Le règlement général sur la protection des données : en quoi les organismes de formation sont-ils concernés ?

Aujourd’hui, la législation en matière de données personnelles varie d’un pays à l’autre (pour ceux hors UE). Les services en ligne se développent très rapidement dans tous les secteurs, et les menaces : piratage, usurpation d’identité, etc., se multiplient, le RGPD vise à harmoniser et renforcer les droits des citoyens européens en vue de mieux garantir le respect de leur vie privée.

Qu’est-ce qu’un traitement de données personnelles ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018 est consacré au traitement des données à caractère personnel et à la libre circulation des données dans un but de protection des libertés et droits fondamentaux des personnes physiques, en particulier leur droit à la protection de leurs données personnelles.

Ce texte vise à garantir la protection des données personnelles, c’est-à-dire toute information permettant d’identifier une personne physique, par exemple :

Nom, âge, numéro tél, mail, adresse postale, adresse IP, un identifiant en ligne, les coordonnées bancaires, etc… Tout en sachant que certaines données personnelles ne peuvent être collectées (race, opinions politiques…).

Les cinq piliers de la protection des données

Il s’agit de la finalité du traitement des données légitimes et déterminées ; de la pertinence des données collectées en lien avec la finalité ; de la conservation des données ; de leur sécurité et du droit d’accès et de portabilité des données.

Globalement, le règlement européen autorise la collecte et le traitement de données à caractère personnel si deux critères sont respectés :

  • La finalité légitime du traitement : recueille et traitement de données nécessaires à l’activité
  • Le consentement libre, loyal et « non ambigu » de la personne

Si ces deux critères sont respectés alors le traitement des données à caractère personnel est licite au regard du règlement européen.

 

Il implique aussi :

  • L’obligation de tenue d’un registre des traitements de données car c’est à l’organisme de formation de prouver qu’il est en conformité avec les principes du RGDP,
  • L’obligation de désigner un délégué à la protection des données par structure (il peut être mutualisé, ce qui est le cas des GRETA de l’académie de Besançon),
  • Désigner des responsables de traitements et des référents RGPD pour chaque structure,
  • Afficher les mentions d’informations concernant les parties prenantes sur une page dédiée tel que celle sur notre site du réseau des Greta de notre académie.

Les organismes de formation collectent des données à caractère personnel

Les données collectées sont principalement :

  • Données personnelles des stagiaires, collectées au format papier et au format numérique
  • Données personnelles relatives à l’ensemble des membres du personnel (RH)
  • Données personnelles dans les relations avec les cotraitants ou sous-traitants dans le cadre d’un marché

Les actions à mener lors de cette collecte

  1. Recueillir les données strictement nécessaires : ex. collecte de la date de naissance complète alors que seule l’année suffisait
  2. Le traitement se fonde sur une base juridique : consentement de la personne, intérêt légitime, contrat, obligation légale
  3. Sous-traitance : vérifier et s’assurer de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données
  4. Prévoir modalités d’exercice des droits des personnes concernées : celles-ci doivent avoir connaissance de ces modalités (cf. notre politique de gestion à destination des stagiaires sur notre site)
  5. Mesure de sécurité : s’assurer que seules les personnes habilitées ont accès aux données dont elles ont besoin
  6. Classement Archivage : ne pas conserver les données au-delà de ce qui est nécessaire

Qu’il s’agisse des salariés de l’organisme de formation, de ses formateurs externes, de ses clients ou de ses stagiaires, le Règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données personnelles.

Le RGPD reprend l’ensemble des droits qui figurent déjà dans la loi Informatique et Libertés de 1978, les personnes doivent ainsi disposer : d’un droit d’accès à leurs données, droit de les modifier et de s’opposer à l’utilisation de leurs données de manière claire, intelligible et aisément accessible.

Le règlement européen prévoit également deux nouveaux droits :

  • La portabilité des données : la personne doit pouvoir récupérer ou exporter ses données.
  • Le déréférencement (droit à l’oubli) : la suppression des données une fois qu’elles ne sont plus nécessaires si aucun texte n’autorise ou n’impose leur conservation.

En tant qu’organisme de formation, ces nouvelles obligations vous inciteront notamment à plus de transparence dans vos relations avec vos interlocuteurs : stagiaires, salariés, prospects, fournisseurs, etc. Faire comprendre la manière dont vous utilisez leurs données personnelles et leur donner la possibilité de les maîtriser, renforcera la confiance et favorisera donc votre activité. Si vous respectez le RGPD, vous aurez un avantage concurrentiel !