Le RGPD pour les organismes de formation utilisateurs de VisioFormation

 

 

 

Présentation du RGPD

 

Le règlement général sur la protection des données (« RGPD » UE 2016/679) est un règlement européen qui régit la collecte, le traitement et l’utilisation des données à caractère personnel. Il est entré en vigueur le 25 mai 2018 et s’applique à tous les organismes de formation, quelle que soit leur taille ou leur localisation.

Le RGPD vise à renforcer les droits des personnes concernées par le traitement de leurs données à caractère personnel et à responsabiliser les organismes de formation.

 

 

QU’EST CE QU’UNE DONNÉE A CARACTÈRE PERSONNEL ?

Une donnée à caractère personnel est toute information relative à une personne physique identifiable, directement ou indirectement. Cela peut inclure des informations telles que le nom, l’adresse, le numéro de téléphone, l’adresse e-mail, le numéro de sécurité sociale, les données de santé, les habitudes de consommation, l’historique de navigation sur Internet, etc.

Les organismes de formation collectent et traitent des données à caractère personnel de leurs clients, stagiaires, formateurs, et autres parties prenantes. Ces données sont utilisées à des fins diverses, telles que :

• La gestion des inscriptions et présences aux formations
• La facturation
• La communication
• La prospection
• L’évaluation des formations

 

 

 

Les principes fondamentaux du RGPD

Les principes généraux relatifs au traitement des données à caractère personnel sont définis à l’article 5 du RGPD.
 Ils constituent les fondements du RGPD et doivent être respectés par tout responsable de traitement de données à caractère personnel, c’est-à-dire toute personne physique ou morale qui détermine les finalités et les moyens du traitement.

Les six principes sont les suivants :

• Licéité, loyauté et transparence : la personne doit être informée de l’existence du traitement et de ses finalités, et qu’elle doit avoir donné son consentement ou que le traitement doit être fondé sur une autre base légale.
• Finalité : les données personnelles ne doivent être collectées que pour des finalités déterminées, explicites et légitimes.
• Minimisation des données : les données personnelles collectées doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
• Exactitude : les données personnelles doivent être exactes et, si nécessaire, mises à jour.
• Limitation de la conservation : les données personnelles ne doivent pas être conservées plus longtemps que nécessaire pour les finalités pour lesquelles elles sont collectées.
• Intégrité et confidentialité : les données personnelles doivent être traitées de manière à garantir leur sécurité, leur confidentialité et leur intégrité.

Enfin, le responsable de traitement doit être en mesure de démontrer qu’il respecte ces obligations. C’est une nouveauté du RGPD : le responsable de traitement ne doit plus faire de déclaration à la CNIL.

 

 

La conformité RGPD d’un organisme de formation

Voici une liste succincte des différents points à aborder pour implémenter de votre côté le RGPD dans votre organisme.
 Pour des informations plus complètes nous vous recommandons d’explorer les excellents guides de la CNIL sur le sujet.

UN ORGANISME DE FORMATION EST IL CONCERNE PAR LE RGPD ?

Oui !
La mise en place du RGPD est un processus interne à votre organisme. Il ne suffit pas « d’utiliser des logiciels conformes RGPD ». Vous devez mettre en place une politique de collecte et de gestion responsable des données personnelles de vos clients et stagiaires que vous stockez sur divers supports, et sur lesquelles vous réalisez des traitements.

VisioFormation est un des supports sur lesquels vous stockez ces données, et a donc la responsabilité d’implémenter le RGPD en tant que sous-traitant. Nous proposons diverses fonctions décrites plus bas pour vous faciliter la vie dans ce cadre. En pratique centraliser les données dans un minimum d’outils vous facilitera la vie.

La plupart des tâches courantes réalisées par un organisme de formation pour l’exécution opérationnelle des formations ne posent pas de soucis particuliers pour la mise en conformité RGPD. Il faudra faire attention à la sécurité, limiter la collecte aux données minimales vraiment nécessaires et pour une durée limitée, et permettre aux clients et stagiaires de demander la récupération et la destruction de ces données.

