Le RGPD pour les organismes de formation utilisateurs de Digiforma

Présentation du RGPD

Le règlement général sur la protection des données (« RGPD » UE 2016/679) est un règlement européen qui régit la collecte, le traitement et l’utilisation des données à caractère personnel. Il est entré en vigueur le 25 mai 2018 et s’applique à tous les organismes de formation, quelle que soit leur taille ou leur localisation.

Le RGPD vise à renforcer les droits des personnes concernées par le traitement de leurs données à caractère personnel et à responsabiliser les organismes de formation.

Qu’est ce qu’une donnée a caractère personnel ?

Une donnée à caractère personnel est toute information relative à une personne physique identifiable, directement ou indirectement. Cela peut inclure des informations telles que le nom, l’adresse, le numéro de téléphone, l’adresse e-mail, le numéro de sécurité sociale, les données de santé, les habitudes de consommation, l’historique de navigation sur Internet, etc.

Les organismes de formation collectent et traitent des données à caractère personnel de leurs clients, stagiaires, formateurs, et autres parties prenantes. Ces données sont utilisées à des fins diverses, telles que :

• La gestion des inscriptions et présences aux formations
• La facturation
• La communication
• La prospection
• L’évaluation des formations

Les principes fondamentaux du RGPD

Les principes généraux relatifs au traitement des données à caractère personnel sont définis à l’article 5 du RGPD.
Ils constituent les fondements du RGPD et doivent être respectés par tout responsable de traitement de données à caractère personnel, c’est-à-dire toute personne physique ou morale qui détermine les finalités et les moyens du traitement.

Les six principes sont les suivants :

• Licéité, loyauté et transparence : la personne doit être informée de l’existence du traitement et de ses finalités, et qu’elle doit avoir donné son consentement ou que le traitement doit être fondé sur une autre base légale.
• Finalité : les données personnelles ne doivent être collectées que pour des finalités déterminées, explicites et légitimes.
• Minimisation des données : les données personnelles collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
• Exactitude : les données personnelles doivent être exactes et, si nécessaire, mises à jour.
• Limitation de la conservation : les données personnelles ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles sont collectées.
• Intégrité et confidentialité : les données personnelles doivent être traitées de manière à garantir leur sécurité, leur confidentialité et leur intégrité.

Enfin, le responsable de traitement doit être en mesure de démontrer qu’il respecte ces obligations. C’est un nouveauté du RGPD : le responsable de traitement ne doit plus faire de déclaration à la CNIL.

La conformité RGPD d’un organisme de formation

Voici une liste succincte des différents points à aborder pour implémenter de votre côté le RGPD dans votre organisme.
Pour des informations plus complètes nous vous recommandons d’explorer les excellents guides de la CNIL sur le sujet.

Un organisme de formation est il concerne par le RGPD ?

Oui !
La mise en place du RGPD est un processus interne à votre organisme. Il ne suffit pas « d’utiliser des logiciels conformes RGPD ». Vous devez mettre en place une politique de collecte et de gestion responsable des données personnelles de vos clients et stagiaires que vous stockez sur divers supports, et sur lesquelles vous réalisez des traitements.

Digiforma est un des supports sur lesquels vous stockez ces données, et a donc la responsabilité d’implémenter le RGPD en tant que sous traitant. Nous proposons diverses fonctions décrites plus bas pour vous faciliter la vie dans ce cadre. En pratique centraliser les données dans un minimum d’outils vous facilitera la vie.

La plupart des tâches courantes réalisées par un organisme de formation pour l’exécution opérationnelle des formations ne posent pas de soucis particulier pour la mise en conformité RGPD. Il faudra faire attention à la sécurité, limiter la collecte aux données minimales vraiment nécessaires et pour une durée limité, et permettre aux clients et stagiaires de demander la récupération et la destruction de ces données.

Vous devrez porter en revanche une attention particulière à votre utilisation des données à des fins commerciales. C’est l’esprit même du RGPD de lutter contre les abus sur ce point. Vous utilisez des données qui vous ont été confiées pour une formation à d’autres fins, il vous faudra absolument communiquer clairement sur ces traitements et obtenir le consentement éclairé des personnes.

Quel est votre rôle et celui de Digiforma ?

