation specifiques :
- Conventions et contrats de formation : 6 ans (prescription commerciale)
- Feuilles d’emargement : 3 ans (controle des financeurs)
- Evaluations et attestations : duree variable selon les certifications
- Donnees de facturation : 10 ans (obligation comptable)
- Donnees de connexion e-learning : duree de la formation plus le delai de justification aupres du financeur
Prospection commerciale et RGPD
Les organismes de formation sont souvent actifs en prospection commerciale : emailings, phoning, presence sur les salons professionnels. La prospection B2B (vers les entreprises) est moins contraignante que la prospection B2C (vers les particuliers), mais dans les deux cas, le droit d’opposition doit etre respecte et chaque communication doit contenir un lien de desinscription.
La collecte de contacts lors de salons professionnels, de webinaires ou de telechargements de livres blancs doit etre accompagnee d’une information claire sur l’utilisation ulterieure des donnees.
Sous-traitants et outils numeriques
Les organismes de formation utilisent de nombreux outils : LMS (Moodle, 360Learning, Teachizy), CRM, plateformes de visioconference (Zoom, Teams), outils de signature electronique, logiciels de gestion administrative (Digiforma, Dendreo). Chacun de ces outils est un sous-traitant qui doit offrir des garanties de conformite RGPD.
L’organisme doit cartographier l’ensemble de ses sous-traitants, verifier les conditions d’hebergement des donnees et s’assurer que des clauses de protection des donnees sont integrees dans les contrats.
Bonnes pratiques pour les organismes de formation
Pour assurer une conformite durable, les organismes de formation doivent integrer la protection des donnees dans leurs processus metier : information des stagiaires des l’inscription, collecte limitee au strict necessaire, securisation des acces aux plateformes, purge reguliere des donnees obsoletes et sensibilisation de l’equipe pedagogique et administrative aux enjeux du RGPD.
- Formation des elus du CSE au RGPD : pourquoi et comment se former a la protection des donnees
- Prevention de la desinsertion professionnelle et RGPD : concilier accompagnement et protection des donnees
- RGPD et education : guide de conformite pour les etablissements scolaires et organismes de formation
