Un organisme de formation échange des données avec ses futurs stagiaires tout au long du processus de vente puis de formation. Dans le cadre du RGPD, l’organisme de formation doit sécuriser ses flux pour éviter tout risque de fuite de données. Olivier Mondin, dirigeant de IMPACT RGPD, cabinet et organisme de formation spécialisé dans la formation RGPD, nous aide à décrypter les exigences des OF tout au long de ce processus. Rappelons que le secteur de la formation n’est pas épargné par la fuite de données. Un organisme national a subi une attaque informatique d’ampleur en avril 2021 au cours de laquelle des données personnelles ont été affectées.
On compte 5 étapes dans ce processus d’échanges de données, car avant d’être apprenant, le futur stagiaire est dans un premier temps un prospect! C’est d’ailleurs le point de départ du processus.
Dès les premiers échanges avec un prospect, un organisme de formation doit gérer le transfert des données de manière sécurisée. Un prospect peut entrer en contact avec un OF de différentes manières (mail, formulaire en ligne….). Dans le cas du formulaire en ligne, l’OF doit informer le prospect de l’usage de ses données et respecter son anonymat. Un visiteur de site doit rester anonyme et ne pas être tracké sauf s’il donne son consentement pour être suivi et identifié. Pour suivre les lignes directrices de la CNIL, l’OF doit donc recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs.
Conseils de l’expert RGPD
>>> Lors du recueil des données personnelles des prospects via un formulaire, il faut collecter le minimum de données (nom, prénom, email) et les informer de l’usage des données.
Exemple de texte : Les informations recueillies sur ce formulaire seront enregistrées dans un fichier informatisé pour l’établissement d’un fichier clients/prospects utilisé exclusivement par notre service commercial qui prendra contact avec vous. Pour en savoir plus sur vos données personnelles cliquez ici (un lien est mis vers une page de données personnelles regroupant toutes les informations obligatoires à communiquer aux personnes qui nous confient leurs données personnelles).
>>> En ce qui concerne la conformité RGPD vis à vis de cookies, il existe une solution recommandée par la CNIL (en open source et française) : tarteaucitron.js. D’autres solutions existent, y compris de mesures d’audience qui peuvent être installées sans consentement de l’internaute (https://www.cnil.fr/fr/solutions-de-mesure-daudience-exemptees-de-consentement-la-cnil-lance-un-programme-devaluation).
Au cours de la phase commerciale, plusieurs types de données sont échangées et en plus grand nombre : devis, convention de formation, particularités de la formation. L’email, s’il constitue un très bon moyen d’entrer en contact, n’est pas un moyen d’échange sécurisé d’information. Ainsi et dès cette étape, il est très fortement recommandé de mettre en place un système sécurisé de dépôt / échange de documents entre l’OF et son stagiaire ou son entreprise. Il est préférable d’utiliser des plateformes de gestion qui gère le dépôt sécurisé de documents.
Conseils de l’expert RGPD
>>> La plupart des logiciels CRM spécialisés dans la gestion des OF ont cette fonction (Dendreo, Ypareo, Digiforma…).
>>> D’autres organismes préfèrent utiliser des plateformes dédiées, soit à travers des univers Cloud classiques, soit à travers des outils dédiés aux échanges de documents (wetransfer, sharepoint, lockself…etc.). Les solutions américaines de Cloud comme One Drive, Google Drive ou Dropbox sont sécurisées pour le transfert mais peuvent être faillibles sur le stockage de données principalement à cause des lois du pays (Cloud Act, Terrorist Act permettent aux administrations US de demander aux entreprises américaines de leur fournir toutes les données qu’ils détiennent ou stockent y compris pour le compte de tiers).
>>> La plateforme lockself est une solution française qui sécurise à la fois le transfert et le stockage.
>>> La solution seafile est une plateforme open source qui s’installe en local et devient une solution interne.
C’est lors de l’inscription de l’apprenant que le prestataire de formation va récupérer toutes ses données “réglementaires”. Certaines d’entre elles sont des données personnelles comme la copie d’une pièce d’identité. D’autres peuvent même être classées dans la catégorie des données sensibles. C’est le cas des données de santé informant de la situation de handicap de l’apprenant. Les informations relatives aux infractions ou condamnations, même si elles ne sont pas considérées comme des données sensibles, feront l’objet de la même attention et du même niveau de protection. On peut avoir des informations de type condamnation pénale et infraction, c’est la cas, par exemple, lors du recueil du nombre de points du permis (pour les stages de récupération) ou le recueil de l’extrait B3 du casier judiciaire d’un apprenant ou d’un formateur.
Conseils de l’expert RGPD
Les données “sensibles” exigent que l’on prenne des mesures particulières pour leur transmission et stockage. Ainsi aucune donnée sensible ne peut être stockée dans un système informatique sans avoir été préalablement chiffrée ou que le support de stockage soit lui-même un support chiffré par défaut.
Au cours de la formation, on dénombre là aussi des échanges abondants et divers de données personnelles. On peut citer plusieurs exemples : copies d’examen, feuille ou système d’émargement, travaux individuels et en groupe, captures audios et vidéo. Il est important d’identifier où sont scannés et/ou enregistrés ces documents afin de cartographier ces mouvements. Il est nécessaire de s’assurer que les transferts de données sont sécurisés que ce soit entre deux individus, entre un individu et un système ou entre deux systèmes entre eux.
Conseils de l’expert RGPD
Dans le cadre de cette démarche, il sera opportun de vérifier, par exemple, que le prestataire d’imprimante n’a pas le moyen d’interroger à distance le copieur qui a enregistré les 5, 20, 50, 100 derniers scans effectués.
Enfin, une fois la prestation réalisée, les échanges de données se poursuivent avec les stagiaires (envoi des attestations et/ou des diplômes) avec les employeurs et organismes payeurs (questionnaire de satisfaction employeur). Tous ces échanges méritent la même attention. Notons qu’à cette dernière étape, un point de vigilance supplémentaire doit être porté par les organismes de formation sur la durée de stockage et les méthodes de destruction.
Par exemple et conformément à l’article Article R6313-4, «l’organisme prestataire de bilans de compétences procède à la destruction des documents élaborés pour la réalisation du bilan de compétences, dès le terme de l’action ».
Un autre exemple, en lien avec les contrôles du GIE D2OF Datadock au cours desquels les OF peuvent être amenés à transmettre des documents comprenant des données personnelles des bénéficiaires des actions contrôlées. Si un document comporte le numéro d’identification des bénéficiaires (bulletin de salaire), l’organisme prendra soin de masquer cette information avant transmission des documents. Les documents transmis sont détruits de manière systématique au bout de deux ans.
Sources:
https://www.legifrance.gouv.fr/codes/id/LEGISCTA000038014105/2020-10-14/
https://www.data-dock.fr/sites/default/files/Charte%20contr%C3%B4les%202022.pdf