Vous devrez porter en revanche une attention particulière à votre utilisation des données à des fins commerciales. C’est l’esprit même du RGPD de lutter contre les abus sur ce point. Vous utilisez des données qui vous ont été confiées pour une formation à d’autres fins, il vous faudra absolument communiquer clairement sur ces traitements et obtenir le consentement éclairé des personnes.

QUEL EST VOTRE RÔLE ET CELUI DE VISIOFORMATION ?

Il est important de noter que vous, organisme de formation, êtes le responsable de traitement et que VisioFormation est un sous-traitant de votre activité d’organisme de formation.

QUELLES SONT LES OBLIGATIONS RGPD D’UN ORGANISME DE FORMATION ?

L’organisme de formation, responsable de traitement, détermine les finalités et les moyens du traitement des données à caractère personnel.
 Le responsable de traitement est responsable du respect des règles du RGPD en matière de traitement des données à caractère personnel.

Il doit notamment :

• Obtenir le consentement des personnes concernées avant de collecter leurs données à caractère personnel
• Informer les personnes concernées de la manière dont leurs données sont collectées, utilisées et conservées
• Assurer la sécurité des données à caractère personnel
• Limiter la collecte des données à caractère personnel aux données nécessaires à la finalité du traitement
• Supprimer les données à caractère personnel lorsque le traitement n’est plus nécessaire

Le responsable de traitement peut désigner un sous-traitant – VisioFormation par exemple – pour traiter des données à caractère personnel en son nom.
Le sous-traitant est soumis aux mêmes obligations que le responsable de traitement en matière de protection des données.

Le responsable de traitement doit tenir un registre des traitements de données à caractère personnel qu’il effectue.
Ce registre doit notamment indiquer les finalités du traitement, les catégories de données à caractère personnel concernées, les destinataires des données, la durée de conservation des données, et les mesures de sécurité mises en place.

Le responsable de traitement doit également répondre aux demandes des personnes concernées concernant leurs données à caractère personnel. Il doit notamment leur fournir une copie de leurs données à caractère personnel, les informer de la manière dont leurs données sont utilisées, et répondre à leurs demandes de rectification, de suppression ou de limitation du traitement de leurs données.

Le responsable de traitement peut être sanctionné par la Commission nationale de l’informatique et des libertés (CNIL) en cas de non-respect du RGPD. Les sanctions peuvent aller jusqu’à 4 % du chiffre d’affaires mondial annuel de l’organisme, ou 20 millions d’euros, le montant le plus élevé étant retenu.

COMMENT COLLECTER LES DONNÉES DES STAGIAIRES ?

Le RGPD (Règlement général sur la protection des données) est un règlement de l’Union européenne qui a été adopté le 27 avril 2016 et est entré en vigueur le 25 mai 2018. Le RGPD a pour objectif de renforcer et unifier la protection des données personnelles des personnes physiques au sein de l’UE.

Les organismes de formation sont soumis au RGPD dans la mesure où ils collectent et traitent des données personnelles de leurs stagiaires. Les données personnelles sont toutes les informations relatives à une personne physique identifiable, telles que son nom, son prénom, son adresse, son numéro de téléphone, son adresse e-mail, etc.

Pour être en conformité avec le RGPD, les organismes de formation doivent respecter un certain nombre d’obligations, notamment :

• Obtenir le consentement des stagiaires avant de collecter et traiter leurs données personnelles.
• Informer les stagiaires de la manière dont leurs données personnelles sont collectées, utilisées et conservées.
• Limiter la collecte et le traitement des données personnelles aux seules informations nécessaires à la réalisation des finalités pour lesquelles elles sont collectées.
• Garantir la sécurité des données personnelles.
• Effacer les données personnelles des stagiaires lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.

COMMENT UN ORGANISME DE FORMATION PEUT IL SE METTRE EN CONFORMITÉ AVEC LE RGPD ?

Pour mettre en conformité au RGPD votre organisme de formation, vous pouvez commencer par les étapes suivantes :

• Rédiger une politique de confidentialité qui informe les stagiaires de la manière dont leurs données personnelles sont collectées, utilisées et conservées.
• Obtenir le consentement des stagiaires avant de collecter et traiter leurs données personnelles.
• Limiter la collecte et le traitement des données personnelles aux seules informations nécessaires à la réalisation des finalités pour lesquelles elles sont collectées.
• Utiliser des moyens de sécurité adaptés pour protéger les données personnelles contre les accès non autorisés, les altérations, les destructions et la perte.
• Effacer les données personnelles des stagiaires lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.

