Le RGPD pour les organismes de formation utilisateurs de Digiforma

Présentation du RGPD

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen entrant en application le 25 Mai 2018. Son implémentation concerne toutes les entreprises petites ou grandes opérant en Europe, européennes ou non. L’objectif est de responsabiliser les entreprises sur la gestion des données personnelles.  Il s’agit de pratiques de bon sens, assez faciles à mettre en oeuvre pour un organisme de formation.

Suis-je impacté par le RGPD ?

Oui ! La mise en place du RGPD est un processus interne à votre organisme. Il ne suffit pas « d’utiliser des logiciels conformes RGPD ». Vous devez mettre en place une politique de collecte et de gestion responsable des données personnelles de vos clients et stagiaires que vous stockez sur divers supports, et sur lesquelles vous réalisez des traitements.

Digiforma est un des supports sur lesquels vous stockez ces données, et a donc la responsabilité d’implémenter le RGPD en tant que sous traitant. Nous proposons diverses fonctions décrites plus bas pour vous faciliter la vie dans ce cadre. En pratique centraliser les données dans un minimum d’outils vous facilitera la vie.

La plupart des tâches courantes réalisées par un organisme de formation pour l’exécution opérationnelle des formations ne posent pas de soucis particulier pour la mise en conformité RGPD. Il faudra faire attention à la sécurité, limiter la collecte aux données minimales vraiment nécessaires et pour une durée limité, et permettre aux clients et stagiaires de demander la récupération et la destruction de ces données.

Vous devrez porter en revanche une attention particulière à votre utilisation des données à des fins commerciales. C’est l’esprit même du RGPD de lutter contre les abus sur ce point. Vous utilisez des données qui vous ont été confiées pour une formation à d’autres fins, il vous faudra absolument communiquer clairement sur ces traitements et obtenir le consentement éclairé des personnes.

Implémenter le RGPD chez vous

Voici une liste succinte des différents points à aborder pour implémenter de votre côté le RGPD dans votre organisme. Pour des informations plus complètes nous vous recommandons d’explorer les excellents guides de la CNIL sur le sujet.

Désigner un responsable RGPD

Désignez une personne interne qui sera en charge de la mise en place de la politique de protection des données personnelles dans votre organisme. Cette personne doit avoir le statut et les compétences adéquates.

Conseils de la CNIL

Données personnelles de vos clients particuliers et stagiaires

Ne collectez que les données minimales strictement nécessaires pour votre prestation, et planifiez leur destruction ou anonymisation au bout d’un certain temps.

Les clients et stagiaires doivent avoir la possibilité de vous demander un export des données que vous avez stocké, ainsi qu’une destruction des données personnelles. Centralisez le stockage des données, ou cartographiez soigneusement les différents lieux de stockage afin de pouvoir réaliser facilement export et destruction ou anonymisation. Mettez clairement en évidence un moyen pour les clients de vous demander ces démarches.

Guide de la CNIL sur l’export des données.

Lister les traitements réalisés sur les données

Listez précisemment les données collectées, leur réelle nécessité et usage pour votre activité. Documentez cette cartographie dans un registre (modèle proposé par la CNIL).

Vérifiez que chaque service tiers utilisé (logiciels en ligne, stockage de fichiers, etc.) a implémenté de son côté le RGPD. Collectez une autorisation de la part de vos clients pour tout traitement réalisé (une case à cocher pour chaque traitement, non cochée par défaut). Pensez en particulier aux traitement concernant la communication commerciale.

Sécurisez les données

Les données doivent être stockées de manière sécurisée (mot de passe pour y accéder). Chiffrez les données sur disques des bases de données. Si vous avez des données sur des disques d’ordinateurs de bureau, activez le chiffrement du disque dur (guide Windows, et Mac).

Le RGPD implémenté chez Digiforma

Contacter le responsable RGPD

Digiforma a désigné un délégué à la protection des données que vous pouvez contacter en cas de question concernant le RGPD, joignable à rgpd@aworldforus.com

Données personnelles des utilisateurs

Les données des utilisateurs sont visibles et éditables dans leur compte Digiforma.  Les données requises dans un compte utilisateur sont celles légitimement nécessaires pour le fonctionnement du service. Un utilisateur peut exporter ses données depuis son compte, et demander d’avoir son compte définitivement détruit en nous contactant à rgpd@aworldforus.com.

Données personnelles des stagiaires

Digiforma met à votre disposition divers moyen pour stocker des données sur vos stagiaires (champs éditables, chargement de fichiers, notes). La seule donnée requise par le logiciel est le nom de famille. Les autres données ne doivent être collectées et stockées qu’en cas de nécessité dans le cadre de votre activité.

Si un de vos stagiaire vous demande l’export ou la destruction de ses données personnelles, vous avez plusieurs fonctions utilisables dans votre compte Digiforma.

Vous pouvez exporter les données personnelles d’un stagiaire au format Excel depuis sa fiche dans le logiciel.

Vous pouvez anonymiser les données personnelles des stagiaires depuis leur fiche dans votre compte Digiforma. L’anonymisation permet de préserver le bilan pédagogique et financier et votre historique. Le nom du stagiaire sera remplacé par un code, et toute information personnelle (nom, adresse, etc.) sera définitivement effacée.

Les données stockées ont une durée de vie de 2 ans. Au bout de 2 ans, un email vous sera automatiquement envoyé vous proposant d’anonymiser ou de garder une liste de données anciennes qui vous sera présentées.

Traitements réalisés sur les données

Afin de vous fournir le meilleur support client possible, nous utilisons le système Intercom de communication par chat ou email entre vous et nous. Ce système respecte le RGPD et ne collecte que les données minimales nécessaires pour ce service (aucune donnée liée à vos clients ou sessions de formation).

Vos données concernant vos clients et stagiaires ne sont soumises à aucun traitement de données autres que leur utilisation dans le cadre de l’utilisation du logiciel Digiforma par vos soins. Elles ne sont transférées sur aucun autre service.

Sécurisation des données sur Digiforma

Tous les échanges de données entre votre navigateur web et le serveur Digiforma sont chiffrées par le protocole SSL. Les données de votre compte ne sont accessibles qu’avec votre identifiant et mot de passe. Les serveurs Digiforma sont positionnés en Europe (Irelande) dans le datacenter AWS via l’hébergeur d’applications web Heroku. Ce datacenter est certifié ISO 27001, SOC 1 et SOC 2/SSAE 16/ISAE 3402. Les bases de données sont protégées en continu par sauvegarde physique, et les données sont chiffrées sur disque en AES-256.