RGPD et Formation Professionnelle : Comment maitriser le traitement des données à caractère personnel dans la domaine de la Formation Professionnelle

Le label qualité des formations au sein des auto-écoles
6 juin 2018
Voir toutes les publications

RGPD et Formation Professionnelle : Comment maitriser le traitement des données à caractère personnel dans la domaine de la Formation Professionnelle

La question de la gestion des données personnelles a récemment été au devant de la scène médiatique avec les scandales récents de Facebook et Cambridge analytica, ainsi que l’ingérence russe dans les élections américaines. [Cambridge Analytica a aspiré via Facebook les données personnelles de plus de 90 millions d’internautes dont 210.000 en France via un quizz. L’entreprise a aussi utilisé ces données à des fins politiques lors de la campagne américaine afin de cibler les électeurs via des publicités en fonction de profilages issus de leurs données personnelles].

Malheureusement ces histoires récentes ne sont pas des cas exceptionnels, en effet plusieurs géants du numérique sont victimes depuis maintenant plusieurs années de vols de données personnelles. On peut citer par exemple Myspace, Linkedin, Tumblr, Ebay, Orange, Adobe, Twitter.

L’ère numérique pose des défis en matière de protection des données que les les règles actuelles n’arrivent toujours pas à relever. L’union Européenne afin de renforcer la protection des données personnelles de ses citoyens à mis en place un arsenal juridique avec l’avénement du Règlement Général de la Protection des Données [RGPD].

Le RGPD est entré en vigueur depuis le 25 Mai 2018, les entreprises s’exposent à des sanctions si elles ne respectent pas les règles du RGPD. À savoir en moyenne 4% du chiffre d’affaires annuel.

    • Qui est concerné par le Règlement Général sur la Protection des Données [RGPD] ?

Le RGPD s’applique à toute organisation, publique, privée, qui traite des données personnelles pour son compte dès lors :

    • qu’elle est établie sur le territoire de l’Union Européenne.
    • que son activité cible directement les résidents européens.
    • le RGPD concerne également les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Afin d’assurer une protection optimale des données personnelles qu’elles traitent, les organisations ainsi que leurs sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment.

Les organismes de formation dans leurs activités au quotidien collectent des données personnelles. Alors comment procéder pour se mettre en conformité par rapport aux exigences du RGPD ? Nous vous proposons d’adopter une démarche en 3 séquences.

Étape 1 : Le diagnostic.                                

Pour commencer procédez à l’analyse des types de données personnelles collectées par votre organisme.

Listez les principales activités. Prenez comme critère discriminant dans la sélection des activités celles qui nécessitent que vous collectiez des informations auprès de divers publics, notamment auprès de vos clients.

Quelles sont les principales activités pratiquées au sein de l’organisme et qui peuvent nécessiter le recours aux données personnelles?

  • Exemple la gestion de la formation est une activité,
  • La gestion du personnel
  • La gestion commerciale.

Ensuite, quels sont les logiciels et outils utilisés dans la gestion au quotidien.

Après avoir identifié les activités, regardez si votre organisme a recours à un logiciel ou à un prestataire externe pour les gérer.

Identifiez ensuite les principaux fournisseurs et/ou sous-traitants. Parce que l’identification des fournisseurs est un bon moyen de connaitre les types de données traitées ainsi que les destinataires potentiels.

Est-ce que votre organisme fait signer un formulaire de recueil des consentements au moment de collecter les données personnelles?

Pour terminer votre analyse, regardez si les types de traitements qui sont faits sont conformes aux exigences du RGPD [type de traitement, finalités, supports, sécurité, durées de conservation des données].

Après avoir collecté toutes ces informations dans la partie de votre analyse, vous pouvez passer à l’étape suivante qui consiste à documenter votre conformité en renseignant votre registre des activités de traitement des données personnelles.

Etape 2 : Renseigner le registre des activités de traitement des données personnelles.

Vous devez renseigner une fiche pour chaque activité nécessitant une collecte de données personnelles.

Ainsi dans cette partie de votre démarche il est nécessaire de décrire :

  • La finalité du traitement
  • Les types de publics qui font l’objet d’une collecte de données personnelles
  • Les types de données collectées, notamment si des données sensibles sont collectées. Par données sensibles on peut citer des données révélant l’origine ethnique par exemple, les convictions religieuses, l’appartenance syndicale, les données biométriques, les données de santé, celles qui sont relatives à la vie sexuelle des personnes, aux condamnations pénales. Ainsi que le numéro d’identification nationale NIR ou le numéro de Sécurité Sociale.
  • Les durées de conservation des données
  • Les destinataires des données.

Préciser aussi si les données collectées sont transmises hors Union Européenne.

