- Solution
- Clients
- Ressources
- À propos
- Tarifs
- Essai gratuit
- Voir la démo
- Connexion
Le règlement général sur la protection des données (« RGPD » UE 2016/679) est un règlement européen qui régit la collecte, le traitement et l’utilisation des données à caractère personnel. Il est entré en vigueur le 25 mai 2018 et s’applique à tous les organismes de formation, quelle que soit leur taille ou leur localisation.
Le RGPD vise à renforcer les droits des personnes concernées par le traitement de leurs données à caractère personnel et à responsabiliser les organismes de formation.
Une donnée à caractère personnel est toute information relative à une personne physique identifiable, directement ou indirectement. Cela peut inclure des informations telles que le nom, l’adresse, le numéro de téléphone, l’adresse e-mail, le numéro de sécurité sociale, les données de santé, les habitudes de consommation, l’historique de navigation sur Internet, etc.
Les organismes de formation collectent et traitent des données à caractère personnel de leurs clients, stagiaires, formateurs, et autres parties prenantes. Ces données sont utilisées à des fins diverses, telles que :
Les principes généraux relatifs au traitement des données à caractère personnel sont définis à l’article 5 du RGPD.
Ils constituent les fondements du RGPD et doivent être respectés par tout responsable de traitement de données à caractère personnel, c’est-à-dire toute personne physique ou morale qui détermine les finalités et les moyens du traitement.
Les six principes sont les suivants :
Enfin, le responsable de traitement doit être en mesure de démontrer qu’il respecte ces obligations. C’est un nouveauté du RGPD : le responsable de traitement ne doit plus faire de déclaration à la CNIL.
Voici une liste succincte des différents points à aborder pour implémenter de votre côté le RGPD dans votre organisme.
Pour des informations plus complètes nous vous recommandons d’explorer les excellents guides de la CNIL sur le sujet.
Oui !
La mise en place du RGPD est un processus interne à votre organisme. Il ne suffit pas « d’utiliser des logiciels conformes RGPD ». Vous devez mettre en place une politique de collecte et de gestion responsable des données personnelles de vos clients et stagiaires que vous stockez sur divers supports, et sur lesquelles vous réalisez des traitements.
Digiforma est un des supports sur lesquels vous stockez ces données, et a donc la responsabilité d’implémenter le RGPD en tant que sous traitant. Nous proposons diverses fonctions décrites plus bas pour vous faciliter la vie dans ce cadre. En pratique centraliser les données dans un minimum d’outils vous facilitera la vie.
La plupart des tâches courantes réalisées par un organisme de formation pour l’exécution opérationnelle des formations ne posent pas de soucis particulier pour la mise en conformité RGPD. Il faudra faire attention à la sécurité, limiter la collecte aux données minimales vraiment nécessaires et pour une durée limité, et permettre aux clients et stagiaires de demander la récupération et la destruction de ces données.
Vous devrez porter en revanche une attention particulière à votre utilisation des données à des fins commerciales. C’est l’esprit même du RGPD de lutter contre les abus sur ce point. Vous utilisez des données qui vous ont été confiées pour une formation à d’autres fins, il vous faudra absolument communiquer clairement sur ces traitements et obtenir le consentement éclairé des personnes.
Il est important de noter que vous, organisme de formation, êtes le responsable de traitement et que Digiforma est un sous-traitant de votre activité d’organisme de formation.
L’organisme de formation, responsable de traitement, détermine les finalités et les moyens du traitement des données à caractère personnel.
Le responsable de traitement est responsable du respect des règles du RGPD en matière de traitement des données à caractère personnel.
Il doit notamment :
Le responsable de traitement peut désigner un sous-traitant – Digiforma par exemple – pour traiter des données à caractère personnel en son nom.
Le sous-traitant est soumis aux mêmes obligations que le responsable de traitement en matière de protection des données.
Le responsable de traitement doit tenir un registre des traitements de données à caractère personnel qu’il effectue.
Ce registre doit notamment indiquer les finalités du traitement, les catégories de données à caractère personnel concernées, les destinataires des données, la durée de conservation des données, et les mesures de sécurité mises en place.
Le responsable de traitement doit également répondre aux demandes des personnes concernées concernant leurs données à caractère personnel. Il doit notamment leur fournir une copie de leurs données à caractère personnel, les informer de la manière dont leurs données sont utilisées, et répondre à leurs demandes de rectification, de suppression ou de limitation du traitement de leurs données.
