Gestion de la formation - 25/09/2025

Formation et RGPD : tout ce qu’il faut savoir en tant que responsable formation

Chaque fois qu’un salarié est inscrit à une action de formation, ses données personnelles sont collectées et transmises aux organismes de formation ou aux formateurs concernés. Le même principe s’applique lorsqu’un collaborateur crée un compte sur une plateforme de e-learning ou lorsque son profil est enregistré dans un logiciel de gestion de la formation.

Dans ces situations, une question centrale se pose : comment assurer le respect du RGPD ? À qui revient la responsabilité de protéger les données des collaborateurs ? Quelles pratiques adopter pour rester en conformité avec le Règlement Général sur la Protection des Données ?

Voici un éclairage sur les bonnes pratiques à mettre en place pour un responsable formation, que ce soit dans le cadre d’une sous-traitance auprès d’organismes externes ou lors de l’utilisation d’outils numériques tels qu’un LMS ou un TMS.

RGPD : bref rappel

Le Règlement Général sur la Protection des Données (RGPD – règlement UE 2016/679) encadre, à l’échelle européenne, la collecte et le traitement des données à caractère personnel. Applicable depuis le 25 mai 2018, il concerne toute entité – entreprise, organisme public, association, indépendant ou même particulier – dès lors qu’elle manipule ce type de données personnelles. Les responsables formation entrent donc pleinement dans son champ d’application.

L’objectif du RGPD est double : d’une part, renforcer les droits des personnes dont les données sont collectées et, d’autre part, responsabiliser les acteurs qui les traitent. Pensé pour répondre aux mutations technologiques et au développement du numérique, ce règlement s’inscrit dans la continuité de la loi française Informatique et Libertés de 1978, tout en uniformisant les règles à l’échelle européenne.

Comment définir une donnée personnelle ?

On appelle « donnée à caractère personnel » toute information permettant d’identifier une personne physique, que ce soit de manière directe ou indirecte. Cela peut aller d’éléments très évidents comme le nom, l’adresse ou le numéro de téléphone, à des informations moins visibles comme une adresse IP, des données de géolocalisation, l’historique de navigation en ligne, les préférences de consommation ou encore les cookies enregistrés sur un site.

Certaines catégories de données sont considérées comme particulièrement sensibles et doivent faire l’objet d’une vigilance accrue. C’est notamment le cas des données personnelles relatives à la santé, aux convictions religieuses ou philosophiques, à l’origine raciale ou ethnique, aux opinions politiques, à l’appartenance syndicale ou encore à la vie sexuelle.

RGPD et formation : qui est concerné par la gestion des données personnelles ?

Dans le cadre d’une action de formation, ce sont principalement les données personnelles des stagiaires et des formateurs qui sont traitées. Plusieurs acteurs s'avèrent impliqués dans ce traitement : les services des ressources humaines, les responsables de formation, les organismes de formation partenaires, et parfois les formateurs eux-mêmes.

L'exploitation de ces données répond à différents besoins de gestion, parmi lesquels :

• organiser les inscriptions et suivre les présences
• établir la facturation
• assurer la communication entre les parties prenantes
• mesurer et analyser l’efficacité des formations par des évaluations.

Que prévoit le RGPD concernant le traitement des données à caractère personnel ?

L’article 5 du Règlement Général sur la Protection des Données (RGPD) pose les grands principes qui encadrent tout traitement de données à caractère personnel. Ces règles constituent la base même du dispositif RGPD et s’imposent à toute organisation ou personne qui détermine pourquoi et comment ces données sont utilisées — autrement dit, au « responsable de traitement ». Or, ce responsable n’est généralement autre que le responsable formation dans le cadre de la mise en place d’un plan de développement de compétences.

Six principes clés doivent alors être appliqués par ce professionnel ou le service RH :

• Licéité, loyauté et transparence : une personne (en l’occurrence le salarié apprenant ou un formateur) dont les données sont exploitées doit être clairement informée de l’existence du traitement, de ses finalités, et y avoir consenti, sauf si une autre base légale le justifie.
• Finalité déterminée : les informations personnelles recueillies ne peuvent être utilisées que dans le cadre d’objectifs précis, explicites et légitimes.
• Minimisation des données : seules les données strictement nécessaires doivent être collectées, en lien direct avec les finalités poursuivies.
• Exactitude : les données personnelles doivent rester justes et, le cas échéant, faire l'objet d'une actualisation.
• Limitation de la durée de conservation : les données personnelles ne doivent pas être stockées plus longtemps que nécessaire pour atteindre les finalités initialement fixées.
• Intégrité et confidentialité : les traitements doivent garantir la sécurité, la protection et la confidentialité des données. Cela suppose la mise en place de mesures de protection des données dès la conception des systèmes et par défaut, ainsi qu’une sensibilisation des employés et partenaires à la confidentialité de ces données.