Il est important de noter que vous, organisme de formation, êtes le responsable de traitement et que Digiforma est un sous-traitant de votre activité d’organisme de formation.

Quelles sont les obligations RGPD d’un organisme de formation ?

L’organisme de formation, responsable de traitement, détermine les finalités et les moyens du traitement des données à caractère personnel.
Le responsable de traitement est responsable du respect des règles du RGPD en matière de traitement des données à caractère personnel.

Il doit notamment :

• Obtenir le consentement des personnes concernées avant de collecter leurs données à caractère personnel
• Informer les personnes concernées de la manière dont leurs données sont collectées, utilisées et conservées
• Assurer la sécurité des données à caractère personnel
• Limiter la collecte des données à caractère personnel aux données nécessaires à la finalité du traitement
• Supprimer les données à caractère personnel lorsque le traitement n’est plus nécessaire

Le responsable de traitement peut désigner un sous-traitant – Digiforma par exemple – pour traiter des données à caractère personnel en son nom.
Le sous-traitant est soumis aux mêmes obligations que le responsable de traitement en matière de protection des données.

Le responsable de traitement doit tenir un registre des traitements de données à caractère personnel qu’il effectue.
Ce registre doit notamment indiquer les finalités du traitement, les catégories de données à caractère personnel concernées, les destinataires des données, la durée de conservation des données, et les mesures de sécurité mises en place.

Le responsable de traitement doit également répondre aux demandes des personnes concernées concernant leurs données à caractère personnel. Il doit notamment leur fournir une copie de leurs données à caractère personnel, les informer de la manière dont leurs données sont utilisées, et répondre à leurs demandes de rectification, de suppression ou de limitation du traitement de leurs données.

Le responsable de traitement peut être sanctionné par la Commission nationale de l’informatique et des libertés (CNIL) en cas de non-respect du RGPD. Les sanctions peuvent aller jusqu’à 4 % du chiffre d’affaires mondial annuel de l’organisme, ou 20 millions d’euros, le montant le plus élevé étant retenu.

Comment collecter les données des stagiaires ?

Le RGPD (Règlement général sur la protection des données) est un règlement de l’Union européenne qui a été adopté le 27 avril 2016 et est entré en vigueur le 25 mai 2018. Le RGPD a pour objectif de renforcer et unifier la protection des données personnelles des personnes physiques au sein de l’UE.

Les organismes de formation sont soumis au RGPD dans la mesure où ils collectent et traitent des données personnelles de leurs stagiaires. Les données personnelles sont toutes les informations relatives à une personne physique identifiable, telles que son nom, son prénom, son adresse, son numéro de téléphone, son adresse e-mail, etc.

Pour être en conformité avec le RGPD, les organismes de formation doivent respecter un certain nombre d’obligations, notamment :

• Obtenir le consentement des stagiaires avant de collecter et traiter leurs données personnelles.
• informer les stagiaires de la manière dont leurs données personnelles sont collectées, utilisées et conservées.
• limiter la collecte et le traitement des données personnelles aux seules informations nécessaires à la réalisation des finalités pour lesquelles elles sont collectées.
• garantir la sécurité des données personnelles.
• effacer les données personnelles des stagiaires lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.

Comment un organisme de formation peut il se mettre en conformité avec le RGPD ?

Pour mettre en conformité au RGPD votre organisme de formation, vous pouvez commencer par les étapes suivantes :

• Rédiger une politique de confidentialité qui informe les stagiaires de la manière dont leurs données personnelles sont collectées, utilisées et conservées.
• Obtenir le consentement des stagiaires avant de collecter et traiter leurs données personnelles.
• Limiter la collecte et le traitement des données personnelles aux seules informations nécessaires à la réalisation des finalités pour lesquelles elles sont collectées.
• Utiliser des moyens de sécurité adaptés pour protéger les données personnelles contre les accès non autorisés, les altérations, les destructions et la perte.
• Effacer les données personnelles des stagiaires lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.

Devons-nous designer un responsable RGPD ?

Il est impératif de désigner dans votre organisme de formation qui sera en charge de la mise en place de la politique de protection des données personnelles dans votre organisme. Cette personne doit avoir le statut et les compétences adéquates.

Le DPO (Délégué à la Protection des Données) est la personne chargée de la mise en place de la politique de protection des données personnelles et d’assurer la protection effective de ces données personnelles dans votre organisme.

