Chaque fois qu’un salarié est inscrit à une action de formation, ses données personnelles sont collectées et transmises aux organismes de formation ou aux formateurs concernés. Le même principe s’applique lorsqu’un collaborateur crée un compte sur une plateforme de e-learning ou lorsque son profil est enregistré dans un logiciel de gestion de la formation.
Dans ces situations, une question centrale se pose : comment assurer le respect du RGPD ? À qui revient la responsabilité de protéger les données des collaborateurs ? Quelles pratiques adopter pour rester en conformité avec le Règlement Général sur la Protection des Données ?
Voici un éclairage sur les bonnes pratiques à mettre en place pour un responsable formation, que ce soit dans le cadre d’une sous-traitance auprès d’organismes externes ou lors de l’utilisation d’outils numériques tels qu’un LMS ou un TMS.
Le Règlement Général sur la Protection des Données (RGPD – règlement UE 2016/679) encadre, à l’échelle européenne, la collecte et le traitement des données à caractère personnel. Applicable depuis le 25 mai 2018, il concerne toute entité – entreprise, organisme public, association, indépendant ou même particulier – dès lors qu’elle manipule ce type de données personnelles. Les responsables formation entrent donc pleinement dans son champ d’application.
L’objectif du RGPD est double : d’une part, renforcer les droits des personnes dont les données sont collectées et, d’autre part, responsabiliser les acteurs qui les traitent. Pensé pour répondre aux mutations technologiques et au développement du numérique, ce règlement s’inscrit dans la continuité de la loi française Informatique et Libertés de 1978, tout en uniformisant les règles à l’échelle européenne.
On appelle « donnée à caractère personnel » toute information permettant d’identifier une personne physique, que ce soit de manière directe ou indirecte. Cela peut aller d’éléments très évidents comme le nom, l’adresse ou le numéro de téléphone, à des informations moins visibles comme une adresse IP, des données de géolocalisation, l’historique de navigation en ligne, les préférences de consommation ou encore les cookies enregistrés sur un site.
Certaines catégories de données sont considérées comme particulièrement sensibles et doivent faire l’objet d’une vigilance accrue. C’est notamment le cas des données personnelles relatives à la santé, aux convictions religieuses ou philosophiques, à l’origine raciale ou ethnique, aux opinions politiques, à l’appartenance syndicale ou encore à la vie sexuelle.
Dans le cadre d’une action de formation, ce sont principalement les données personnelles des stagiaires et des formateurs qui sont traitées. Plusieurs acteurs s'avèrent impliqués dans ce traitement : les services des ressources humaines, les responsables de formation, les organismes de formation partenaires, et parfois les formateurs eux-mêmes.
L'exploitation de ces données répond à différents besoins de gestion, parmi lesquels :
L’article 5 du Règlement Général sur la Protection des Données (RGPD) pose les grands principes qui encadrent tout traitement de données à caractère personnel. Ces règles constituent la base même du dispositif RGPD et s’imposent à toute organisation ou personne qui détermine pourquoi et comment ces données sont utilisées — autrement dit, au « responsable de traitement ». Or, ce responsable n’est généralement autre que le responsable formation dans le cadre de la mise en place d’un plan de développement de compétences.
Six principes clés doivent alors être appliqués par ce professionnel ou le service RH :
Le RGPD introduit également une nouveauté majeure : il ne suffit plus de se conformer aux règles. Le responsable de traitement des données doit être capable de prouver à tout moment qu’il les respecte. Par contre, contrairement au régime précédent, le responsable de traitement n’a pas d’obligation de déclaration préalable auprès de la CNIL.
À noter : les sanctions en cas de manquement aux règles du RGPD peuvent être particulièrement lourdes : elles vont d’un simple avertissement à des amendes pouvant s’élever à plusieurs millions d’euros, et concernent sans distinction toutes les structures, quelle que soit leur taille.
Le Règlement général sur la protection des données accorde aux individus un panel de droits pour mieux maîtriser l’usage de leurs informations personnelles. Parmi eux figurent :
Dans le domaine de la formation professionnelle ou académique, l’application du RGPD entraîne des défis spécifiques. Les responsables formation tout comme les organismes de formation doivent en particulier veiller à la façon dont les données personnelles des apprenants sont collectées, exploitées, partagées ou conservées.