Comment justifier sa conformité au RGPD ?

Le RGPD introduit également une nouveauté majeure : il ne suffit plus de se conformer aux règles. Le responsable de traitement des données doit être capable de prouver à tout moment qu’il les respecte. Par contre, contrairement au régime précédent, le responsable de traitement n’a pas d’obligation de déclaration préalable auprès de la CNIL.

À noter : les sanctions en cas de manquement aux règles du RGPD peuvent être particulièrement lourdes : elles vont d’un simple avertissement à des amendes pouvant s’élever à plusieurs millions d’euros, et concernent sans distinction toutes les structures, quelle que soit leur taille.

Quels droits le RGPD reconnaît-il aux propriétaires des données collectées ?

Le Règlement général sur la protection des données accorde aux individus un panel de droits pour mieux maîtriser l’usage de leurs informations personnelles. Parmi eux figurent :

• le droit d’être informé sur la manière dont leurs données sont collectées et utilisées
• le droit d’accéder aux informations détenues à leur sujet
• le droit de demander la correction de données inexactes
• le droit à l’effacement (souvent appelé « droit à l’oubli »)
• le droit de récupérer et de transférer leurs données à un autre organisme (portabilité)
• ainsi que le droit de s’opposer à certains traitements.

RGPD et formation : quels défis ?

Dans le domaine de la formation professionnelle ou académique, l’application du RGPD entraîne des défis spécifiques. Les responsables formation tout comme les organismes de formation doivent en particulier veiller à la façon dont les données personnelles des apprenants sont collectées, exploitées, partagées ou conservées.

Comment se conformer au RGPD en tant que responsable formation ?

Un responsable formation doit intégrer la protection des données dans l’ensemble de ses pratiques. Cela implique notamment :

• Recueillir un consentement clair et explicite de toutes les parties concernées (apprenants, formateurs, financeurs) avant toute collecte ou traitement de données.
• Limiter la collecte aux seules informations nécessaires, dans un objectif précis et légitime, et ne pas conserver ces données au-delà du temps strictement requis.
• Mettre en place des mesures de sécurité adaptées pour protéger les données contre toute perte, altération, accès ou divulgation non autorisés, notamment lors de chaque traitement de données. Cela inclut par exemple le chiffrement, la gestion stricte des accès, la tenue d’un registre des traitements et la sauvegarde régulière des bases.
• Respecter et faciliter l’exercice des droits des apprenants, en leur permettant de consulter, corriger, supprimer ou s’opposer au traitement de leurs données.

Remarque : l’expression « traitement des données » est large et englobe toute opération effectuée sur des données personnelles, qu’elles soient stockées sur support papier ou numérique. Cela inclut par exemple :

• l’enregistrement ou le classement d’informations dans des fichiers ou bases de données
• leur conservation ou archivage
• toute mise à jour ou modification
• la consultation ou l’extraction d’éléments
• l’utilisation des données dans le cadre d’une activité (gestion des services, suivi pédagogique, relation client)
• leur communication à un tiers, comme un partenaire ou un sous-traitant
• ou encore leur diffusion via une plateforme ou un logiciel.

Inscription à des formations externalisées : comment gérer le RGPD et les organismes de formation ?

Les organismes de formation sont pleinement soumis aux règles du RGPD. La conformité ne se résume pas à l’utilisation d’outils « labellisés RGPD » : c’est un véritable travail interne à conduire. Chaque organisme de formation doit définir une politique claire sur la manière dont il collecte, conserve et exploite les données personnelles de ses clients et stagiaires, quelle que soit la forme de stockage choisie ou les traitements appliqués.

Dans la pratique, la plupart des opérations (réalisées par un organisme de formation) nécessaires au bon déroulement d’une formation ne posent pas de difficulté particulière au niveau RGPD. Pour rester dans le cadre légal, l’organisme doit simplement :

• protéger efficacement les informations confiées par le responsable formation
• se limiter aux données strictement indispensables et ne les garder que le temps nécessaire
• permettre à toute personne concernée de récupérer ou de supprimer ses données à sa demande.