Le responsable de traitement peut être sanctionné par la Commission nationale de l’informatique et des libertés (CNIL) en cas de non-respect du RGPD. Les sanctions peuvent aller jusqu’à 4 % du chiffre d’affaires mondial annuel de l’organisme, ou 20 millions d’euros, le montant le plus élevé étant retenu.
Le RGPD (Règlement général sur la protection des données) est un règlement de l’Union européenne qui a été adopté le 27 avril 2016 et est entré en vigueur le 25 mai 2018. Le RGPD a pour objectif de renforcer et unifier la protection des données personnelles des personnes physiques au sein de l’UE.
Les organismes de formation sont soumis au RGPD dans la mesure où ils collectent et traitent des données personnelles de leurs stagiaires. Les données personnelles sont toutes les informations relatives à une personne physique identifiable, telles que son nom, son prénom, son adresse, son numéro de téléphone, son adresse e-mail, etc.
Pour être en conformité avec le RGPD, les organismes de formation doivent respecter un certain nombre d’obligations, notamment :
Il est impératif de désigner dans votre organisme de formation qui sera en charge de la mise en place de la politique de protection des données personnelles dans votre organisme. Cette personne doit avoir le statut et les compétences adéquates.
Le DPO (Délégué à la Protection des Données) est la personne chargée de la mise en place de la politique de protection des données personnelles et d’assurer la protection effective de ces données personnelles dans votre organisme.
Sa désignation est obligatoire pour certaines structures, comme les entités publiques par exemple.
Même en l’absence d’obligation légale, la désignation d’un DPO est très importante pour toute entreprise. Le DPO peut être interne comme externe, il doit avoir le statut et les compétences adéquates.
Nous vous conseillons de mettre en place deux procédures qui permettent de réagir en cas de violation de données et de demande d’exercice de droit d’un stagiaire.
Quelle est la procédure en cas de violation des données ?
Les organismes qui traitent des données personnelles (responsable du traitement ou sous-traitant) doivent prévoir et mettre en place des procédures globales en matière de violation de données personnelles.
Ces procédures doivent concerner l’ensemble du processus : la mise en place de mesures visant à détecter immédiatement une violation, à l’endiguer rapidement, à analyser les risques engendrés par l’incident et à déterminer s’il convient de notifier l’autorité de contrôle, voire les personnes concernées. Ces procédures participent ainsi à la documentation de la conformité au RGPD.
Toutes les violations ne doivent pas nécessairement être notifiées à l’autorité de contrôle ou aux personnes concernées. Lorsqu’elle est nécessaire, cette information des personnes concernées doit en revanche être la priorité du responsable du traitement, car cela leur permet de prendre des mesures destinées à les protéger de ces risques.
L’obligation de notifier dépend du risque que la violation de données personnelles fait peser sur les droits et libertés des individus dont les données ont été impactées :
Si la violation n’entraîne pas de risque pour les droits et libertés des personnes concernées, le responsable du traitement :
Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement :
Si la violation entraîne un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement :
Quelles est la procédure en cas de demande d’exercice de droit RGPD d’un stagiaire ?
Un stagiaire comme toute personne concernée par le traitement de ses données personnelles bénéficie de droits (droit d’accès, de rectification, d’introduire une réclamation auprès de la CNIL, et sous conditions, le droit d’effacement, de limitation, d’opposition, de retirer son consentement et de s’opposer au traitement de ses données à des fins de marketing).
Pour exercer ces droits, il convient d’adresser une demande écrite avec les informations nécessaires (coordonnées complètes et copie du titre d’identité) par courrier postal ou e-mail.
Le responsable de traitement dispose d’un délai de réponse d’un mois. Si pour une raison quelconque il ne peut pas faire suite à une demande, il doit expliquer à la personne concernée pourquoi sa demande a été rejetée.
Digiforma a désigné le Cabinet xDPO en tant que délégué à la protection des données (DPO) que vous pouvez contacter en cas de question concernant le RGPD, joignable à rgpd@aworldforus.com
Un délégué à la protection des données (DPO) est une personne qui est responsable de la protection des données personnelles au sein d’une organisation. Le DPO est chargé de veiller à ce que l’organisation respecte toutes les lois et réglementations applicables en matière de protection des données.
Le DPO doit accomplir un certain nombre de tâches, notamment :
Le DPO joue un rôle important dans la protection des données personnelles des personnes. En veillant à ce que l’organisation respecte toutes les lois et réglementations applicables, le DPO aide à garantir que les données personnelles sont collectées, utilisées et stockées de manière sécurisée et conforme à la loi.