Sa désignation est obligatoire pour certaines structures, comme les entités publiques par exemple.
Même en l’absence d’obligation légale, la désignation d’un DPO est très importante pour toute entreprise. Le DPO peut être interne comme externe, il doit avoir le statut et les compétences adéquates.

Deux procédures à mettre en place dans votre organisme de formation

Nous vous conseillons de mettre en place deux procédures qui permettent de réagir en cas de violation de données et de demande d’exercice de droit d’un stagiaire.

Quelle est la procédure en cas de violation des données ?

Les organismes qui traitent des données personnelles (responsable du traitement ou sous-traitant) doivent prévoir et mettre en place des procédures globales en matière de violation de données personnelles. 

Ces procédures doivent concerner l’ensemble du processus : la mise en place de mesures visant à détecter immédiatement une violation, à l’endiguer rapidement, à analyser les risques engendrés par l’incident et à déterminer s’il convient de notifier l’autorité de contrôle, voire les personnes concernées. Ces procédures participent ainsi à la documentation de la conformité au RGPD.

Toutes les violations ne doivent pas nécessairement être notifiées à l’autorité de contrôle ou aux personnes concernées. Lorsqu’elle est nécessaire, cette information des personnes concernées doit en revanche être la priorité du responsable du traitement, car cela leur permet de prendre des mesures destinées à les protéger de ces risques.

L’obligation de notifier dépend du risque que la violation de données personnelles fait peser sur les droits et libertés des individus dont les données ont été impactées :

Si la violation n’entraîne pas de risque pour les droits et libertés des personnes concernées, le responsable du traitement :

• Doit documenter, en interne sous forme d’un registre, la violation qui vient de se produire ;
• Ne doit pas notifier cette violation ni à la CNIL, qui peut en revanche contrôler cette documentation interne, ni aux personnes concernées.

Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement :

• Doit documenter, en interne sous forme d’un registre, la violation qui vient de se produire ;
• Doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h.

Si la violation entraîne un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement :  

• Doit documenter, en interne sous forme d’un registre, la violation qui vient de se produire ;
• Doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h ;
• Doit communiquer la violation aux personnes concernées, au plus tôt

Quelles est la procédure en cas de demande d’exercice de droit RGPD d’un stagiaire ?

Un stagiaire comme toute personne concernée par le traitement de ses données personnelles bénéficie de droits (droit d’accès, de rectification, d’introduire une réclamation auprès de la CNIL, et sous conditions, le droit d’effacement, de limitation, d’opposition, de retirer son consentement et de s’opposer au traitement de ses données à des fins de marketing). 

Pour exercer ces droits, il convient d’adresser une demande écrite avec les informations nécessaires (coordonnées complètes et copie du titre d’identité) par courrier postal ou e-mail. 

Le responsable de traitement dispose d’un délai de réponse d’un mois. Si pour une raison quelconque il ne peut pas faire suite à une demande, il doit expliquer à la personne concernée pourquoi sa demande a été rejetée.

La conformité RGPD de Digiforma

Le point de contact RGPD: le Délégué à la Protection des données / DPO

Digiforma a désigné le Cabinet xDPO en tant que délégué à la protection des données (DPO) que vous pouvez contacter en cas de question concernant le RGPD, joignable à rgpd@aworldforus.com

Un délégué à la protection des données (DPO) est une personne qui est responsable de la protection des données personnelles au sein d’une organisation. Le DPO est chargé de veiller à ce que l’organisation respecte toutes les lois et réglementations applicables en matière de protection des données.

Le DPO doit accomplir un certain nombre de tâches, notamment :

• Conseiller l’organisation sur les meilleures pratiques en matière de protection des données ;
• Superviser la mise en œuvre des politiques et procédures de protection des données ;
• Former les employés sur la protection des données ;
• Répondre aux demandes des personnes concernées concernant leurs données personnelles;
• Coordonner avec les autorités de protection des données (la CNIL en France).

Le DPO joue un rôle important dans la protection des données personnelles des personnes. En veillant à ce que l’organisation respecte toutes les lois et réglementations applicables, le DPO aide à garantir que les données personnelles sont collectées, utilisées et stockées de manière sécurisée et conforme à la loi.