Pour les organismes de formation, le point de vigilance principal concerne l’usage commercial des données. En effet, le RGPD vise précisément à éviter les utilisations non consenties pour ce type de démarche. Ainsi, si un organisme de formation souhaite réutiliser les données collectées pour d’autres objectifs que la formation elle-même, il doit en informer clairement les personnes concernées et recueillir leur consentement explicite.

Pour un responsable formation, il est donc essentiel, lors du choix d’un prestataire externe, de vérifier que celui-ci applique bien ces règles du RGPD et garantit la sécurité ainsi que la transparence dans le traitement des données personnelles.

Les éditeurs de logiciels de formation et de gestion de la formation

Si les organismes de formation sont concernés par le respect du RGPD, il en va de même des plateformes utilisées pour la formation. Qu’il s’agisse d’un LMS (Learning Management System, pour la mise en ligne de contenus pédagogiques) ou d’un TMS (Training Management System, destiné à gérer administrativement la formation), ces outils occupent le rôle de sous-traitants des données des salariés, confiées par l’entreprise cliente par l’intermédiaire du responsable formation.

À ce titre, ces plateformes ou logiciels doivent garantir leur conformité aux obligations légales en matière de protection des données et offrir aux entreprises clientes la possibilité de contrôler l’utilisation qui en est faite.

Cette précaution de la part des concepteurs de ces outils est essentielle : elle protège l’entreprise contre les risques de non-conformité, qui peuvent induire l’attribution d’amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel. Sans compter la perte de confiance induite par une mise en demeure publique de la CNIL.

Aussi, avant de retenir un logiciel de gestion de la formation ou une plateforme de formation en ligne, il s’avère donc indispensable pour le responsable formation de vérifier que l’éditeur dispose bien des preuves de conformité au RGPD nécessaires.

Chez Training Square, par exemple, chaque client reçoit les informations détaillant le respect des exigences du RGPD par notre TMS. Nous permettons également aux entreprises de procéder à des vérifications afin qu’elles puissent s’assurer, en toute transparence, de notre conformité.

En conclusion

Le respect du RGPD est aujourd’hui un enjeu incontournable pour tout responsable formation. En tant que véritable garant de la protection des données personnelles des collaborateurs, il doit veiller non seulement à ses propres pratiques internes (collecte raisonnée, sécurisation, information claire des apprenants), mais aussi à celles de ses partenaires et prestataires.

Le choix d’un organisme de formation ou d’une solution numérique (LMS, TMS, plateforme de e-learning) ne peut donc pas se limiter à des critères pédagogiques ou budgétaires : il doit impérativement intégrer la dimension juridique et sécuritaire. Vérifier la conformité RGPD d’un prestataire, exiger des garanties écrites, s’assurer de la traçabilité des traitements et de la possibilité pour les apprenants d’exercer leurs droits sont autant de précautions indispensables.

Cette vigilance, loin d’être une contrainte administrative, contribue à instaurer un climat de confiance entre l’entreprise, ses collaborateurs et ses partenaires, tout en protégeant l’organisation contre des sanctions financières importantes ou la dégradation de son image de marque.

Jérôme Lesage
Le blog de la formation

1. Pourquoi le RGPD concerne-t-il directement les responsables formation ?

Parce qu’ils collectent les données personnelles des salariés et des formateurs à chaque inscription et les transmettent à des outils ou à des organismes externes.

2. Quelles règles de base doivent-ils respecter pour se conformer au RGPD ?

Informer clairement les personnes, ne collecter que l’essentiel, sécuriser les données, les conserver seulement le temps nécessaire et permettre aux collaborateurs d’exercer leurs droits (accès, correction, suppression, etc.).

3. Quelles précautions prendre avec les prestataires et outils numériques ?

Un responsable formation doit vérifier que l’organisme de formation ou le logiciel choisi respecte bien le RGPD, applique des mesures de sécurité solides et peut fournir des preuves de conformité. Cette vigilance évite les sanctions, protège l’entreprise et renforce la confiance des salariés.

Avez-vous entamé
votre transformation digitale ?

Découvrez tous les bénéfices de la plateforme
Training Square !

La rédaction vous conseille : 

Évaluation d'efficience : les clés pour mesurer l’impact des formations

Formation transformation digitale : le secret des entreprises à succès

Datadock Formation : toujours garant de la qualité des formations ?

Connaissez-vous le glossaire de la formation ?

Toutes les définitions et ressources importantes de l'univers de la formation...