DEVONS-NOUS DESIGNER UN RESPONSABLE RGPD ?

Il est impératif de désigner dans votre organisme de formation qui sera en charge de la mise en place de la politique de protection des données personnelles dans votre organisme. Cette personne doit avoir le statut et les compétences adéquates.

Le DPO (Délégué à la Protection des Données) est la personne chargée de la mise en place de la politique de protection des données personnelles et d’assurer la protection effective de ces données personnelles dans votre organisme.

Sa désignation est obligatoire pour certaines structures, comme les entités publiques par exemple.
 Même en l’absence d’obligation légale, la désignation d’un DPO est très importante pour toute entreprise. Le DPO peut être interne comme externe, il doit avoir le statut et les compétences adéquates.

DEUX PROCÉDURES À METTRE EN PLACE DANS VOTRE ORGANISME DE FORMATION

Nous vous conseillons de mettre en place deux procédures qui permettent de réagir en cas de violation de données et de demande d’exercice de droit d’un stagiaire.

 

Quelle est la procédure en cas de violation des données ?

Les organismes qui traitent des données personnelles (responsable du traitement ou sous-traitant) doivent prévoir et mettre en place des procédures globales en matière de violation de données personnelles. 

Ces procédures doivent concerner l’ensemble du processus : la mise en place de mesures visant à détecter immédiatement une violation, à l’endiguer rapidement, à analyser les risques engendrés par l’incident et à déterminer s’il convient de notifier l’autorité de contrôle, voire les personnes concernées. Ces procédures participent ainsi à la documentation de la conformité au RGPD.

Toutes les violations ne doivent pas nécessairement être notifiées à l’autorité de contrôle ou aux personnes concernées. Lorsqu’elle est nécessaire, cette information des personnes concernées doit en revanche être la priorité du responsable du traitement, car cela leur permet de prendre des mesures destinées à les protéger de ces risques.

L’obligation de notifier dépend du risque que la violation de données personnelles fait peser sur les droits et libertés des individus dont les données ont été impactées :

Si la violation n’entraîne pas de risque pour les droits et libertés des personnes concernées, le responsable du traitement :

• Doit documenter, en interne sous forme d’un registre, la violation qui vient de se produire ;
• Ne doit pas notifier cette violation ni à la CNIL, qui peut en revanche contrôler cette documentation interne, ni aux personnes concernées.

Si la violation entraîne un risque pour les droits et libertés des personnes concernées, le responsable du traitement :

• Doit documenter, en interne sous forme d’un registre, la violation qui vient de se produire ;
• Doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h.

Si la violation entraîne un risque élevé pour les droits et libertés des personnes concernées, le responsable du traitement :  

• Doit documenter, en interne sous forme d’un registre, la violation qui vient de se produire ;
• Doit notifier cette violation à la CNIL, au plus tôt et dans un délai maximal de 72h ;
• Doit communiquer la violation aux personnes concernées, au plus tôt

 

Quelles est la procédure en cas de demande d’exercice de droit RGPD d’un stagiaire ?

Un stagiaire comme toute personne concernée par le traitement de ses données personnelles bénéficie de droits (droit d’accès, de rectification, d’introduire une réclamation auprès de la CNIL, et sous conditions, le droit d’effacement, de limitation, d’opposition, de retirer son consentement et de s’opposer au traitement de ses données à des fins de marketing). 

Pour exercer ces droits, il convient d’adresser une demande écrite avec les informations nécessaires (coordonnées complètes et copie du titre d’identité) par courrier postal ou e-mail. 

Le responsable de traitement dispose d’un délai de réponse d’un mois. Si pour une raison quelconque il ne peut pas faire suite à une demande, il doit expliquer à la personne concernée pourquoi sa demande a été rejetée.

 

La conformité RGPD de VisioFormation

LE POINT DE CONTACT RGPD: LE DÉLÉGUÉ À LA PROTECTION DES DONNÉES / DPO

VisioFormation a désigné le Cabinet xDPO en tant que délégué à la protection des données (DPO) que vous pouvez contacter en cas de question concernant le RGPD, joignable à rgpd@visioformation.fr

Un délégué à la protection des données (DPO) est une personne qui est responsable de la protection des données personnelles au sein d’une organisation. Le DPO est chargé de veiller à ce que l’organisation respecte toutes les lois et réglementations applicables en matière de protection des données.