Le rôle du DPO est défini par le règlement général sur la protection des données (RGPD). Le RGPD exige que toutes les organisations qui traitent des données personnelles de personnes situées dans l’Union européenne désignent un DPO si elles remplissent certains critères, notamment si elles traitent des données à grande échelle ou des données sensibles.

Les données personnelles traitées par Digiforma

Digiforma traite deux types de données personnelles de ses clients :

Les données des utilisateurs

Elles sont visibles et éditables dans leur compte Digiforma.  Les données requises dans un compte utilisateur sont celles légitimement nécessaires pour le fonctionnement du service. Un utilisateur peut exporter ses données depuis son compte, et demander d’avoir son compte définitivement détruit en nous contactant à rgpd@aworldforus.com.

Les données des stagiaires

Digiforma met à votre disposition divers moyen pour stocker des données sur vos stagiaires (champs éditables, chargement de fichiers, notes). La seule donnée requise par le logiciel est le nom de famille. Les autres données ne doivent être collectées et stockées qu’en cas de nécessité dans le cadre de votre activité.

Si un de vos stagiaire vous demande l’export ou la destruction de ses données personnelles, vous avez plusieurs fonctions utilisables dans votre compte Digiforma.

Vous pouvez exporter les données personnelles d’un stagiaire au format Excel depuis sa fiche dans le logiciel.

Vous pouvez anonymiser les données personnelles des stagiaires depuis leur fiche dans votre compte Digiforma. L’anonymisation permet de préserver le bilan pédagogique et financier et votre historique. Le nom du stagiaire sera remplacé par un code, et toute information personnelle (nom, adresse, etc.) sera définitivement effacée.

Mesures techniques de protection des données prises par Digiforma

Tous les échanges de données entre votre navigateur web et le serveur Digiforma sont chiffrées par le protocole SSL.

Les données de votre compte ne sont accessibles qu’avec votre identifiant et mot de passe. 

Les serveurs Digiforma sont situés en Europe (Irlande) dans le datacenter AWS via l’hébergeur d’applications web Heroku. Ce datacenter est certifié ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402. Les bases de données sont protégées en continu par sauvegarde physique, et les données sont chiffrées sur disque en AES-256.

Nous utilisons des solutions cloud pour gérer ou communiquer avec nos clients. La liste des solutions utilisées est listée dans notre Politique de confidentialité et d’utilisation des données personnelles.

Lorsque nous utilisons une solution qui transfère les données personnelles aux USA, nous nous assurons que des CCT – Clause Contractuelles Types – ont été signées ou que l’éditeur de la solution est signataire du « Data Privacy Framework » , cadre règlementaire américain pour la protection des données personnelles adopté par la Commission Européenne le 13 juillet 2023.

Voir les éditeurs de solution signataires du Data Privacy Framework :
https://www.dataprivacyframework.gov/s/participant-search

La décision d’adéquation validée par la Commission Européenne :
https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision

Où sont hébergées les données dans Digiforma ?

Les serveurs Digiforma sont situés en Europe (Irlande) dans le datacenter AWS via l’hébergeur d’applications web Heroku.

Les hébergements sont ils conformes au RGPD ?

Oui !
Toutes les données de Digiforma transférées vers le Datacenter européen sont protégées par différentes mesures techniques et organisationnelles. 

La conformité RGPD de notre hébergeur AWS est décrite ici :
https://aws.amazon.com/fr/compliance/gdpr-center/

La conformité RGPD de notre hébergeur Heroku est décrite ici :
https://devcenter.heroku.com/articles/gdpr

Quelles sont les mesures techniques mises en œuvre ?

Tous les échanges de données entre votre navigateur web et le serveur Digiforma sont chiffrées par le protocole SSL. 

Les données de votre compte ne sont accessibles qu’avec votre identifiant et mot de passe. Les données sont hébergées sur un datacenter qui est certifié ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402. 

Les bases de données sont protégées en continu par sauvegarde physique, et les données sont chiffrées sur disque en AES-256.

Implémenter le RGPD chez vous

Voici une liste succinte des différents points à aborder pour implémenter de votre côté le RGPD dans votre organisme. Pour des informations plus complètes nous vous recommandons d’explorer les excellents guides de la CNIL sur le sujet.