Un responsable formation doit intégrer la protection des données dans l’ensemble de ses pratiques. Cela implique notamment :
Remarque : l’expression « traitement des données » est large et englobe toute opération effectuée sur des données personnelles, qu’elles soient stockées sur support papier ou numérique. Cela inclut par exemple :
Les organismes de formation sont pleinement soumis aux règles du RGPD. La conformité ne se résume pas à l’utilisation d’outils « labellisés RGPD » : c’est un véritable travail interne à conduire. Chaque organisme de formation doit définir une politique claire sur la manière dont il collecte, conserve et exploite les données personnelles de ses clients et stagiaires, quelle que soit la forme de stockage choisie ou les traitements appliqués.
Dans la pratique, la plupart des opérations (réalisées par un organisme de formation) nécessaires au bon déroulement d’une formation ne posent pas de difficulté particulière au niveau RGPD. Pour rester dans le cadre légal, l’organisme doit simplement :
Pour les organismes de formation, le point de vigilance principal concerne l’usage commercial des données. En effet, le RGPD vise précisément à éviter les utilisations non consenties pour ce type de démarche. Ainsi, si un organisme de formation souhaite réutiliser les données collectées pour d’autres objectifs que la formation elle-même, il doit en informer clairement les personnes concernées et recueillir leur consentement explicite.
Pour un responsable formation, il est donc essentiel, lors du choix d’un prestataire externe, de vérifier que celui-ci applique bien ces règles du RGPD et garantit la sécurité ainsi que la transparence dans le traitement des données personnelles.
Si les organismes de formation sont concernés par le respect du RGPD, il en va de même des plateformes utilisées pour la formation. Qu’il s’agisse d’un LMS (Learning Management System, pour la mise en ligne de contenus pédagogiques) ou d’un TMS (Training Management System, destiné à gérer administrativement la formation), ces outils occupent le rôle de sous-traitants des données des salariés, confiées par l’entreprise cliente par l’intermédiaire du responsable formation.
À ce titre, ces plateformes ou logiciels doivent garantir leur conformité aux obligations légales en matière de protection des données et offrir aux entreprises clientes la possibilité de contrôler l’utilisation qui en est faite.
Cette précaution de la part des concepteurs de ces outils est essentielle : elle protège l’entreprise contre les risques de non-conformité, qui peuvent induire l’attribution d’amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel. Sans compter la perte de confiance induite par une mise en demeure publique de la CNIL.
Aussi, avant de retenir un logiciel de gestion de la formation ou une plateforme de formation en ligne, il s’avère donc indispensable pour le responsable formation de vérifier que l’éditeur dispose bien des preuves de conformité au RGPD nécessaires.
Chez Training Square, par exemple, chaque client reçoit les informations détaillant le respect des exigences du RGPD par notre TMS. Nous permettons également aux entreprises de procéder à des vérifications afin qu’elles puissent s’assurer, en toute transparence, de notre conformité.
Le respect du RGPD est aujourd’hui un enjeu incontournable pour tout responsable formation. En tant que véritable garant de la protection des données personnelles des collaborateurs, il doit veiller non seulement à ses propres pratiques internes (collecte raisonnée, sécurisation, information claire des apprenants), mais aussi à celles de ses partenaires et prestataires.
Le choix d’un organisme de formation ou d’une solution numérique (LMS, TMS, plateforme de e-learning) ne peut donc pas se limiter à des critères pédagogiques ou budgétaires : il doit impérativement intégrer la dimension juridique et sécuritaire. Vérifier la conformité RGPD d’un prestataire, exiger des garanties écrites, s’assurer de la traçabilité des traitements et de la possibilité pour les apprenants d’exercer leurs droits sont autant de précautions indispensables.
Cette vigilance, loin d’être une contrainte administrative, contribue à instaurer un climat de confiance entre l’entreprise, ses collaborateurs et ses partenaires, tout en protégeant l’organisation contre des sanctions financières importantes ou la dégradation de son image de marque.
Jérôme Lesage
Le blog de la formation
Parce qu’ils collectent les données personnelles des salariés et des formateurs à chaque inscription et les transmettent à des outils ou à des organismes externes.
Informer clairement les personnes, ne collecter que l’essentiel, sécuriser les données, les conserver seulement le temps nécessaire et permettre aux collaborateurs d’exercer leurs droits (accès, correction, suppression, etc.).
Un responsable formation doit vérifier que l’organisme de formation ou le logiciel choisi respecte bien le RGPD, applique des mesures de sécurité solides et peut fournir des preuves de conformité. Cette vigilance évite les sanctions, protège l’entreprise et renforce la confiance des salariés.
Avez-vous entamé
votre transformation digitale ?
Découvrez tous les bénéfices de la plateforme
Training Square !
La rédaction vous conseille :
Connaissez-vous le glossaire de la formation ?
Toutes les définitions et ressources importantes de l'univers de la formation...