Vous devrez également décrire les mesures de sécurité organisationnelles et techniques que vous mettez en place pour préserver la confidentialité des données.

Ceux qui ont déjà travaillé dans des démarches qualité se sentiront beaucoup plus à l’aise lorsqu’il s’agira de décrire les finalités pour lesquelles les données sont collectées par processus.

Exemple pour décrire les finalités du processus de gestion de la formation au sein d’un Établissement d’Enseignement à la Conduite Automobile [EECA]:

  • Mettre en place les évaluations de départ afin de déterminer le volume horaire nécessaire de formation
  • Réaliser l’inscription auprès de ANTS
  • Assurer la formation, la planification des formations, le suivi de l’apprenant, réaliser les bilans pédagogique et examens blancs
  • Réaliser les évaluations de fin de formation
  • Réaliser les évaluations de la satisfaction
  • Assurer la gestion administrative des formations
  • Assurer la gestion fiscale des formations – relation avec les OPCA
  • Réussir le suivi de la gestion des financements de la formation : Permis 1 euro par jour, bailleurs publics, OPCA, Paiements en N Fois [PNF]
  • Réserver des places pour le passage aux examens du code [ETG]
  • Permettre aux moniteurs d’assurer le suivi de leurs apprenants
  • Établir les différents contrats et conventions de formation
  • Communiquer sur notre offre de formation en utilisant les principaux canaux numériques à notre disposition [Site internet, réseaux sociaux].

Dans cette phase de mise en place de votre registre de traitement des données personnelles, une aide du support IT sera utile dans la partie mesures de sécurité. Dans votre registre, vous devrez avoir une section relative à la nature des mesures organisationnelles et techniques prévues au sein de votre organisation pour préserver la confidentialité des données [contrôle accès utilisateurs, mesure de traçabilité, mesure de protection des logiciels, sauvegarde des données…].

Prenez-aussi le temps de vous renseigner sur les délais légaux de prescription des documents. Ceci vous permettra de pouvoir répondre à la question relative à la durée de conservation des données.

Étape 3 : Mettre en place les Canvas de documents type pour recueillir le consentement des personnes pour lesquelles vous collectez leurs informations. L’information doit être préalable à la collecte des données. Par exemple si vous avez un site web qui exploite des données de connexion, vous devez dès la première connexion au site afficher un bandeau pour recueillir le consentement du visiteur. Le consentement est préalable à la collecte des données.

Ces documents types vous permettrons de mettre en place une politique de confidentialité pour votre site web, revoir votre règlement intérieur afin d’y intégrer un point sur la protection des données personnelles. Ce sera peut-être aussi l’occasion de mettre en place une charte RGPD.

Cet exercice sera aussi l’opportunité si ce n’est déjà fait de mettre à jour votre site web et d’y intégrer une politique relative à la protection des données.

Le RGPD impose une information concise, transparente, compréhensible et aisément accessible des personnes concernées. L’obligation est définie aux articles 12, 13 et 14 du RGPD.

Étape 4 : Il est très rare aujourd’hui au regard du fonctionnement de nos organisations d’avoir des données personnelles qui sont à 100% cloisonnées au sein de notre entreprise. Nous utilisons des logiciels pour la gestion des activités formations, comptables, financières etc. Nous faisons appel dans le cadre de l’externalisation de la formation à des prestataires vers lesquels nous sous-traitons la gestion des données personnelles. Même si nous restons responsable du traitement, c’est le prestataire qui définit les moyens humains, techniques, organisationnels et managériaux pour gérer les données personnelles des stagiaires formés.

Vous devrez donc vous assurer que vos principaux fournisseurs et sous-traitants mettent en oeuvre les moyens techniques et organisationnels afin de vous assurer le respect des exigences du RGPD dans le cadre du traitement de vos données personnelles.

Revoyez donc les différentes clauses des contrats que vous avez conclus avec eux, et mettez en place des avenants de contrats comprenant les exigences du RGPD.

Vous y êtes presque, pour terminer il sera bénéfique pour votre organisation que vous puissiez leur transmettre ce que vous venez d’apprendre sur le nouveau règlement général de protection des données personnelles. Essayez de formaliser les grandes lignes afin de pouvoir animer des sessions de sensibilisation courtes d’une heure voire deux. Cela permettra de conscientiser les personnes concernées, mais aussi les utilisateurs sur ce nouveau cadre en particulier, et sur les données personnelles en général.

Si vous êtes motivés pour faire cette mise en conformité de votre organisme suite à l’entrée en vigueur du RGPD,  sachez que vous avez une mine d’informations disponibles sur le site de la Cnil. Autrement vous pouvez faire appel à FeedbaqSourcing pour vous accompagner dans votre démarche de mise en conformité par rapport au RGPD.

Ousmane DIENG
Ousmane DIENG
Consultant

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *