Le règlement général de l’Union européenne sur la protection des données (RGPD) entre en vigueur le 25 mai 2018. De quoi s’agit-il précisément ? Quel impact pour les organismes de formation et comment se préparer au mieux pour être en conformité ?
Attention : cet article ne constitue en aucun cas un conseil juridique. Pour obtenir des réponses précises à vos questions, consultez un avocat ou visitez le site de la CNIL.
Le RGPD, qu’est-ce que c’est ?
Le règlement général de l’Union européenne sur la protection des données (RGPD, désigné parfois par l’acronyme anglais GDPR) entrera en application dans les pays membres de l’Union européenne le 25 mai 2018. Le but de ce nouveau règlement est de renforcer le cadre de la protection des données au sein des entreprises et des organisations et, à terme, de mieux protéger les particuliers.
Le RGPD s’articule autour de trois principes : la responsabilisation des entreprises, la coresponsabilité des sous-traitants et la protection des données dès la conception (privacy by design).
Pourquoi un nouveau règlement sur la protection des données ?
Au vu des récentes évolutions technologiques, notamment l’apparition des objets connectés et l’explosion du big data et de l’intelligence artificielle, la législation existante (la loi Informatique et libertés en France) était devenue obsolète. L’Union européenne a donc estimé nécessaire de mettre en place un nouveau règlement, plus contraignant pour les entreprises et plus protecteur pour les consommateurs.
Le RGPD a pour but de mieux protéger les particuliers en renforçant leurs droits, notamment le droit à l’information, le recueil du consentement, ou encore le droit à l’oubli. À noter que le règlement s’applique également aux entreprises situées hors de l’Union européenne et qui collectent des données sur les résidents européens.
L’un des principes majeurs du RGPD est l’accountability, c’est-à-dire la responsabilisation et la transparence des professionnels amenés à traiter des données sensibles.
Les sanctions prévues sont bien plus lourdes qu’auparavant, il est donc essentiel que les entreprises s’y préparent correctement.
L’impact du RGPD pour les organismes de formation
Au même titre que toutes les autres entreprises, les organismes de formation (OF) sont bien entendu concernés par l’entrée en vigueur du RGPD. Dans le cadre de votre activité, vous pouvez être amenés à collecter des données à caractère personnel, telles que le nom, l’âge ou les coordonnées de vos stagiaires. Autant d’informations que la loi européenne vous oblige à protéger.
Les obligations du RGPD concernent également les sous-traitants, c’est-à-dire tout organisme qui traite des données personnelles pour le compte d’un autre organisme dans le cadre d’un service ou d’une prestation.
Concrètement, les organismes de formation devront :
- tenir un registre des données collectées mentionnant le but de la collecte et la durée d’exploitation prévue ;
- évaluer et, le cas échéant, instaurer des procédures en interne (gestion des réclamations et des demandes de modification ou de suppression des données, notification en cas de fuite de données, etc.) ;
- identifier et gérer les risques liés au traitement des données ;
- maintenir une documentation assurant la traçabilité des mesures de prévention.
Comment les organismes de formation peuvent-ils se préparer pour être en conformité ?
- Si l’entreprise ou l’organisme public traite des données sensibles à grande échelle, la désignation d’un délégué à la protection des données personnelles est obligatoire. Même si vous n’êtes pas concernés par cette obligation (données personnelles et données sensibles étant deux concepts différents), la CNIL vous recommande de désigner en interne une personne chargée de piloter la mise en conformité de vos activités.
- Cartographiez le traitement actuel des données personnelles au sein de votre OF : quelles données traitez-vous et lesquelles sont particulièrement sensibles ? Qui traite les données (employés, sous-traitants, organisations externes, services cloud) ? Quelle est la finalité de la collecte et du traitement des données ? Quelle est leur durée de conservation ? Quelles sont les mesures de sécurité déjà en place pour protéger ces données collectées ?
- Définissez des actions prioritaires : sur la base de ce recensement détaillé, vous êtes maintenant en mesure de définir des actions à mettre en place. Si vous faites appel à des sous-traitants, vérifiez vos contrats et assurez-vous qu’ils connaissent leurs obligations. Déterminez les mesures de sécurité supplémentaires à mettre en place.
- Identifiez les risques : une évaluation complète des risques liés à votre traitement des données personnelles vous permettra de mettre en place les mesures de protection et de prévention appropriées. Ces actions dépendront du caractère sensible ou non des données. En cas d’intrusion ou de vol de données, la CNIL doit en être informée dans les 24 heures.
- (Ré)organisez vos processus en interne : anticipez les failles de sécurité et les violations de données personnelles. Mettez en place des procédures de traitement des réclamations (suppression et modification des données, information des personnes en cas de violation des données, etc.). De manière générale, la protection des données personnelles doit être intégrée à votre réflexion dès la conception de vos services et du traitement.
- Documentez vos processus : le règlement européen oblige les organismes à documenter leurs processus afin de prouver leur conformité. Cette obligation comprend entre autres un registre obligatoire des traitements, les contrats avec les sous-traitants, l’encadrement des transferts hors de l’Union européenne, ou encore les procédures enclenchées en cas de violation des données.
Mise à jour 14 avril 2021 : La CNIL propose un nouveau guide pour mettre votre entreprise en conformité.
Il est à la fois important d’être en conformité avec le RGPD (GDPR – General Data Protection Regulation – RGPD anglais) mais également de maintenir votre conformité, car la législation évolue. Le guide de la CNIL ressemble à un « guide rgpd pour les nuls » mais c’est avant tout un outil clé pour comprendre qu’est-ce que la RGPD.
Pour aller plus loin, vous pouvez consulter le site de légifrance pour avoir le texte original disponible sur la page de LOI de 2018. Cet exemple de texte n’est pas uniquement applicable en France, mais à l’ensemble des pays de l’UE.
Les grandes étapes sont donc la constitution d’un registre de vos traitements de données, le fait de faire le tri dans vos données, le respect des droits des personnes et aussi la sécurité de vos données.
Conclusion
Le 25 mai 2018 est une date fatidique. Les entreprises qui ne se mettent pas en conformité avec le RGPD s’exposeront à des sanctions très lourdes.
Les changements apportés par ce nouveau règlement peuvent paraître contraignants, notamment pour les petites structures. Pour vous aider à vous mettre en conformité, la CNIL propose un dossier complet, avec des modèles de registre et d’autres documents très utiles.
Bonjour,
savez vous si en passant par votre outil de gestion des centre de formations nous serons aux normes ou si il y aura encore énormément de choses à faire pour être en règle ? car au final les données des stagiaires seront sur votre plateforme et nous n’en auront aucune trace non dématérialisées.
Bonjour,
Si vous parler de notre logiciel Digiforma, je vous invite à lire la page sur la conformité RGPD du logiciel.
De manière plus général, il faut que votre fournisseur de service soit en conformité avec la réglementation RGPD, mais cela n’exclue pas votre responsabilité à tenir un registre des données collectées, à évaluer et, le cas échéant, instaurer des procédures en interne, à identifier et gérer les risques liés au traitement des données à maintenir une documentation assurant la traçabilité.