Le rôle du DPO est défini par le règlement général sur la protection des données (RGPD). Le RGPD exige que toutes les organisations qui traitent des données personnelles de personnes situées dans l’Union européenne désignent un DPO si elles remplissent certains critères, notamment si elles traitent des données à grande échelle ou des données sensibles.
Digiforma traite deux types de données personnelles de ses clients :
Les données des utilisateurs
Elles sont visibles et éditables dans leur compte Digiforma. Les données requises dans un compte utilisateur sont celles légitimement nécessaires pour le fonctionnement du service. Un utilisateur peut exporter ses données depuis son compte, et demander d’avoir son compte définitivement détruit en nous contactant à rgpd@aworldforus.com.
Les données des stagiaires
Digiforma met à votre disposition divers moyen pour stocker des données sur vos stagiaires (champs éditables, chargement de fichiers, notes). La seule donnée requise par le logiciel est le nom de famille. Les autres données ne doivent être collectées et stockées qu’en cas de nécessité dans le cadre de votre activité.
Si un de vos stagiaire vous demande l’export ou la destruction de ses données personnelles, vous avez plusieurs fonctions utilisables dans votre compte Digiforma.
Vous pouvez exporter les données personnelles d’un stagiaire au format Excel depuis sa fiche dans le logiciel.
Vous pouvez anonymiser les données personnelles des stagiaires depuis leur fiche dans votre compte Digiforma. L’anonymisation permet de préserver le bilan pédagogique et financier et votre historique. Le nom du stagiaire sera remplacé par un code, et toute information personnelle (nom, adresse, etc.) sera définitivement effacée.
Tous les échanges de données entre votre navigateur web et le serveur Digiforma sont chiffrées par le protocole SSL.
Les données de votre compte ne sont accessibles qu’avec votre identifiant et mot de passe.
Les serveurs Digiforma sont situés en Europe (Irlande) dans le datacenter AWS via l’hébergeur d’applications web Heroku. Ce datacenter est certifié ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402. Les bases de données sont protégées en continu par sauvegarde physique, et les données sont chiffrées sur disque en AES-256.
Nous utilisons des solutions cloud pour gérer ou communiquer avec nos clients. La liste des solutions utilisées est listée dans notre Politique de confidentialité et d’utilisation des données personnelles.
Lorsque nous utilisons une solution qui transfère les données personnelles aux USA, nous nous assurons que des CCT – Clause Contractuelles Types – ont été signées ou que l’éditeur de la solution est signataire du « Data Privacy Framework » , cadre règlementaire américain pour la protection des données personnelles adopté par la Commission Européenne le 13 juillet 2023.
Voir les éditeurs de solution signataires du Data Privacy Framework :
https://www.dataprivacyframework.gov/s/participant-search
La décision d’adéquation validée par la Commission Européenne :
https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision
Les serveurs Digiforma sont situés en Europe (Irlande) dans le datacenter AWS via l’hébergeur d’applications web Heroku.
Oui !
Toutes les données de Digiforma transférées vers le Datacenter européen sont protégées par différentes mesures techniques et organisationnelles.
La conformité RGPD de notre hébergeur AWS est décrite ici :
https://aws.amazon.com/fr/compliance/gdpr-center/
La conformité RGPD de notre hébergeur Heroku est décrite ici :
https://devcenter.heroku.com/articles/gdpr
Tous les échanges de données entre votre navigateur web et le serveur Digiforma sont chiffrées par le protocole SSL.
Les données de votre compte ne sont accessibles qu’avec votre identifiant et mot de passe. Les données sont hébergées sur un datacenter qui est certifié ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402.
Les bases de données sont protégées en continu par sauvegarde physique, et les données sont chiffrées sur disque en AES-256.
Découvrez également les autres documents essentiels pour la formation professionnelle
Téléchargez nos meilleurs contenus gratuits autour de la formation & du digital
Des centaines de conseils et astuces pour préparer son audit Qualiopi.
Organismes de formation réussissez votre transformation digitale avec nos e-books.
Toute l’actualité de la formation professionnelle en ligne.
Newsletter
Recevez les news en avant-première de Digiforma
"*" indicates required fields
Vos données sont traitées en accord avec notre charte de confidentialité.
© 2009 – 2024 A World For Us – Logiciel de formation professionnelle pour organismes et formateurs | Tous droits réservés | Conditions d’utilisation | Charte de confidentialité | Mentions légales | Cookies