Le DPO doit accomplir un certain nombre de tâches, notamment :

• Conseiller l’organisation sur les meilleures pratiques en matière de protection des données ;
• Superviser la mise en œuvre des politiques et procédures de protection des données ;
• Former les employés sur la protection des données ;
• Répondre aux demandes des personnes concernées concernant leurs données personnelles ;
• Coordonner avec les autorités de protection des données (la CNIL en France).

Le DPO joue un rôle important dans la protection des données personnelles des personnes. En veillant à ce que l’organisation respecte toutes les lois et réglementations applicables, le DPO aide à garantir que les données personnelles sont collectées, utilisées et stockées de manière sécurisée et conforme à la loi.

Le rôle du DPO est défini par le règlement général sur la protection des données (RGPD). Le RGPD exige que toutes les organisations qui traitent des données personnelles de personnes situées dans l’Union européenne désignent un DPO si elles remplissent certains critères, notamment si elles traitent des données à grande échelle ou des données sensibles.

LES DONNÉES PERSONNELLES TRAITÉES PAR VISIOFORMATION

VisioFormation traite deux types de données personnelles de ses clients :

Les données des utilisateurs

Elles sont visibles et éditables dans leur compte VisioFormation.  Les données requises dans un compte utilisateur sont celles légitimement nécessaires pour le fonctionnement du service. Un utilisateur peut exporter ses données depuis son compte, et demander d’avoir son compte définitivement détruit en nous contactant à rgpd@visioformation.fr.

Les données des stagiaires

VisioFormation met à votre disposition divers moyen pour stocker des données sur vos stagiaires (champs éditables, chargement de fichiers, notes). La seule donnée requise par le logiciel est le nom de famille. Les autres données ne doivent être collectées et stockées qu’en cas de nécessité dans le cadre de votre activité.

Si un de vos stagiaire vous demande l’export ou la destruction de ses données personnelles, vous avez plusieurs fonctions utilisables dans votre compte VisioFormation.

MESURES TECHNIQUES DE PROTECTION DES DONNÉES PRISES PAR VISIOFORMATION

Tous les échanges de données entre votre navigateur web et le serveur VisioFormation sont chiffrées par le protocole SSL.

Les données de votre compte ne sont accessibles qu’avec votre identifiant et mot de passe. 

Les serveurs VisioFormation sont situés en Europe (Allemagne) dans le datacenter Hetzner via l’hébergeur d’applications web Hetzner. Ce datacenter est certifié ISO 27001 (https://www.hetzner.com/unternehmen/zertifizierung/). Les bases de données sont protégées en continu par sauvegarde physique, et les données sont chiffrées sur les disques.

Nous utilisons des solutions cloud pour gérer ou communiquer avec nos clients. La liste des solutions utilisées est listée dans notre Politique de confidentialité et d’utilisation des données personnelles.

OÙ SONT HÉBERGÉES LES DONNÉES DANS VISIOFORMATION ?

Les serveurs VisioFormation sont situés en Europe (Allemagne) dans le datacenter Hetzner via l’hébergeur d’applications web Hetzner.

LES HÉBERGEMENTS SONT ILS CONFORMES AU RGPD ?

Oui !
Toutes les données de VisioFormation transférées vers le Datacenter européen sont protégées par différentes mesures techniques et organisationnelles. 

La conformité RGPD de notre hébergeur Hetzner est décrite ici :
 https://www.hetzner.com/legal/privacy-policy/

 

QUELLES SONT LES MESURES TECHNIQUES MISES EN ŒUVRE ?

Tous les échanges de données entre votre navigateur web et le serveur VisioFormation sont chiffrées par le protocole SSL. 

Les données de votre compte ne sont accessibles qu’avec votre identifiant et mot de passe. Les données sont hébergées sur un datacenter qui est certifié ISO 27001. 

Les bases de données sont protégées en continu par sauvegarde physique, et les données sont chiffrées sur les disques.