Désigner un responsable RGPD

Désignez une personne interne qui sera en charge de la mise en place de la politique de protection des données personnelles dans votre organisme. Cette personne doit avoir le statut et les compétences adéquates.

Conseils de la CNIL

Données personnelles de vos clients particuliers et stagiaires

Ne collectez que les données minimales strictement nécessaires pour votre prestation, et planifiez leur destruction ou anonymisation au bout d’un certain temps.

Les clients et stagiaires doivent avoir la possibilité de vous demander un export des données que vous avez stocké, ainsi qu’une destruction des données personnelles. Centralisez le stockage des données, ou cartographiez soigneusement les différents lieux de stockage afin de pouvoir réaliser facilement export et destruction ou anonymisation. Mettez clairement en évidence un moyen pour les clients de vous demander ces démarches.

Guide de la CNIL sur l’export des données.

Lister les traitements réalisés sur les données

Listez précisemment les données collectées, leur réelle nécessité et usage pour votre activité. Documentez cette cartographie dans un registre (modèle proposé par la CNIL).

Vérifiez que chaque service tiers utilisé (logiciels en ligne, stockage de fichiers, etc.) a implémenté de son côté le RGPD. Collectez une autorisation de la part de vos clients pour tout traitement réalisé (une case à cocher pour chaque traitement, non cochée par défaut). Pensez en particulier aux traitement concernant la communication commerciale.

Sécurisez les données

Les données doivent être stockées de manière sécurisée (mot de passe pour y accéder). Chiffrez les données sur disques des bases de données. Si vous avez des données sur des disques d’ordinateurs de bureau, activez le chiffrement du disque dur (guide Windows, et Mac).

Le RGPD implémenté chez Digiforma

Contacter le responsable RGPD

Digiforma a désigné un délégué à la protection des données que vous pouvez contacter en cas de question concernant le RGPD, joignable à rgpd@aworldforus.com

Données personnelles des utilisateurs

Les données des utilisateurs sont visibles et éditables dans leur compte Digiforma.  Les données requises dans un compte utilisateur sont celles légitimement nécessaires pour le fonctionnement du service. Un utilisateur peut exporter ses données depuis son compte, et demander d’avoir son compte définitivement détruit en nous contactant à rgpd@aworldforus.com.

Données personnelles des stagiaires

Digiforma met à votre disposition divers moyen pour stocker des données sur vos stagiaires (champs éditables, chargement de fichiers, notes). La seule donnée requise par le logiciel est le nom de famille. Les autres données ne doivent être collectées et stockées qu’en cas de nécessité dans le cadre de votre activité.

Si un de vos stagiaire vous demande l’export ou la destruction de ses données personnelles, vous avez plusieurs fonctions utilisables dans votre compte Digiforma.

Vous pouvez exporter les données personnelles d’un stagiaire au format Excel depuis sa fiche dans le logiciel.

Vous pouvez anonymiser les données personnelles des stagiaires depuis leur fiche dans votre compte Digiforma. L’anonymisation permet de préserver le bilan pédagogique et financier et votre historique. Le nom du stagiaire sera remplacé par un code, et toute information personnelle (nom, adresse, etc.) sera définitivement effacée.

Traitements réalisés sur les données

Afin de vous fournir le meilleur support client possible, nous utilisons le système Intercom de communication par chat ou email entre vous et nous. Ce système respecte le RGPD et ne collecte que les données minimales nécessaires pour ce service (aucune donnée liée à vos clients ou sessions de formation).

Vos données concernant vos clients et stagiaires ne sont soumises à aucun traitement de données autres que leur utilisation dans le cadre de l’utilisation du logiciel Digiforma par vos soins. Elles ne sont transférées sur aucun autre service.

Sécurisation des données sur Digiforma

Tous les échanges de données entre votre navigateur web et le serveur Digiforma sont chiffrées par le protocole SSL. Les données de votre compte ne sont accessibles qu’avec votre identifiant et mot de passe. Les serveurs Digiforma sont positionnés en Europe (Irelande) dans le datacenter AWS via l’hébergeur d’applications web Heroku. Ce datacenter est certifié ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402. Les bases de données sont protégées en continu par sauvegarde physique, et les données sont chiffrées sur disque en AES-256.